Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for HUMINT en ciberseguridad para líderes de seguridad empresarial
Cybersecurity 101/Ciberseguridad/HUMINT en ciberseguridad

HUMINT en ciberseguridad para líderes de seguridad empresarial

Los ataques HUMINT manipulan a los empleados para conceder acceso a la red, eludiendo por completo los controles técnicos. Aprenda a defenderse contra la ingeniería social y las amenazas internas.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es HUMINT?
HUMINT vs. Otros Tipos de Inteligencia
Cómo se Relaciona HUMINT con la Ciberseguridad
Técnicas y Métodos HUMINT
Riesgos y Limitaciones de HUMINT
Cómo Funcionan los Ataques HUMINT
Ejemplos Reales de Ataques HUMINT
Por Qué Tienen Éxito los Ataques HUMINT
Desafíos para Defenderse de HUMINT
Errores Comunes al Defenderse de HUMINT
Mejores Prácticas para Defenderse de HUMINT
Puntos Clave

Entradas relacionadas

  • Gestión de Derechos Digitales: Una Guía Práctica para CISOs
  • ¿Qué es la seguridad de Remote Monitoring and Management (RMM)?
  • Protocolo de Resolución de Direcciones: Función, Tipos y Seguridad
  • Ciberseguridad para la fabricación: riesgos, mejores prácticas y marcos de referencia
Autor: SentinelOne | Revisor: Jeremy Goldstein
Actualizado: February 18, 2026

¿Qué es HUMINT?

Los atacantes que utilizan credenciales legítimas eluden toda su pila de seguridad. Según el aviso conjunto del FBI/CISA sobre el grupo de actores de amenazas Scattered Spider, demuestran técnicas avanzadas de Inteligencia Humana (HUMINT) al manipular a trabajadores del servicio de asistencia técnica de TI para que entreguen credenciales. Esto hace que los firewalls, EDR y la segmentación de red sean irrelevantes.

La Inteligencia Humana (HUMINT) en ciberseguridad representa la explotación sistemática del comportamiento humano, las relaciones de confianza y las dinámicas sociales para comprometer la seguridad empresarial. Aunque el término se originó en contextos militares y de inteligencia, ahora describe ataques dirigidos al elemento humano. Según la guía de CISA, los ataques de ingeniería social utilizan "la interacción humana (habilidades sociales) para obtener o comprometer información sobre una organización o sus sistemas informáticos".

Los ataques basados en HUMINT tienen éxito porque eluden todos los controles técnicos implementados. Su firewall, protección de endpoints y la segmentación de red se vuelven irrelevantes cuando los atacantes manipulan a las personas para que otorguen acceso voluntariamente. No explotan vulnerabilidades de software. Explotan la confianza, la autoridad, la urgencia y el deseo inherente de ser útil.

Según el  DBIR 2024 de Verizon, las credenciales robadas siguen siendo el método de acceso inicial más común, utilizado en el 22% de las brechas. Cuando se combinan estos métodos de ataque dirigidos a personas: ingeniería social, intrusión en sistemas y ataques básicos a aplicaciones web representan la mayoría de las brechas en diferentes sectores industriales.

Para entender por qué HUMINT requiere defensas diferentes a los ataques técnicos, los equipos de seguridad deben primero distinguirlo de otras disciplinas de inteligencia.

HUMINT - Featured Image | SentinelOne

HUMINT vs. Otros Tipos de Inteligencia

Los equipos de seguridad se enfrentan a múltiples disciplinas de inteligencia, cada una dirigida a diferentes vectores de ataque. Comprender dónde encaja HUMINT aclara por qué requiere enfoques defensivos distintos.

  • OSINT (Open Source Intelligence) recopila información disponible públicamente de redes sociales, sitios web corporativos, ofertas de empleo y registros públicos. Los atacantes utilizan OSINT para investigar objetivos antes de lanzar operaciones HUMINT. Mientras que la recopilación de OSINT ocurre de forma pasiva, HUMINT requiere la participación activa de personas.
  • SIGINT (Signals Intelligence) intercepta comunicaciones electrónicas y tráfico de red. Los controles técnicos como la cifrado y la monitorización de red defienden contra SIGINT. HUMINT elude completamente estos controles al manipular a las personas para que proporcionen acceso voluntariamente.
  • TECHINT (Technical Intelligence) analiza malware, exploits e indicadores técnicos de compromiso. Las herramientas de seguridad destacan en la detección de ataques basados en TECHINT mediante firmas y patrones de comportamiento. Los ataques HUMINT que utilizan credenciales legítimas no generan indicadores técnicos maliciosos.

La distinción crítica: SIGINT y TECHINT se dirigen a sistemas y flujos de datos. HUMINT se dirige a las personas. Cuando los atacantes obtienen credenciales mediante ingeniería social, se autentican como usuarios legítimos. Su SIEM ve actividad de inicio de sesión normal. Su EDR ve procesos autorizados. Su firewall ve tráfico permitido. El ataque se vuelve invisible para la detección técnica porque no ocurrió un ataque técnico.

Esta invisibilidad explica por qué los programas tradicionales de ciberseguridad tienen dificultades frente a amenazas HUMINT.

Cómo se Relaciona HUMINT con la Ciberseguridad

Los programas de ciberseguridad suelen centrarse en vulnerabilidades técnicas: sistemas sin parches, firewalls mal configurados, firmas de malware y anomalías de red. HUMINT invierte este modelo. En lugar de explotar el código, los atacantes explotan la psicología. En lugar de buscar números de CVE, buscan organigramas en LinkedIn. En lugar de escanear puertos, elaboran escenarios de pretexting dirigidos a individuos específicos.

HUMINT ataca a las organizaciones a través de tres categorías principales de ataque en entornos empresariales:

  • Ataques de ingeniería social manipulan a los empleados para que revelen credenciales, aprueben transacciones fraudulentas o ejecuten acciones maliciosas mediante manipulación psicológica.
  • Amenazas internas explotan el acceso autorizado cuando empleados actuales o anteriores, contratistas o socios comerciales comprometen la seguridad de forma deliberada o involuntaria.
  • Operaciones de reconocimiento y selección de objetivos implican que grupos APT realicen recopilación sistemática de inteligencia para identificar objetivos óptimos, mapear relaciones de confianza y desarrollar escenarios de ataque personalizados.

Según la  investigación del Ponemon Institute 2025, el 45% de todas las brechas de datos son causadas por amenazas internas, con un coste medio por incidente de 2,7 millones de dólares por brecha. La misma investigación revela que el 60% de las organizaciones no pueden detectar eficazmente las amenazas internas, creando una brecha que los grupos APT y los atacantes motivados financieramente explotan sistemáticamente.

Los atacantes explotan estas brechas utilizando técnicas específicas que los equipos de seguridad deben reconocer.

Técnicas y Métodos HUMINT

Los ataques HUMINT operan mediante una metodología sistemática que combina reconocimiento, manipulación psicológica y explotación técnica. Según la guía fundamental de CISA, estos ataques implican "la interacción humana (habilidades sociales) para obtener o comprometer información sobre una organización o sus sistemas informáticos". Comprender estos componentes ayuda a identificar dónde existen brechas defensivas, especialmente en  análisis de comportamiento, concienciación en seguridad y capacidades de detección de amenazas internas.

  • Recopilación de inteligencia de fuentes abiertas (OSINT) forma la base. Los atacantes perfilan organizaciones mediante información pública: nombres y roles de empleados en LinkedIn, estructura organizativa en sitios web corporativos, detalles de la pila tecnológica en ofertas de empleo y relaciones comerciales en comunicados de prensa.
  • Técnicas de elicitación extraen información a través de conversaciones aparentemente inocuas. Ingenieros sociales expertos involucran a los objetivos en diálogos casuales, recopilando gradualmente fragmentos de inteligencia que se combinan en rutas de acceso completas.
  • Reclutamiento y explotación de insiders se dirige a empleados con acceso autorizado. La  guía de CISA define las amenazas internas como situaciones en las que "un insider utilizará su acceso autorizado, intencionada o involuntariamente, para dañar la misión, recursos, personal, instalaciones, información, equipos, redes o sistemas del departamento".
  • Abuso de relaciones de confianza explota asociaciones comerciales y conexiones de la cadena de suministro mediante ingeniería social dirigida y pretexting. Los atacantes comprometen a proveedores, socios o contratistas de confianza utilizando  spear-phishing y  robo de credenciales dirigido para obtener acceso indirecto.

Estas técnicas se combinan en secuencias de ataque estructuradas que siguen fases predecibles.

Riesgos y Limitaciones de HUMINT

Los ataques HUMINT no garantizan el éxito. Comprender sus limitaciones ayuda a los equipos de seguridad a priorizar defensas y reconocer cuándo los ataques fallan o se detienen.

  • La imprevisibilidad humana crea riesgo operativo para los atacantes. A diferencia de los exploits de software que funcionan de manera consistente contra sistemas vulnerables, el éxito de HUMINT depende de las respuestas individuales. Los empleados pueden sospechar, reportar solicitudes inusuales o simplemente negarse a cumplir. Un solo empleado alerta puede exponer toda una operación.
  • Los ataques HUMINT requieren una inversión significativa de tiempo. Una ingeniería social efectiva exige un reconocimiento extenso, construcción de relaciones y desarrollo de pretextos. A diferencia de los ataques automatizados que escalan al instante, las operaciones HUMINT suelen tardar semanas o meses en ejecutarse contra un solo objetivo. Esta inversión de tiempo limita cuántas organizaciones pueden ser atacadas simultáneamente.
  • Los riesgos de atribución y exposición disuaden a algunos actores de amenazas. Las operaciones HUMINT implican contacto humano directo, creando oportunidades de identificación. Las llamadas telefónicas pueden grabarse, los correos electrónicos conservan metadatos y los acercamientos en persona arriesgan la identificación física. Los grupos patrocinados por estados y criminales sofisticados aceptan estos riesgos, pero los atacantes menos capacitados suelen evitar HUMINT en favor de métodos puramente técnicos.
  • La cultura de seguridad organizacional impacta directamente en las tasas de éxito. Las empresas con sólidos programas de concienciación en seguridad, procedimientos claros de escalamiento y culturas que recompensan el reporte de actividades sospechosas reducen significativamente las tasas de éxito de HUMINT. Cuando los empleados se sienten empoderados para cuestionar solicitudes inusuales sin temor a represalias, la ingeniería social se vuelve mucho más difícil.
  • Los intentos fallidos alertan a los defensores. A diferencia del reconocimiento pasivo o el escaneo automatizado, los intentos fallidos de HUMINT suelen dejar evidencia. Los correos electrónicos de phishing reportados, llamadas telefónicas marcadas y solicitudes sospechosas de credenciales crean inteligencia que los equipos de seguridad pueden usar para identificar campañas en curso y fortalecer las defensas.

A pesar de estas limitaciones, los atacantes siguen invirtiendo en HUMINT porque las técnicas siguen siendo altamente efectivas contra organizaciones no preparadas.

Cómo Funcionan los Ataques HUMINT

Los ataques HUMINT siguen flujos de trabajo operativos predecibles, aunque la sofisticación de la ejecución varía según las capacidades del adversario y el valor del objetivo.

  1. Selección de objetivos y reconocimiento comienza semanas o meses antes del compromiso. Los grupos APT identifican sistemáticamente organizaciones con propiedad intelectual valiosa, sistemas financieros o inteligencia estratégica, analizando información pública para comprender la estructura organizativa e identificar personal clave.
  2. Identificación de rutas de acceso mapea el terreno humano para encontrar los puntos de entrada óptimos. Los atacantes identifican empleados con privilegios de acceso necesarios, baja concienciación en seguridad, patrones de comportamiento predecibles o circunstancias personales que crean vulnerabilidad.
  3. Desarrollo y prueba de pretextos crea escenarios creíbles adaptados a objetivos específicos. Según investigaciones del SANS Institute, los actores de amenazas elaboran escenarios que explotan la autoridad, la urgencia, el miedo o la disposición a ayudar.
  4. Contacto inicial y manipulación ejecuta el ataque de ingeniería social mediante correos electrónicos de spear-phishing, llamadas telefónicas utilizando el reconocimiento recopilado, intentos de acceso físico o mensajes SMS que parecen provenir de fuentes confiables.
  5. Captura y validación de credenciales recolecta información de autenticación y verifica el acceso. Los atacantes validan que las credenciales robadas proporcionan los niveles de acceso esperados y comienzan a mapear los sistemas internos.
  6. Persistencia y movimiento lateral establece acceso sostenido y expande el control. Una vez dentro de la red utilizando credenciales legítimas, los atacantes aparecen como usuarios autorizados para la mayoría de las herramientas de seguridad mientras crean métodos de acceso de respaldo y escalan privilegios.

Estos patrones operativos aparecen de manera consistente en incidentes documentados que afectan a empresas en todo el mundo.

Ejemplos Reales de Ataques HUMINT

Las brechas de alto perfil demuestran cómo las técnicas HUMINT eluden las inversiones en seguridad técnica.

  • MGM Resorts (2023): Scattered Spider llamó al servicio de asistencia técnica de TI de MGM, se hizo pasar por un empleado encontrado en LinkedIn y convenció al operador para restablecer credenciales. Esta sola llamada telefónica condujo al despliegue de ransomware, apagones de sistemas en propiedades de Las Vegas y pérdidas estimadas en más de 100 millones de dólares. Los atacantes investigaron su objetivo mediante OSINT, desarrollaron un pretexto convincente y explotaron el deseo de ayudar del servicio de asistencia técnica.
  • Twitter (2020): Los atacantes utilizaron ingeniería social telefónica para comprometer credenciales de empleados y luego accedieron a herramientas internas para secuestrar cuentas de alto perfil, incluyendo Elon Musk, Barack Obama y Apple. El ataque obtuvo más de 100.000 dólares en Bitcoin a través de publicaciones fraudulentas. Los controles técnicos fallaron porque los atacantes utilizaron acceso legítimo de empleados obtenido mediante manipulación.
  • Ubiquiti Networks (2015): Los atacantes se hicieron pasar por ejecutivos y abogados externos mediante correos electrónicos falsificados, convenciendo a empleados de finanzas para transferir 46,7 millones de dólares a cuentas en el extranjero controladas por los atacantes. Este ataque de Business Email Compromise (BEC) no requirió malware, intrusión en la red ni explotación técnica.

Cada incidente comparte elementos comunes: reconocimiento extenso, pretexting creíble, explotación de la confianza y la autoridad, y uso de rutas de acceso legítimas que los controles técnicos no pueden distinguir de las operaciones normales. Comprender por qué estos patrones tienen éxito de manera consistente revela las brechas fundamentales en los enfoques de seguridad tradicionales.

Por Qué Tienen Éxito los Ataques HUMINT

Los ataques basados en HUMINT dominan el panorama de amenazas porque explotan supuestos arquitectónicos fundamentales en la seguridad empresarial mientras operan en los puntos ciegos de los defensores. Según el DBIR 2024 de Verizon, la mayoría de las brechas involucran ingeniería social, intrusión en sistemas o ataques básicos a aplicaciones web. Las herramientas de seguridad están diseñadas arquitectónicamente para detectar desviaciones técnicas en lugar de manipulación psicológica.

Según el  informe SANS 2025, el 80% de las organizaciones ahora clasifican la ingeniería social como su principal riesgo relacionado con el factor humano, sin embargo, la investigación de Ponemon informa que muchas organizaciones tienen dificultades para detectar eficazmente las amenazas internas.

  • Las credenciales legítimas eluden los controles técnicos. Cuando los atacantes utilizan credenciales obtenidas válidamente mediante phishing, ingeniería social o robo interno, aparecen como usuarios autorizados. La seguridad perimetral, los sistemas de prevención de intrusiones y la protección de endpoints no pueden diferenciar entre el uso legítimo de credenciales y los atacantes que las utilizan hasta que surgen indicadores después del compromiso.
  • La psicología humana sigue siendo consistentemente explotable. Las vulnerabilidades técnicas se corrigen. Las tendencias psicológicas humanas, incluyendo la autoridad, la urgencia, el miedo, la confianza y la reciprocidad, persisten en todos los contextos organizativos. Según el informe SANS 2025, la IA ahora está "potenciando" la sofisticación y escala de estos ataques.
  • El reconocimiento ocurre fuera de la visibilidad defensiva. Los grupos APT realizan la recopilación de inteligencia completamente mediante información pública, explotando el acceso autorizado durante semanas o meses antes de ser detectados.
  • La IA permite la personalización a escala. Según el DBIR 2024 de Verizon, la IA generativa ahora permite a los atacantes generar mensajes de phishing altamente convincentes a escala, lo que los hace significativamente más difíciles de detectar.
  • La expansión de identidades de máquina crea una superficie de ataque masiva. Según investigaciones del  SANS Institute, las identidades de máquina ahora superan en número a las identidades humanas de manera sustancial, y se proyecta que la IA será el mayor creador de nuevas identidades privilegiadas para 2025.

Estos factores de éxito crean desafíos defensivos específicos que los equipos de seguridad deben abordar.

Desafíos para Defenderse de HUMINT

Defenderse de ataques dirigidos a personas requiere enfoques diferentes a los programas de seguridad técnica.

  • El acceso autorizado es confiable por diseño. Las arquitecturas de seguridad asumen que los usuarios autenticados son confiables. Los ataques basados en credenciales permanecen invisibles para los controles de seguridad porque los atacantes aparecen como usuarios autorizados realizando actividades normales.
  • La colaboración interfuncional es esencial para los programas de amenazas internas. Según la  guía de CISA, los programas efectivos de amenazas internas requieren equipos interfuncionales que integren Seguridad, RRHH, Legal y Dirección. La mayoría de las empresas no establecen estas estructuras colaborativas, lo que resulta en información de amenazas fragmentada y respuestas tardías ante comportamientos preocupantes.
  • El abuso de procesos empresariales normales es indistinguible de la actividad legítima. Los ataques HUMINT tienen éxito al abusar de flujos de trabajo normales. Los atacantes explotan el correo electrónico para phishing, el intercambio de archivos para exfiltración de datos, el acceso a VPN mediante credenciales robadas y cuentas privilegiadas para abuso interno. Estas actividades reflejan operaciones legítimas, evadiendo la detección técnica.

Más allá de estos desafíos inherentes, las organizaciones a menudo agravan el problema con errores evitables.

Errores Comunes al Defenderse de HUMINT

Las empresas cometen repetidamente errores predecibles que crean brechas explotables en la seguridad de la capa humana.

  1. Dependencia exclusiva de la tecnología sin defensas centradas en las personas. Las organizaciones implementan EDR avanzados, SIEM,  arquitectura zero trust y firewalls, pero invierten poco en programas de concienciación en seguridad, análisis de comportamiento y capacidades dedicadas de amenazas internas. Cuando el informe SANS 2025 muestra que el 80% de las organizaciones clasifican la ingeniería social como su principal riesgo humano, la desconexión entre la realidad de la amenaza y la inversión defensiva se vuelve evidente.
  2. Teatro de concienciación en seguridad en lugar de medición de cambio de comportamiento. La formación anual en seguridad mide tasas de finalización en lugar de cambios reales de comportamiento. Los empleados ven videos de cumplimiento, hacen clic en módulos y olvidan inmediatamente el contenido.
  3. No distinguir entre categorías de amenazas internas. La monitorización uniforme aplicada a todos los empleados, o evitar los programas de amenazas internas por preocupaciones de privacidad, crea puntos ciegos. Según el DBIR de Verizon, se necesitan enfoques diferenciados para insiders maliciosos que explotan el acceso deliberadamente, actores descuidados que comprometen la seguridad por error y objetores de conciencia motivados por desacuerdos ideológicos.
  4. Ignorar la superficie de ataque de identidades de máquina. Los programas de IAM centrados exclusivamente en identidades humanas dejan cuentas de servicio, claves API, credenciales de contenedores e identidades de procesos autónomos proliferando sin gobernanza. La investigación de SANS revela enormes puntos ciegos que los atacantes explotan sistemáticamente.

Evitar estos errores requiere implementar marcos defensivos probados.

Mejores Prácticas para Defenderse de HUMINT

Una defensa efectiva contra ataques dirigidos a personas requiere programas integrados que sigan el marco de cuatro fases de CISA: Definir, Encontrar e Identificar, Evaluar y Gestionar. Esto combina análisis de comportamiento para detectar amenazas internas, formación en concienciación en seguridad con resultados medibles y colaboración interfuncional entre Seguridad, Recursos Humanos, Legal y Dirección.

  • Implemente programas de amenazas internas siguiendo el marco de cuatro fases de CISA. Defina qué constituye una amenaza interna en el contexto específico de su organización, reconociendo que los insiders son cualquier persona con acceso autorizado o conocimiento de los recursos organizativos. Despliegue capacidades de monitorización que integren indicadores técnicos con señales de comportamiento.
  • Implemente análisis de comportamiento que establezcan líneas base e identifiquen anomalías. Implemente plataformas de Análisis de Comportamiento de Usuarios y Entidades (UEBA) que analicen patrones de autenticación, comportamientos de acceso y secuencias de actividad para identificar desviaciones respecto a las líneas base establecidas. Por ejemplo, cuando una cuenta de usuario accede repentinamente a recursos compartidos de archivos desde una ubicación geográfica inusual a las 2 a.m., el análisis de comportamiento identifica esta desviación y alerta al equipo para investigar un posible compromiso de credenciales.
  • Establezca programas de concienciación en seguridad medibles con pruebas de comportamiento. Vaya más allá de la formación centrada en el cumplimiento hacia programas que midan el cambio real de comportamiento mediante simulaciones de phishing realistas con escenarios personalizados.
  • Implemente arquitectura zero trust con verificación continua. Según el marco de Zero Trust Architecture de ISC2, la implementación de zero trust requiere acceso de mínimo privilegio, control de acceso basado en roles,  autenticación multifactor, gestión de acceso privilegiado y monitorización continua con registro de eventos.
  • Proteja contra ataques basados en identidad dirigidos tanto a identidades humanas como de máquina. Implemente  programas de gobernanza de identidades que combinen concienciación en seguridad centrada en personas, análisis de comportamiento, programas interfuncionales de amenazas internas y monitorización continua del uso de identidades humanas y de máquina.
  • Cree equipos interfuncionales de amenazas internas que integren Seguridad, RRHH, Legal y Dirección. Según la guía de CISA, establezca estructuras formales de colaboración con roles, responsabilidades y protocolos de intercambio de información claramente definidos.

Implementar estas mejores prácticas requiere tecnología capaz de detectar anomalías de comportamiento en toda la empresa.

Ciberseguridad basada en IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos Clave

Los ataques basados en HUMINT dominan el panorama moderno de amenazas porque explotan la psicología humana y las credenciales legítimas en lugar de vulnerabilidades técnicas. Según el DBIR 2024 de Verizon, las credenciales robadas siguen siendo el método de acceso inicial más común, mientras que la investigación del Ponemon Institute 2025 confirma que muchas organizaciones tienen dificultades para detectar eficazmente las amenazas internas. Defenderse de estos ataques requiere programas integrados que combinen análisis de comportamiento, concienciación en seguridad con resultados medibles, marcos de amenazas internas, arquitectura zero trust y colaboración interfuncional. 

Cuando atacantes como Scattered Spider manipulan a trabajadores del servicio de asistencia técnica para que entreguen credenciales, el éxito defensivo depende de implementar programas integrados que detecten ataques dirigidos a personas que los controles técnicos no pueden ver.

Preguntas frecuentes

HUMINT, o inteligencia humana, en ciberseguridad se refiere a la explotación sistemática del comportamiento humano, las relaciones de confianza y la dinámica social para comprometer la seguridad empresarial. 

Aunque el término se originó en contextos militares y de inteligencia, ahora describe ataques que manipulan a los empleados para conceder acceso voluntariamente en lugar de explotar vulnerabilidades técnicas. Los ataques basados en HUMINT eluden los controles técnicos al dirigirse al elemento humano de la seguridad.

Los atacantes utilizan HUMINT mediante un proceso estructurado que combina reconocimiento, pretexting y manipulación. Comienzan recopilando información de fuentes públicas como LinkedIn, sitios web corporativos y redes sociales para identificar objetivos y construir historias de cobertura creíbles. 

Luego, los atacantes contactan a los objetivos a través de llamadas telefónicas, correos electrónicos o interacciones presenciales, haciéndose pasar por soporte de TI, ejecutivos, proveedores u otras entidades de confianza. El objetivo es manipular a los empleados para que revelen credenciales, aprueben solicitudes fraudulentas o realicen acciones que otorguen acceso no autorizado. Una vez que los atacantes obtienen credenciales legítimas, se mezclan con la actividad normal de los usuarios, lo que hace que la detección sea extremadamente difícil.

Los ciberataques tradicionales explotan vulnerabilidades técnicas en el software, los sistemas o las configuraciones de red. Los ataques basados en HUMINT explotan el comportamiento humano, las relaciones de confianza y las dinámicas sociales. Los atacantes manipulan a los empleados para que otorguen acceso voluntariamente en lugar de vulnerar las defensas técnicas. 

Esta diferencia fundamental significa que los controles de seguridad técnicos por sí solos no pueden proporcionar una defensa adecuada contra los ataques dirigidos a personas.

Según el informe DBIR de Verizon, la suplantación de identidad representa una parte significativa y en aumento de los ataques de ingeniería social. Las credenciales robadas siguen siendo el método de acceso inicial más común a través de phishing, ingeniería social y relleno de credenciales. 

Las amenazas internas representan aproximadamente el 45% de todas las filtraciones de datos, aprovechando el acceso autorizado mediante intención maliciosa o compromiso no intencionado.

La seguridad perimetral, el antivirus y muchas soluciones EDR no pueden detectar ataques basados en HUMINT debido a su arquitectura, ya que analizan indicadores técnicos en lugar de contexto conductual. Cuando los atacantes utilizan credenciales legítimas obtenidas mediante ingeniería social o acceso interno, se presentan como usuarios autorizados. 

Según el marco de amenazas internas de CISA, los programas efectivos deben implementar "tanto elementos humanos como tecnológicos", incluyendo el Análisis de Comportamiento de Usuarios y Entidades (UEBA).

Los análisis de comportamiento y los sistemas UEBA detectan amenazas internas y ataques basados en credenciales mediante la supervisión de desviaciones respecto a los patrones establecidos. Según NIST y los marcos de la industria, la supervisión debe identificar autenticaciones desde ubicaciones geográficas inusuales, acceso a sistemas fuera de los patrones normales, volúmenes inusuales de acceso o transferencia de datos e intentos de escalamiento de privilegios. 

Al analizar continuamente estos patrones de comportamiento, las organizaciones pueden identificar la compromisión de credenciales en etapas más tempranas del ciclo de vida del ataque.

Mida las capacidades del programa a través de las amenazas internas identificadas por trimestre, el tiempo medio para encontrar indicadores de comportamiento y las tasas de falsos positivos. Realice un seguimiento de la efectividad de la evaluación mediante la precisión en la categorización de amenazas y los plazos de finalización de investigaciones. 

Supervise los resultados de la gestión mediante las tasas de resolución de incidentes y el análisis de costo-beneficio, comparando con los puntos de referencia de la industria de aproximadamente $2.7 millones de costo promedio por incidente. Para concienciación en seguridad, mida la reducción en la tasa de clics en simulaciones de phishing y el aumento en la tasa de reportes de incidentes de seguridad.

Descubre más sobre Ciberseguridad

Ciberseguridad en el sector minorista: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en el sector minorista: riesgos, mejores prácticas y marcos de referencia

Descubra el papel fundamental de la ciberseguridad en la industria minorista y de comercio electrónico. Esta guía cubre las principales amenazas, marcos de protección de datos y mejores prácticas para ayudar a los minoristas a proteger la información de los clientes, garantizar el cumplimiento normativo y mantener la confianza en tiendas digitales y físicas.

Seguir leyendo
Ciberseguridad en el sector sanitario: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en el sector sanitario: riesgos, mejores prácticas y marcos de referencia

Conozca la ciberseguridad en la industria sanitaria y cómo defenderse de amenazas emergentes. Comprenda los riesgos cibernéticos en el sector sanitario, las mejores prácticas y los marcos de referencia ideales para lograr la máxima protección.

Seguir leyendo
Ciberseguridad en la educación superior: riesgos, mejores prácticas y marcos de referenciaCiberseguridad

Ciberseguridad en la educación superior: riesgos, mejores prácticas y marcos de referencia

Las universidades y centros educativos enfrentan crecientes amenazas cibernéticas a medida que los campus digitales se expanden. Esta guía explica los principales riesgos, estrategias de protección comprobadas y marcos clave que fortalecen la ciberseguridad en la educación superior.

Seguir leyendo
Análisis forense digital: definición y mejores prácticasCiberseguridad

Análisis forense digital: definición y mejores prácticas

La informática forense protege los datos sensibles mediante el análisis de evidencia electrónica para defenderse de los ciberataques. Conozca sus objetivos, procesos, mejores prácticas, herramientas y cómo la IA y la cadena de bloques mejoran las investigaciones en la actualidad.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español