Hard2bit
Factor humano

Ingeniería social y campañas de phishing

Tu mayor vulnerabilidad no es una máquina.

Lanzamos campañas controladas de ingeniería social como lo haría un atacante real: phishing dirigido, llamadas, SMS, pretextos y hasta intrusión física. Medimos el factor humano y entrenamos a tu gente.

El eslabón que nadie parchea

Se invierte en tecnología para blindar los sistemas, pero el ataque más eficaz sigue entrando por la persona que abre la puerta.

El vector más explotado

La gran mayoría de las brechas empiezan por una persona: un email convincente, una llamada con prisa, un pretexto bien construido. El humano es la puerta que los atacantes prefieren.

La tecnología no filtra el engaño

Los filtros antispam y el MFA ayudan, pero un pretexto bien diseñado los rodea. Cuando el mensaje parece legítimo y llega en el momento justo, ninguna herramienta decide por la persona.

Medir supera al aula

Un curso teórico se olvida; una campaña real deja huella. Medir qué ocurre de verdad da una línea base honesta y hace que la formación posterior llegue justo donde hace falta.

Cómo diseñamos y ejecutamos la campaña

OSINT y diseño de pretexto

Reconocimiento de información pública, estructura de la organización y señales que un atacante explotaría, para construir pretextos y señuelos creíbles y adaptados a tu contexto real.

Aprobación de reglas de compromiso

Definición y firma de alcance, vectores permitidos, ventanas de ejecución y límites éticos con la dirección: qué se puede simular, contra qué grupos y qué queda expresamente fuera.

Ejecución multicanal

Lanzamiento coordinado de los vectores acordados: spear phishing, vishing, smishing, pretexting, suplantación por email e intrusión física controlada, respetando en todo momento las reglas de compromiso.

Medición y análisis

Registro de tasas de clic, entrega de credenciales, acciones ejecutadas y, muy importante, tasa de reporte. Los datos se agregan por grupo, nunca se señala a personas concretas.

Informe y concienciación

Hallazgos priorizados con línea base medible, recomendaciones de concienciación y formación específica para los equipos más expuestos, orientadas a mejorar la próxima campaña.

Qué recibes al terminar

Un informe técnico y ejecutivo con una línea base medible del factor humano, los vectores que funcionaron y por qué, más un plan de concienciación y formación dirigido a los equipos más expuestos.

  • Tasas de clic, entrega de credenciales, acciones ejecutadas y reporte al equipo de seguridad.
  • Resultados agregados por grupo, sin señalar a personas concretas.
  • Análisis de los pretextos y vectores más eficaces contra tu organización.
  • Plan de concienciación y formación priorizado, orientado a la mejora continua.

"El dato que más importa no es cuánta gente picó, sino cuánta avisó. Una organización que reporta rápido es mucho más difícil de comprometer que una que solo no hace clic."

— Equipo de Servicios Ofensivos, Hard2bit

Vectores que simulamos

Un atacante no se limita a un solo canal. Reproducimos el abanico completo de técnicas que se usan hoy contra las organizaciones españolas, siempre dentro de las reglas de compromiso acordadas.

Spear phishing y phishing masivo

Desde el envío masivo con un señuelo genérico hasta el correo dirigido y personalizado contra una persona o un departamento concretos, con dominios parecidos, portales de captura de credenciales clonados y pretextos construidos a partir de información pública real.

Vishing (pretexto telefónico)

Llamadas con un pretexto creíble: soporte informático que pide instalar algo, un proveedor que reclama una factura, un directivo con prisa. La voz añade una presión que el correo no tiene, y por eso funciona.

Smishing (SMS y mensajería)

Mensajes de texto y de aplicaciones de mensajería que imitan a bancos, mensajería o servicios internos. El móvil se lee con menos atención que el correo del ordenador, y el enlace corto esconde el destino real.

Pretexting

La construcción de un escenario y una identidad falsa que dan cobertura a toda la operación: quién dices ser, por qué llamas y qué necesitas. Es la base sobre la que se apoyan el resto de vectores.

QRishing y dispositivos USB

Códigos QR maliciosos en carteles o correos que llevan a portales falsos, y dispositivos USB abandonados en zonas comunes (BadUSB, USB drop) que aprovechan la curiosidad para ejecutar código o robar credenciales al conectarlos.

Intrusión física con pretexto

Tailgating (colarse tras un empleado que abre la puerta), suplantación de un proveedor o técnico y acceso a zonas restringidas. La ingeniería social no acaba en la pantalla: a menudo el objetivo final es entrar físicamente.

Campañas multicanal encadenadas

Los ataques reales rara vez usan un solo vector. Encadenamos técnicas como haría un adversario: un SMS que prepara el terreno para una llamada, un correo que da credibilidad a una visita presencial, un pretexto telefónico que valida un enlace. Ese enfoque multicanal es también el que se despliega dentro de un ejercicio de Red Team de espectro completo.

Marco ético y reglas de compromiso

Simular a un atacante contra tu propia gente exige un marco ético estricto. No es negociable: define cómo trabajamos y protege tanto a la organización como a cada empleado.

Consentimiento de la dirección

Ninguna campaña arranca sin la autorización explícita y por escrito de la dirección. Se acuerdan de antemano los objetivos, el alcance, los vectores permitidos, las ventanas de ejecución y lo que queda expresamente fuera de límites.

No se señala a nadie

No se penaliza ni se expone a los empleados que caen. No entregamos listas de nombres. El que un martes con prisas alguien haga clic no es un fallo personal, sino un dato sobre la organización. El objetivo es mejorar, no buscar culpables.

Datos agregados y anonimizados

Los resultados se presentan agregados por departamento, grupo o campaña, nunca por individuo. Los datos personales que se generan durante la simulación se tratan con cautela, se minimizan y se anonimizan en el informe final.

Cumplimiento legal y de protección de datos

Trabajamos dentro del marco legal aplicable y de la normativa de protección de datos. El consentimiento de la organización, el alcance firmado y el tratamiento responsable de la información son requisitos, no adornos. La campaña es legal precisamente porque se hace así.

Qué medimos y qué recibes

Una campaña sin métricas es una anécdota. Registramos indicadores objetivos que te dan una línea base honesta del factor humano y te permiten medir la mejora en la siguiente iteración.

Métricas de exposición

Tasa de entrega, tasa de apertura y tasa de clic sobre el señuelo, más la entrega de credenciales y la ejecución de acciones peligrosas. El recorrido completo, desde que el mensaje llega hasta que alguien actúa.

Capacidad de detección

La métrica que más importa: la tasa de reporte al equipo de seguridad o al SOC y el tiempo que se tarda en avisar. Una organización que detecta y reporta rápido es mucho más difícil de comprometer que una que simplemente no hace clic.

Informe y plan de mejora

Un informe agregado con la línea base, los pretextos que funcionaron y por qué, más recomendaciones concretas de concienciación y formación posterior para los equipos más expuestos, orientadas a la mejora continua.

La medición no es el final del proyecto, sino el punto de partida. La concienciación continua y el entrenamiento sostenido en el tiempo se apoyan en nuestra plataforma de riesgo humano CortexShield, que convierte los hallazgos de cada campaña en formación dirigida y en una cultura de seguridad medible.

Ingeniería social y Red Team

La ingeniería social rara vez es un fin en sí misma para un adversario real: es el punto de entrada. Por eso se integra de forma natural en ejercicios de espectro completo, donde un pretexto telefónico o un correo dirigido abren la puerta que después se explota a nivel técnico.

En un ejercicio de Red Team encadenamos el factor humano con el movimiento lateral, la persistencia y la exfiltración para reproducir un ataque completo y medir la respuesta real de tu organización, no solo la de tus sistemas.

  • La ingeniería social como vector de acceso inicial dentro de un escenario adversario realista.
  • Encadenamiento con técnicas ofensivas del pilar de Pentesting y Red Team.
  • Medición de la cadena completa: desde el clic inicial hasta la detección y respuesta del equipo defensivo.
  • Complemento al hacking ético con la dimensión que la tecnología no cubre: la persona.

Preguntas frecuentes sobre ingeniería social

¿Esto no es ilegal ni desleal con la plantilla?
No, siempre que se haga bien y es como lo hacemos. La campaña arranca con el consentimiento explícito de la dirección, con un alcance y unas reglas de compromiso firmadas, y con un marco ético claro: no se señala a empleados individualmente, los datos se agregan y todo se orienta a la mejora y la concienciación. El objetivo es entrenar a la organización frente a ataques reales, no pillar a nadie.
¿Por qué una campaña real y no un simple curso de formación?
Un curso teórico enseña a reconocer el engaño en un aula; una campaña controlada mide qué ocurre de verdad cuando el señuelo llega al buzón un martes por la mañana con prisas. La diferencia entre lo que la gente cree que haría y lo que hace es enorme, y solo se ve midiendo. Después de medir, la formación llega justo donde hace falta y cala mucho mejor.
¿Señaláis a los empleados que caen en la trampa?
No. No entregamos listas de nombres ni penalizamos a nadie. Los resultados se agregan por departamento, grupo o campaña, nunca por individuo. Que alguien haga clic un martes con prisas es un dato sobre la organización, no un fallo personal. Todo el marco ético está diseñado para mejorar y concienciar, no para buscar culpables.
¿Cuánto dura una campaña de ingeniería social?
Depende del alcance y de los vectores acordados. Una campaña de phishing acotada puede ejecutarse en pocas semanas, incluyendo diseño, ventana de envío y análisis; una campaña multicanal con vishing, smishing e intrusión física requiere más tiempo de preparación y coordinación. Definimos plazos realistas en la fase de reglas de compromiso, antes de lanzar nada.
¿Incluís intrusión física, como colarse en la oficina?
Sí, si está dentro del alcance acordado. Probamos vectores físicos con pretexto como el tailgating (colarse tras un empleado que abre la puerta), la suplantación de un proveedor o técnico y el abandono de dispositivos USB en zonas comunes. Estos vectores encajan de forma natural en ejercicios más amplios de Red Team, donde la ingeniería social es a menudo el punto de entrada.
¿Cómo medís el resultado de la campaña?
Con indicadores objetivos: tasa de entrega, de apertura y de clic sobre el señuelo, entrega de credenciales, acciones peligrosas ejecutadas y, sobre todo, la tasa de reporte al equipo de seguridad y el tiempo que se tarda en avisar. Ese último dato es el más valioso, porque mide la capacidad real de detección de tu organización, no solo su exposición.
¿Esto entrena a la plantilla o solo mide?
Ambas cosas, en ese orden. Primero medimos qué ocurre de verdad para tener una línea base honesta; después la formación llega justo donde hace falta y cala mucho mejor. La concienciación continua se sostiene en el tiempo con nuestra plataforma de riesgo humano CortexShield, que convierte los hallazgos de cada campaña en entrenamiento dirigido.
¿Dónde encaja esto dentro del portfolio de Hard2bit?
Forma parte del área de Pentesting & Red Team. La ingeniería social se integra habitualmente en ejercicios de Red Team como vector de entrada realista y complementa el hacking ético aportando la dimensión que la tecnología no cubre: el factor humano.

¿Cómo reaccionaría tu gente hoy?

Solicita una campaña controlada de ingeniería social y te decimos, con evidencias y con un marco ético, cómo responde de verdad tu organización ante un ataque real.