Ingeniería social

Actualizada el Seguridad

🧠 Ingeniería Social: Qué es y cómo protegerte

La ingeniería social es el arte de manipular a las personas para obtener información confidencial. Los delincuentes buscan principalmente contraseñas, datos bancarios u otra información sensible, especialmente cuando el objetivo es una persona concreta.

🎭 ¿Cómo nos engañan?

Los atacantes recaban información previa para parecer creíbles y se comunican por cualquier medio:
📧 correo electrónico, 📞 llamadas telefónicas, 💬 mensajes de texto, o incluso en persona.

Se aprovechan de:

  • Nuestra confianza
  • La curiosidad
  • El deseo de ayudar
  • La falta de atención
  • El miedo o la presión por urgencia

🧰 Técnicas más habituales

  • Suplantación de identidad de compañeros, superiores o proveedores
  • Uso de inteligencia artificial para crear mensajes más creíbles
  • Extorsión directa o encubierta
  • Cebo físico: memorias USB, regalos, etc.
  • Promesas de premios falsos
  • Ingeniería inversa: recuperar datos de la papelera o desde mesas de trabajo
  • Vishing (fraudes por llamada) y smishing (por SMS)

⚠️ No te dejes impresionar ni presionar.
La jerga técnica o administrativa no debe sustituir a la verificación. Que alguien mencione datos reales no implica que sea quien dice ser.

🔒 Reflexiona antes de compartir información

Considera siempre como confidencial toda información que no sea pública.
Ejemplos de fugas indirectas:

  • Respuestas automáticas por vacaciones
  • Mensajes de buzón de voz
  • Comentarios informales con desconocidos

Nunca compartas:

  • Credenciales o contraseñas
  • Procedimientos internos
  • Información no autorizada
  • Detalles organizativos sensibles

🔍 Sospecha, verifica y… verifica de nuevo

Ante cualquier solicitud dudosa:

  1. Sospecha si es una petición inusual o inesperada
  2. Verifica la identidad del interlocutor (nombre, cargo, empresa, teléfono)
  3. Consulta a un responsable o compañero antes de seguir
  4. Consulta las buenas prácticas en la intranet corporativa

🧠 Piensa antes de actuar. La prisa es una técnica del atacante para que no reflexiones.

📢 Comunica y notifica

Si sospechas de un ataque o has sido víctima de uno:

  • 🚨 Informa inmediatamente a tus superiores y compañeros
  • 📝 Notifica el incidente al Centro de Atención a Usuarios
  • 📎 Aporta todos los detalles disponibles, incluso si no tuvo éxito

🧾 Ejemplos reales de ataques

  • 💾 USB “regalada” con malware que activa el antivirus
  • 📞 Llamada de "personal del Ayuntamiento" para conseguir datos de seguridad
  • 🚶 "Visita" buscando la sala de cursos que permite el acceso a despachos vacíos
  • 📬 Correo de "soporte técnico" solicitando claves para ampliar tu cuenta
  • 📲 Llamada de un falso compañero que pide un pago urgente para "el jefe"

✅ Resumen práctico

🕵️ ¿Cómo identificar un intento de ingeniería social?

  • Solicitudes inesperadas
  • Mensajes urgentes que buscan apresurarte
  • Errores gramaticales o de estilo

🛡️ ¿Cómo prevenirlos?

  • Verifica siempre al interlocutor
  • Mantente informado sobre las nuevas técnicas
  • Protege tu información como norma general

💬 Si algo te parece raro, confía en tu instinto, no actúes impulsivamente y consulta siempre.

Publicaciones Similares

  • Compartir información

    Porroberto

    Antes de facilitar tus datos personales o laborales debes analizar quién los solicita, para qué uso y si son realmente necesarios. Recomendaciones No compartas ante falta de claridad en el servicio. Si desconoces el uso que darán a los datos o el tiempo que los tendrán vigentes no deberías facilitar estos. Consulta la política de…

  • Zap

    Porroberto

    El proxy ZAP (Zed Attack Proxy) es una herramienta de seguridad desarrollada por OWASP (Open Web Application Security Project) que se utiliza para realizar pruebas de penetración en aplicaciones web. Funciona como un proxy de interceptación que permite a los usuarios analizar y manipular el tráfico HTTP/HTTPS entre el navegador y la aplicación web, lo…

  • Herramientas de seguridad

    Porroberto

    Herramientas de proxy BurpSuite Pro OWASP ZAP HackBar TamperData Herramientas de escaneo de servicios Nmap Masscan Herramientas de fuerza bruta Hydra Medusa Patator Análisis de metadatos FOCA Metagoofil Exiftool RastLeak Fuzzing directorios Dirb/dirbuster Dirsearch Cansina gobuster Wfuzz Dirhunt ffuf Análisis SSL/TLS Testssl SSLScan Enumeración subdominios Aquatone Sublist3r DorkGo0 reconFTW GooFuzz CTFR Análisis configuración Nikto Lynis

  • Gestión de parches y actualizaciones

    Porroberto

    La gestión de parches y actualizaciones es una parte crítica de cualquier estrategia de ciberseguridad. En un mundo digital en constante evolución, mantener los sistemas y software actualizados es esencial para protegerse contra vulnerabilidades y amenazas potenciales. Aquí están algunas buenas prácticas que pueden ayudar a garantizar una gestión efectiva de parches y actualizaciones: Implementar…

  • Phising

    Porroberto

    El fraude mediante correo electrónico, o phising es un proceso fraudulento de ingeniería social cuyo objetivo es obtener información sensible como nombres de usuario, claves o datos de cuentas o tarjetas de crédito, a través de una comunicación digital, suplantando a una entidad de confianza, como un banco o una entidad gubernamental.

  • Auditoría de seguridad en sistemas y aplicaciones

    Porroberto

    Una auditoría de seguridad es una revisión sistemática y detallada de la seguridad de los sistemas y aplicaciones de una organización. Su objetivo principal es identificar vulnerabilidades y asegurar que los sistemas cumplen con las políticas y estándares de seguridad establecidos. La importancia de realizar auditorías de seguridad radica en la protección de la información…