El servicio de soporte recibe una llamada urgente que exige el restablecimiento inmediato de la contraseña de un directivo, sin verificación de identidad y con mucha presión de tiempo. ¿Qué debe hacer el agente?
Respuesta breve
Urgencia, autoridad y omitir la verificación son presión de ingeniería social de manual dirigida a una cuenta de alto valor. El agente debe seguir el proceso de verificación de identidad definido antes de restablecer nada, y escalar si no puede satisfacerse. Restablecer a demanda, usar una «pregunta de seguridad» adivinable como el color favorito, o enviar por correo la nueva contraseña al llamante entregan todos el control de la cuenta del directivo a un atacante.
Una llamada urgente que exige el restablecimiento inmediato de la contraseña de un directivo, sin verificación y con fuerte presión de tiempo, no es un problema de atención al cliente — es un ataque de ingeniería social en curso hasta que se demuestre lo contrario. La acción correcta es seguir el procedimiento de verificación de identidad antes de restablecer nada, y escalar si no puede completarse.
Leer las señales de alerta
Los atacantes diseñan exactamente este escenario a propósito. La llamada combina varias palancas clásicas de pretexting:
- Autoridad — invocar a un alto directivo para que el agente sea reacio a decir que no.
- Urgencia / presión de tiempo — «ahora mismo, es una emergencia» para cortocircuitar la reflexión prudente.
- Un objetivo de alto valor — una cuenta de directivo, cuyo secuestro da acceso a correos, aprobaciones y la confianza necesaria para atacar a otros.
- Omitir la verificación — presionar al agente para que salte el único control que detiene el ataque.
Cuando varios de estos elementos aparecen juntos, el instinto correcto es más escrutinio, no menos.
La acción correcta
Aplique el proceso de verificación de identidad de la organización para un restablecimiento privilegiado — idealmente fuera de banda (devolver la llamada al directivo a su número conocido, verificar a través de un responsable, o usar un flujo de verificación/MFA). Si no se puede confirmar la identidad, no restablezca, y escale a seguridad, porque a un directivo legítimo pero rechazado se le puede ayudar correctamente en minutos, mientras que un atacante que tiene éxito obtiene las llaves del reino.
Por qué las demás respuestas son peligrosas
- «Restablecerla de inmediato para ayudar» es justo el fallo con el que cuenta el atacante — la disposición a ayudar convertida en arma.
- «Pedir el color favorito del directivo» es teatro: una «respuesta» adivinable, localizable públicamente o simplemente aportada por el atacante no verifica nada.
- «Restablecer y enviar la nueva contraseña por correo al llamante» entrega la credencial directamente al atacante — quizá la peor opción, ya que completa el secuestro de la cuenta.
El entrevistador comprueba que un analista junior sabe reconocer una urgencia fabricada, mantener la línea en la verificación y escalar en lugar de ceder bajo presión.
Posibles preguntas de seguimiento
- ¿Qué técnicas concretas de pretexting usa el llamante aquí, y cómo las nombraría?
- ¿Cómo sería un buen paso de verificación fuera de banda para el restablecimiento de una cuenta privilegiada?
- ¿Cuándo debe el agente de soporte escalar a seguridad, y qué debe reportar?