Cómo detectar las señales de un ataque de ingeniería social
Publicado el: 24 May 2022
Última modificación: 8 Sep 2025
Saber detectar las señales de un ataque de ingeniería social puede ayudar a evitar que este tipo de ataques tengan éxito y a proteger los datos y sistemas sensibles de su organización.
¿Por qué pasar por la molestia de derribar una puerta cuando puede pedirle a alguien que le entregue la llave? Este escenario es la analogía que describe por qué la ingeniería social se ha convertido en la técnica de ciberataque más utilizada.
El Informe de Verizon sobre Investigación de Infracciones de Datos 2021 ha observado una tendencia al alza en el uso de la ingeniería social desde 2017. Otro informe identificó un aumento del 270% de los ciberataques basados en la ingeniería social en 2021.
Es muy difícil detectar los signos de la ingeniería social porque funciona manipulando el comportamiento cotidiano de nuestra vida diaria. Entonces, ¿cómo puede saber un empleado si es objetivo de una estafa de ingeniería social?
¿Qué es la ingeniería social?
Comprender los distintos elementos utilizados durante la ingeniería social ayuda a detectar los signos de un ataque de ingeniería social.
Los ciberdelincuentes siempre están buscando formas de acceder a información confidencial o manipular un proceso empresarial para causar daños. Estos daños varían, incluyendo las estafas de compromiso de correo electrónico empresarial (BEC) y la infección por malware.
Ambos tipos de ciberataques van en aumento: Las estafas BEC costaron a las empresas mundiales más de 43.000 millones de dólares en los cinco años hasta 2021, con un aumento del 65% de las pérdidas entre julio de 2019 y diciembre de 2021; la investigación reveló que el 71% de las empresas fueron víctimas de un ataque de malware en 2021. Las sofisticadas y complejas estafas de ingeniería social están detrás de estos aumentos.
La ingeniería social explota el comportamiento humano para que los individuos lleven a cabo acciones que beneficien al defraudador. En otras palabras, los estafadores consiguen que los individuos hagan el trabajo sucio por ellos sin saberlo. Las tácticas utilizadas por los estafadores durante un ataque de ingeniería social se basan en la manipulación del comportamiento, el engaño y los trucos psicológicos. A esta manipulación contribuye la falta de conocimientos por parte del individuo objetivo.
La ingeniería social es un método de ataque sutil y basado en la inteligencia. Los investigadores Abid, et al., han identificado las etapas típicas del ciclo de vida de un ataque de ingeniería social:
- Recopilación de información: reconocimiento para identificar patrones de comportamiento, aplicaciones utilizadas y procesos empresariales que puedan explotarse. Esto permite establecer un nivel de confianza con el objetivo e inteligencia para explotar esa confianza.
- Desarrollar la relación: esta confianza se utiliza para desarrollar relaciones en preparación para la siguiente etapa.
- Explotación: se lleva a cabo la tarea maliciosa, por ejemplo, hacer clic en un enlace de un correo electrónico de phishing o activar una transferencia bancaria de dinero.
- Ejecución: la última etapa en la que el hacker recibe dinero o accede a las credenciales de inicio de sesión para instalar el ransomware o acceder a información sensible.
Teniendo en cuenta las fases de un ataque de ingeniería social, ¿cómo puede detectar un ataque de ingeniería social antes de que sea demasiado tarde?
Cinco señales de que está siendo manipulado socialmente
Algunas de las señales más evidentes son también las más difíciles de detectar, ya que se disfrazan de sucesos habituales. Sin embargo, el arte de detectar lo inesperado o cuando algo simplemente «no va bien» es algo que la formación periódica sobre concienciación en materia de seguridad ayuda a establecer.
He aquí cinco signos típicos de la ingeniería social:
Un adjunto o enlace inesperado
Los ataques de phishing y smishing (phishing móvil) suelen contener un archivo adjunto o un enlace a un sitio web malicioso. El propio correo electrónico contendrá motivadores de comportamiento típicos, como la urgencia, la presión emocional, la curiosidad, el miedo y las amenazas, y otras afirmaciones preocupantes, como una amenaza para la seguridad. El ataque de phishing animará al destinatario a abrir un archivo adjunto o a hacer clic en un enlace utilizando estas presiones emocionales.
Piense antes de hacer clic, antes de abrir un archivo adjunto. ¿Parece legítimo el mensaje? Compruebe si hay indicios de phishing, como «¿coincide la dirección de correo electrónico del remitente con el nombre de dominio esperado? ¿El lenguaje y la gramática del correo electrónico no son correctos?
Consulte la Guía definitiva sobre phishing de MetaCompliance para conocer más señales reveladoras del phishing por correo electrónico.
Una petición inusual
Los estafadores pueden delatarse a sí mismos pidiendo algo un poco inesperado. Esto es especialmente notable si el estafador se hace pasar por otra persona de la empresa, quizás un director financiero o un director general.
Las estafas BEC, por ejemplo, pueden consistir en el envío a los empleados del departamento de contabilidad de un correo electrónico de phishing selectivo que parece proceder de un ejecutivo de nivel C y en el que se les pide que realicen una transferencia de dinero inmediata y urgente. Otros correos electrónicos de phishing pueden pedir al destinatario que abra un archivo adjunto con una grabación de voz, etc.
Si una solicitud le parece fuera de lo común e inusual, deténgase y piense, ¿podría tratarse de una estafa? A continuación, realice una sencilla comprobación: llame a la persona que supuestamente ha enviado la solicitud y pregúntele si es legítima.
Una petición o demanda urgente
La urgencia es un excelente ejemplo de táctica utilizada para manipular las emociones humanas. Si una solicitud urgente también parece provenir de la alta dirección o del nivel C, tómese un momento para comprobar la legitimidad de la solicitud.
El correo electrónico comercial comprometido (BEC) suele implicar la manipulación emocional de los empleados que trabajan en el departamento financiero. Por ejemplo, un estafador BEC intentará presionar a un empleado para que transfiera dinero utilizando una amenaza de pérdida de negocio si no actúa con rapidez.
Vuelva a comprobar la solicitud y llame a la persona que supuestamente la ha realizado.
Una oferta demasiado buena para ser cierta
Los ciberdelincuentes utilizan a veces el chantaje o la coacción para extraer información, especialmente durante la fase de recopilación de información de un ataque de ingeniería social.
Piénselo dos veces si recibe una oferta de dinero o un premio por compartir información empresarial o personal, ya que podría tratarse de un intento de piratear su cuenta.
Una petición en las redes sociales de alguien que no reconoce
En los seis meses transcurridos hasta junio de 2021, LinkedIn eliminó más de 66 millones de spam y estafas en la plataforma, de los que 232.000 se retiraron tras la queja de un usuario. Los piratas informáticos crean cuentas falsas en las redes sociales y luego se ponen en contacto para establecer conexiones. Los estafadores utilizan las redes sociales para recabar información y entablar relaciones con sus objetivos y los contactos de éstos.
Si recibe una solicitud de conexión en una plataforma de medios sociales, compruebe el perfil del solicitante y busque indicios de que pueda ser falsa. Por ejemplo, ¿tienen un perfil y un historial laboral completos, cuentan con recomendaciones legítimas, etc.?
La ingeniería social funciona y seguirá haciéndolo hasta que aprendamos a detectar las señales. Una formación de concienciación sobre seguridad que incorpore la educación en tácticas de ingeniería social dota a los empleados de los conocimientos necesarios para impedir que los estafadores exploten su comportamiento.
