Qué es una simulación aplicada y por qué funciona
Una simulación de ingeniería social es un ejercicio controlado que recrea un intento de fraude (por correo, llamada, redes o combinaciones) para entrenar decisiones reales: identificar señales, verificar por un canal alterno, decidir si reportar y ejecutar una respuesta segura. A diferencia de un “test” de conocimiento, una simulación mide conductas observables (qué hiciste, en qué orden, con qué evidencia) y permite mejorar procesos: tiempos de escalamiento, calidad del registro, uso de controles y coordinación entre áreas.
En este capítulo trabajarás con ejercicios progresivos y casos combinados. Cada caso incluye preguntas guía, una solución razonada y una rúbrica para evaluar desempeño.
Marco de entrenamiento: 4 decisiones en cadena
1) Identificación de señales (sin actuar todavía)
Objetivo: reconocer indicadores de riesgo y detener la acción impulsiva. Resultado esperado: una lista breve de señales observadas y una decisión explícita de “pausa”.
2) Verificación por canal alterno (confirmar identidad y solicitud)
Objetivo: validar la solicitud usando un canal independiente del que inició el contacto. Resultado esperado: evidencia de verificación (registro de llamada a número oficial, ticket interno, confirmación por directorio corporativo, etc.).
3) Decisión de reporte (a quién, qué y con qué prioridad)
Objetivo: activar el circuito correcto de reporte según el tipo de incidente. Resultado esperado: reporte con datos mínimos, adjuntos y clasificación (intento, incidente, pérdida, exposición de datos).
- Escuche el audio con la pantalla apagada.
- Obtenga un certificado al finalizar.
- ¡Más de 5000 cursos para que explores!
Descargar la aplicación
4) Respuesta (contención y acciones seguras)
Objetivo: ejecutar acciones que reduzcan impacto y preserven evidencia. Resultado esperado: acciones concretas (bloqueo, reverso, cambio de credenciales, alerta a terceros, preservación de logs) sin destruir pruebas.
Guía práctica paso a paso (plantilla operativa)
Paso 0: Preparación del ejercicio
- Define el rol: empleado, analista de soporte, finanzas, atención al cliente, community manager.
- Define el activo: cuenta bancaria, acceso a correo, panel de anuncios, base de clientes, reputación de marca.
- Define el límite: qué acciones están permitidas en la simulación (p. ej., no realizar pagos reales; usar entornos de prueba).
Paso 1: Pausa y registro inicial (30–60 segundos)
- Detén la interacción: no hagas clic, no descargues, no dictes códigos, no confirmes datos.
- Registra: fecha/hora, canal, remitente/usuario, asunto, número de teléfono, enlace visible, solicitud exacta.
- Captura evidencia rápida: captura de pantalla, encabezados del correo si aplica, URL completa, grabación permitida de la llamada según política.
Paso 2: Identifica señales y clasifica el riesgo (2–3 minutos)
- Marca señales observables: urgencia, cambio de proceso, solicitud de secreto, pago fuera de flujo, “nuevo proveedor”, presión por autoridad, enlaces acortados, discrepancias de dominio, inconsistencias de identidad.
- Clasifica:
bajo(duda menor),medio(señales claras),alto(solicitud crítica: credenciales/pago/datos sensibles).
Paso 3: Verifica por canal alterno (5–10 minutos)
- Usa un canal independiente: directorio interno, número oficial del proveedor, portal corporativo, contacto previamente validado.
- Valida dos cosas: identidad (quién es) y solicitud (si realmente pidió eso).
- No uses datos del mensaje sospechoso para verificar (teléfono, enlace o correo “de respuesta”).
Paso 4: Decide reporte y ejecuta respuesta (5–15 minutos)
- Si es intento: reporta como
intento de fraudecon evidencia. - Si hubo interacción (clic, datos, pago, instalación): reporta como
incidentey activa contención. - Ejecuta acciones seguras: bloqueo de cuenta, reverso/alerta bancaria, revocación de sesión, reseteo de credenciales, cuarentena del equipo, aviso a terceros afectados.
Paso 5: Documenta en formato estándar (3–5 minutos)
Usa un registro consistente para que el equipo pueda correlacionar eventos.
Registro de simulación/incidente (mínimo viable) 1) Canal y vector: (correo/llamada/redes) + (phishing/vishing/estafa) 2) Objetivo del atacante: (credenciales/pago/datos/acceso) 3) Señales detectadas: [lista] 4) Verificación alterna: (cómo, con quién, resultado) 5) Evidencia guardada: (capturas, headers, URL, audio, IDs) 6) Acciones ejecutadas: (bloqueos, reportes, reversos, cambios) 7) Tiempo de respuesta: (minutos) 8) Resultado: (neutralizado / escalado / pérdida evitada / pérdida ocurrida)Ejercicios progresivos (micro-simulaciones)
Ejercicio 1: Identificación de señales (sin verificación)
Escenario: recibes un mensaje que aparenta ser del área interna de TI: “Se detectó actividad anómala. Debes validar tu cuenta en 10 minutos para evitar bloqueo. Enlace: https://soporte-empresa-validacion.com”.
Preguntas guía:
- ¿Qué señales observas en el lenguaje y en el enlace?
- ¿Qué acción inmediata es la más segura?
- ¿Qué evidencia mínima guardarías antes de borrar o reportar?
Solución razonada: la urgencia (“10 minutos”), la amenaza (“evitar bloqueo”) y el dominio no oficial sugieren intento de captura de credenciales. La acción segura es pausar y registrar evidencia (captura, URL completa, remitente) y preparar verificación por canal alterno (no usar el enlace).
Ejercicio 2: Verificación por canal alterno (con presión)
Escenario: un supuesto proveedor llama: “Tu factura está vencida; si no pagas hoy, suspendemos el servicio. Te dicto una cuenta bancaria nueva porque cambiamos de banco”.
Preguntas guía:
- ¿Qué dato crítico no debes aceptar por llamada?
- ¿Cómo verificas el cambio de cuenta sin usar el número que te llamó?
- ¿Qué resultado de verificación te permite pagar con seguridad?
Solución razonada: no se debe aceptar un cambio de cuenta por voz sin validación. La verificación correcta es contactar al proveedor por un número oficial (contrato/portal/directorio) y contrastar el cambio con un documento formal y el proceso interno (p. ej., alta/modificación de beneficiario). Solo tras confirmación independiente y aprobación según política se procede.
Ejercicio 3: Decisión de reporte (intento vs incidente)
Escenario: hiciste clic en un enlace de un mensaje directo en redes que ofrecía “verificación de cuenta”, pero cerraste la página sin ingresar credenciales. No descargaste nada.
Preguntas guía:
- ¿Esto se reporta como intento o como incidente?
- ¿Qué evidencia es útil para el equipo técnico?
- ¿Qué acción preventiva inmediata harías en tu cuenta?
Solución razonada: el clic puede considerarse incidente si existe posibilidad de redirecciones, tracking o descarga automática; al menos requiere evaluación. Evidencia útil: URL, capturas, usuario que envió el DM, hora, dispositivo/navegador. Acción preventiva: revisar sesiones activas, cambiar contraseña si hubo riesgo, activar/confirmar MFA, y monitorear actividad.
Ejercicio 4: Respuesta y preservación de evidencia
Escenario: un compañero informa que recibió una llamada donde le pidieron un código de verificación; lo dictó. Minutos después, su correo se cerró sesión.
Preguntas guía:
- ¿Qué haces primero: cambiar contraseña o recuperar acceso?
- ¿Qué evidencia se debe preservar antes de “limpiar”?
- ¿Qué acciones de contención reducen el impacto?
Solución razonada: primero se debe contener: recuperar control de la cuenta por canales oficiales, revocar sesiones/tokens, restablecer credenciales y MFA, y revisar reglas de reenvío o cambios de recuperación. Evidencia: hora de la llamada, número, capturas de alertas, logs de acceso, IPs, cambios de configuración. Evitar borrar correos o registros que puedan servir para investigación.
Casos realistas combinados (con preguntas y soluciones)
Caso combinado A: Phishing + vishing para “confirmar” el acceso
Contexto: recibes un correo que aparenta ser de un servicio corporativo: “Se detectó inicio de sesión desde otra ciudad. Revisa el reporte aquí”. El enlace abre una página que solicita usuario. No ingresas nada. Dos minutos después, te llaman: “Somos soporte, vimos que abriste el reporte; para cerrar el incidente necesito el código que te llegará por SMS”.
Preguntas guía (decisiones en cadena):
- Identificación: ¿Qué señales conectan el correo y la llamada?
- Verificación alterna: ¿Qué canal independiente usarías para confirmar si existe un ticket real?
- Reporte: ¿Qué información mínima debe incluir el reporte para correlación?
- Respuesta: Si ya compartiste el código, ¿qué acciones inmediatas ejecutas?
Solución razonada: la secuencia sugiere coordinación: el atacante usa el correo para preparar el contexto y la llamada para obtener el segundo factor. La verificación debe hacerse mediante el portal oficial de TI o el número interno publicado, no el que llama. El reporte debe incluir: correo original (headers si posible), URL, hora del clic, número de la llamada, guion usado, y el momento en que llegó el SMS. Si se compartió el código: contención inmediata (revocar sesiones, reset de credenciales, revisión de MFA, bloqueo temporal), y revisión de actividad reciente y reglas de reenvío.
Caso combinado B: Estafa en redes + pago (fraude de consumo con presión)
Contexto: una cuenta en redes ofrece un producto “limitado” con descuento. Te envían fotos, “comprobantes” y piden pago por transferencia inmediata a una cuenta personal. Luego piden un segundo pago por “liberación de aduana” y amenazan con perder el envío.
Preguntas guía:
- Identificación: ¿Qué señales apuntan a un fraude de pago?
- Verificación alterna: ¿Cómo validarías la legitimidad del vendedor sin usar sus enlaces?
- Reporte: ¿A quién reportas si ya transferiste?
- Respuesta: ¿Qué evidencia aumenta la probabilidad de recuperación?
Solución razonada: señales: urgencia, pago fuera de plataforma, cuenta personal, escalamiento de cobros, amenaza de pérdida. Verificación: buscar reputación fuera del chat, revisar antigüedad y consistencia de la cuenta, validar razón social y datos fiscales si aplica, y preferir métodos con protección al comprador. Si ya hubo transferencia: contactar de inmediato al banco para intento de reverso/alerta, reportar a la plataforma social, y si corresponde, denuncia formal. Evidencia: comprobantes, conversación completa, IDs de usuario, enlaces, datos bancarios del receptor, horarios, y cualquier anuncio publicado.
Caso combinado C: Mensaje interno + “proveedor” + cambio de beneficiario
Contexto: llega un mensaje por chat corporativo desde una cuenta que parece de un gerente: “Estoy en reunión, necesito que pagues hoy a este proveedor. Te llamará para dictarte los datos”. Luego entra una llamada con instrucciones para un pago urgente y un cambio de cuenta “por auditoría”.
Preguntas guía:
- Identificación: ¿Qué parte del flujo intenta saltarse controles?
- Verificación alterna: ¿Qué verificación mínima exige el proceso antes de cambiar beneficiario?
- Reporte: ¿Qué equipos deben enterarse si la cuenta del gerente pudo estar comprometida?
- Respuesta: ¿Qué haces si el pago ya se ejecutó?
Solución razonada: el atacante busca eludir el proceso formal (orden de compra, aprobación, alta de beneficiario). La verificación mínima debe incluir confirmación por canal independiente con el gerente (llamada a número del directorio) y validación del proveedor por contacto previamente registrado, además de aprobación dual según política. Si hay sospecha de compromiso de cuenta: escalar a seguridad/IT para revisión de sesiones, MFA y actividad. Si el pago se ejecutó: activar respuesta financiera (banco, congelamiento/recuperación), preservar evidencia del chat y llamada, y notificar a control interno/finanzas para contención de pagos adicionales.
Rúbricas de evaluación (para cada simulación)
Usa estas rúbricas para calificar desempeño de forma consistente. Puedes asignar puntaje 0–2 por criterio (0 = no realizado, 1 = parcial, 2 = completo) o usar “Cumple/No cumple”.
Rúbrica 1: Señales detectadas
| Criterio | Indicador observable | Evidencia |
|---|---|---|
| Identificó urgencia/presión | Explicita la presión temporal o amenaza | Nota en registro |
| Detectó inconsistencia de identidad | Señala dominio, número, usuario o tono incongruente | Captura/headers/ID |
| Reconoció solicitud crítica | Clasifica como credenciales/pago/datos sensibles | Clasificación de riesgo |
| Conectó señales multicanal | Relaciona correo + llamada + chat | Línea de tiempo |
Rúbrica 2: Controles aplicados
| Criterio | Indicador observable | Evidencia |
|---|---|---|
| Pausa antes de actuar | No hace clic adicional / no comparte códigos | Registro de acciones |
| Verificación por canal alterno | Usa directorio/portal oficial, no datos del atacante | Ticket, registro de llamada |
| Respeta proceso de aprobación | No salta doble aprobación/alta de beneficiario | Flujo de aprobación |
| Escalamiento correcto | Informa al equipo adecuado con prioridad | Ticket/correo de reporte |
Rúbrica 3: Evidencia guardada
| Criterio | Indicador observable | Evidencia |
|---|---|---|
| Capturas completas | Incluye URL, usuario, fecha/hora visible | Imagen/archivo |
| Metadatos útiles | Headers, IDs, números, cuentas, enlaces | Adjuntos |
| Cadena de custodia básica | Archivos nombrados y almacenados en repositorio definido | Ruta/ID de almacenamiento |
| No destruye evidencia | No borra conversaciones/alertas antes de registrar | Registro de preservación |
Rúbrica 4: Acciones ejecutadas (respuesta)
| Criterio | Indicador observable | Evidencia |
|---|---|---|
| Contención técnica | Revoca sesiones, cambia credenciales, revisa reglas | Logs/capturas |
| Contención financiera | Contacta banco, solicita reverso/alerta, bloquea pagos | Número de caso |
| Comunicación interna | Notifica a responsables y evita difusión innecesaria | Ticket/mensaje |
| Seguimiento | Define próximos pasos y responsable | Plan de acciones |
Cómo ejecutar una sesión de simulación (formato de taller)
Roles
- Facilitador: presenta el caso, controla tiempos, recopila resultados.
- Participante: toma decisiones y documenta.
- Observador: evalúa con rúbrica y anota oportunidades de mejora.
Dinámica en 20–30 minutos por caso
- Min 0–3: lectura del escenario + registro inicial.
- Min 3–8: identificación de señales + clasificación de riesgo.
- Min 8–15: diseño de verificación alterna (qué harías, a quién llamarías, qué preguntarías).
- Min 15–22: decisión de reporte + respuesta (acciones concretas).
- Min 22–30: evaluación con rúbrica + retroalimentación basada en evidencia.
Plan de mejora continua (hábitos y procesos)
1) Revisión periódica de controles (operativa)
- Checklist mensual de verificación alterna: directorios actualizados, números oficiales vigentes, contactos de proveedores validados, canales de reporte accesibles.
- Pruebas trimestrales de procesos críticos: cambios de beneficiario, recuperación de cuentas, reversos bancarios, bloqueo de sesiones, revisión de reglas de reenvío.
- Validación de “puntos de fricción”: confirmar que los controles no incentivan atajos (p. ej., aprobaciones imposibles fuera de horario sin alternativa segura).
2) Retroalimentación basada en datos (no opiniones)
- Métricas mínimas: tiempo hasta pausar, tiempo hasta verificar, calidad del reporte (completo/incompleto), porcentaje de evidencia útil, tiempo hasta contención.
- Revisión de patrones: qué señales se pasan por alto, en qué canal ocurre más, qué rol es más expuesto.
- Acciones correctivas: ajustar plantillas, mejorar directorios, automatizar recolección de evidencia, clarificar umbrales de escalamiento.
3) Actualización de procedimientos (control de cambios)
- Procedimientos versionados: cada cambio debe tener fecha, responsable y motivo (p. ej., nuevo tipo de estafa detectada).
- Plantillas estandarizadas: reporte mínimo viable, registro de verificación, guion de llamada de confirmación, checklist de contención.
- Simulaciones de regresión: cuando se actualiza un procedimiento, repetir un caso similar para confirmar que el cambio reduce errores y tiempos.
4) Hábitos operativos que sostienen el desempeño
- Regla de los 60 segundos: ante solicitudes de credenciales, códigos, pagos o datos sensibles, pausar y registrar antes de responder.
- “Verifica por defecto”: cualquier cambio de cuenta, urgencia o excepción requiere canal alterno documentado.
- Evidencia primero: capturar información clave antes de cerrar, borrar o reenviar.
- Escala temprano: si hay duda razonable, reportar como intento; si hubo interacción, escalar como incidente para evaluación.
