ofensiva
ingeniería social
phishing
vishing

Qué es ingeniería social: tipos, casos reales y cómo defenderse

Qué es la ingeniería social, principios de Cialdini, tipos (phishing, vishing, BEC, pretexting), casos reales (Twitter, Uber, MGM) y defensa.

Secra12 de mayo de 202613 min de lectura

La ingeniería social manipula a personas para que entreguen información, ejecuten acciones o concedan accesos. Es la causa principal de la mayoría de incidentes de ciberseguridad serios en 2026, por encima de la explotación técnica pura: Verizon DBIR atribuye el 70% de las brechas a un componente humano, y cifras de IBM y Mandiant van en la misma línea. La razón es estructural: aunque las defensas técnicas mejoran, los principios psicológicos sobre los que se apoya la persuasión son estables desde hace décadas.

Esta guía explica qué es exactamente ingeniería social, los seis principios psicológicos sobre los que se construye (los principios de Cialdini), los nueve tipos que aparecen una y otra vez en investigaciones reales (phishing, spear phishing, whaling, vishing, smishing, BEC, pretexting, baiting, tailgating, quid pro quo, water-holing), casos documentados imprescindibles (Twitter 2020, Uber 2022, MGM 2023, campañas Scattered Spider), cómo se defiende una organización moderna y cómo encaja todo esto en NIS2, DORA, ISO 27001 y RGPD.

Qué es ingeniería social

La ingeniería social es la explotación deliberada de cómo las personas toman decisiones bajo presión, autoridad, urgencia o curiosidad para conseguir un objetivo del atacante. Las cuatro propiedades que la definen:

  1. Foco en el humano, no en el sistema. No requiere vulnerabilidad técnica. Una organización con la mejor tecnología puede caer si un humano cede credenciales.
  2. Bajo coste relativo. Una campaña masiva de phishing cuesta días-persona; una operación dirigida (Scattered Spider contra MGM) cuesta semanas pero entrega impacto desproporcionado.
  3. Escalable y delegable. Plataformas de phishing-as-a-service (EvilProxy, Tycoon 2FA) permiten ataques sofisticados con poca técnica del operador.
  4. Eficaz a pesar de la formación. Incluso plantillas formadas caen en el 5-15% de los simulacros bien diseñados. Cero confianza en humanos es la base de la defensa moderna.

Lo que NO es ingeniería social: explotación técnica pura (CVEs, exploits, bypasses de configuración). Aunque la mayoría de incidentes combinan ambos, son disciplinas distintas.

Los seis principios de Cialdini

El marco teórico más usado para entender por qué la ingeniería social funciona viene del libro Influence: The Psychology of Persuasion de Robert Cialdini (1984). Los seis principios que el atacante explota:

1. Autoridad

La gente obedece a figuras de autoridad sin cuestionar. Suplantar al CEO, al jefe directo, a un policía o a un técnico de IT genera respuesta rápida sin verificación. Email del supuesto CFO pidiendo transferencia urgente: clásico de BEC (Business Email Compromise).

2. Urgencia y escasez

Decisiones tomadas bajo presión de tiempo son peor evaluadas. "Tu cuenta se cerrará en 24 horas si no actualizas", "última oportunidad", "factura vencida desde hace 3 días". El atacante recorta el tiempo de reflexión del objetivo.

3. Reciprocidad

Devolver favores está cableado en el comportamiento social. El atacante hace pequeño favor (envía documento útil, ofrece descuento, da información valiosa) y después pide algo. El objetivo siente que debe corresponder.

4. Compromiso y consistencia

Si alguien se compromete a algo pequeño, tiende a comprometerse con cosas mayores en la misma dirección por coherencia con su yo anterior. El atacante empieza pidiendo poco (confirmar una dirección de email) y escala (pedir credenciales).

5. Prueba social

La gente hace lo que ve hacer a otros. Un email "el 80% de tus compañeros ya ha completado el formulario obligatorio" genera respuesta sin reflexión.

6. Simpatía

Es más fácil ceder ante alguien que cae bien. Atacantes invierten tiempo construyendo rapport (LinkedIn warm-up, conversaciones aparentemente irrelevantes) antes de pedir lo que quieren.

Casi todas las campañas de ingeniería social combinan dos o tres principios simultáneamente. Por eso son tan eficaces.

Los nueve tipos principales

Variantes recurrentes en investigaciones reales.

Phishing

Envío masivo de correos suplantando entidades conocidas (banco, plataforma cloud, servicio de paquetería) para que la víctima haga click en un enlace, descargue un adjunto malicioso o introduzca credenciales. El vector número uno de incidentes de ciberseguridad en 2026 y la categoría más amplia. La taxonomía completa con 12 variantes está en la guía dedicada de tipos de phishing.

Spear phishing

Variante dirigida. El atacante investiga a la víctima con OSINT (organigrama, jerga interna, proyectos en marcha) y construye correos personalizados que son muy difíciles de distinguir de comunicación legítima.

Whaling

Spear phishing contra altos directivos (CEO, CFO, dirección financiera). Objetivo: transferencias millonarias, acceso a información estratégica. Suele combinarse con BEC.

BEC (Business Email Compromise)

Compromiso de cuenta corporativa real (no solo suplantación). El atacante accede al buzón vía credenciales robadas o token capturado por proxy AitM, observa patrones de comunicación durante semanas y luego envía instrucciones de pago desde la cuenta legítima en el momento adecuado. Es la categoría que más daño financiero directo causa según FBI IC3.

Vishing

Voice phishing. Llamadas telefónicas suplantando técnicos de IT, bancos, servicios de delivery. Crecimiento brutal 2024-2026 por adopción de IA generativa: deepfakes de voz que clonan al CEO en minutos a partir de audio público.

Smishing

SMS phishing. Mensajes de texto con enlaces o instrucciones. Combinado con suplantación de identidad de operadora o de servicios públicos (Correos, Hacienda, INE). Especialmente eficaz en móvil porque la URL completa raramente se ve.

Pretexting

Construcción de una identidad y contexto falsos verosímiles para pedir información. Llamada al servicio de atención al cliente haciéndose pasar por un empleado que necesita resetear contraseña, presentación como auditor externo en recepción, suplantación de un consultor con contrato vigente.

Baiting

Tentar al objetivo con algo atractivo: USB "perdido" en parking corporativo con etiqueta "salarios 2026", anuncio de descarga gratuita de software popular, oferta laboral falsa con archivo adjunto. La curiosidad o el deseo activan el comportamiento.

Quid pro quo, tailgating, water-holing

  • Quid pro quo: ofrecer servicio a cambio de algo (técnico de IT que ofrece "ayuda" a cambio de credenciales).
  • Tailgating: seguir a alguien con credencial física a través de una puerta corporativa (con cara amable, ocupado, paquete grande).
  • Water-holing: comprometer un sitio web frecuentado por el target (web del sector, foro profesional) para que la propia víctima lo visite y reciba el payload.

Casos reales documentados

Incidentes públicos imprescindibles para entender el estado del arte.

Twitter Hack (julio 2020). Adolescentes consiguieron acceso a herramientas internas de Twitter mediante vishing dirigido a empleados. Pretextaron ser equipo IT durante llamadas telefónicas. Tomaron control de cuentas verificadas de Obama, Biden, Elon Musk, Bill Gates y otros para estafa de Bitcoin. Daño económico directo bajo (~120.000 USD recaudados), daño reputacional masivo para Twitter. Demuestra que vishing sigue siendo eficaz contra grandes plataformas.

Uber breach (septiembre 2022). Un atacante de 18 años (atribuido a Lapsus$) comprometió la red interna de Uber mediante MFA fatigue: spam de prompts de aprobación MFA a un contratista hasta que aceptó uno. Una vez dentro, encontró credenciales hard-coded en PowerShell scripts que daban acceso a vault Thycotic con secretos AWS, GCP, Slack, GitHub. Salida masiva de datos internos. Lapsus$ confirmó autoría por Telegram.

MGM Resorts y Caesars Entertainment (septiembre 2023). Operación de Scattered Spider (UNC3944) contra dos cadenas hoteleras de Las Vegas en menos de un mes. Llamada de 10 minutos al helpdesk haciéndose pasar por un empleado, social engineering para conseguir reset de credenciales, escalada a Active Directory, ransomware. MGM rechazó pagar y sufrió $100 millones de daño; Caesars pagó aproximadamente $15 millones. Reabrió el debate sobre helpdesk hardening y verificación de identidad en soporte interno.

3CX supply chain (marzo 2023). Lo que parecía ataque técnico fue de origen social: empleado de 3CX descargó instalador trojanizado de Trading Technologies X_Trader (otra empresa comprometida). Ejemplo de cadena de suministro con vector inicial humano.

Snowflake breach (mayo-junio 2024). UNC5537 accedió a múltiples bases de datos Snowflake de clientes (AT&T, Ticketmaster, Santander, varios) usando credenciales robadas por infostealers a empleados con acceso, sin MFA exigido por algunos clientes. Caso paradigmático moderno: el "ataque" fue masivo y devastador, el vector fue infostealer en endpoint personal de empleado.

Campañas de spear phishing contra periodistas y disidentes (continuas, atribuidas a actores estatales). Operaciones documentadas por Citizen Lab y Amnesty con Pegasus, Predator y otros spyware. El vector inicial es casi siempre social: mensaje convincente con enlace a página de exploit.

MFA Fatigue / MFA Bombing. Categoría 2022-2025. El atacante con contraseña robada bombardea con prompts MFA hasta que el usuario aprueba uno por cansancio, confusión o despiste. Vector exitoso contra Cisco (2022), Uber (2022, vía Lapsus$) y muchos más. La defensa estándar (TOTP, push) es vulnerable; FIDO2/WebAuthn lo cierra.

Deepfake CEO scam (2019 Reino Unido, primer caso público; recurrente desde 2022 con IA generativa). Llamada con voz clonada del CEO al CFO ordenando transferencia. Casos documentados con pérdidas de seis y siete cifras. La barrera técnica ha caído drásticamente con herramientas comerciales de clonación de voz.

Cómo se defiende una organización moderna

Las medidas que cierran realmente la puerta. Ordenadas por impacto.

MFA resistente a phishing

FIDO2 / WebAuthn / passkeys. Sin esto, el resto es maquillaje. Estas tecnologías ligan la firma a la URL real y son inmunes a kits de phishing-as-a-service tipo EvilProxy o Tycoon 2FA que sí derrotan TOTP y SMS. Detalle en JWT y seguridad y Man in the Middle.

Hardening del helpdesk y procedimientos de soporte

El caso MGM 2023 demostró que el eslabón más débil en muchas organizaciones es el helpdesk. Procedimientos formales para reset de contraseñas y MFA: video call con verificación visual del empleado, callback al número registrado en RRHH, verificación contra preguntas de seguridad o documentos. Sin esto, un buen actor con OSINT toma cualquier cuenta.

Detección de phishing AitM

Plataformas como Microsoft Defender for Cloud Apps, Okta ThreatInsight, identidad-EDR (CrowdStrike Falcon Identity, SentinelOne Singularity Identity) identifican logins desde infraestructura conocida de kits AitM (evilginx, Modlishka, EvilProxy).

Email security multicapa

Gateway de correo con sandbox de adjuntos, análisis de URLs, DKIM/DMARC/SPF estrictos, banner externo en correos de fuera del dominio. Microsoft 365 + Defender, Google Workspace + Advanced Protection, Proofpoint, Mimecast, Abnormal Security.

Formación específica y simulacros

Programa anual mínimo, con simulacros de phishing trimestrales, formación específica por rol (helpdesk, financiero, ejecutivo), métricas reales (porcentaje de plantilla que clica, porcentaje que reporta, tendencia). La formación general que solo se hace una vez al año no funciona.

Cultura de "verificar antes de actuar"

Protocolos internos que normalizan llamar por canal alternativo para confirmar peticiones financieras inusuales. Comunicación interna que celebra a los que cuestionan, no a los que ejecutan rápido. Lema "si te urge, sospecha".

Reporte fácil de sospecha

Botón "reportar phishing" en cliente de correo, canal Teams o Slack dedicado, equipo SOC que responde rápido al reporte. Los usuarios reportan cuando ven valor; dejan de reportar cuando piensan que es inútil.

Limitación del impacto post-compromiso

Principio de mínimo privilegio, segmentación de red, MFA universal incluido en superficie interna, restricción de uso de credenciales privilegiadas a workstations Tier 0. Hace que un compromiso individual no escale a domain admin. Detalle en ataques Kerberos.

Monitorización de leaks de credenciales propias

Have I Been Pwned, Spycloud, IntelX y similares avisan cuando aparecen credenciales corporativas en filtraciones. Rotación obligatoria + revisión de actividad reciente al detectar.

Plan de respuesta específico

Playbook IR para incidentes con vector ingeniería social: aislar cuenta comprometida, investigar movimiento, comunicación legal y a clientes si aplica, post-mortem honesto.

Encaje con compliance

La gestión del riesgo de ingeniería social aparece en marcos vigentes:

  • NIS2 (artículo 21). Concienciación y formación obligatorias. La formación específica del órgano de dirección es exigencia explícita.
  • DORA (artículo 11). Programas de concienciación digital y formación periódica.
  • ISO 27001:2022 (controles 5.1, 6.3, 7.3). Política de seguridad, concienciación, formación.
  • ENS Real Decreto 311/2022. Medidas mp.per (gestión del personal).
  • PCI DSS v4.0 (req. 12.6). Programa formal de concienciación.
  • RGPD (artículo 32). Medidas técnicas y organizativas. La formación entra como medida organizativa exigible.

Preguntas frecuentes

¿Diferencia entre ingeniería social y phishing?

Phishing es una técnica concreta dentro de la categoría más amplia de ingeniería social. La ingeniería social cubre además vishing, smishing, BEC, pretexting, baiting y tailgating. Phishing es la implementación más visible y voluminosa.

¿La IA generativa empeora el problema?

Sí, drásticamente. Reduce el coste de personalización de spear phishing (un actor puede generar emails creíbles para cientos de targets en minutos), permite deepfakes de voz para vishing convincente, automatiza la fase OSINT previa. La defensa correspondiente tiene que evolucionar: MFA resistente a phishing pasa de "buena práctica" a "obligatorio".

¿Cuánto cuesta un simulacro de phishing profesional?

Para una empresa mediana, KnowBe4, Cofense, Proofpoint Security Awareness y otros ofrecen plataformas con coste por usuario al año. Para simulacros dirigidos custom con metodología Red Team, los proyectos se contratan como ejercicios puntuales. Lo importante no es el coste sino la frecuencia y la calidad de las plantillas (los simulacros idénticos cada mes pierden eficacia).

¿La formación de phishing funciona?

Sí, pero con matiz: reduce la tasa de click del 25-30% inicial al 5-15% sostenido tras 12-18 meses de programa serio. Lo que no funciona es esperar a que la formación elimine el problema; siempre quedará un porcentaje que cae. Las defensas técnicas (MFA fuerte, EDR, email security) son la red de seguridad.

¿Qué es exactamente Scattered Spider?

Grupo de habla inglesa (UK/US) especializado en ingeniería social telefónica contra helpdesks corporativos. Origen en hackers jóvenes de comunidades online con habilidades sociales pulidas. Ha evolucionado a actor con afiliación a ALPHV/BlackCat y otros operadores de ransomware. Caso paradigmático de talento social aprovechado para ciberdelincuencia organizada.

¿Cómo reporto un phishing que he recibido en mi empresa?

Lo más útil es reenviarlo como adjunto (no inline para preservar headers) al buzón corporativo de seguridad o, donde lo haya, usar el botón "reportar phishing" del cliente de correo. En empresas sin equipo interno, INCIBE-CERT recibe reportes en https://www.incibe-cert.es. Detalle en la guía de INCIBE.

¿Existe phishing legítimo (autorizado)?

Sí, los simulacros internos autorizados son la práctica estándar. Lo realiza el equipo de seguridad o un proveedor con contrato. La diferencia es que tras el click el usuario llega a una página educativa, no a robo de credenciales. Sin autorización formal, lanzar phishing simulado es delito (artículo 197 ter del Código Penal).

Recursos relacionados

  • Qué es pharming: variante de ingeniería social que manipula DNS para llevar al usuario a sitios falsos sin que haga click.
  • Qué es un troyano: payload más frecuente entregado tras un phishing exitoso.
  • Qué es ransomware: escenario donde la ingeniería social inicial se traduce en cifrado masivo y extorsión.
  • Qué es un keylogger: módulo frecuente en payloads de spear phishing dirigido.
  • Qué es Man in the Middle: técnica AitM moderna que combina ingeniería social con captura de cookies de sesión.
  • Qué es OSINT: disciplina hermana que el atacante usa antes de cualquier campaña dirigida.
  • Red Team: guía para empresas: tipo de ejercicio que valida defensas frente a campañas combinadas de ingeniería social.

Defensa frente a ingeniería social en Secra

En Secra abordamos el riesgo de ingeniería social en tres frentes habituales: revisión de configuración técnica defensiva (MFA resistente a phishing, email security, identidad-EDR, hardening de helpdesk), ejercicios Red Team con vector phishing AitM y vishing controlado para validar empíricamente detección y respuesta, y diseño de programa de concienciación específico por rol con métricas reales. El entregable habitual es un mapa de riesgos con prioridades concretas y simulacros documentados. Si tu organización aún confía en MFA SMS o TOTP para cuentas privilegiadas, no ha auditado los procedimientos del helpdesk o nunca ha medido empíricamente la resistencia de su plantilla a campañas modernas, escríbenos a través de contacto o consulta nuestro servicio de Red Team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Qué es hacking ético: tipos de hackers, certificaciones y marco legal

Qué es el hacking ético, tipos de hackers (white/grey/black hat), certificaciones (OSCP, OSWE, CEH), camino profesional y marco legal en España.

2026-05-1214 min
ofensiva

Qué es OSINT: ciclo, fuentes, herramientas y marco legal en España

Qué es OSINT (Open Source Intelligence), ciclo de inteligencia, fuentes, herramientas (Maltego, Shodan, SpiderFoot), casos de uso y marco legal RGPD.

2026-05-1214 min
ofensiva

Ataques Kerberos en Active Directory: Kerberoasting, Golden Ticket y delegaciones

Cómo funciona Kerberos en Active Directory y guía técnica de Kerberoasting, AS-REP Roasting, Golden Ticket, delegaciones y DCSync, con detección y mitigación.

2026-05-1015 min