9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

5 cosas que debes saber sobre la

Ingeniería Social

La Ingeniería Social juega un papel importante en los

ciberataques, sin importar cuán grandes sean. Esta
guía evalúa cómo repercute en usuarios y empresas.

La Ingeniería Social tiene un papel fundamental en una

gran cantidad de ciberataques, más allá de lo grande,
pequeño o sofisticado que sea el crimen. De hecho,
como ya observó el investigador senior de ESET David
Harley en alguna ocasión anterior, siempre se ha
mantenido como “una constante a lo largo de toda la
historia de la seguridad de Internet”.

Pero, ¿qué es exactamente? En su sentido más amplio, la

Ingeniería Social se basa en la manipulación
psicológica, es decir, intenta lograr que las demás
personas hagan las cosas que uno quiere que hagan. Por
ejemplo, podrías manipular a un policía de tránsito para
evitar pagar la multa de un vehículo mal estacionado, o
adular a tu empleador para obtener un aumento salarial.

En el contexto del crimen cibernético, es ampliamente

descrita como un método no técnico utilizado por los
cibercriminales para obtener información, realizar
https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 1/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

fraudes u obtener acceso ilegítimo a los equipos de

las víctimas. La Ingeniería Social se basa en la interacción
humana y está impulsada por personas que usan el
engaño con el fin de violar los procedimientos de
seguridad que normalmente deberían haber seguido.

La Ingeniería Social se basa en la

manipulación psicológica

Los ataques de Ingeniería Social comunes incluyen

correos electrónicos de phishing, vishing (llamadas
telefónicas de personas que se hacen pasar por una
organización respetada) y baiting (del inglés “carnada”,
donde el atacante carga unidades de USB con malware y
luego simplemente espera que el usuario las conecte a
su máquina).

La Ingeniería Social también se extiende a las búsquedas

de empresas y de amigos en LinkedIn y Facebook
respectivamente, donde los criminales utilizan las redes
sociales para generar confianza y obtener datos. Con
bastante frecuencia, el resultado final es la extorsión o el
robo.

Esto incluye la práctica de robar algo pequeño para

despistar y luego poder robar algo más grande, y la
práctica de ingresar ilícitamente a zonas seguras
aprovechando la entrada de otra persona con permiso
de acceso. Hace poco, en el Reino Unido, un estafador
utilizó Ingeniería Social durante su condena para escapar
https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 2/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

de prisión. Usó un teléfono móvil ilícito para crear una

cuenta de correo electrónico falsa, se hizo pasar por un
empleado de la suprema corte y luego envió sus
“instrucciones de libertad bajo fianza” a los funcionarios
de la prisión. Lo liberaron por error, pero más tarde se
entregó.

Los cibercriminales utilizan estos tipos de ataques por

diversos motivos, como ya explicamos. No cabe duda de
que es un arma eficaz, que les permite robar
credenciales privilegiadas, infectar a las personas con
malware e incluso asustarlas con un scareware inútil y
peligroso para que hagan un pago. La mayor parte del
tiempo, su objetivo final es robar dinero y datos, o
asumir la identidad de la víctima.

Es fácil de hacer y tiene un bajo costo: el reconocido

consultor de seguridad Kevin Mitnick una vez dijo que
era más fácil engañar a alguien para que dé su
contraseña de ingreso a un sistema que hacer el esfuerzo
para hackearlo.

Con todo esto en mente, a continuación mencionamos

cinco aspectos que debes conocer sobre la Ingeniería
Social.

1. Es física y digital

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 3/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

La Ingeniería Social es una antigua estafa que se

manifiesta en todos los ámbitos de la vida, por lo que
sería un error pensar que se trata de algo nuevo o que
solo se ve en el mundo online.

De hecho, se ha utilizado en el mundo físico desde hace

muchísimo tiempo. Hay numerosos ejemplos de
delincuentes que se hicieron pasar por jefes del cuartel
de bomberos, técnicos, exterminadores y personal de
limpieza, con el único propósito deentrar en el edificio
de una empresadeterminada y robar secretos
corporativos o dinero.

Recién mucho más tarde, en algún momento de la

década de 1990, el vishing se hizo popular, seguido por
el correo electrónico de phishing.

2. Su calidad es muy variable

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 4/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

La calidad de las estafas varía ampliamente. Por cada

ingeniero social sofisticado que envía correos
electrónicos de phishing iguales a los auténticos o que
hace llamadas de vishing, habrá muchos otros que
hablan mal el idioma, que tienen argumentos sin lógica e
información confusa.

Probablemente ya te hayas cruzado con una serie de

estos personajes: en los correos electrónicos dudosos de
un “banco nigeriano”, o en los que aseguran que ganaste
la lotería en otro país: hay muchos ejemplos de intentos
lamentables de fraude.

3. Los países también la usan

En un nivel mucho más elevado, los estados-nación están

participando activamente en campañas de Ingeniería
Social, o al menos las usan como parte de ataques
mucho más sofisticados: las amenazas persistentes
avanzadas (APT). Este tipo de espionaje online cumple
un rol importante en los esfuerzos cibernéticos de países
como los Estados Unidos y China, como lo reveló una
publicación de Wired.

“Mientras que el término APT sugiere el uso de

tecnología maliciosa sofisticada, los ataques APT a
menudo se basan en la antigua táctica de Ingeniería
Social con el fin de logar la introducción inicial en un
sistema,” comentó Harley recientemente.

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 5/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

“Cuando el objetivo del intruso es el fraude o el

espionaje, preferentemente ataca el sistema de personas
con un puesto alto dentro la organización, de modo de
tener acceso a datos confidenciales”.

4. Es probable que no te des cuenta del

ataque

Lo más preocupante acerca de los ataques de este tipo

es que no hay una advertencia inmediata, no hay
ninguna señal clara de que te están atacando o de que
tu equipo fue infectado. No aparece ninguna ventana
emergente pidiendo bitcoins (como con CryptoLocker y
otros tipos de ransomware), ni un anuncio de scareware
que intenta convencerte para que descargues una
aplicación o para que llames a un centro de servicio
técnico.

La mayor parte del tiempo, los delincuentes llevan a cabo

su ataque, roban los datos que buscan y luego
desaparecen. Y si se trata de robo de datos,
probablemente nunca te enteres de la infección, y
mucho menos si tus datos se están vendiendo
ilegalmente en la Dark Web.

5. Se enfoca principalmente en las empresas

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 6/7
9/6/2018 5 cosas que debes saber sobre la Ingeniería Social

La Ingeniería Social afecta a todos, pero los estafadores

la utilizan cada vez más para atacar las grandes
corporaciones y las PyME: 2014 se describió como el año
en que los cibercriminales pasaron al sector empresarial.

Un informe de la industria de principios de 2015 reveló

que se está usando la Ingeniería Social para atacar
específicamente a los mandos medios y altos ejecutivos.
La razón es porque son como una “mina de oro”, explicó
en aquel entonces Richard De Vere, consultor de
Ingeniería Social y pentester en The AntiSocial Engineer
Limited.

“Si estás preparando un correo electrónico de phishing,

LinkedIn es una mina de oro de donde puedes sacar los
datos de los mandos medios y altos ejecutivos”, le dijo
a SC Magazine. “Las herramientas automatizadas pueden
hacer rápidamente una lista de cientos de direcciones de

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/ 7/7