Ingeniería social

Ingeniería social: cómo los atacantes manipulan personas, no sistemas

Miguel

24 dic. 2025 — 1 min read

El sistema mejor protegido del mundo es vulnerable si un empleado le abre la puerta a un atacante. La ingeniería social explota la psicología humana, no las vulnerabilidades técnicas.

Técnicas más utilizadas

Pretexting: el atacante inventa un escenario creíble para obtener información. "Soy del equipo de IT, necesito tus credenciales para resolver un incidente urgente."
Vishing (phishing por voz): llamada telefónica suplantando al banco, a Hacienda o a un proveedor.
Baiting: dejar un USB "perdido" en el parking de la empresa. La curiosidad hace que alguien lo conecte.
Quid pro quo: ofrecer algo a cambio de información (soporte técnico gratuito, descuentos).
Tailgating: acceso físico siguiendo a un empleado por una puerta de seguridad.

¿Por qué funciona?

Los atacantes explotan sesgos cognitivos bien documentados: urgencia, autoridad, escasez, reciprocidad. "Tu cuenta será bloqueada en 10 minutos" activa el piloto automático y desconecta el pensamiento crítico.

¿Cómo defenderse?

Verificación fuera de banda: si recibes una solicitud inusual por correo, llama directamente al número oficial de quien dice ser.
Política de "está bien decir no": los empleados deben sentirse seguros negando acceso o información sin justificarse.
Formación continua: no un cursillo anual, sino concienciación regular con ejemplos reales.
Procedimientos claros: cómo se gestionan las solicitudes de acceso, cómo se verifican las identidades.

Los ataques de ingeniería social dejan rastros digitales: accesos desde ubicaciones inusuales, cambios de configuración inesperados, transferencias de datos fuera de patrón. Blindara monitoriza esos indicadores para actuar cuando la formación no fue suficiente.

Seguridad en impresoras y periféricos: el activo olvidado de tu red

Pregunta a cualquier responsable de IT qué activos tiene inventariados en su red y te listará servidores, ordenadores, switches y quizás los teléfonos móviles corporativos. Rara vez mencionará las impresoras, los escáneres, las cámaras IP, los sistemas de control de acceso o los dispositivos de videoconferencia. Y sin embargo, todos

Análisis forense digital para pymes: qué hacer cuando investigas un incidente

Cuando ocurre un incidente de seguridad —un acceso no autorizado, un ransomware, una filtración de datos— la respuesta instintiva suele ser apagar los sistemas y borrarlo todo. Es exactamente lo contrario de lo que hay que hacer. El análisis forense digital es la disciplina que permite entender qué ocurrió, cómo

La regulación de ciberseguridad en México: LFPDPPP y el panorama normativo

México cuenta con uno de los marcos normativos de protección de datos más desarrollados de América Latina, pero muchas empresas —especialmente las pymes— desconocen qué obligaciones les aplican en materia de ciberseguridad. Conocer el panorama regulatorio no solo evita sanciones: es el punto de partida para construir una postura de

Ciberseguridad para clínicas y consultas médicas: protección de datos de pacientes

Una clínica dental, una consulta de psicología, un centro médico familiar: todos manejan datos que, en manos equivocadas, pueden causar daños gravísimos a sus pacientes. Los datos de salud son los más sensibles que existen —y también uno de los objetivos más cotizados en el mercado negro. Un historial médico