Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

10 tipos de ataques de ingeniería social

Un ataque de ingeniería social es un ataque de ciberseguridad que se basa en la manipulación psicológica del comportamiento humano para revelar datos confidenciales, compartir credenciales, otorgar acceso a un dispositivo personal o comprometer de otro modo la seguridad digital.

Los ataques de ingeniería social representan una gran amenaza para la ciberseguridad, ya que muchos ataques comienzan a nivel personal y se basan en errores humanos para avanzar en la ruta de ataque. Al inspirar empatía, miedo y urgencia en la víctima, los adversarios a menudo pueden obtener acceso a información personal o al propio endpoint. Si el dispositivo está conectado a una red corporativa o contiene credenciales para cuentas profesionales, esto también puede proporcionar al adversario una vía para realizar ataques a nivel empresarial.

Los ciberdelincuentes idean métodos cada vez más taimados para engañar a particulares y empleados, por lo que las organizaciones deben mantenerse a la vanguardia. En esta publicación, exploraremos diez de los tipos más comunes de ataques de ingeniería social:

  1. Phishing
  2. Whaling
  3. Baiting
  4. Robo por desvío
  5. Compromiso de correo electrónico empresarial (BEC)
  6. Smishing
  7. Quid pro quo
  8. Pretexting
  9. Honeytrap
  10. Tailgating/Piggybacking

1. Phishing

El phishing es un ciberataque que aprovecha el correo electrónico, el teléfono, los SMS, las redes sociales u otras formas de comunicación personal para incitar a los usuarios a hacer clic en un enlace malicioso, descargar archivos infectados o revelar información personal, como contraseñas o números de cuenta.

Si bien los ataques de phishing más conocidos generalmente implican afirmaciones extravagantes, como la de un miembro de una familia real que solicita la información bancaria de un individuo, la estafa de phishing moderna es mucho más sofisticada. En muchos casos, un ciberdelincuente puede hacerse pasar por minoristas, proveedores de servicios o agencias gubernamentales para extraer información personal que puede parecer benigna, como direcciones de correo electrónico, números de teléfono, la fecha de nacimiento del usuario o los nombres de miembros de la familia.

El phishing es uno de los tipos más comunes de ciberataques y su prevalencia continúa creciendo año tras año. La COVID-19 aumentó drásticamente los ciberataques de todo tipo, incluidos los ataques de phishing. Durante el periodo de confinamiento, las personas en general pasaron más tiempo en línea y también experimentaron emociones intensificadas: la receta virtual para una campaña de phishing efectiva. Según el FBI, el phishing fue la principal forma de ciberdelincuencia en 2020, con incidentes que casi se duplicaron en comparación con 2019.

2. Whaling

Un ataque whaling es un tipo de ataque de phishing que también aprovecha la comunicación personal para obtener acceso al dispositivo o a la información personal de un usuario.

La diferencia entre el phishing y el whaling tiene que ver con el nivel de personalización. Mientras que los ataques de phishing no se personalizan y pueden replicarse para millones de usuarios, los ataques whaling van dirigidos a un individuo concreto; generalmente, un alto ejecutivo. Este tipo de ataque requiere una cantidad significativa de investigación sobre ese individuo, que generalmente se realiza revisando su actividad en las redes sociales y otro comportamiento público. Esta investigación en profundidad da como resultado un alcance más sofisticado y una mayor probabilidad de éxito.

Aunque los ataques whaling requieren más planificación y esfuerzo iniciales, a menudo tienen grandes recompensas, ya que las víctimas tienen acceso a datos de alto valor o a los recursos financieros necesarios para llevar a cabo un ataque de ransomware.

Más información

Obtén más información sobre las diferencias entre los ataques de phishing, phishing selectivo y whaling.

Leer:

3. Baiting

El baiting es un tipo de ataque de ingeniería social en el que los estafadores hacen falsas promesas a los usuarios para engañarlos, de modo que revelen información personal o instalen malware en el sistema.

Las estafas de baiting pueden presentarse en forma de anuncios tentadores o promociones en línea, como descargas gratuitas de juegos o películas, streaming de música o actualizaciones de teléfonos. El ciberdelincuente espera que la contraseña que utiliza el objetivo para reclamar la oferta sea una que también haya usado en otros sitios, lo que puede permitir al hacker acceder a los datos de la víctima o vender la información a otros delincuentes en la dark web.

El baiting también puede realizarse presencialmente; generalmente, mediante una unidad flash infectada con malware. El ciberdelincuente deja el USB infectado en una zona donde es más probable que la víctima lo vea. Esto provocaría que la víctima inserte la unidad flash en el ordenador para averiguar a quién pertenece. Mientras tanto, el malware se instala automáticamente.

4. Robo por desvío

El robo por desvío es un ciberataque que se originó offline. En este ataque, un ladrón convence a un mensajero para que recoja o deje un paquete en el lugar equivocado, entregue un paquete incorrecto o lo entregue al destinatario erróneo.

Desde entonces, el robo por desvío se ha adaptado como una táctica online. El actor malicioso roba información confidencial engañando al usuario para que la envíe al destinatario equivocado.

Este tipo de ataque a menudo implica suplantación de identidad, que es una técnica que emplean los ciberdelincuentes para disfrazarse de una fuente conocida o fiable. La suplantación de identidad puede adoptar muchas formas, como correos electrónicos falsificados, suplantación de IP, suplantación de DNS, suplantación de GPS, suplantación de sitios web y llamadas falsificadas.

5. Compromiso de correo electrónico empresarial (BEC)

El compromiso de correo electrónico empresarial (BEC) es una táctica de ingeniería social en la que el ciberdelincuente se hace pasar por un ejecutivo de confianza que está autorizado para tratar asuntos financieros dentro de la organización.

En este escenario de ataque, el estafador supervisa de cerca el comportamiento del ejecutivo y utiliza la suplantación de identidad para crear una cuenta de correo electrónico falsa. Mediante la suplantación de identidad, el ciberdelincuente envía un correo electrónico solicitando a sus subordinados realizar transferencias bancarias, modificar datos bancarios y realizar otras tareas relacionadas con el dinero.

El BEC puede resultar en enormes pérdidas financieras para las empresas. A diferencia de otras estafas cibernéticas, estos ataques no se basan en URL maliciosas o malware que puedan detectar las herramientas de ciberseguridad, como firewalls o sistemas de detección y respuesta para endpoints (EDR). En cambio, los ataques BEC se llevan a cabo estrictamente a través del comportamiento personal, que a menudo es más difícil de monitorizar y gestionar, especialmente en organizaciones grandes.

6. Smishing/Phishing por SMS

El phishing por SMS o smishing es un ataque de ingeniería social realizado específicamente a través de mensajes SMS. En este ataque, los estafadores intentan engañar al usuario para que haga clic en un enlace que lo dirige a un sitio fraudulento. Una vez en el sitio, se le solicita a la víctima que descargue software y contenido malicioso.

Los ataques de smishing han ganado popularidad entre los delincuentes conforme las personas pasan más tiempo usando dispositivos móviles. Si bien los usuarios se han vuelto más hábiles a la hora de detectar el phishing por correo electrónico, muchas personas son mucho menos conscientes de los riesgos asociados con los mensajes de texto.

Un ataque de smishing requiere poco esfuerzo por parte de los atacantes y a menudo se lleva a cabo simplemente comprando un número falsificado y configurando el enlace malicioso.

7. Quid pro quo

Un ataque quid pro quo implica que el ciberdelincuente solicita información confidencial a la víctima a cambio de un servicio deseable.

Por ejemplo, el ciberdelincuente puede hacerse pasar por un técnico de soporte informático y llamar a un usuario de ordenador para solucionar un problema informático común, como velocidades de red lentas o la aplicación de parches del sistema, para adquirir las credenciales de inicio de sesión del usuario. Una vez intercambiadas las credenciales, esta información se utiliza para acceder a otro repositorio de datos sensibles en el dispositivo y sus aplicaciones, o se vende en la dark web.

8. Pretexting

El pretexting es una forma de ingeniería social que implica la creación de escenarios plausibles (o "pretextos") que probablemente convenzan a las víctimas, de modo que compartan datos valiosos y confidenciales.

Los delincuentes que recurren a esta técnica pueden hacerse pasar por alguien en posición de autoridad, como un miembro de la policía o un funcionario fiscal, o suplantar a una persona de interés, como un cazatalentos de una agencia o un organizador de sorteos. Tras exponer su pretexto, el ciberdelincuente le hará preguntas a la víctima para obtener información personal y sensible, que luego podrá utilizar para avanzar en otros escenarios de ataque o acceder a sus cuentas personales.

9. Honeytrap

Un ataque de honeytrap es una técnica de ingeniería social que ataca específicamente a personas que buscan el amor en sitios web de citas online o en redes sociales. El delincuente se hace amigo de la víctima creando un personaje ficticio y configurando un perfil falso en línea. Con el tiempo, el delincuente se aprovecha de la relación y engaña a la víctima para que le dé dinero, divulgue información personal o instale malware.

10. Tailgating/Piggybacking

El tailgating, también conocido como piggybacking, es una brecha física mediante la cual un ciberdelincuente obtiene acceso a una instalación física pidiendo a la persona que entra delante de él que sostenga la puerta o le conceda el acceso. El ciberdelincuente puede hacerse pasar por un repartidor o adoptar otra identidad plausible para aumentar sus posibilidades de éxito. Una vez dentro de las instalaciones, el delincuente puede dedicarse a realizar tareas de reconocimiento, robar dispositivos desatendidos o acceder a archivos confidenciales.

El tailgating también puede consistir en permitir que una persona no autorizada tome prestado el ordenador portátil u otro dispositivo de un empleado, de modo que pueda instalar malware.

Cómo prevenir los ataques de ingeniería social

Si bien es imposible evitar que se produzcan ataques de ingeniería social, las personas y las organizaciones pueden protegerse con un comportamiento responsable, concienciación sobre la seguridad, educación y vigilancia.

A continuación se presentan algunas consideraciones útiles a tener en cuenta al recibir cualquier tipo de comunicación de una fuente desconocida o sospechosa:

Usuarios individuales
Hacer
No hacer
Verificar la validez de la fuente. Presta mucha atención al encabezado del correo electrónico y comprueba que coincida con correos electrónicos anteriores del mismo remitente. Presta atención a los errores ortográficos y gramaticales, ya que son una señal común de estafa.Hacer clic en un enlace o descargar archivos de un remitente desconocido o sospechoso. Pasa el cursor sobre el enlace para comprobar su validez (sin hacer clic).
Actualizar y aplicar parches periódicamente a tu sistema operativo y tus aplicaciones para reducir el riesgo de sufrir vulnerabilidades conocidas.Compartir tu información personal, como números de cuenta, contraseñas o datos de tarjetas de crédito.
Permanecer alerta cuando te contacten terceros. Ten en cuenta que las organizaciones fiables nunca pedirán a los usuarios que compartan contraseñas o credenciales de inicio de sesión. Cada conversación debe comenzar con el agente pidiéndote que verifiques tu identidad a través de una pregunta de seguridad que hayas seleccionado anteriormente.Responder a solicitudes urgentes. Los estafadores a menudo infunden una sensación de inmediatez para motivar la acción. Di siempre que necesitas más tiempo para obtener la información y luego verifica la solicitud a través de otro método de contacto.
Instalar un bloqueador de ventanas emergentes y un filtro de spam. Detectarán muchas amenazas e incluso evitarán que los correos electrónicos infectados lleguen a tu dispositivo.Insertar un USB desconocido u otro dispositivo en tu ordenador. Si encuentras un USB u otro endpoint desatendido, entrégalo a un profesional de TI o a un miembro de un equipo de seguridad de la información.
Invertir en software de ciberseguridad. Este debe ser de un proveedor de seguridad fiable y actualizarse periódicamente.Permitir que otro usuario acceda a tu dispositivo o tus cuentas personales. El malware se puede instalar en cuestión de segundos. Nunca compartas tus dispositivos con otros usuarios ni permitas que tus amigos o compañeros de trabajo utilicen tu dispositivo sin supervisión.
Acceder solo a URL que comiencen con HTTPS. El uso de enlaces que permiten la navegación segura minimiza la probabilidad de acceder a una página web maliciosa o falsificada.
Activar la autenticación multifactor (autenticación MFA) para reducir el potencial grado de vulneración de una cuenta.
Iniciar sesión a través de tu cuenta o del sitio web oficial. Acceder a los sitios de esta manera, en lugar de a través de enlaces integrados o anuncios emergentes, es una forma de garantizar la legitimidad.
Utilizar un gestor de contraseñas. Esta herramienta introducirá automáticamente una contraseña guardada en un sitio válido, pero no reconocerá un sitio falsificado.

Usuarios empresariales

  • Formar a todos los empleados en prácticas recomendadas de ciberseguridad. Los empleados deben seguir buenas prácticas de higiene en todos sus dispositivos. Esto incluye utilizar una protección con contraseña fuerte, conectarse solo a redes Wi-Fi seguras y estar constantemente alerta ante el phishing.
  • Mantener el sistema operativo y el resto de software parcheado y actualizado. Esto minimizará la exposición a vulnerabilidades conocidas.
  • Utilizar software para detectar y prevenir amenazas desconocidas. La plataforma CrowdStrike Falcon® ofrece antivirus de última generación (NGAV) frente a malware conocido y desconocido mediante el uso de aprendizaje automático basado en IA. Falcon busca indicadores de ataque (IOA) para detener el ransomware antes de que pueda ejecutarse y causar daños.
  • Monitorizar continuamente el entorno en busca de actividad maliciosa e IOA. La detección y respuesta para endpoints (EDR) de CrowdStrike® Falcon Insight™ monitoriza continuamente los endpoints, capturando eventos sin procesar para la detección automática de actividad maliciosa no identificada por los métodos de prevención por sí solos. Insight también proporciona visibilidad para capacidades proactivas y avanzadas de Threat Hunting.
  • Integrar inteligencia sobre amenazas en la estrategia de seguridad. Monitoriza sistemas en tiempo real y mantente al día con la última inteligencia sobre amenazas para detectar un ataque rápidamente, comprender cuál es la mejor respuesta y evitar que se propague.  La inteligencia sobre el adversario de CrowdStrike

    automatiza el análisis de amenazas y la investigación de incidentes para examinar todas las amenazas e implementar contramedidas de forma proactiva en cuestión de minutos.

Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.