El fraude de ingeniería social combina manipulación psicológica con técnicas digitales cada vez más sofisticadas. Según Feedzai, este tipo de estafas afecta a consumidores y empresas a gran escala, utilizando métodos que apuntan tanto a emociones humanas como a tecnologías de uso cotidiano en las que los usuarios confían. Su propósito es inducir a las víctimas a entregar información confidencial o transferir dinero, algo cada vez más factible cuando las comunicaciones fraudulentas se confunden con las legítimas.

Métodos principales de ataque

Los delincuentes emplean modalidades que buscan explotar la confianza de las víctimas:

Phishing (suplantación de identidad digital): correos o mensajes que simulan provenir de fuentes legítimas.

Spear phishing (phishing dirigido): ataques que se concentran en individuos específicos dentro de empresas, a menudo con autoridad para aprobar pagos.

Smishing (phishing por SMS) y vishing (phishing por voz): estafas a través de mensajes de texto o llamadas telefónicas que suplantan a autoridades o proveedores de servicios.

Business Email Compromise (BEC) (compromiso del correo corporativo) y clone phishing(phishing clonado): correos que imitan a ejecutivos o replican mensajes de bancos y comercios, con el objetivo de inducir pagos o robar credenciales, incluso contraseñas de un solo uso (OTPs).

Pretexting (engaño por pretexto) y water-holing (infección de sitios frecuentados): escenarios ficticios o sitios web manipulados que inducen a compartir información sensible o instalar malware.

Impacto de la IA generativa

La irrupción de la IA generativa ha incrementado la escala y realismo de los fraudes:

• Phishing amplificado: modelos de lenguaje redactan mensajes libres de errores gramaticales y ortográficos, capaces de imitar la voz y el tono de un ejecutivo senior a partir de información pública.
• Agentes automáticos: recopilan datos de redes sociales, sitios web públicos y la dark web para diseñar ataques personalizados y masivos.
• Deepfakes y voice cloning: técnicas que permiten suplantar identidades de forma casi indetectable, en algunos casos en tiempo real.
• FraudGPT: programas diseñados específicamente para elaborar mensajes y campañas fraudulentas.

Ciclo de manipulación psicológica

Los estafadores siguen un patrón psicológico repetido de cuatro fases que les permite ganarse la confianza de la víctima y llevarla a ceder información o dinero:

• Establecer autoridad y confianza.
• Generar urgencia con una emergencia falsa.
• Ofrecer ayuda aparente a cambio de dinero o información.
• Mantener la manipulación hasta lograr la transferencia o el acceso.

Medidas de defensa en la banca

Aunque el análisis se centra en instituciones financieras, varias de estas medidas pueden ser relevantes también para empresas de otros sectores:

• Identificar patrones de comportamiento normal de los clientes y detectar anomalías.
• Incorporar biometría conductual que analice interacciones digitales.
• Procesar datos en tiempo real con apoyo de IA y machine learning.
• Colaborar mediante consorcios de datos para anticipar tendencias.
• Ampliar el Scam Kill Chain (cadena de interrupción de la estafa) con alertas y capacitación “justo a tiempo”, por ejemplo al detectar transferencias inusuales hacia cuentas de inversión.

El fraude de ingeniería social ha evolucionado desde esquemas rudimentarios hasta ataques personalizados que explotan tanto emociones como tecnologías de uso cotidiano. La respuesta más eficaz para las entidades financieras es anticipar estos riesgos mediante el análisis granular de datos y la protección activa de la confianza de sus clientes.

Encontrará el artículo completo en el siguiente enlace (podría ser necesaria una suscripción):

Dan Holmes, Understanding Social Engineering Fraud: From Psychological Traps to AI-Driven Fraud, Feedzai Blog, Septiembre 10, 2025. https://www.feedzai.com/blog/what-is-social-engineering-fraud/

Feedzai es una empresa tecnológica especializada en inteligencia artificial aplicada a la prevención del fraude y al análisis de riesgos financieros.