Todos los cursos > Informática ( TI ) > Seguridad de la Información ::

Ingeniería social en fraudes digitales: cómo se manipula la confianza

Capítulo 1

Tiempo estimado de lectura: 9 minutos

+ Ejercicio

Qué es la ingeniería social en fraudes digitales (y qué no es)

La ingeniería social aplicada a fraudes digitales es el conjunto de técnicas de manipulación psicológica y contextual que buscan que una persona entregue información, autorice una acción (por ejemplo, un pago o una transferencia) o habilite un acceso (por ejemplo, instalar una app, compartir un código, aprobar un inicio de sesión) sin darse cuenta de que está favoreciendo a un atacante.

Su rasgo central es que el “vector” principal no es una vulnerabilidad del sistema, sino una decisión humana inducida. El atacante diseña una interacción (mensaje, llamada, chat, videollamada, formulario, perfil falso, anuncio) para que la víctima complete el último paso.

Diferencias frente a amenazas técnicas

  • Ingeniería social: el atacante necesita tu participación (hacer clic, confirmar, dictar un código, transferir, instalar, abrir un archivo, cambiar una configuración). La “explotación” ocurre en tu juicio y en tus hábitos.
  • Amenazas técnicas: el atacante intenta comprometer un sistema sin que el usuario tenga que decidir nada (por ejemplo, abuso de fallos de software, configuraciones expuestas, ataques automatizados). Aunque a veces se combinan con ingeniería social, el núcleo es técnico.

En la práctica, muchos fraudes son híbridos: una parte psicológica (convencer) y una parte operativa/técnica (capturar credenciales, tomar control de una cuenta, desviar un pago). Entender la ingeniería social te permite detectar el momento en que el atacante necesita que tú “cierres el circuito”.

Disparadores psicológicos más usados y cómo se combinan

Los disparadores (o “gatillos”) son patrones que empujan a actuar rápido, obedecer, o evitar una pérdida. Un atacante rara vez usa uno solo: los encadena para reducir tu capacidad de verificación.

1) Urgencia

Busca que actúes antes de pensar. Se presenta como un límite de tiempo o una ventana de acción mínima.

Continúa en nuestra aplicación.
  • Escuche el audio con la pantalla apagada.
  • Obtenga un certificado al finalizar.
  • ¡Más de 5000 cursos para que explores!
O continúa leyendo más abajo...
Download App

Descargar la aplicación
  • Ejemplos: “Tu cuenta se bloqueará en 10 minutos”, “Último aviso”, “Necesito que lo resuelvas ahora”.
  • Señal típica: presión para no colgar, no consultar o no verificar.

2) Autoridad

Imita o invoca figuras con poder: soporte técnico, banco, jefe, proveedor, entidad pública, auditoría, seguridad.

  • Ejemplos: “Soy del área de seguridad”, “Hablo en nombre de…”, “Esto es una verificación obligatoria”.
  • Señal típica: uso de lenguaje formal, amenazas de sanción, o credenciales aparentes (logos, firmas, números de ticket).

3) Escasez

Te hace sentir que perderás una oportunidad si no actúas ya.

  • Ejemplos: “Quedan 2 cupos”, “Últimas unidades”, “Oferta por 15 minutos”.
  • Señal típica: el valor percibido sube por el “poco tiempo” o “poca disponibilidad”.

4) Reciprocidad

Primero te “dan” algo (ayuda, beneficio, regalo, solución) para que sientas que debes corresponder.

  • Ejemplos: “Te reembolsamos un cargo”, “Te activé un descuento”, “Te soluciono el problema si me confirmas…”.
  • Señal típica: la ayuda viene con una condición inmediata: “solo necesito que…”.

5) Miedo

Activa la evitación de pérdidas: bloqueo, multa, fraude, exposición, pérdida de acceso, consecuencias legales.

  • Ejemplos: “Detectamos actividad sospechosa”, “Tu cuenta fue comprometida”, “Hay un cargo no reconocido”.
  • Señal típica: amenaza difusa + solución rápida propuesta por el mismo interlocutor.

6) Curiosidad

Te empuja a abrir, ver o descargar “solo para saber”.

  • Ejemplos: “Mira este documento”, “Eres tú en este video”, “Revisa el detalle adjunto”.
  • Señal típica: información incompleta que requiere un clic para “completar” la historia.

Combinaciones frecuentes (plantillas mentales del fraude)

CombinaciónCómo se sienteQué busca que hagas
Autoridad + Urgencia“No puedo cuestionar, debo actuar ya”Compartir códigos, aprobar accesos, instalar herramientas
Miedo + Urgencia“Si no hago esto ahora, pierdo todo”Transferir, “verificar” datos, cambiar credenciales en un enlace
Escasez + Curiosidad“No quiero perderme esto”Entrar a páginas, registrarse, pagar rápido
Reciprocidad + Autoridad“Me están ayudando, debo colaborar”Entregar información personal o corporativa
Miedo + Autoridad + Urgencia“Es serio y oficial, no hay tiempo”Acciones irreversibles: transferencias, cambios de cuenta destino, aprobación de MFA

Cuantos más disparadores se apilan, más probable es que el atacante esté intentando reducir tus verificaciones y llevarte a un “sí” automático.

Mapa de decisiones del atacante (de la selección al cierre)

Este mapa describe el flujo típico de un atacante cuando diseña un fraude basado en ingeniería social. No es lineal al 100%: puede iterar si encuentra resistencia.

1) Selección del objetivo

El atacante elige a quién atacar según probabilidad de éxito y valor.

  • Valor: acceso a dinero, credenciales, datos, permisos, capacidad de aprobar pagos, acceso a sistemas.
  • Exposición: personas que publican mucho, roles visibles, atención al cliente, finanzas, RR. HH., soporte, ventas.
  • Momento: cierres de mes, campañas, cambios de proveedor, temporadas de alta demanda, viajes, feriados.

2) Recolección de contexto

Busca información para que el contacto parezca legítimo y personalizado.

  • Datos de identidad: nombre, cargo, empresa, equipo, jefatura, proveedores habituales.
  • Rutinas: horarios, eventos, lanzamientos, vacaciones, urgencias reales.
  • Lenguaje: tono interno, firmas, formatos de correo, plantillas de tickets.
  • Canales: qué apps se usan (correo, mensajería, videollamadas), cómo se aprueban pagos.

Regla del atacante: a mayor contexto, menor sospecha y menos fricción para pedir “un último paso”.

3) Acercamiento (primer contacto)

El atacante decide canal y pretexto (la historia que justifica el pedido).

  • Canales comunes: correo, SMS, mensajería, llamada, redes sociales, formularios, anuncios.
  • Pretextos típicos: verificación de seguridad, actualización de cuenta, pago pendiente, reembolso, entrega, soporte técnico, auditoría, cambio de cuenta bancaria de proveedor.

Objetivo del acercamiento: lograr conversación o clic y preparar el terreno para el pedido crítico.

4) Explotación (inducción de la acción insegura)

Aquí se ejecuta la manipulación: se activan disparadores y se reduce la verificación. El atacante busca que la víctima realice una acción concreta.

  • Acciones objetivo: compartir credenciales, dictar códigos de verificación, aprobar una solicitud de inicio de sesión, instalar software, abrir un archivo, cambiar un dato de pago, transferir dinero, comprar tarjetas regalo, revelar información interna.
  • Tácticas de control: mantenerte en la llamada, pedir que no involucres a nadie, dar instrucciones paso a paso, crear confusión con términos técnicos, usar “procedimientos” falsos.

5) Cierre (obtención de datos, dinero o acceso)

Cuando obtiene lo que busca, el atacante intenta consolidar la ganancia y reducir la posibilidad de reversión.

  • Consolidación: cambiar correos de recuperación, agregar dispositivos, crear reglas de reenvío, mover fondos, pedir “una segunda verificación”.
  • Encubrimiento: borrar mensajes, pedir discreción, desviar la conversación, cerrar el canal.
  • Escalada: si el acceso lo permite, buscar más cuentas, más permisos o nuevos objetivos (por ejemplo, contactos de la víctima).

Guía práctica paso a paso: cómo romper el guion del atacante

La defensa más efectiva contra ingeniería social es introducir fricción deliberada: pausar, verificar por un canal alternativo y validar el pedido con criterios objetivos.

Paso 1: Detecta el “momento de presión”

  • Identifica si hay urgencia, miedo o autoridad empujándote a actuar.
  • Si sientes prisa o amenaza, asume que estás en el punto de mayor riesgo.

Paso 2: Nombra la acción que te piden (en una frase)

Ejemplos: “Me piden que comparta un código”, “Me piden que cambie la cuenta destino”, “Me piden que instale una app”, “Me piden que inicie sesión desde un enlace”. Ponerlo en palabras ayuda a evaluar el impacto.

Paso 3: Clasifica el pedido por nivel de irreversibilidad

  • Alta: transferencias, cambio de CBU/IBAN, aprobación de accesos, compartir códigos, instalar software, entregar documentos sensibles.
  • Media: confirmar datos parciales, responder preguntas internas, abrir un archivo.
  • Baja: pedir que te envíen la solicitud por canales oficiales y revisarla luego.

Si es alta, la verificación debe ser más estricta y por canal alternativo.

Paso 4: Verifica identidad y legitimidad por un canal independiente

  • No uses el número/enlace que te llegó en el mensaje.
  • Busca el contacto en una fuente confiable (sitio oficial, directorio interno, contrato, app oficial).
  • Si es un “jefe/proveedor”: confirma con una segunda persona o con un procedimiento interno.

Paso 5: Exige trazabilidad y contexto verificable

  • Pide un número de ticket real y verifica en el sistema oficial.
  • Pide que la solicitud quede registrada (correo corporativo, portal, orden de compra).
  • Si no pueden aportar evidencia verificable, detén la acción.

Paso 6: Reduce superficie: no compartas “secretos” ni ejecutes instrucciones no solicitadas

  • No compartas códigos de verificación, contraseñas ni capturas de pantalla de autenticación.
  • No instales herramientas “para que te ayuden” si no provienen del canal oficial.
  • No abras adjuntos inesperados; solicita el documento por el repositorio corporativo o plataforma oficial.

Paso 7: Documenta y escala si hay señales de manipulación

  • Guarda el mensaje, número, correo, URL, hora y lo que te pidieron.
  • Reporta por el canal interno definido (seguridad/IT/finanzas) antes de continuar.

Checklist de autodiagnóstico: ¿esta interacción busca manipularme?

Usa esta lista como semáforo. Si marcas 2 o más, pausa y verifica por canal alternativo. Si marcas 4 o más, trátalo como intento de fraude hasta demostrar lo contrario.

  • Presión de tiempo: me piden hacerlo “ya”, “en 5 minutos”, “antes de que se bloquee”.
  • Autoridad sin verificación: se presentan como banco/soporte/jefe pero evitan validación formal.
  • Canal inusual: me contactan por un medio no habitual para ese tipo de trámite.
  • Pedido de secreto: solicitan códigos, contraseñas, tokens, capturas de pantalla o “confirmaciones” sensibles.
  • Evitan el canal oficial: insisten en que no use la app/sitio oficial o que no cuelgue.
  • Historia emocional: miedo, amenaza, culpa, o promesa de beneficio inmediato.
  • Escasez/oferta irrepetible: “última oportunidad”, “solo hoy”, “cupos limitados” para forzar decisión.
  • Reciprocidad forzada: “te resolví esto, ahora hazme este favor” (especialmente si no lo pediste).
  • Inconsistencias: errores sutiles en nombres, dominios, tono, horarios, o detalles del proceso.
  • Cambio de destino: solicitan modificar datos de pago, cuentas bancarias, o destinatarios.
  • Aislamiento: piden discreción, que no consultes a nadie, o que no sigas el procedimiento.
  • Acción irreversible: el paso final es transferir, aprobar acceso, instalar software o entregar documentos.

Mini-ejercicio de aplicación (2 minutos)

Piensa en la última interacción “rara” que recibiste (mensaje, llamada o correo). Responde:

  • ¿Qué disparadores estaban presentes (urgencia, autoridad, escasez, reciprocidad, miedo, curiosidad)?
  • ¿Cuál era la acción exacta que querían que hicieras?
  • ¿Qué verificación por canal alternativo habría cortado el ataque en el paso 3 o 4 del mapa?

Ahora responde el ejercicio sobre el contenido:

¿Cuál acción es la más adecuada para “romper el guion” de un intento de ingeniería social cuando te presionan con urgencia y autoridad para realizar una acción de alto impacto?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

La defensa clave es introducir fricción deliberada: detenerse ante la presión y verificar por un canal alternativo (no el enlace o número recibido). Esto reduce la manipulación y evita ejecutar acciones irreversibles.

Siguiente capítulo

Phishing y suplantación de identidad: patrones, señales y verificación

Arrow Right Icon
Portada de libro electrónico gratuitaIngeniería Social y Fraudes Digitales: prevención, detección y respuesta
8%

Ingeniería Social y Fraudes Digitales: prevención, detección y respuesta

Nuevo curso

12 páginas
Aprender Seguridad de la Información

AprenderSeguridad de la Información

Descubre cursos en línea gratuitos sobre Seguridad de la Información. Aprende a protegerte de amenazas cibernéticas con lecciones de Ciberseguridad y más, ¡todo gratis!

 Aprender Informática ( TI )

AprenderInformática ( TI )

Accede gratis a cursos desde básica a avanzada en informática, incluyendo Excel, programación, IA, redes, seguridad y más. Certificación gratuita incluida.
Descarga la aplicación para obtener una certificación gratuita y escuchar cursos en segundo plano, incluso con la pantalla apagada.
QR Code - Baixar Cursa - Cursos Online

Descarga nuestra aplicación a través del Código QR o los enlaces a continuación:.

Disponible en Google Play Disponible en App Store