Tipos de Ataques de Ingeniería Social
5 minuto(s)La ingeniería social es la base de los ataques maliciosos.
Los hackers suelen usar diferentes técnicas de ingenieria social para conseguir sus objetivos.
En este artículo conocerás todos los Tipos de Ataques de Ingeniería Social que existen, vamos con ello.
Los 15 Tipos de Ataques de Ingeniería Social
A continuación conocerás los tipos de ataques de ingenieria social que existen, con casos reales de cada uno, acontecidos en la historia:
1. Phishing
Es el tipo de ataque de ingeniería social más común. Consiste en enviar correos electrónicos falsos que aparentan ser de empresas legítimas (como bancos, servicios de streaming o tiendas) para engañar al usuario y hacer que entregue datos sensibles, como contraseñas o tarjetas de crédito. Suelen incluir enlaces a páginas web falsas que imitan perfectamente a las originales.
Caso real:
En 2013, hackers usaron un servidor de subcontratistas de Target para enviar correos falsos que derivaron al robo de tarjetas de crédito de 40 millones de clientes en EE.UU.
2. Spear Phishing
Es una versión más sofisticada del phishing. En lugar de enviar correos masivos, el atacante investiga a su víctima y le envía un mensaje personalizado que parece legítimo y confiable. Por ejemplo, puede incluir tu nombre, cargo, y una solicitud específica que encaja con tu rutina laboral. Esto hace que el engaño sea mucho más efectivo.
Caso real:
En 2016, el comité DNC fue atacado vía spear phishing ➝ filtración de emails y documentos clave en EE.UU.
3. Whaling
Este ataque está dirigido específicamente a altos ejecutivos o personas con poder de decisión dentro de una empresa. El objetivo es robar grandes sumas de dinero o información crítica. Se usan técnicas de spear phishing pero con mensajes que aparentan ser órdenes urgentes de parte del CEO o del área financiera.
Caso real:
En 2020, el hedge fund Levitas Capital en Australia perdió ~US$800 000 por un email que simulaba a su cofundador. . Y en 2016, FACC (Austria) perdió €42 millones en un BEC/whaling fraudulento.
4. Vishing
Viene de “voice phishing”. Aquí el atacante hace llamadas telefónicas fingiendo ser un representante del banco, soporte técnico o una autoridad. Con argumentos urgentes o intimidantes, intenta que la víctima entregue información personal o financiera por teléfono.
Caso real:
Entre 2012‑2016, estafadores se hicieron pasar por IRS en EE.UU. y engañaron a 50 000 personas, robando cientos de millones de dólares.
5. Smishing
Es la combinación de “SMS” + “phishing”. Los atacantes envían mensajes de texto que contienen enlaces maliciosos o solicitudes falsas, como “haz clic para recibir tu paquete” o “tu cuenta ha sido bloqueada”. Es especialmente peligroso porque mucha gente confía más en los SMS que en los correos electrónicos.
Caso real:
Finales de 2024, estafas vía SMS fingiendo pagos IRS por hasta US$1400 para robar datos personales.
6. Pretexting
Este ataque se basa en crear una historia o pretexto convincente para engañar a la víctima. Por ejemplo, el atacante puede fingir ser un técnico de soporte, un funcionario del gobierno o un compañero de trabajo, con el fin de obtener información confidencial como direcciones, accesos a sistemas o respuestas de seguridad.
Caso real:
Auditor de seguros en EE.UU. llamó haciéndose pasar por técnico TI y obtuvo contraseñas del dominio corporativo (2020).
7. Baiting
Se basa en ofrecer algo tentador a la víctima para que baje la guardia. Puede ser un dispositivo USB “olvidado” que contiene malware o enlaces a descargas gratuitas de música o películas. Cuando la víctima conecta el USB o descarga el archivo, se infecta su sistema.
Caso real:
En 2024, expositor de Airbus en evento puso USB infectados etiquetados “Airbus”, y personal los conectó.
8. Quid Pro Quo
Consiste en ofrecer algo a cambio de información. El atacante, por ejemplo, se puede hacer pasar por un técnico que ofrece “soporte gratuito” a cambio de que el usuario le proporcione sus credenciales. A diferencia del baiting, aquí hay una interacción más directa y explícita entre ambas partes.
Caso real:
Tech support scams telefónicos en 2024 persuadieron a instalar malware o proporcionar datos bancarios.
9. Tailgating
También conocido como “piggybacking”, ocurre cuando una persona sin autorización accede a un lugar restringido aprovechándose de otra persona que sí tiene acceso. Por ejemplo, alguien finge haber olvidado su tarjeta de acceso y entra justo detrás de un empleado legítimo, apelando a la cortesía.
Caso real:
En Chicago (2024), una persona con clipboard se hizo pasar por empleado y accedió a oficina segura.
10. Shoulder Surfing
Es el acto de observar directamente a una persona mientras escribe información sensible, como una contraseña o un PIN. Esto puede ocurrir en un cajero automático, en la oficina, en un café, o incluso en un aeropuerto. El atacante obtiene la información simplemente mirando sin que la víctima se dé cuenta.
Caso real:
Múltiples incidentes en oficinas fueron reportados (2020), empleados aprendieron contraseñas observando a colegas.
11. Dumpster Diving
Los atacantes revisan la basura física (contenedores, papeleras) de una empresa o domicilio en busca de documentos sensibles que no fueron destruidos correctamente. Facturas, estados de cuenta, notas adhesivas con contraseñas o información de empleados pueden convertirse en puertas de entrada para otros ataques.
Caso real:
Empresas detectaron filtraciones tras encontrar facturas, contraseñas impresas en papeles desechados (común en auditorías de seguridad).
12. Honey Trap
En este ataque se usa la seducción o una relación emocional como herramienta de manipulación. El atacante puede fingir estar interesado sentimentalmente en la víctima para ganar su confianza y obtener información, acceso físico o incluso ayuda involuntaria en acciones ilegales o dañinas.
Caso real:
“Con Queen of Hollywood” (2015‑2018): estafadora fingía ser ejecutiva/maquilladora para extorsionar aspirantes a estrellas.
13. Watering Hole Attack
Este método compromete sitios web frecuentados por las víctimas potenciales. El atacante identifica qué páginas visita regularmente un grupo objetivo (por ejemplo, empleados de una empresa), infecta ese sitio web con malware y espera que las víctimas ingresen para así comprometer sus sistemas.
Caso real:
En 2017, el ataque NotPetya se propagó vía sitios locales del gobierno ucrania infectados.
14. Deepfake Phishing
Este tipo de ataque es reciente y utiliza inteligencia artificial para generar audios o videos falsos extremadamente realistas. Por ejemplo, se puede crear un mensaje de voz falso del CEO pidiendo una transferencia urgente. Como el contenido parece auténtico, es muy difícil para la víctima notar el engaño.
Caso real:
En 2019, un CEO en Reino Unido transfirió €220 000 tras llamada deepfake de su jefe alemán.
15. Impersonation (Suplantación de identidad)
Consiste en hacerse pasar por otra persona —como un jefe, un proveedor o incluso un agente de policía— para obtener acceso físico o información. Es un ataque muy versátil y peligroso, ya que puede aplicarse en entornos digitales o presenciales, y se basa en explotar la confianza o el miedo de la víctima.
Caso real:
En 2024, estafa telefónica a viudas: se hacían pasar por policía local de Loreto, Perú, para extorsionar tras tragedia familiar.
Infografía Visual
Una imagen vale más que mil palabras, a continuación puedes ver una imagen resumida con los tipos de ataques de ingeniería social:
 |
 |
Conclusión
La ingeniería social representa una de las amenazas más peligrosas en ciberseguridad, no por vulnerar sistemas tecnológicos, sino por manipular a las personas, que suelen ser el eslabón más débil de la cadena. A través de técnicas como phishing, vishing, baiting o incluso el uso de deepfakes, los atacantes explotan la confianza, la curiosidad o el miedo de sus víctimas para obtener acceso a información confidencial o recursos valiosos.
Conocer estos tipos de ataques y cómo operan es esencial para protegerse, tanto a nivel personal como empresarial, ya que la prevención comienza con la educación y la conciencia.
Síguenos en nuestras Redes Sociales y demás canales digitales para que no te pierdas nuestros próximos contenidos.
Sobre el Autor
Juan Castro — Ingeniero de Software con más de 17 años de experiencia en desarrollo, ia, ml, devops, data science, ciberseguridad y tecnología.
Certificados oficiales:
Ver más
También en las categorías, etiquetas, búsquedas y más.
En versiones anteriores, se veian con alto disparejo.
Seguimos trabajando en mejorar la comunidad.
Seguimos trabajando las 24 horas del día para brindarte la mejor experiencia en la comunidad.
Hemos corregido el problema y ahora la web no muestra esa barra horizontal y se ve en su tamaño natural.
Seguimos trabajando las 24 horas del día, para mejorar la comunidad.
Seguimos trabajando las 24 horas y 365 días del año para mejorar tu experiencia en la comunidad.
Seguimos trabajando para brindarte le mejor experiencia en Nube Colectiva.
Social
Redes Sociales (Developers)
Redes Sociales (Digital)