certmundo.
es‑mx
Ethical Hacking Básico6/9

7 min de lectura

¿Cómo hacer ataques de ingeniería social que usan los hackers reales?

La ingeniería social es el arte de manipular personas para que entreguen información o acceso que no deberían dar, y es la técnica favorita de los hackers reales porque es más barata y efectiva que cualquier exploit técnico.

El dato que destruye el mito del hacker solitario

¿Cuántos ataques exitosos crees que usan vulnerabilidades de software complejas? Probablemente imaginas a un hacker escribiendo código a las 3 de la mañana, rompiendo cifrados. La realidad es diferente.

El Reporte Verizon Data Breach 2023 encontró que el 82% de las brechas de seguridad involucran al factor humano. No bugs, no exploits de día cero. Personas. Un empleado de Bimbo que abre un correo falso, un trabajador de FEMSA que comparte su contraseña por teléfono, un contador de Liverpool que descarga un archivo adjunto malicioso.

Además, el costo promedio de una brecha causada por ingeniería social en Latinoamérica supera los $18,500,000 por incidente, según el IBM Cost of a Data Breach Report 2023. Ese número incluye pérdida de datos, tiempo de recuperación y daño reputacional.

La conclusión es incómoda pero clara: el eslabón más débil de cualquier empresa no está en sus servidores. Está en su gente.

El Marco HUMANO: cómo funciona la ingeniería social

Los hackers profesionales organizan sus ataques de ingeniería social en cinco fases. Llamaremos a este esquema el Marco HUMANO:

  • Hallazgo de objetivo (reconocimiento)
  • Ubicación de pretexto (historia creíble)
  • Mensaje de contacto (vector de ataque)
  • Acción del objetivo (el gancho)
  • Neutralizacion de sospechas (cierre del engaño)

Este marco no es teórico. Es la secuencia real que auditorías de seguridad replicamos para probar si las empresas son vulnerables. Vamos paso a paso.

Fase 1: Reconocimiento humano

Antes de enviar un solo correo, el atacante investiga. LinkedIn es la mina de oro. En diez minutos puedes saber el nombre del director de TI de una empresa mexicana, qué herramientas usa su equipo, y quién acaba de ser contratado.

Por ejemplo: buscas en LinkedIn "administrador de redes FEMSA Monterrey" y encuentras a alguien que publicó hace tres días: "Emocionado de empezar con el nuevo sistema SAP en mi empresa." Ahora sabes qué software usan. Eso es reconocimiento pasivo sin tocar ningún sistema.

Otras fuentes útiles para reconocimiento incluyen:

  • Perfiles de Facebook e Instagram corporativos (revelan empleados y eventos internos)
  • El registro público del SAT para verificar razones sociales
  • Ofertas de trabajo en OCC o LinkedIn (revelan tecnología interna: "Se requiere experiencia en Cisco ASA y Fortinet")

Fase 2 y 3: Pretexting y el vector de ataque

El pretexting es construir una identidad falsa pero creíble. No se trata de mentir sin estructura. Se trata de crear una historia que el objetivo no tenga razones para cuestionar.

Ejemplo real en auditorías mexicanas: el auditor llama por teléfono al área de soporte técnico haciéndose pasar por un empleado nuevo del área de finanzas. El guión suena así:

"Hola, soy Carlos Mendoza, acabo de entrar al área de cuentas por pagar. Mi jefa es la licenciada García. Me dijeron que tenía que instalar el acceso VPN hoy pero no me llega el correo con las instrucciones. ¿Me puedes ayudar con eso?"

Este guión funciona porque:

  1. Usa un nombre común y creíble
  2. Referencia a una persona real (el atacante investigó antes)
  3. Crea urgencia sin sonar agresivo
  4. Pone la carga de "ayudar" en el soporte

En auditorías reales en empresas mexicanas medianas, este guión funciona en más del 60% de los intentos la primera semana de operaciones de un empleado nuevo en soporte.

Phishing: el ataque masivo que sigue funcionando

El phishing es enviar correos falsos que imitan comunicaciones legítimas para robar credenciales. No es nuevo. Lleva décadas. Y sigue siendo efectivo porque evoluciona.

El phishing moderno en México imita:

  • Correos del SAT con "notificaciones de auditoría pendiente"
  • Alertas falsas de IMSS sobre "inconsistencias en tu registro"
  • Comunicados internos falsos del área de Recursos Humanos con "actualización de datos para nómina"

Un correo de phishing efectivo tiene estas características técnicas:

  1. Dominio spoofed: en lugar de sat.gob.mx, usa sat-gob.mx o sat.gob.mx.auditoria.com
  2. SSL válido: hoy es trivial obtener un certificado HTTPS para un dominio falso, así que el candado verde ya no garantiza nada
  3. Urgencia artificial: "Tu cuenta será bloqueada en 24 horas"
  4. Formulario idéntico al original: herramientas como GoPhish permiten clonar páginas reales en minutos

En una auditoría típica de $25,000 al mes para una empresa del sector retail en México, es común que entre el 20% y el 35% de los empleados hagan clic en un correo de phishing simulado en la primera campaña. Ese número baja a menos del 5% después de entrenamiento.

Spear Phishing: cuando el ataque tiene tu nombre

El spear phishing es phishing dirigido. En lugar de enviar mil correos genéricos, el atacante manda uno personalizado a una sola persona de alto valor.

Supón que el objetivo es la directora de finanzas de una empresa proveedora de Mercado Libre. El atacante encontró en LinkedIn que ella asistió la semana pasada a un evento de "Proveedores Certificados MercadoLibre" en la Ciudad de México. El correo dice:

"Estimada [nombre real], adjuntamos el resumen de los acuerdos del evento del martes. Por favor confirma tus datos bancarios para el procesamiento del bono de certificación antes del viernes."

Este correo tiene contexto real, usa su nombre, referencia un evento que ella vivió, y crea urgencia financiera. La tasa de éxito del spear phishing supera el 90% cuando el reconocimiento fue bien ejecutado.

Vishing: ingeniería social por teléfono

El vishing (voice phishing) usa llamadas telefónicas. Es menos común pero más efectivo porque la voz crea confianza inmediata.

En México, los ataques de vishing más comunes imitan:

  • Funcionarios del SAT notificando "una discrepancia fiscal"
  • Personal de IMSS solicitando "verificación de datos del patrón"
  • Soporte técnico interno de la empresa

La clave psicológica del vishing es la autoridad percibida. Si alguien llama diciendo que es del departamento jurídico del SAT, la mayoría de las personas entra en modo defensivo-obediente. Eso es exactamente lo que el atacante busca.

Cómo se defienden las empresas mexicanas

Conocer el ataque sirve para construir la defensa. Las empresas que reducen su superficie de ataque humana hacen estas cuatro cosas:

1. Campañas de phishing simulado: contratan auditores para enviar phishing falso y medir quién hace clic. Los empleados que fallan reciben entrenamiento inmediato, no castigo.

2. Protocolo de verificación de identidad: cualquier solicitud de acceso por teléfono o correo debe verificarse por un segundo canal. Si alguien llama pidiendo credenciales, la respuesta estándar es: "Te llamo yo al número oficial de tu área."

3. Política de "no urgencias por correo": las solicitudes urgentes de dinero, contraseñas o datos personales nunca se procesan por correo sin verificación presencial o videollamada.

4. Entrenamiento con ejemplos locales: mostrarle a los empleados correos falsos del SAT, del IMSS y de bancos mexicanos es más efectivo que ejemplos genéricos en inglés.

Empresas como Liverpool y FEMSA invierten en programas anuales de concientización que incluyen simulacros mensuales. El costo de ese programa es una fracción mínima comparado con los $18,500,000 promedio que cuesta una brecha real.

El límite legal que no puedes ignorar

En una auditoría de seguridad autorizada, simular ingeniería social es legal y valioso. Sin autorización escrita, es fraude. El artículo 211 bis del Código Penal Federal mexicano penaliza el acceso no autorizado a sistemas, pero la obtención fraudulenta de credenciales también puede encuadrarse bajo los artículos 386 y 387 sobre fraude general.

Antes de hacer cualquier prueba de ingeniería social, necesitas:

  • Contrato firmado que autorice explícitamente estas técnicas
  • Lista de empleados que pueden ser objetivo (o confirmación de que todos pueden serlo)
  • Procedimiento de notificación post-prueba para informar resultados sin exponer a empleados individuales

Sin ese documento, no eres un auditor. Eres un criminal.

La paradoja de la seguridad humana

La ingeniería social existe porque la confianza y la urgencia son mecanismos evolutivos útiles. No son errores de diseño humano. Son funciones que los atacantes explotan.

Entender cómo funciona un ataque de phishing o pretexting no te convierte en atacante. Te convierte en la persona que puede diseñar defensas reales, entrenar equipos y reducir ese 82% que tanto daño hace a las empresas mexicanas.

Puntos clave

  • El 82% de las brechas de seguridad involucran al factor humano, no fallas técnicas. El Marco HUMANO (Hallazgo, Ubicación, Mensaje, Acción, Neutralización) describe cómo los atacantes organizan esos ataques en cinco fases sistemáticas.
  • El pretexting construye una identidad falsa con contexto creíble. Un guión bien investigado que mencione nombres reales, sistemas internos y urgencia razonable logra que más del 60% del personal de soporte entregue acceso en la primera interacción.
  • El spear phishing supera el 90% de efectividad cuando el atacante hizo reconocimiento previo en LinkedIn, redes sociales y ofertas de trabajo. Un correo personalizado con contexto real es casi indistinguible de una comunicación legítima.
  • Las defensas más efectivas contra ingeniería social son campañas de phishing simulado con entrenamiento inmediato, protocolos de verificación por segundo canal y políticas que eliminan las 'urgencias por correo'. El costo del programa es mínimo comparado con los $18,500,000 promedio de una brecha real.
  • Simular ingeniería social sin contrato firmado que lo autorice explícitamente no es hacking ético: es fraude. Los artículos 386, 387 y 211 bis del Código Penal Federal mexicano aplican independientemente de tus intenciones.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior