La ingeniería social es el vector de acceso inicial más frecuente y el que menos depende de vulnerabilidades técnicas. Este tema conecta cuatro dominios del vault: las técnicas ofensivas (técnicas de ingeniería social), la inteligencia sobre credenciales comprometidas (infostealer monitoring), los mecanismos de detección y mitigación (detección de ataques comunes), y las prácticas de OPSEC que reducen la superficie de ataque humana.

El atacante recopila información usando OSINT: redes sociales, data brokers, LinkedIn, registros públicos. Las notas de scoring VIP muestran cómo cuantificar la exposición de ejecutivos. A mayor huella digital, mayor probabilidad de un ataque dirigido (spearphishing).

Las técnicas cubiertas en ceh-09-social-engineering abarcan: phishing (email), vishing (voz), smishing (SMS), pretexting, baiting, tailgating y quid pro quo. El plan-ejercicio-vishing documenta cómo simular estos ataques en un contexto de red team.

El caso real de Marks & Spencer / Scattered Spider demuestra la eficacia operativa: un grupo atacante usó ingeniería social para comprometer el helpdesk de IT, obtener credenciales privilegiadas y desplegar ransomware DragonForce. El vector no fue técnico — fue humano.

Una vez comprometidas las credenciales, entran en el circuito de infostealers: malware que roba cookies de sesión, tokens de autenticación y contraseñas almacenadas. Estos datos aparecen en mercados darknet y paste sites, cerrando el ciclo entre ingeniería social → compromiso → monetización.

El use case de phishing intelligence establece el proceso operativo para detectar campañas de phishing dirigidas a la organización: monitorización de dominios typosquatting, análisis de kits de phishing, y correlación con CTI feeds.

detection-mitigation-common-attacks cubre las técnicas de detección para phishing, spear-phishing y ataques de credenciales: reglas SIEM, correlación de eventos, y análisis de comportamiento anómalo (UEBA). Los playbooks de ciberseguridad proporcionan procedimientos de respuesta alineados con CISA.

El manual corporativo de OPSEC y la guía Carrefour establecen las contramedidas organizacionales: gestión de credenciales con gestor de contraseñas, 2FA/MFA obligatorio, cifrado de comunicaciones, eliminación de datos en brokers, y formación continua con simulacros trimestrales de phishing.