Ingeniería social en la era digital: La ciberseguridad empieza por las personas

Por Víctor M Aviña Alva

Tijuana BC 11 de agosto de 2025.- ¿Alguna vez te ha llegado un correo electrónico de un banco pidiéndote que verifiques tu contraseña, o una llamada supuestamente de soporte técnico para resolver un problema en tu computadora? Estas situaciones, que a menudo suenan demasiado urgentes o tentadoras para ser verdad, son ejemplos de la ingeniería social. Contrario a lo que muchos piensan, la mayoría de los ciberataques exitosos no se logran a través de complejos códigos de programación, sino manipulando el eslabón más débil de la cadena de seguridad: las personas.

La ingeniería social es el arte del engaño psicológico en el mundo digital. Es el método que usan los ciberdelincuentes para persuadirte a revelar información confidencial, darles acceso a tus sistemas o transferirles dinero. Hoy vamos a desmitificar este tipo de ataque, para que entiendas cómo funciona, por qué es tan peligroso y, lo más importante, cómo puedes ser tu propia primera línea de defensa.

¿Qué es la ingeniería social? Cuando la tecnología no es el problema

La ingeniería social se basa en la manipulación de la confianza. Los atacantes no intentan romper tus sistemas; intentan hacer que tú mismo les des las llaves. Aprovechan las emociones humanas como la curiosidad, el miedo, la codicia o la necesidad de ser útil, para que tomes decisiones que comprometan tu seguridad.

Los métodos más comunes que usan los ingenieros sociales son:

●             Phishing (suplantación de identidad): El clásico. Recibes un correo electrónico, mensaje de texto o llamada que parece provenir de una fuente legítima (un banco, una red social, un servicio de mensajería). Te piden que hagas clic en un enlace para "verificar tu cuenta", "actualizar tu información" o "reclamar un premio". El enlace te lleva a una página falsa que se ve idéntica a la original y, una vez que ingresas tus datos, los delincuentes se apoderan de ellos.

●             Pretexting (creación de una historia): Los atacantes crean un escenario o "pretexto" para obtener información. Pueden hacerse pasar por un técnico que necesita acceso remoto a tu computadora, un empleado de recursos humanos que necesita verificar tus datos o un familiar en problemas que necesita dinero urgente. La historia está diseñada para que actúes sin pensar.

●             Baiting (el cebo): Similar al phishing, pero usa un cebo para atraerte. Puede ser un USB olvidado con una etiqueta de "Nóminas de 2024" en una oficina (para que, por curiosidad, lo conectes a tu computadora), o un anuncio en línea que promete un regalo increíble si das clic.

El factor humano: Por qué somos tan vulnerables

Nuestra naturaleza social y la confianza que solemos tener en las comunicaciones digitales nos hacen vulnerables. ¿Quién no ha abierto un correo de un remitente conocido, o no ha querido ayudar a un compañero de trabajo con un problema? Los ingenieros sociales se aprovechan de estas tendencias, aprovechando que en un mundo de prisa y multitarea, a menudo no nos detenemos a pensar antes de actuar.

Un informe de la firma de seguridad Verizon de 2023 encontró que, en un año, el 74% de todas las brechas de seguridad exitosas se debieron a ataques de ingeniería social, principalmente phishing (Fuente: Verizon, "2023 Data Breach Investigations Report"). Esto demuestra que, a pesar de las complejas protecciones tecnológicas, la mayoría de los fallos de seguridad comienzan con un error humano.

¿Cómo puedes protegerte? Tu rol en la ciberseguridad

La buena noticia es que la defensa contra la ingeniería social no requiere conocimientos técnicos avanzados, sino sentido común y cautela. La ciberseguridad, en este caso, empieza por ti:

●             Desconfía y verifica: Si recibes un correo o un mensaje inesperado que te pide información personal, desconfía. Nunca hagas clic en enlaces ni descargues archivos adjuntos de remitentes desconocidos. Si dudas, contacta directamente con la empresa o persona por un medio de comunicación diferente al que usaron (por teléfono, por ejemplo).

●             Piensa antes de actuar: Tómate un momento para analizar el mensaje. ¿Hay errores de ortografía? ¿Es demasiado urgente? ¿Te pide información que ya deberían tener? Las estafas a menudo intentan crear un sentido de urgencia para que no pienses con claridad.

●             Protege tu información personal: Sé cauteloso con lo que compartes en redes sociales y con quién lo compartes. Los ingenieros sociales usan esa información para crear pretextos más convincentes.

●             Usa autenticación de dos factores (2FA): Incluso si un atacante roba tu contraseña, la autenticación de dos factores (un código enviado a tu teléfono) puede proteger tus cuentas.

●             Informa los intentos: Si detectas un correo de phishing, no lo borres. Repórtalo a tu proveedor de correo para que puedan marcarlo como spam y proteger a otros.

Finalizando: El humano, el mejor firewall

La ingeniería social nos recuerda que la ciberseguridad no es sólo una cuestión de tecnología. Las mejores defensas son inútiles si la persona que las usa no está atenta. El firewall más robusto, el antivirus más potente y la encriptación más segura no te protegerán si tú mismo le das la clave a un atacante.

Así que, la próxima vez que te encuentres con un correo extraño o una llamada sospechosa, tómate un momento. Haz una pausa, verifica y confía en tu intuición. Tu atención y tu conciencia son las herramientas más poderosas que tienes para proteger tu vida digital. La ciberseguridad, al final del día, empieza por ti.