La ingeniería social explicada: el vector de ataque humano que está transformando la ciberseguridad

En 2025, un único ataque de ingeniería social contra una plataforma de intercambio de criptomonedas provocó pérdidas por valor de 1.500 millones de dólares: el mayor robo de la historia de las criptomonedas. El atacante no aprovechó ninguna vulnerabilidad de software. Se hizo pasar por un colaborador de confianza de código abierto, se ganó la confianza de un desarrollador y entró por la puerta grande. Esta es la realidad de la ingeniería social moderna. Según el Informe global de respuesta a incidentes de 2025 de Unit 42, el 36 % de todos los incidentes comenzaron con la ingeniería social como vector de acceso inicial. El Informe de investigaciones sobre filtraciones de datos de 2025 de Verizon reveló que el 60 % de las filtraciones implicaban el factor humano. Los atacantes no están irrumpiendo: se les está dejando entrar.

Esta guía aborda qué es la ingeniería social, cómo funciona, las técnicas basadas en la inteligencia artificial que están redefiniendo la amenaza en 2025 y 2026, casos prácticos reales y cómo las organizaciones pueden detectar y responder a los ataques que eluden todos los controles técnicos.

¿Qué es la ingeniería social?

La ingeniería social consiste en el uso de la manipulación psicológica para engañar a las personas y que realicen determinadas acciones o revelen información confidencial, aprovechando la confianza humana en lugar de las vulnerabilidades técnicas. En el ámbito de la ciberseguridad, el término abarca todos los ataques dirigidos a la toma de decisiones humanas, desde un phishing que se hace pasar por un ejecutivo hasta una llamada telefónica de un servicio de asistencia informática falso. El glosario del NIST lo define como «un intento de engañar a alguien para que revele información que pueda utilizarse para atacar sistemas o redes».

Lo que hace que la ingeniería social sea especialmente peligrosa es su carácter de categoría general. Abarca ataques digitales como phishing, el vishing(a través de la voz) y el smishing(a través de mensajes de texto), así como técnicas físicas como el «tailgating». También incluye ataques híbridos que combinan varios canales, un enfoque que se ha convertido en la norma en 2025 y 2026.

Las cifras son contundentes. Los datos de respuesta a incidentes de Unit 42 correspondientes a 2025 muestran que la ingeniería social fue el vector de acceso inicial en el 36 % de todos los incidentes que investigaron. El informe DBIR de Verizon de 2025 reveló que el factor humano estuvo presente en el 60 % de las filtraciones. No se trata de estadísticas obsoletas de hace una década. Reflejan el panorama actual de amenazas, en el que incluso las organizaciones con programas de seguridad consolidados siguen siendo vulnerables porque su personal constituye la superficie de ataque.

La ingeniería social se diferencia del hacking en un aspecto fundamental. El hacking aprovecha las vulnerabilidades técnicas de los sistemas y el software. La ingeniería social se aprovecha de la confianza, la autoridad, el miedo y la urgencia de las personas. En la práctica, la mayoría de los ataques modernos combinan ambos elementos. Un atacante utiliza la ingeniería social para obtener credenciales y, a continuación, recurre a la explotación técnica para desplazarse lateralmente. Por eso las organizaciones necesitan tanto la prevención como la detección, y por eso las amenazas internas están estrechamente relacionadas con la defensa contra la ingeniería social.

Por qué funciona la ingeniería social: la psicología de la manipulación

Los ataques de ingeniería social tienen éxito porque se aprovechan de principios psicológicos bien documentados. Los seis principios de influencia de Robert Cialdini ofrecen un marco útil para comprender por qué funcionan estos ataques.

• Autoridad. Los atacantes se hacen pasar por ejecutivos, administradores de TI o funcionarios públicos. Las personas obedecen a quienes perciben como figuras de autoridad sin cuestionar su legitimidad.
• Urgencia. Los mensajes crean una presión de tiempo artificial. «Tu cuenta se bloqueará en 15 minutos» obliga a actuar de forma precipitada y sin reflexionar.
• Prueba social. Afirmaciones como «tus compañeros ya han completado esta actualización de seguridad» apelan al conformismo.
• Escasez. Las ofertas por tiempo limitado o el acceso exclusivo generan el miedo a perderse algo.
• Reciprocidad. Ofrecer algo que parece tener valor (una herramienta gratuita, un documento útil) genera la obligación de corresponder.
• Ganarse la confianza. Los atacantes establecen una relación de confianza y familiaridad antes de formular su petición, sobre todo en operaciones de suplantación de identidad de larga duración.

Estos factores desencadenantes eluden la toma de decisiones racional. El informe DBIR 2025 de Verizon reveló que el tiempo medio que transcurre desde que un phishing llega a la bandeja de entrada hasta que el usuario hace clic en el enlace malicioso es de solo 21 segundos, y que la introducción de datos comienza 28 segundos después. Los controles técnicos por sí solos no pueden compensar decisiones tomadas en menos de medio minuto.

Cómo funciona la ingeniería social

Los ataques de ingeniería social siguen un ciclo de vida predecible. Comprender este ciclo de vida es fundamental para los defensores, ya que revela múltiples puntos en los que se pueden detectar e interrumpir los ataques.

El ciclo de vida de un ataque de ingeniería social

1. Investigación y reconocimiento. El atacante recopila información sobre la organización y las personas objetivo utilizando fuentes de inteligencia de dominio público (OSINT), redes sociales, sitios web corporativos y datos de filtraciones anteriores.
2. Elaboración del pretexto. El atacante crea un escenario y una identidad creíbles: un técnico de soporte informático, un proveedor, un nuevo empleado o un colaborador de confianza de un proyecto de código abierto.
3. Contacto inicial y gancho. El atacante inicia el contacto a través del canal elegido (correo electrónico, teléfono, SMS, en persona) y genera confianza o crea una sensación de urgencia.
4. Aprovechamiento. La víctima realiza la acción deseada: hacer clic en un enlace, introducir credenciales, transferir fondos, conceder acceso o ejecutar un comando.
5. Movimiento lateral y escalada de privilegios. Una vez conseguido el acceso inicial, el atacante amplía su presencia mediante el robo de credenciales, la escalada de privilegios y el desplazamiento por la red.
6. Se retira y borra sus huellas. El atacante extrae datos, instala ransomware o logra su objetivo de cualquier otra forma, y luego borra cualquier rastro de su actividad.

‍

Analicemos cómo el Scattered Spider puso en práctica este ciclo de vida en su campaña dirigida al sector minorista de 2025. Durante la fase de reconocimiento, identificaron los procedimientos del servicio de asistencia técnica de importantes minoristas del Reino Unido, como M&S, Co-op y Harrods. Crearon pretextos en los que se hacían pasar por empleados que necesitaban restablecer sus contraseñas. Se pusieron en contacto con el personal del servicio de asistencia por teléfono, utilizando datos de los empleados obtenidos de LinkedIn y de los directorios corporativos. La fase de explotación consistió en obtener restablecimientos de contraseñas y cambios en la configuración de la autenticación multifactorial (MFA). A partir de ahí, se movieron lateralmente por las redes corporativas, llegando finalmente a desplegar ransomware con un impacto estimado de 300 millones de dólares en total.

Tácticas de ingeniería social y desencadenantes psicológicos

Más allá del ciclo de vida, los atacantes emplean patrones tácticos específicos que los defensores deben saber identificar.

El abuso de la autoridad sigue siendo el factor desencadenante más eficaz. Los atacantes se hacen pasar por altos directivos, departamentos de TI, asesores jurídicos y organismos reguladores. Le sigue de cerca la creación de una sensación de urgencia: plazos inventados, alertas de seguridad falsas y ofertas por tiempo limitado obligan a las víctimas a actuar con rapidez sin verificar la información.

Las tácticas basadas en el miedo se han vuelto más sofisticadas. En lugar de recurrir a amenazas burdas, los atacantes modernos hacen referencia a incidentes de seguridad reales, plazos de cumplimiento auténticos o cambios organizativos reales para que sus escenarios resulten creíbles.

La IA ha potenciado de manera significativa cada uno de estos factores desencadenantes. Mientras que un atacante humano podía elaborar unas pocas docenas de pretextos personalizados al día, las herramientas basadas en IA generan miles de mensajes contextualmente relevantes y gramaticalmente perfectos en cuestión de minutos. Este paso de una escala artesanal a una escala industrial constituye el cambio más destacado en el panorama de amenazas de 2025-2026.

Tipos de ataques de ingeniería social

La ingeniería social abarca más de una docena de tipos de ataque distintos. Cada uno de ellos aprovecha diferentes vectores de confianza y canales de distribución. El siguiente catálogo recoge las principales categorías, con enlaces a páginas de análisis en profundidad específicas, cuando estén disponibles.

Phishing es la forma más común de ingeniería social. Utiliza correos electrónicos, mensajes o sitios web engañosos para inducir a las víctimas a revelar sus credenciales o a instalar malware. Para obtener una descripción detallada, consulta phishing.

phishing spear phishing se dirige a personas u organizaciones concretas con contenido personalizado obtenido a partir de actividades de reconocimiento. Para obtener más información, consulta la sección sobre spear phishing.

El vishing ( phishing por voz) utiliza llamadas telefónicas para manipular a las víctimas. Los atacantes se hacen pasar por personal de asistencia técnica informática, representantes bancarios o ejecutivos para obtener credenciales o autorizar acciones. La filtración de CarGurus en 2026 demostró la potencia del vishing: una sola llamada de voz permitió obtener credenciales de SSO que condujeron a la filtración de 12,4 millones de registros. El vishing se ha profesionalizado a través de grupos organizados que contratan a operadores por entre 500 y 1000 dólares por llamada (The Hacker News, 2026). Para más información sobre este tipo de ataque, véase vishing.

El smishing ( phishing por SMS) utiliza técnicas de ingeniería social a través de mensajes de texto que contienen enlaces maliciosos o avisos urgentes. Los dispositivos móviles tienen una pantalla más pequeña, lo que dificulta la revisión de las URL y aumenta la tasa de clics. Consulte la entrada sobre smishing para obtener más información.

El «pretexting» consiste en inventar una situación ficticia para engañar a una víctima y que esta facilite información o acceso. A diferencia phishing, que suele basarse en un único mensaje, el «pretexting» suele implicar una interacción prolongada y el establecimiento de una relación. El robo a Bybit (2025) fue una operación de «pretexting» en la que el atacante pasó 20 días haciéndose pasar por un colaborador de confianza antes de llevar a cabo el robo.

El baiting ofrece algo atractivo —una memoria USB gratuita, una descarga, contenido exclusivo— para engañar a las víctimas y que pongan en peligro la seguridad de sus sistemas. El baiting digital incluye ahora actualizaciones de software falsas e instaladores de herramientas de IA dirigidos a los desarrolladores.

El «tailgating» y el «piggybacking» son técnicas físicas de ingeniería social en las que una persona no autorizada sigue a una persona autorizada a través de una entrada de seguridad. Estas técnicas siguen siendo relevantes en entornos corporativos, especialmente en centros de datos e instalaciones de seguridad.

Los ataques de tipo «quid pro quo» consisten en ofrecer un servicio o beneficio a cambio de información. Un ejemplo habitual es el de los atacantes que se hacen pasar por personal de soporte técnico y se ofrecen a solucionar un problema a cambio de las credenciales de inicio de sesión.

Los ataques de tipo «watering hole» comprometen sitios web que visita con frecuencia el grupo objetivo, convirtiendo recursos de confianza en vectores de infección.

El «Business Email Compromise» (BEC) consiste en suplantar la identidad o comprometer cuentas de correo electrónico empresariales para autorizar transferencias fraudulentas o desviar pagos. El informe de 2024 del IC3 del FBI registró pérdidas por valor de 2.800 millones de dólares a causa del BEC y 193.407 denuncias phishing suplantación de identidad solo en 2024.

El scareware utiliza alertas de seguridad falsas para convencer a las víctimas de que sus sistemas están infectados, lo que las lleva a instalar software malicioso o a pagar por servicios innecesarios.

Tabla comparativa: tipos de ataques de ingeniería social

Título: Tipos habituales de ataques de ingeniería social y cómo identificarlos.

Ingeniería social impulsada por la IA: el panorama de amenazas para 2025-2026

La inteligencia artificial ha transformado la ingeniería social, pasando de ser una técnica practicada por expertos a convertirse en un sector escalable. En esta sección se abordan las técnicas que ninguna de las páginas de la competencia que aparecen entre los diez primeros resultados de búsqueda trata de forma adecuada, y que los equipos de seguridad deben conocer de inmediato.

phishing generado por IA phishing escala. Las investigaciones indican que el 82,6 % de phishing incorporan ahora contenido generado por IA (2025). La IA elimina los errores gramaticales y las expresiones torpes que antes servían como señales fiables de detección. El GrupoPhishing registró más de un millón phishing solo en el primer trimestre de 2025. Phishing impulsado por IA phishing ya no es una tendencia emergente, sino la norma.

Phishing(PhaaS). Las plataformas de suscripción, con un coste aproximado de 200 dólares al mes, ofrecen plantillas generadas por IA, interceptación de credenciales en tiempo real mediante técnicas de «adversario en el medio» (AiTM) y phishing personalizados que se sincronizan con llamadas de voz en directo para eludir la autenticación multifactorial. Solo los métodos de autenticación phishing(FIDO2/claves de acceso) resultan eficaces contra estos ataques coordinados.

ClickFix e InstallFix: la técnica de ingeniería social que más rápido está creciendo

Las campañas de ClickFix se dispararon un 517 % en 2025, lo que las convierte en una de las técnicas de ingeniería social de más rápido crecimiento en el panorama actual (Cloud Cyber, 2026). Esta técnica engaña a los usuarios para que copien y ejecuten comandos maliciosos, normalmente mostrando mensajes de error falsos del navegador o avisos de actualización.

En 2026, ClickFix evolucionó para utilizar la entrega de carga útil basada en DNS (The Hacker News, 2026), lo que dificultó considerablemente su detección. Una variante dirigida a desarrolladores, denominada InstallFix, imita los instaladores de herramientas de IA; en febrero y marzo de 2026 se observaron al menos 20 campañas dirigidas a herramientas de IA.

Desde una perspectiva defensiva, las organizaciones deben vigilar las consultas anómalas de registros TXT del DNS e implementar análisis de comportamiento en los puntos finales que detecten patrones de ejecución desde el portapapeles a la línea de comandos. La señal clave para la detección no es la ingeniería social en sí misma, sino el comportamiento posterior al compromiso que se produce a continuación.

Deepfake como servicio y clonación de voz

El número de archivos deepfake pasó de 500 000 en 2023 a más de ocho millones en 2025 (Cloud Cyber, 2026). La tecnología de clonación de voz solo necesita ahora tres segundos de audio para producir una réplica convincente, y las investigaciones indican que el 70 % de las personas no puede distinguir las voces clonadas de las reales. Las previsiones del sector estiman que las pérdidas relacionadas con el deepfake alcanzarán los 40 000 millones de dólares en 2027.

El caso del deepfake de Arup, por valor de 25 millones de dólares (2024), ilustra esta amenaza. Los atacantes crearon vídeos deepfake de varios ejecutivos durante una videoconferencia en directo y convencieron a un empleado del departamento financiero para que autorizara unas transferencias bancarias. El vídeo y la voz ya no son métodos fiables de confirmación de identidad para transacciones de alto valor.

Las estafas relacionadas con la IA se dispararon un 1210 % en 2025. El modelo de «vishing como servicio» ha profesionalizado aún más estos ataques. El supergrupo SLH —formado a partir de la fusión de Scattered Spider, Lapsus$ y ShinyHunters— contrata activamente a vishers por entre 500 y 1000 dólares por llamada (The Hacker News, 2026). Estas personas utilizan phishing personalizados sincronizados con conversaciones en directo para interceptar tokens de autenticación multifactorial (MFA) en tiempo real.

La ingeniería social basada en la IA autónoma representa la próxima frontera. Los investigadores en seguridad predicen que, para finales de 2026, los agentes de IA autónomos llevarán a cabo phishing completas phishing —desde la selección de objetivos hasta la recopilación de credenciales— sin intervención humana. El análisis «SecurityWeek Cyber Insights 2026» detalla cómo se espera que estas capacidades autónomas transformen el panorama de las amenazas.

La ingeniería social en la práctica: casos reales

Los siguientes casos prácticos, que abarcan el periodo comprendido entre 2024 y 2026, muestran cómo las técnicas de ingeniería social tienen repercusiones en el mundo real. Cada incidente ofrece lecciones específicas en materia de defensa.

Bybit cryptocurrency heist — $1.5 billion (February 2025). North Korea's Lazarus Group socially engineered a Safe{Wallet} developer by posing as a trusted open-source contributor (SecurityWeek, 2025). The attacker maintained access for 20 days before manipulating a multisignature wallet transaction. Chainalysis confirmed this as the largest cryptocurrency theft in history. The lesson: supply chain trust must be continuously verified, and contributor access requires behavioral monitoring.

Campaña de ataques contra el sector minoristaScattered Spider SLH: ~300 millones de dólares (2025). El grupo atacó a M&S, Co-op y Harrods suplantando la identidad del servicio de asistencia técnica, lo que le permitió obtener restablecimientos de contraseñas y cambios en la autenticación multifactorial (MFA) que condujeron a la instalación de ransomware (CmdZero, 2025). El FBI emitió advertencias sobre la expansión del grupo para atacar a las aerolíneas (The Hacker News, 2025). La lección: los procedimientos del servicio de asistencia técnica deben incluir una verificación de identidad fuera de banda para todos los restablecimientos de contraseñas y cambios de autenticación multifactorial, tal y como recomienda el aviso AA23-320A de la CISA.

Fallo de seguridad por vishing en CarGurus: 12,4 millones de registros (enero de 2026). ShinyHunters utilizó phishing obtener las credenciales de inicio de sesión único (SSO) de un empleado de CarGurus, lo que les permitió sustraer 12,4 millones de registros de clientes (BleepingComputer, 2026). La lección: una sola credencial comprometida a raíz de una llamada de vishing puede desencadenar una filtración masiva de datos.

Caso de soborno interno en Coinbase (2025). Unos delincuentes sobornaron a personal de asistencia en el extranjero para que filtrara datos de clientes, lo que demuestra que la ingeniería social va más allá del engaño e incluye incentivos económicos. La lección: la supervisión de amenazas internas y los controles de acceso deben abarcar a los equipos subcontratados y deslocalizados.

Ataques dirigidos contra diplomáticos a través de Signal y WhatsApp (2026). Actores vinculados a Rusia comprometieron cuentas de mensajería segura de diplomáticos y periodistas, aprovechando la confianza depositada en las plataformas cifradas. La lección: incluso los canales seguros son vulnerables cuando el acceso a las cuentas se basa en la ingeniería social.

Lecciones aprendidas de los incidentes ocurridos entre 2024 y 2026

El patrón que se observa en estos incidentes es claro. Los procedimientos del servicio de asistencia técnica deben incluir una verificación de identidad fuera de canal. El vídeo y la voz ya no son métodos fiables para confirmar la identidad. La detección de amenazas internas forma parte del modelo de defensa contra la ingeniería social. Y la confianza en la cadena de suministro debe verificarse continuamente, no darse por sentada.

La magnitud económica no tiene precedentes. Estados Unidos perdió 16 600 millones de dólares a causa de la ingeniería social en 2024, lo que supone un aumento del 33 % con respecto al año anterior. El coste medio mundial de una filtración de datos alcanzó los 4,88 millones de dólares en 2024 (Ponemon Institute). Solo el BEC provocó pérdidas declaradas por valor de 2 800 millones de dólares en 2024 (FBI IC3).

Título: Ataques de ingeniería social de gran repercusión y conclusiones para la defensa.

Detección y respuesta ante la ingeniería social

La mayor parte del contenido sobre ciberseguridad relacionado con la ingeniería social se centra exclusivamente en la prevención: formación en concienciación, filtros de correo electrónico y políticas. La prevención es importante, pero no basta. La filosofía de «asumir el compromiso» reconoce que los atacantes expertos acabarán logrando manipular a alguien. La pregunta es: ¿con qué rapidez se puede detectar y contener la actividad posterior al compromiso?

Señales de alerta y señales de peligro

Para los empleados, las señales de alerta de la ingeniería social incluyen una urgencia inesperada, afirmaciones de autoridad por parte de contactos desconocidos, solicitudes inusuales que eluden los procedimientos habituales y la resistencia a la verificación. Formar al personal para que reconozca estas señales tiene su valor, pero los datos sobre su eficacia son contradictorios. Los proveedores de formación afirman que los programas de concienciación sobre seguridad pueden reducir la tasa de vulnerabilidad al phishing de aproximadamente un 30 % a menos del 5 %. Sin embargo, el DBIR 2025 de Verizon —un estudio independiente basado en múltiples fuentes— reveló que las tasas phishing «no se vieron afectadas por la formación». La realidad probablemente se sitúe entre estas dos posiciones. La formación es una capa más dentro de una estrategia de defensa en profundidad, no una solución independiente.

Para los equipos de seguridad, las señales de detección críticas se producen tras un ataque de ingeniería social que ha tenido éxito. El informe DBIR 2025 de Verizon reveló que el 85 % de las brechas de seguridad provocadas por ingeniería social dan lugar al robo de credenciales. Esto significa que los indicadores posteriores a la compromisión que más importan incluyen patrones de acceso anómalos, señales inusuales de detección y respuesta ante amenazas de identidad, desplazamientos imposibles entre ubicaciones, escalada anómala de privilegios y movimientos laterales inesperados por la red.

Creación de un programa de detección de ingeniería social

1. Implemente la verificación fuera de banda para todas las solicitudes delicadas, incluyendo restablecimientos de contraseñas, transferencias bancarias, cambios en la autenticación multifactorial (MFA) y modificaciones de acceso. Esto aborda directamente el vector de ataque al servicio de asistencia técnica utilizado por Scattered Spider, tal y como se recomienda en el aviso AA23-320A de la CISA.
2. Implementar análisis de comportamiento para detectar usos anómalos de identidades, uso indebido de credenciales y movimientos laterales que se producen tras una ingeniería social exitosa.
3. Adopte una autenticación phishing (FIDO2/claves de acceso) como primera línea de defensa. Esta es la única medida eficaz contra las combinaciones coordinadas de vishing y AiTM.
4. Combine la formación basada en simulaciones con medidas técnicas de control. Imparta formación sobre cómo detectar y notificar incidentes, pero no confíe en la vigilancia humana como primera línea de defensa.
5. Fomenta una cultura de denuncia sin culpar a nadie. Los empleados que denuncian interacciones sospechosas —incluso aquellas en las que han caído— proporcionan señales cruciales para la detección temprana.
6. Establecer Establecer específicamente para situaciones de ingeniería social, incluyendo protocolos de restablecimiento de credenciales, revocación de sesiones y flujos de trabajo de investigación forense.
7. Implementar zero trust para limitar el alcance del daño cuando la ingeniería social tiene éxito, garantizando que una sola credencial comprometida no conceda un acceso amplio.

Las organizaciones que necesiten más información deben consultar las recomendaciones de la CISA para evitar phishing de ingeniería social y phishing .

Ingeniería social y cumplimiento normativo

La ingeniería social se corresponde con controles específicos de los principales marcos de cumplimiento y seguridad. Los equipos de GRC pueden utilizar estas correspondencias para estructurar sus programas y aportar pruebas de auditoría.

Tabla de correspondencias del marco

Título: Medidas de control de ingeniería social en los principales marcos de cumplimiento normativo.

Enfoques modernos para la defensa contra la ingeniería social

El sector de la ciberseguridad está adoptando un enfoque multicapa para la defensa contra la ingeniería social. Las soluciones actuales incluyen plataformas de análisis de comportamiento que detectan la actividad posterior a una intrusión, herramientas ITDR que supervisan el uso indebido de credenciales, zero trust que limitan el alcance de los ataques y sistemas de autenticación phishing que eliminan por completo el vector de robo de credenciales.

Las tendencias emergentes de la RSAC 2026 apuntan hacia la integración de la ciencia del comportamiento: la aplicación de la investigación psicológica para mejorar tanto la formación como la detección. El finalista del «innovation sandbox» de Humanix presentó un enfoque centrado en las personas para la detección de la ingeniería social, que considera el comportamiento humano como una fuente de datos en lugar de como una vulnerabilidad (SecurityWeek, 2026). La necesidad de priorizar la señal sobre el ruido también está ganando terreno. Las organizaciones están pasando de la fatiga por alertas a señales de amenaza procesables, dando prioridad a los indicadores de comportamiento que revelan ataques reales en lugar de inundar a los analistas con alertas de baja fiabilidad.

Cómo Vectra AI la defensa contra la ingeniería social

Los ataques de ingeniería social que tienen éxito dan lugar a comportamientos anómalos en las identidades, movimientos laterales y escalada de privilegios —precisamente las señales posteriores a la compromisión que Attack Signal Intelligence está diseñada para detectar. La filosofía de «asumir la compromisión» Vectra AI considera que el éxito de la ingeniería social es inevitable y se centra en reducir el tiempo de permanencia mediante la detección de comportamientos en cloud identidad, red y cloud . El objetivo no es prevenir todos los intentos de ingeniería social, sino detectar la actividad del atacante que sigue a estos en cuestión de minutos, en lugar de meses.

Tendencias futuras y consideraciones emergentes

El panorama de las amenazas de ingeniería social está evolucionando más rápido que en cualquier otro momento de la historia de la ciberseguridad. En los próximos 12 a 24 meses, las organizaciones deben prepararse para varios acontecimientos cruciales.

La IA agentiva automatizará cadenas de ataque completas. Los investigadores en seguridad predicen que, a finales de 2026, los agentes de IA autónomos llevarán a cabo campañas completas de ingeniería social —desde la selección de objetivos y la recopilación de información de fuentes abiertas (OSINT) hasta la obtención de credenciales y la explotación inicial— sin intervención humana. Esto supone un cambio fundamental, pasando de los ataques humanos asistidos por herramientas a operaciones totalmente autónomas.

Las tecnologías de deepfake se convertirán en herramientas de uso generalizado. Con unas pérdidas previstas que alcanzarán los 40 000 millones de dólares en 2027 y más de ocho millones de archivos de deepfake (en 2025), esta tecnología se está democratizando rápidamente. Las organizaciones deberían implementar sistemas de verificación multicanal para cualquier transacción que implique una confirmación por vídeo o voz, e invertir en herramientas de detección que analicen la autenticidad de los contenidos multimedia.

La presión normativa se intensificará. La aplicación de la Directiva NIS2 en toda la Unión Europea está generando nuevas obligaciones de notificación de incidentes que afectan directamente a los plazos de respuesta ante casos de ingeniería social. El plazo de registro ante la BSI alemana, fijado para marzo de 2026, apunta a unas expectativas de cumplimiento más amplias. Las organizaciones deberían adaptar ya sus medidas de defensa contra la ingeniería social a los controles del marco normativo, en lugar de tener que apresurarse a cumplir más adelante.

El sector del «vishing como servicio» alcanzará su madurez. El modelo de reclutamiento del supergrupo SLH demuestra que la ingeniería social está siguiendo la misma trayectoria de «como servicio» que el ransomware. Es de esperar que los centros de llamadas profesionalizados, los desarrolladores especializados phishing y las ofertas de servicios por niveles se conviertan en la norma. El refuerzo de los servicios de asistencia técnica y los procedimientos de verificación fuera de banda son las contramedidas más directas.

La identidad se convertirá en el principal campo de batalla. Dado que el 85 % de las brechas de seguridad debidas a la ingeniería social se traducen en el robo de credenciales (DBIR 2025 de Verizon), la capa de identidad tras el compromiso es donde la detección cobra mayor importancia. Las organizaciones deben dar prioridad a las capacidades de ITDR, el análisis de comportamiento y la autenticación phishing como sus principales inversiones en defensa contra la ingeniería social para 2026 y 2027.

Conclusión

La ingeniería social no es un problema nuevo, pero sí se ha transformado radicalmente. La inteligencia artificial ha industrializado el engaño, haciéndolo más rápido, más barato y más difícil de distinguir de la comunicación legítima. Los casos prácticos de 2024 a 2026 demuestran que la ingeniería social provoca ahora pérdidas de miles de millones de dólares y que sus víctimas abarcan desde el personal de asistencia técnica hasta los altos directivos, pasando por los desarrolladores de código abierto.

La prevención sigue siendo importante: la autenticación phishing, la verificación fuera de banda y la formación en concienciación reducen la superficie de ataque. Sin embargo, las organizaciones mejor preparadas para sobrevivir a los ataques de ingeniería social en 2025 y 2026 son aquellas que han adoptado la mentalidad de «dar por hecho que se ha producido una violación de seguridad». Invierten en análisis de comportamiento, supervisión de identidades y detección tras una violación de seguridad porque son conscientes de que, tarde o temprano, alguien acabará cayendo en la trampa.

La cuestión no es si tu organización será objeto de un ataque de ingeniería social, sino si tus capacidades de detección y respuesta lograrán localizar al atacante antes de que este encuentre lo que busca.

Para descubrir cómo la detección de comportamientos y Attack Signal Intelligence las señales posteriores a la intrusión que siguen a los ataques de ingeniería social, explore la Vectra AI .