{"id":12182,"date":"2023-05-29T10:00:00","date_gmt":"2023-05-29T08:00:00","guid":{"rendered":"https:\/\/immune.institute\/?p=12182"},"modified":"2026-06-24T12:32:32","modified_gmt":"2026-06-24T10:32:32","slug":"ingenieria-social","status":"publish","type":"post","link":"https:\/\/immune.institute\/en\/blog\/ingenieria-social\/","title":{"rendered":"What is social engineering in cybersecurity and how to prevent it?"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>ACTUALIZADO A JUNIO 2026<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ingenier\u00eda social: qu\u00e9 es y c\u00f3mo se ha sofisticado en la era de la IA<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un ataque de ingenier\u00eda social es una t\u00e9cnica utilizada por ciberdelincuentes para obtener informaci\u00f3n confidencial o acceso a sistemas mediante la manipulaci\u00f3n psicol\u00f3gica de las personas. En lugar de forzar una puerta t\u00e9cnica, buscan convencerte de que se la abras t\u00fa mismo: que reveles contrase\u00f1as, compartas c\u00f3digos de verificaci\u00f3n, descargues archivos maliciosos o autorices operaciones que no deber\u00edas.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026 este tipo de ataques se ha vuelto especialmente peligroso porque la inteligencia artificial generativa permite crear mensajes, audios y v\u00eddeos extremadamente cre\u00edbles, lo que hace m\u00e1s dif\u00edcil distinguir entre comunicaciones leg\u00edtimas y fraudes.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 es la ingenier\u00eda social y c\u00f3mo identificarla?<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La ingenier\u00eda social agrupa un conjunto de t\u00e9cnicas orientadas a explotar sesgos y emociones humanas: confianza, miedo, curiosidad, urgencia, autoridad, entre otros. El objetivo suele ser uno de estos:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Robar credenciales (usuario, contrase\u00f1a, c\u00f3digos de doble factor).<\/li>\n\n\n\n<li>Obtener datos personales o financieros (DNI, tarjetas, IBAN, datos de clientes).<\/li>\n\n\n\n<li>Convencer a la v\u00edctima para que ejecute una acci\u00f3n (abrir un adjunto, instalar un programa, autorizar una transferencia).<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Algunas se\u00f1ales que deber\u00edan activar tus alarmas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mensajes que generan urgencia (\u201csi no respondes ahora perder\u00e1s el acceso\u201d, \u201c\u00faltimo aviso antes de bloquear tu cuenta\u201d).\u00a0<\/li>\n\n\n\n<li>Peticiones de datos sensibles a trav\u00e9s de canales no habituales (correo, mensajer\u00eda, llamadas inesperadas).<\/li>\n\n\n\n<li>Cambios sutiles en direcciones de correo, dominios o URLs que imitan a empresas leg\u00edtimas.\u00a0<\/li>\n\n\n\n<li>Tonos inusualmente insistentes o emocionales, que buscan que act\u00faes sin pensar.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La mejor defensa empieza por reconocer estas se\u00f1ales y tomarse unos segundos para analizar los mensajes antes de actuar.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Principales t\u00e9cnicas \u201ccl\u00e1sicas\u201d de ingenier\u00eda social<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Aunque las herramientas evolucionan, muchas t\u00e9cnicas de base siguen siendo las mismas que ya describ\u00edamos en el art\u00edculo original:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pretexting<\/strong>: el atacante inventa una historia cre\u00edble (pretexto) y se hace pasar por alguien de confianza (empleado de soporte, proveedor, compa\u00f1ero, responsable de RRHH) para obtener informaci\u00f3n o acceso.\u00a0<\/li>\n\n\n\n<li><strong>Phishing<\/strong>: correos electr\u00f3nicos que parecen leg\u00edtimos pero que dirigen a webs fraudulentas o incluyen enlaces\/adjuntos maliciosos con el objetivo de robar credenciales o infectar equipos.\u00a0<\/li>\n\n\n\n<li><strong>Spear phishing<\/strong>: variante m\u00e1s dirigida del phishing, en la que el atacante investiga previamente a la v\u00edctima (por ejemplo, a trav\u00e9s de redes sociales) para personalizar el mensaje y aumentar la probabilidad de \u00e9xito.\u00a0<\/li>\n\n\n\n<li><strong>Baiting<\/strong>: uso de un \u201ccebo\u201d atractivo (por ejemplo, un USB etiquetado como \u201cn\u00f3minas 2026\u201d o archivos supuestamente interesantes) para que la v\u00edctima lo conecte o abra y se infecte.\u00a0<\/li>\n\n\n\n<li><strong>Vishing<\/strong>: llamadas telef\u00f3nicas en las que el atacante se hace pasar por soporte t\u00e9cnico, banco u otra entidad para convencer a la v\u00edctima de que revele datos o realice acciones (como instalar software de control remoto).\u00a0<\/li>\n\n\n\n<li><strong>Dumpster diving<\/strong>: b\u00fasqueda de informaci\u00f3n sensible en papel (contrase\u00f1as apuntadas, listados de clientes, documentos descartados) en papeleras o contenedores mal gestionados.\u00a0<\/li>\n\n\n\n<li><strong>Shoulder surfing<\/strong>: observar por encima del hombro o desde cierta distancia c\u00f3mo alguien teclea una contrase\u00f1a o desbloquea un dispositivo.\u00a0<\/li>\n\n\n\n<li><strong>Reverse social engineering<\/strong>: el atacante provoca un problema (real o percibido) y luego se presenta como la persona que puede solucionarlo, gan\u00e1ndose as\u00ed la confianza de la v\u00edctima.\u00a0<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>La nueva generaci\u00f3n de ingenier\u00eda social potenciada por IA<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Desde 2023 hemos visto un salto cualitativo: los atacantes han empezado a utilizar modelos de IA generativa y \u201cdark LLMs\u201d entrenados espec\u00edficamente para apoyar campa\u00f1as de fraude y cibercrimen. Esto est\u00e1 dando lugar a nuevas variantes o a versiones mucho m\u00e1s cre\u00edbles de t\u00e9cnicas ya conocidas:&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Phishing hiperpersonalizado<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Los modelos de IA pueden analizar grandes vol\u00famenes de datos p\u00fablicos (LinkedIn, redes sociales, webs corporativas, noticias) para generar correos y mensajes perfectamente adaptados a cada persona.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En lugar de un correo gen\u00e9rico de \u201ctu banco\u201d, recibes uno que menciona tu nombre, tu empresa, un proyecto en el que trabajas o una relaci\u00f3n comercial real, lo que reduce enormemente las se\u00f1ales de alerta.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u201cVishing\u201d con voz clonada<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hoy es posible clonar la voz de una persona con pocos segundos de audio. Los atacantes ya utilizan esta capacidad para:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Llamar a empleados haci\u00e9ndose pasar por directivos, solicitando \u201ccon urgencia\u201d autorizaciones de pago o acceso a sistemas.<\/li>\n\n\n\n<li>Suplantar a familiares o personas cercanas para pedir ayuda econ\u00f3mica o c\u00f3digos de verificaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Este tipo de ataques puede ser especialmente eficaz cuando se mezcla con datos reales extra\u00eddos de filtraciones o redes sociales.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Deepfakes de v\u00eddeo y spear phishing a directivos<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Los deepfakes de v\u00eddeo permiten crear o modificar v\u00eddeos para que parezcan emitidos por personas reales, como un CEO, un responsable de \u00e1rea o un partner de confianza.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Imagina recibir un v\u00eddeo interno aparentemente del director financiero explicando un cambio urgente en un procedimiento de pago, seguido de un correo con instrucciones \u201cprovisionales\u201d. El nivel de credibilidad que a\u00f1ade el v\u00eddeo hace mucho m\u00e1s probable que alguien act\u00fae sin verificar.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u201cDeepfakes\u2011as\u2011a\u2011Service\u201d e IA ag\u00e9ntica<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ya hay servicios que ofrecen la generaci\u00f3n de voces y v\u00eddeos falsos, as\u00ed como modelos capaces de ejecutar de forma casi aut\u00f3noma cadenas de acciones maliciosas (IA ag\u00e9ntica). Esto permite a los atacantes:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Lanzar campa\u00f1as masivas de estafa con IA con muy poco esfuerzo.<\/li>\n\n\n\n<li>Ajustar el mensaje en tiempo real en funci\u00f3n de las respuestas de la v\u00edctima.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo evitar caer en la ingenier\u00eda social en 2026<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La tecnolog\u00eda puede ayudar, pero el primer cortafuegos sigue siendo tu comportamiento. Las recomendaciones de organismos como INCIBE se pueden resumir en varios principios:&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Pausa cr\u00edtica<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Desconf\u00eda de cualquier mensaje que te pida actuar \u201cya\u201d o que juegue con el miedo o la recompensa inmediata.<\/li>\n\n\n\n<li>T\u00f3mate siempre unos segundos para revisar con calma remitente, texto y contexto antes de hacer clic o responder.\u00a0<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. Verificaci\u00f3n por canal alternativo<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si recibes una petici\u00f3n inusual (datos, accesos, transferencias) supuestamente de un compa\u00f1ero, banco o proveedor, <strong>verif\u00edcala por otro canal<\/strong>: llama t\u00fa al n\u00famero oficial, env\u00eda un mensaje a trav\u00e9s de la app corporativa, etc.\u00a0<\/li>\n\n\n\n<li>Nunca uses los datos de contacto que vienen en el mismo mensaje sospechoso para verificarlo.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Protecci\u00f3n de credenciales<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Utiliza contrase\u00f1as robustas y \u00fanicas para cada servicio, apoy\u00e1ndote en un gestor de contrase\u00f1as.\u00a0<\/li>\n\n\n\n<li>Activa la <strong>autenticaci\u00f3n multifactor (MFA)<\/strong> siempre que sea posible, especialmente en correo, banca y servicios corporativos.\u00a0<\/li>\n\n\n\n<li>No compartas c\u00f3digos de un solo uso ni de aplicaciones de autenticaci\u00f3n con nadie; ninguna organizaci\u00f3n leg\u00edtima te los pedir\u00e1 por tel\u00e9fono, correo o mensajer\u00eda.\u00a0<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Higiene digital y m\u00ednima exposici\u00f3n<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Revisa la informaci\u00f3n p\u00fablica que compartes en redes sociales y webs: cuanto m\u00e1s sepan los atacantes de ti, m\u00e1s f\u00e1cil ser\u00e1 que creen pretextos cre\u00edbles.\u00a0<\/li>\n\n\n\n<li>Ten especial cuidado con publicaciones que revelen organigramas, responsabilidades financieras o detalles internos de la empresa.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Formaci\u00f3n y simulacros<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La formaci\u00f3n continua en ciberseguridad para empleados y ciudadanos sigue siendo una de las medidas m\u00e1s eficaces para reducir el \u00e9xito de la ingenier\u00eda social.\u00a0<\/li>\n\n\n\n<li>Muchas organizaciones complementan la formaci\u00f3n con <strong>campa\u00f1as de phishing simulado<\/strong>, que ayudan a entrenar la detecci\u00f3n de correos sospechosos sin riesgo real.\u00a0<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfC\u00f3mo se puede defender una empresa?<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">En entornos corporativos, la ingenier\u00eda social debe abordarse como un riesgo de negocio, no solo como un problema \u201cde usuarios despistados\u201d. Algunas medidas clave:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pol\u00edticas claras y conocidas<\/strong>: establecer procedimientos firmes para aprobaciones, pagos, cambios de cuenta bancaria, acceso a sistemas, etc., que establezcan qu\u00e9 nunca se har\u00e1 por tel\u00e9fono o correo.<\/li>\n\n\n\n<li><strong>Canales oficiales de comunicaci\u00f3n<\/strong>: definir c\u00f3mo se transmitir\u00e1n instrucciones cr\u00edticas (por ejemplo, a trav\u00e9s de herramientas corporativas autenticadas) y comunicarlo bien a todo el personal.<\/li>\n\n\n\n<li><strong>Segregaci\u00f3n de funciones<\/strong>: evitar que una sola persona pueda iniciar y aprobar operaciones de alto impacto, reduciendo la probabilidad de que un \u00fanico empleado enga\u00f1ado cause un incidente grave.<\/li>\n\n\n\n<li><strong>Monitorizaci\u00f3n y respuesta<\/strong>: combinar formaci\u00f3n con tecnolog\u00edas como EDR\/XDR, filtros antiphishing y sistemas de detecci\u00f3n de anomal\u00edas para identificar comportamientos sospechosos.\u00a0<\/li>\n\n\n\n<li><strong>Integraci\u00f3n con marcos como NIS2 y DORA<\/strong>: en sectores regulados, alinear las pol\u00edticas de concienciaci\u00f3n y gesti\u00f3n de incidentes de ingenier\u00eda social con los requisitos de resiliencia operativa y reporte de incidentes marcados por estas normas.\u00a0<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Specialise in the field of cybersecurity with IMMUNE<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La evoluci\u00f3n de la ingenier\u00eda social en la era de la IA est\u00e1 generando una demanda creciente de profesionales capaces de entender c\u00f3mo piensan los atacantes y dise\u00f1ar defensas eficaces.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En IMMUNE Technology Institute trabajamos estos temas de manera pr\u00e1ctica en nuestros programas de ciberseguridad, como el <a href=\"https:\/\/immune.institute\/en\/programas\/master-online-de-ciberseguridad\/\">Master's Degree in Cybersecurity Online<\/a>, donde se abordan:\u00a0<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>T\u00e9cnicas de ingenier\u00eda social cl\u00e1sicas y avanzadas.<\/li>\n\n\n\n<li>Dise\u00f1o de campa\u00f1as de concienciaci\u00f3n y simulacros de phishing.<\/li>\n\n\n\n<li>Respuesta a incidentes y an\u00e1lisis forense de ataques basados en ingenier\u00eda social.<\/li>\n\n\n\n<li>Integraci\u00f3n de estas pr\u00e1cticas en marcos de cumplimiento y resiliencia operativa.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Si quieres dar el salto y pasar de ser un usuario m\u00e1s consciente a un profesional capaz de proteger organizaciones frente a este tipo de amenazas, formarte en ciberseguridad con un enfoque 100% pr\u00e1ctico es un paso natural.&nbsp;<\/p>","protected":false},"excerpt":{"rendered":"<p>ACTUALIZADO A JUNIO 2026 Ingenier\u00eda social: qu\u00e9 es y c\u00f3mo se ha sofisticado en la era de la IA Un ataque de ingenier\u00eda social es una t\u00e9cnica utilizada por ciberdelincuentes para obtener informaci\u00f3n confidencial o acceso a sistemas mediante la manipulaci\u00f3n psicol\u00f3gica de las personas. En lugar de forzar una puerta t\u00e9cnica, buscan convencerte de [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":12135,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"ai_generated_summary":"","footnotes":""},"categories":[1],"tags":[74,83,84],"class_list":["post-12182","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-ciberseguridad","tag-seguridad-cibernetica","tag-seguridad-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/posts\/12182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/comments?post=12182"}],"version-history":[{"count":0,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/posts\/12182\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/media\/12135"}],"wp:attachment":[{"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/media?parent=12182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/categories?post=12182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/immune.institute\/en\/wp-json\/wp\/v2\/tags?post=12182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}