Tema 9

9. Ingeniería social, phishing y fraude digital

Muchos ataques exitosos no comienzan explotando una falla técnica, sino manipulando a una persona. Por eso entender el engaño es parte central de la ciberseguridad.

Objetivo Reconocer maniobras de engaño
Enfoque Psicología y patrones
Resultado Reducir la probabilidad de caer

9.1 Introducción

La ingeniería social es el conjunto de técnicas que buscan manipular a una persona para que revele información, entregue acceso, ejecute una acción o tome una decisión favorable al atacante. En lugar de atacar primero a la tecnología, se ataca a la confianza, la rutina, la urgencia o el descuido.

Dentro de estas técnicas, el phishing es una de las formas más frecuentes y el fraude digital una de las consecuencias más dañinas.

9.2 ¿Por qué funciona la ingeniería social?

Funciona porque explota comportamientos humanos normales: querer ayudar, obedecer una autoridad, reaccionar rápido ante una urgencia, confiar en una marca conocida o evitar un problema aparente.

Algunas palancas psicológicas comunes son:

  • Urgencia: “tu cuenta será bloqueada ahora”.
  • Autoridad: “te contacta soporte técnico o la gerencia”.
  • Miedo: “detectamos actividad sospechosa”.
  • Oportunidad: “ganaste un premio o tenés un reintegro”.
  • Rutina: imitar procesos que parecen normales.
La ingeniería social no se basa en que la víctima “no sabe”. Se basa en que el mensaje está diseñado para provocar una reacción rápida y confiada.

9.3 ¿Qué es el phishing?

El phishing es una técnica de engaño que suplanta a una entidad confiable para robar datos, credenciales, códigos de autenticación, dinero o acceso. Suele utilizar correo electrónico, mensajes de texto, redes sociales, aplicaciones de mensajería o sitios web falsos.

El objetivo habitual es que la víctima haga alguna de estas cosas:

  • Ingrese usuario y contraseña en una página falsa.
  • Abra un archivo malicioso.
  • Instale software peligroso.
  • Transfiera dinero o apruebe un pago.
  • Entregue información sensible.

9.4 Formas habituales de phishing

Tipo Canal Ejemplo
Email phishing Correo electrónico Mensaje falso del banco o de una red social
Smishing SMS o mensajería “Tu paquete no pudo entregarse, hacé clic aquí”
Vishing Llamada telefónica Supuesto operador que pide códigos o datos
Spear phishing Correo o mensaje dirigido Fraude personalizado hacia una persona específica
Whaling Correo o mensaje a ejecutivos Suplantación dirigida a cargos jerárquicos

9.5 Señales frecuentes de phishing

  • Remitente extraño o con dominio apenas modificado.
  • Errores de redacción o tono poco habitual.
  • Mensajes alarmistas o demasiado urgentes.
  • Solicitudes de credenciales, códigos o datos sensibles.
  • Enlaces que apuntan a direcciones sospechosas.
  • Archivos adjuntos inesperados.

Ninguna señal por sí sola garantiza fraude, pero varias juntas deben encender alertas.

9.6 Spear phishing y ataques dirigidos

El spear phishing es una versión más precisa del phishing tradicional. En lugar de enviar mensajes masivos, el atacante prepara un engaño adaptado a una persona, área o empresa concreta. Usa nombres reales, contexto laboral, cargos, proyectos o proveedores conocidos para que el mensaje parezca legítimo.

Esto vuelve al ataque más creíble y más peligroso, especialmente cuando apunta a personas con acceso relevante.

9.7 Fraude del CEO y fraude de pagos

Una modalidad muy común en organizaciones es la suplantación de directivos o responsables financieros para inducir transferencias, pagos urgentes o cambios de cuenta bancaria. A veces se lo conoce como Business Email Compromise o fraude del CEO.

El atacante puede:

  • Imitar a un directivo por correo o mensaje.
  • Comprometer una cuenta legítima y usarla para dar instrucciones.
  • Suplantar a un proveedor y pedir el cambio de cuenta de cobro.

9.8 Ingeniería social fuera del correo

La ingeniería social también aparece en llamadas, redes sociales, chats, formularios falsos, anuncios patrocinados, publicaciones engañosas y hasta interacciones presenciales. Algunos ejemplos son:

  • Un falso soporte técnico que pide acceso remoto.
  • Un perfil falso en redes que genera confianza y luego solicita información.
  • Un mensaje de un supuesto familiar desde un número nuevo pidiendo dinero.
  • Una app falsa que simula ser una herramienta legítima.

9.9 Fraude digital

El fraude digital es el uso de engaño, suplantación o manipulación tecnológica para obtener dinero, datos o beneficios indebidos. Puede apoyarse en ingeniería social, malware, robo de credenciales o falsificación de identidad.

Algunas formas comunes de fraude digital son:

  • Robo de cuentas bancarias o billeteras virtuales.
  • Suplantación de identidad para realizar compras o pedir créditos.
  • Engaños en marketplaces o falsas ventas.
  • Estafas con links de pago o comprobantes adulterados.

9.10 Relación entre phishing y malware

El phishing no siempre busca solo robar contraseñas. Muchas campañas también intentan distribuir malware. Por ejemplo, un archivo adjunto puede instalar spyware o ransomware, o un enlace puede llevar a una descarga peligrosa.

Esto hace que un mismo ataque combine ingeniería social con compromiso técnico posterior.

9.11 Usuarios particulares: riesgos frecuentes

  • Robo de acceso a correo electrónico o redes sociales.
  • Vaciamiento de cuentas o fraude financiero.
  • Suplantación de identidad.
  • Secuestro de cuentas de mensajería.
  • Instalación de aplicaciones maliciosas.

Muchas veces el objetivo inicial es el correo, porque desde ahí el atacante puede recuperar acceso a otros servicios.

9.12 Organizaciones: impactos más graves

En empresas y organismos, la ingeniería social puede provocar:

  • Compromiso de cuentas corporativas.
  • Transferencias fraudulentas.
  • Acceso a información sensible o estratégica.
  • Entrada inicial para ransomware.
  • Daño reputacional y pérdida de confianza.

Por eso la capacitación de usuarios y los procedimientos de verificación son tan importantes como los controles técnicos.

9.13 Buenas prácticas de prevención

  • Desconfiar de mensajes urgentes o inusuales.
  • Verificar remitentes y dominios con atención.
  • No ingresar credenciales desde enlaces recibidos por mensaje.
  • Usar autenticación multifactor.
  • Confirmar por otro canal pedidos de pago o cambio de cuenta.
  • Capacitar y entrenar a usuarios de forma periódica.

9.14 Qué hacer ante una sospecha

Si un mensaje parece sospechoso, conviene no actuar de inmediato. Algunas medidas útiles son:

  • No hacer clic ni descargar archivos.
  • Verificar por un canal alternativo.
  • Reportar el mensaje al área responsable.
  • Si ya se ingresaron credenciales, cambiar la contraseña y revocar sesiones.
  • Revisar si el atacante intentó usar la cuenta comprometida.

9.15 Qué debes recordar de este tema

  • La ingeniería social explota confianza, urgencia y comportamiento humano.
  • El phishing es una de sus formas más frecuentes.
  • Los ataques dirigidos suelen ser más creíbles y peligrosos.
  • El fraude digital puede impactar en dinero, identidad y operaciones.
  • La verificación por otro canal y el MFA son defensas muy efectivas.

9.16 Conclusión

La ingeniería social demuestra que la ciberseguridad no se resuelve solo con tecnología. Los atacantes entienden que convencer a una persona puede ser más simple que vulnerar una plataforma. Por eso, desarrollar hábitos de verificación y desconfianza razonable es una parte esencial de la defensa.

En el próximo tema abordaremos seguridad básica en contraseñas y autenticación, porque muchas campañas de phishing y fraude buscan precisamente comprometer esas credenciales.

Volver al índice