La directora de finanzas recibe un mensaje de voz de su CEO pidiéndole que autorice una transferencia urgente antes del cierre del día. La voz es idéntica. El número coincide con el que tiene guardado. La urgencia es real. Transfiere.
Tres horas después descubre que el CEO nunca llamó.
Ese escenario ya ocurrió en múltiples organizaciones. No es un experimento de laboratorio ni una proyección futura. Es el estado actual de la ingeniería social.
Por qué la capacitación tradicional ya no alcanza
Los programas de concienciación en ciberseguridad llevan años enseñando lo mismo: cuidado con los correos de remitentes desconocidos, no hagas clic en enlaces sospechosos, verifica antes de abrir adjuntos. Esas lecciones siguen siendo válidas. El problema es que los atacantes las conocen tan bien como los empleados capacitados, y simplemente dejaron de usar esos vectores como primera línea.
El phishing por correo sigue existiendo, pero los ataques sofisticados contra empleados con acceso privilegiado ya no dependen de él. Usan canales que los filtros no monitorean, contextos que generan confianza natural y presión psicológica que el entrenamiento no simula.
Las tácticas que están funcionando hoy
La primera es el vishing con voz sintética. Con menos de un minuto de audio público —una entrevista, un podcast, un video corporativo— es posible clonar la voz de un ejecutivo con suficiente fidelidad para engañar a alguien que lo conoce. El ataque llega por teléfono, no por correo. No hay enlace que revisar. No hay remitente que verificar. Solo una voz familiar con una solicitud urgente.
La segunda es la manipulación de procesos de soporte. Un atacante se comunica con el área de soporte técnico haciéndose pasar por un empleado que perdió acceso a su cuenta. Aporta datos que obtuvo de LinkedIn, redes sociales o filtraciones previas —nombre completo, área, nombre del jefe directo, número de empleado—. El agente de soporte, siguiendo su proceso habitual de ayudar, restablece el acceso. El atacante nunca tuvo que vulnerar ningún sistema técnico.
La tercera es el pretexting de largo plazo. En lugar de un ataque puntual, el atacante construye una relación durante semanas. Se presenta como proveedor, consultor externo o nuevo colega. Genera confianza gradual. Cuando hace la solicitud que realmente le importa —acceso a un sistema, información interna, una transferencia— ya no parece un ataque. Parece una petición razonable de alguien conocido.
La cuarta es el abuso de canales internos comprometidos. Si un atacante obtiene acceso a la cuenta de correo o mensajería de un empleado real, puede usarla para solicitar información o acciones a sus colegas. El remitente es legítimo. El historial de conversación existe. La confianza está establecida. Ningún entrenamiento de "verifica el remitente" ayuda aquí porque el remitente es genuino.
¿Qué hacer al respecto?
El primer cambio es estructural: los controles no pueden depender solo del criterio del empleado en el momento del ataque. Un proceso que requiere verificación por un segundo canal para transferencias o cambios de acceso no elimina la posibilidad de engaño, pero sí obliga al atacante a comprometer dos canales simultáneamente. Eso eleva significativamente el costo del ataque.
El segundo cambio es actualizar los escenarios de entrenamiento. Si los ejercicios de phishing simulado siempre usan correo electrónico con señales clásicas, se está entrenando para el adversario de hace cinco años. Los simulacros deben incluir llamadas telefónicas, mensajes por canales de mensajería interna y solicitudes que lleguen de fuentes aparentemente legítimas.
El tercer cambio es crear una cultura donde verificar no sea ofensivo. Uno de los mecanismos de defensa más efectivos contra la ingeniería social es que el empleado pueda decir "voy a confirmar esto por otro canal antes de proceder" sin sentir que está cuestionando a su jefe o incomodando a un colega. Si esa cultura no existe, el atacante que genera urgencia y presión siempre va a ganar.
¿Cuándo fue la última vez que tu programa de concienciación simuló un ataque que no llegó por correo electrónico?
Acciones inmediatas
- Establece un protocolo de verificación por segundo canal para solicitudes de transferencia o cambios de acceso. Cualquier solicitud de estas características recibida por correo, teléfono o mensajería debe confirmarse por un canal distinto al que llegó. No como desconfianza hacia quien lo pide: como proceso estándar que protege a todos.
- Incluye un escenario de vishing en tu próximo ejercicio de concienciación. Diseña una llamada telefónica que simule a un ejecutivo o proveedor conocido solicitando información o una acción urgente. La tasa de cumplimiento sin verificación te dirá cuánto ha cambiado la superficie vulnerable respecto a lo que muestran tus métricas de phishing por correo.
- Revisa el proceso de recuperación de cuentas de tu área de soporte técnico. Identifica qué información solicita el agente antes de restablecer un acceso y si esa información podría obtenerse de fuentes públicas como LinkedIn. Un atacante con datos básicos del empleado puede superar la mayoría de los procesos de verificación estándar.
- Comunica explícitamente a los equipos que verificar una solicitud por otro canal es una conducta esperada, no una falta de confianza. Este mensaje debe venir de liderazgo, no solo de seguridad. Si el CISO lo dice pero el CEO se molesta cuando alguien verifica su solicitud, el mensaje no llega.
- Busca en fuentes públicas qué información existe sobre tus ejecutivos y empleados con acceso privilegiado. Revisa LinkedIn, sitio web corporativo, entrevistas y redes sociales. Lo que encuentras es exactamente lo que un atacante usaría para construir un pretexto creíble. Esa información disponible define la superficie de ingeniería social de tu organización.
Si quieres evaluar la resiliencia de tu organización frente a tácticas modernas de ingeniería social, contáctanos en https://tbsek.mx/contacto/.
