Qué es la ingeniería social (y por qué funciona)
La ingeniería social es el arte de manipular personas para que revelen información confidencial o realicen acciones que comprometen la seguridad. No es un concepto nuevo: los estafadores la usan desde que existe la comunicación humana. Lo que cambió es la escala y la sofisticación.
Funciona porque explota cinco vulnerabilidades humanas que ningún software puede parchear:
- Autoridad: tendemos a obedecer a figuras de autoridad sin cuestionar. Si alguien dice "soy del banco" o "hablo de parte de ARCA", el instinto natural es cooperar.
- Urgencia: bajo presión de tiempo, tomamos decisiones peores. "Si no verificás tu cuenta en los próximos 30 minutos, se bloquea" desactiva el pensamiento crítico.
- Reciprocidad: si alguien nos hace un favor (o aparenta hacerlo), sentimos la obligación de devolver. "Te estoy avisando antes de que te bloqueen la cuenta" genera gratitud y confianza.
- Curiosidad: un pendrive con la etiqueta "Sueldos 2026" abandonado en el estacionamiento será enchufado por alguien. Un email con "Mirá las fotos del viaje" será abierto por alguien.
- Miedo: la amenaza de consecuencias negativas ("su cuenta fue hackeada", "hay una deuda pendiente con ARCA") paraliza el juicio y empuja a la acción impulsiva.
El punto crítico: estas no son debilidades de personas tontas. Son mecanismos psicológicos universales. Ejecutivos de empresas del Fortune 500 han caído en ataques de ingeniería social. La diferencia entre caer y no caer no es la inteligencia: es el entrenamiento.
Las técnicas: el catálogo del atacante
Pretexting (pretexto)
El atacante construye un escenario ficticio (el pretexto) para justificar su pedido de información. Se presenta como alguien con autoridad o una razón legítima para pedir datos. La clave del pretexting es la preparación: el atacante investiga a la víctima antes del contacto, para hacer que el pretexto sea creíble.
Ejemplo argentino: recibís una llamada de alguien que se identifica como empleado de tu banco. Sabe tu nombre completo, los últimos 4 dígitos de tu tarjeta (información que se puede comprar en bases de datos filtradas por centavos) y te dice que detectaron una operación sospechosa. Para "verificar tu identidad" te pide el código de seguridad CVV, el PIN o un código que te va a llegar por SMS. Ese SMS es el código de verificación de una transferencia que el atacante está haciendo desde tu cuenta.
Phishing (suplantación por email)
Un email que parece legítimo (del banco, de ARCA, de MercadoLibre, de tu proveedor de email) te pide que hagas clic en un enlace e ingreses tus credenciales. El enlace lleva a una página idéntica a la real pero controlada por el atacante. Variantes: spear phishing (dirigido a una persona específica con información personalizada) y whaling (dirigido a ejecutivos de alto nivel).
Ejemplo argentino: un email que simula ser de ARCA con asunto "Intimación - Deuda detectada en su CUIT" incluye un enlace para "regularizar su situación". El enlace lleva a una página que replica la interfaz de ARCA y pide CUIT, clave fiscal y datos de la cuenta bancaria.
Vishing (phishing por voz)
El mismo principio que el phishing pero por teléfono. El atacante llama haciéndose pasar por una entidad legítima. En Argentina, el vishing es la técnica más usada y la más efectiva, porque la cultura de la llamada telefónica sigue siendo fuerte y porque las personas mayores (el grupo demográfico más vulnerable) usan más el teléfono que el email.
El clásico argentino: "Hola, lo llamo del banco. Detectamos un intento de compra con su tarjeta por $350.000 en una casa de electrodomésticos de Mendoza. ¿Usted realizó esa compra? No, verdad? Perfecto, vamos a bloquearla. Para eso necesito que me dé el número de token que le va a llegar al celular." Ese token es la autorización para una transferencia real.
Baiting (cebo)
Se deja un "cebo" que la víctima recoge por curiosidad o interés. El cebo clásico es un pendrive USB abandonado en un lugar visible (recepción, estacionamiento, baño). Cuando alguien lo enchufa para ver qué tiene, ejecuta malware que infecta la computadora y potencialmente toda la red.
Versión digital: un email con un archivo adjunto tentador ("CV candidato recomendado.docx", "Listado_precios_competencia.xlsx") que contiene macros maliciosas.
Tailgating (colarse)
Acceso físico no autorizado aprovechando la cortesía. Alguien con aspecto de pertenecer (uniforme de delivery, ropa corporativa, carpeta en la mano) sigue a un empleado a través de una puerta de acceso controlado sin presentar credenciales. El empleado sostiene la puerta por cortesía. El atacante está adentro.
Funciona especialmente bien en edificios corporativos grandes donde no todos se conocen. Y en Argentina, donde la cortesía de sostener la puerta está culturalmente arraigada, es devastadoramente efectivo.
Quid pro quo (algo por algo)
El atacante ofrece algo a cambio de información. La versión más común: se hace pasar por soporte técnico, llama a empleados al azar y ofrece "ayuda con un problema de computadora". Si el empleado acepta, el atacante le pide que instale un software de acceso remoto (TeamViewer, AnyDesk) para "solucionar el problema". Con acceso remoto, el atacante tiene control total de la máquina.
Casos reales en Argentina
La ingeniería social en Argentina tiene particularidades locales que la hacen especialmente peligrosa:
Estafas más reportadas (fuentes: BCRA, Defensa del Consumidor, medios)
| Modalidad | Pretexto | Dato que buscan | Daño típico |
|---|---|---|---|
| Llamada del banco | Compra sospechosa en otra provincia | Token SMS, CVV, PIN | Vaciamiento de cuenta + préstamo pre-aprobado |
| WhatsApp falso de familiar | "Cambié de número, necesito que me transfieras" | Transferencia directa | Pérdida del monto transferido |
| Falsa ARCA | Deuda detectada, intimación | CUIT, clave fiscal, datos bancarios | Acceso a datos fiscales + fraude tributario |
| Premio falso | "Ganaste un auto/viaje, para retirar..." | Datos personales + "gastos de envío" | Pérdida de depósito + identidad comprometida |
| Soporte técnico falso | "Su computadora tiene un virus" | Acceso remoto (TeamViewer/AnyDesk) | Robo de contraseñas + archivos + homebanking |
Lo particularmente dañino en Argentina es la combinación de estafa + préstamo pre-aprobado. El atacante no solo vacía la cuenta: con acceso al homebanking, toma un préstamo personal pre-aprobado (que el banco otorga automáticamente), lo transfiere a una cuenta mula, y la víctima queda debiendo un préstamo que nunca pidió. El banco se lava las manos argumentando que la operación fue "autorizada" por el cliente. Recuperar ese dinero puede llevar años de juicio.
El firewall humano: cómo entrenar a tu equipo
La tecnología no resuelve la ingeniería social. La educación sí. El concepto de "firewall humano" es exactamente eso: convertir a cada empleado en una barrera que detecta y bloquea ataques de manipulación. Pero no alcanza con mandar un email una vez al año diciendo "no compartan contraseñas". Hace falta un programa sostenido.
Las 5 reglas que todos deben memorizar
- Nunca compartas credenciales por teléfono, email o WhatsApp. Ningún banco, ninguna entidad gubernamental, ningún proveedor legítimo te va a pedir tu contraseña, PIN, CVV o token por teléfono. Nunca. Si te lo piden, es estafa. Sin excepciones.
- Verificá por otro canal. Si te llaman "del banco", cortá y llamá vos al número oficial que figura en tu tarjeta o en la página web. Si te mandan un email "de ARCA", entrá a la web de ARCA por tu cuenta, no por el link del email.
- La urgencia es una señal de alerta. Cualquier pedido que "tiene que resolverse ahora mismo o pasa algo malo" es sospechoso. Las entidades legítimas te dan tiempo para actuar.
- No enchufes dispositivos desconocidos. Pendrives, cables USB, cargadores "olvidados". Si no sabés de dónde vino, no lo enchufes.
- Ante la duda, preguntá. Mejor ser paranoico y preguntar "¿esto es legítimo?" a un compañero o al área de sistemas que caer en una estafa por no querer molestar.
Simulacros de phishing
La forma más efectiva de entrenar al equipo es probarlo en condiciones reales. Los simulacros de phishing envían emails falsos (inofensivos) a los empleados para medir cuántos hacen clic en el enlace, cuántos ingresan credenciales, y cuántos reportan el email como sospechoso.
Los resultados del primer simulacro suelen ser alarmantes: entre el 20% y el 40% de los empleados caen. Después de 6 meses de simulacros mensuales con capacitación posterior, el porcentaje baja a menos del 5%. El entrenamiento funciona, pero tiene que ser continuo. Si dejás de hacerlo, la tasa de caída vuelve a subir en pocos meses.
Política de seguridad para empresas
Más allá del entrenamiento individual, la empresa necesita políticas claras:
- Procedimiento de verificación de identidad: si alguien llama pidiendo información (un "proveedor", un "auditor", un "del banco"), el empleado debe tener un procedimiento claro para verificar la identidad del interlocutor antes de dar cualquier dato.
- Doble aprobación para transferencias: ninguna transferencia bancaria por encima de cierto monto debería autorizarse con una sola persona. La estafa del "CEO que pide una transferencia urgente por email" se previene con un segundo autorizante que verifica por teléfono.
- Control de acceso físico: política de no sostener puertas a desconocidos, visitantes acompañados en todo momento, registro de ingreso.
- Canal de reporte: un canal simple (email, chat interno, botón en la intranet) para que los empleados reporten intentos sospechosos sin miedo a "parecer tontos". Cada reporte es inteligencia de seguridad valiosa.
- Respuesta a incidentes: qué hacer si un empleado cayó en una estafa. Cambio de contraseñas, bloqueo de cuentas, notificación al banco, denuncia policial. Cuanto más rápido se actúe, menor el daño.
"El eslabón más débil de la seguridad no es la tecnología. Es la persona que contesta el teléfono. Pero con el entrenamiento adecuado, ese eslabón se convierte en la primera línea de defensa."
Qué hacer si caíste
Si sospechás que fuiste víctima de ingeniería social, actuá rápido:
- Bancario: llamá al banco inmediatamente para bloquear la cuenta y las tarjetas. Cada minuto cuenta.
- Contraseñas: cambiá todas las contraseñas que pudiste haber comprometido. Empezá por el email (si acceden a tu email, pueden resetear todo lo demás).
- Denuncia: hacé la denuncia en la comisaría o en la fiscalía de ciberdelito de tu jurisdicción. En CABA: Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). En PBA: Departamento Delitos Telemáticos.
- BCRA: si es una estafa bancaria, reclamá al banco por escrito y presentá el reclamo en el Banco Central de la República Argentina (BCRA).
- Defensa del Consumidor: si el banco no responde satisfactoriamente, presentá el caso en Defensa del Consumidor de tu jurisdicción.
- Avisá a tu entorno: si comprometieron tu WhatsApp o email, avisá a tus contactos para que no caigan en la estafa encadenada ("hola, cambié de número").
Como complemento a la concientización, las plataformas de seguridad permiten automatizar simulacros de phishing, rastrear qué empleados necesitan más entrenamiento, y generar métricas de mejora en el tiempo. No reemplazan la educación, pero la hacen medible y sostenible. Porque la ingeniería social no es un problema que se resuelve una vez: es una batalla continua contra atacantes que evolucionan constantemente.