Ingeniería social y campañas de phishing
Tu mayor vulnerabilidad no es una máquina.
Lanzamos campañas controladas de ingeniería social como lo haría un atacante real: phishing dirigido, llamadas, SMS, pretextos y hasta intrusión física. Medimos el factor humano y entrenamos a tu gente.
El eslabón que nadie parchea
Se invierte en tecnología para blindar los sistemas, pero el ataque más eficaz sigue entrando por la persona que abre la puerta.
El vector más explotado
La gran mayoría de las brechas empiezan por una persona: un email convincente, una llamada con prisa, un pretexto bien construido. El humano es la puerta que los atacantes prefieren.
La tecnología no filtra el engaño
Los filtros antispam y el MFA ayudan, pero un pretexto bien diseñado los rodea. Cuando el mensaje parece legítimo y llega en el momento justo, ninguna herramienta decide por la persona.
Medir supera al aula
Un curso teórico se olvida; una campaña real deja huella. Medir qué ocurre de verdad da una línea base honesta y hace que la formación posterior llegue justo donde hace falta.
Cómo diseñamos y ejecutamos la campaña
OSINT y diseño de pretexto
Reconocimiento de información pública, estructura de la organización y señales que un atacante explotaría, para construir pretextos y señuelos creíbles y adaptados a tu contexto real.
Aprobación de reglas de compromiso
Definición y firma de alcance, vectores permitidos, ventanas de ejecución y límites éticos con la dirección: qué se puede simular, contra qué grupos y qué queda expresamente fuera.
Ejecución multicanal
Lanzamiento coordinado de los vectores acordados: spear phishing, vishing, smishing, pretexting, suplantación por email e intrusión física controlada, respetando en todo momento las reglas de compromiso.
Medición y análisis
Registro de tasas de clic, entrega de credenciales, acciones ejecutadas y, muy importante, tasa de reporte. Los datos se agregan por grupo, nunca se señala a personas concretas.
Informe y concienciación
Hallazgos priorizados con línea base medible, recomendaciones de concienciación y formación específica para los equipos más expuestos, orientadas a mejorar la próxima campaña.
Qué recibes al terminar
Un informe técnico y ejecutivo con una línea base medible del factor humano, los vectores que funcionaron y por qué, más un plan de concienciación y formación dirigido a los equipos más expuestos.
- Tasas de clic, entrega de credenciales, acciones ejecutadas y reporte al equipo de seguridad.
- Resultados agregados por grupo, sin señalar a personas concretas.
- Análisis de los pretextos y vectores más eficaces contra tu organización.
- Plan de concienciación y formación priorizado, orientado a la mejora continua.
"El dato que más importa no es cuánta gente picó, sino cuánta avisó. Una organización que reporta rápido es mucho más difícil de comprometer que una que solo no hace clic."
— Equipo de Servicios Ofensivos, Hard2bit
Vectores que simulamos
Un atacante no se limita a un solo canal. Reproducimos el abanico completo de técnicas que se usan hoy contra las organizaciones españolas, siempre dentro de las reglas de compromiso acordadas.
Spear phishing y phishing masivo
Desde el envío masivo con un señuelo genérico hasta el correo dirigido y personalizado contra una persona o un departamento concretos, con dominios parecidos, portales de captura de credenciales clonados y pretextos construidos a partir de información pública real.
Vishing (pretexto telefónico)
Llamadas con un pretexto creíble: soporte informático que pide instalar algo, un proveedor que reclama una factura, un directivo con prisa. La voz añade una presión que el correo no tiene, y por eso funciona.
Smishing (SMS y mensajería)
Mensajes de texto y de aplicaciones de mensajería que imitan a bancos, mensajería o servicios internos. El móvil se lee con menos atención que el correo del ordenador, y el enlace corto esconde el destino real.
Pretexting
La construcción de un escenario y una identidad falsa que dan cobertura a toda la operación: quién dices ser, por qué llamas y qué necesitas. Es la base sobre la que se apoyan el resto de vectores.
QRishing y dispositivos USB
Códigos QR maliciosos en carteles o correos que llevan a portales falsos, y dispositivos USB abandonados en zonas comunes (BadUSB, USB drop) que aprovechan la curiosidad para ejecutar código o robar credenciales al conectarlos.
Intrusión física con pretexto
Tailgating (colarse tras un empleado que abre la puerta), suplantación de un proveedor o técnico y acceso a zonas restringidas. La ingeniería social no acaba en la pantalla: a menudo el objetivo final es entrar físicamente.
Campañas multicanal encadenadas
Los ataques reales rara vez usan un solo vector. Encadenamos técnicas como haría un adversario: un SMS que prepara el terreno para una llamada, un correo que da credibilidad a una visita presencial, un pretexto telefónico que valida un enlace. Ese enfoque multicanal es también el que se despliega dentro de un ejercicio de Red Team de espectro completo.
Marco ético y reglas de compromiso
Simular a un atacante contra tu propia gente exige un marco ético estricto. No es negociable: define cómo trabajamos y protege tanto a la organización como a cada empleado.
Consentimiento de la dirección
Ninguna campaña arranca sin la autorización explícita y por escrito de la dirección. Se acuerdan de antemano los objetivos, el alcance, los vectores permitidos, las ventanas de ejecución y lo que queda expresamente fuera de límites.
No se señala a nadie
No se penaliza ni se expone a los empleados que caen. No entregamos listas de nombres. El que un martes con prisas alguien haga clic no es un fallo personal, sino un dato sobre la organización. El objetivo es mejorar, no buscar culpables.
Datos agregados y anonimizados
Los resultados se presentan agregados por departamento, grupo o campaña, nunca por individuo. Los datos personales que se generan durante la simulación se tratan con cautela, se minimizan y se anonimizan en el informe final.
Cumplimiento legal y de protección de datos
Trabajamos dentro del marco legal aplicable y de la normativa de protección de datos. El consentimiento de la organización, el alcance firmado y el tratamiento responsable de la información son requisitos, no adornos. La campaña es legal precisamente porque se hace así.
Qué medimos y qué recibes
Una campaña sin métricas es una anécdota. Registramos indicadores objetivos que te dan una línea base honesta del factor humano y te permiten medir la mejora en la siguiente iteración.
Métricas de exposición
Tasa de entrega, tasa de apertura y tasa de clic sobre el señuelo, más la entrega de credenciales y la ejecución de acciones peligrosas. El recorrido completo, desde que el mensaje llega hasta que alguien actúa.
Capacidad de detección
La métrica que más importa: la tasa de reporte al equipo de seguridad o al SOC y el tiempo que se tarda en avisar. Una organización que detecta y reporta rápido es mucho más difícil de comprometer que una que simplemente no hace clic.
Informe y plan de mejora
Un informe agregado con la línea base, los pretextos que funcionaron y por qué, más recomendaciones concretas de concienciación y formación posterior para los equipos más expuestos, orientadas a la mejora continua.
La medición no es el final del proyecto, sino el punto de partida. La concienciación continua y el entrenamiento sostenido en el tiempo se apoyan en nuestra plataforma de riesgo humano CortexShield, que convierte los hallazgos de cada campaña en formación dirigida y en una cultura de seguridad medible.
Ingeniería social y Red Team
La ingeniería social rara vez es un fin en sí misma para un adversario real: es el punto de entrada. Por eso se integra de forma natural en ejercicios de espectro completo, donde un pretexto telefónico o un correo dirigido abren la puerta que después se explota a nivel técnico.
En un ejercicio de Red Team encadenamos el factor humano con el movimiento lateral, la persistencia y la exfiltración para reproducir un ataque completo y medir la respuesta real de tu organización, no solo la de tus sistemas.
- La ingeniería social como vector de acceso inicial dentro de un escenario adversario realista.
- Encadenamiento con técnicas ofensivas del pilar de Pentesting y Red Team.
- Medición de la cadena completa: desde el clic inicial hasta la detección y respuesta del equipo defensivo.
- Complemento al hacking ético con la dimensión que la tecnología no cubre: la persona.
Preguntas frecuentes sobre ingeniería social
¿Esto no es ilegal ni desleal con la plantilla?
¿Por qué una campaña real y no un simple curso de formación?
¿Señaláis a los empleados que caen en la trampa?
¿Cuánto dura una campaña de ingeniería social?
¿Incluís intrusión física, como colarse en la oficina?
¿Cómo medís el resultado de la campaña?
¿Esto entrena a la plantilla o solo mide?
¿Dónde encaja esto dentro del portfolio de Hard2bit?
¿Cómo reaccionaría tu gente hoy?
Solicita una campaña controlada de ingeniería social y te decimos, con evidencias y con un marco ético, cómo responde de verdad tu organización ante un ataque real.