Inicio/Módulos/Módulo 03
🎭 Módulo 03 — Crítico

Ingeniería social: el arte de la manipulación

Los hackers no siempre hackean sistemas — hackean personas. Descubre cómo funciona la manipulación psicológica y cómo defenderte.

¿Qué es la ingeniería social?

La ingeniería social es el conjunto de técnicas psicológicas que usan los atacantes para manipular a las personas y que revelen información confidencial o realicen acciones que comprometan la seguridad — sin necesidad de hackear ningún sistema.

"El eslabón más débil en la ciberseguridad nunca ha sido la máquina, sino la persona que la usa."

🎯
Por qué funciona
Los ataques de ingeniería social explotan comportamientos humanos naturales: ayudar a otros, respetar la autoridad, tener miedo a las consecuencias y actuar bajo presión. No explotan fallas técnicas, explotan nuestra psicología.

Los 6 principios de influencia que usan los atacantes

Basados en los principios de influencia documentados por Robert Cialdini y aplicados al análisis de fraudes corporativos.

Urgencia
"Actúa ahora o perderás el acceso / habrá consecuencias graves." Elimina el tiempo para pensar.
👔
Autoridad
Se hace pasar por tu director, un auditor, o alguien de TI para que sientas que debes obedecer.
😨
Miedo
"Tu cuenta fue hackeada", "tienes una deuda fiscal", "hay una demanda legal contra ti".
🤝
Reciprocidad
Te ofrecen algo primero (ayuda, información, un favor) para que sientas que debes devolverlo.
👥
Prueba social
"Todos en tu empresa ya lo hicieron", "tu colega Juan ya nos dio acceso".
❤️
Simpatía
Crean rapport, son amables y empáticos para que bajes la guardia y confíes en ellos.
Ingeniería Social — El arte de la manipulación (Español Latino)

Tácticas de ingeniería social presencial

Tailgating (seguir el paso)

El atacante sigue a un empleado hacia áreas restringidas aprovechando que alguien abre la puerta. Se hace pasar por técnico, mensajero o nuevo empleado.

🚪
Regla: Nunca dejes pasar a nadie sin credencial visible
Si alguien quiere entrar a una zona restringida, amablemente pídele que use su propio acceso. No es falta de educación, es tu responsabilidad de seguridad.

Baiting (cebo)

Dejan una USB "olvidada" en el estacionamiento, el lobby o el baño con la esperanza de que alguien la conecte para ver qué contiene. Al conectarla, instala malware automáticamente.

💾
Regla absoluta
NUNCA conectes una USB, tarjeta SD o cualquier dispositivo de almacenamiento que no sea tuyo a ningún equipo de la empresa. Sin excepciones.

Tu huella digital es su arma (OSINT)

Antes de atacar, los delincuentes investigan. Usan LinkedIn, Instagram y Facebook para armar pretextos creíbles sobre ti: tu puesto, tus proyectos, tus colegas y tus rutinas.

🔎
Ejemplo real
El atacante vio en LinkedIn que trabajas en finanzas y te llama como "el nuevo auditor externo" — ya sabe tu nombre, tu empresa y tu área. Parece legítimo porque usa información pública tuya.

Consejos para reducir tu exposición

  • Limita lo que publicas sobre tu puesto, proyectos activos y estructura interna de la empresa.
  • Desconfía de solicitudes de contacto de perfiles recién creados o con poca actividad.
  • Nunca valides información interna a personas desconocidas, aunque "ya la sepan a medias" — esa información parcial puede ser el gancho para que tú confirmes el resto.

🧠 Autoevaluación — Módulo 03

3 preguntas
Pregunta 1 de 3

¿Cuál es el principal objetivo psicológico de crear urgencia en un ataque de ingeniería social?

Pregunta 2 de 3

Encuentras una USB con la etiqueta "Nóminas Q4 - Confidencial" en el estacionamiento de la empresa. ¿Qué haces?

Pregunta 3 de 3

Un hombre con uniforme de técnico carga equipos y te pide que le abras la puerta del centro de datos porque tiene las manos ocupadas. ¿Qué haces?

Puntaje:
📣
¿Detectaste algo sospechoso? Repórtalo
Avisa de inmediato a tu coordinador o al área de TI. Reportar a tiempo nunca te mete en problemas: contener un incidente temprano vale más que cualquier error.
Anterior: Vishing Siguiente: Contraseñas