Ingeniería

social

Cibercrimen

1
Ingeniería social
En el presente módulo, el alumno va a poder estudiar la incidencia de los
datos personales en la ingeniería social, social media y marketing digital. Es
importante que tengas en cuenta diferentes cuestiones normativas y, por
otro lado, cómo la comunicación no verbal puede brindarnos datos de
usuarios sin que ellos sepan.

Cómo repercuten los datos personales desde la

ingeniería social, social media y marketing digital
En este apartado podremos analizar los distintos escenarios en que pueden
repercutir los datos personales desde diferentes ámbitos, sea en ingeniería
social, social media o marketing digital. Es por ello que en cada una
estudiaremos las distintas formas en que se colectan los datos y podremos
ver en qué casos se está dentro de la norma o no. Para ello, comenzaremos
viendo, como primer tema, la ingeniería social y luego los siguientes temas.

Ingeniería social

Como venimos hablando sobre los datos personales, hemos dicho que son
clave a la hora de su resguardo; ello, teniendo en cuenta que la ley protege
a toda persona determinada o determinable y a sus datos sensibles e
informatizados. Esto implica que numerosos organismos y empresas sean
responsables de dicha protección.

Pero ¿qué pasa cuando cumplimos con la norma, somos responsables de

datos de terceros, tenemos el consentimiento del usuario final y hay
personas que buscan hacerse de estos datos confidenciales a través del uso
de herramientas como la ingeniería social? Para empezar, podemos decir
en líneas generales que es el arte de influenciar sobre una o varias
personas. Esto significa que es una herramienta que algunos ejercen sobre
el resto, lo cual puede verse en distintos casos. Uno de ellos ocurre cuando
el contador le sugiere al cliente determinada estrategia contable y así
obtiene sus datos fiscales sensibles. Esta influencia para obtener los datos y
lograr realizar determinada operación es netamente legímita, ya que su
cliente busca que el profesional que contrató haga lo mejor para estar
acorde a la norma y al fisco. Por otro lado, la influencia puede venir desde
los ciberdelincuentes para obtener información sensible que pueda
ocasionar varios perjuicios.

2
Entre las técnicas de manipulación que pueden verse reflejadas a través de
este tipo de arte, tenemos: phishing, smishing y vishing o suplantación de
identidad (Social Engineer, Inc., s. f., https://goo.gl/wi785m). Lo importante
aquí es poder distinguir entre el buen uso, es decir, utilizar esos datos
responsablemente para determinado caso, y el mal uso, que está
destinado a lograr ventaja de las debilidades con que cuenta la víctima.

Según un gran hacker conocido en el mundo, Kevin Mitnik, todos tenemos

la capacidad de colaborar con el otro, y este es el primer movimiento de
confianza. Por otro lado, también juega un factor psicológico importante:
no nos gusta decir que no y, por sobre todas las cosas, al ser humano le
gusta que lo elogien constantemente. Por todo ello, es importante conocer
las fases de la Ingenieria Social1:

 Recolectar información.
 Incrementar el vínculo.
 Aprovechamiento de la conexión con la víctima.
 Llevar a cabo la maniobra a fin de lograr el cometido.

Como se puede ver, cada una de estas fases tiene una función determinada
dentro del proceso, es decir, conlleva cumplir cada una en un espacio de
tiempo determinado para poder lograr el cometido. Veámoslo en un
ejemplo:

Primero, se comenzaría por obtener información de un objetivo

determinado a través de llamados, mails o fuentes abiertas de recolección
de información. Luego de esto, se accedería al objetivo. Ya sea
presentándose como consultor o de otra manera, se procedería a
incrementar la confianza con la víctima. Una vez que se llegue a una mayor
cercanía en cuestiones íntimas, será el momento de poner en acción la
búsqueda de la información sensible que esta posea y que sirva para el
interés final. Una vez que se logre obtener la información, se logrará
cualquier objetivo.

Con base en este simple ejemplo, se observa cómo, a través de un proceso

–que puede llevar días, semanas, meses o años–, se puede lograr obtener
información personal, sensible o informatizada de una o varias personas. Es
decir, estamos hablando de datos que son clave y que se encuentran
dentro de la esfera de la intimidad de la persona.

Siguiendo con el estudio, debemos entender que este tipo de técnicas

existen y son de las que los ciberdelincuentes se sirven para poder lograr
sus objetivos, es decir, al aprovecharse de las debilidades de los seres

1 (Undercode, 2017). “Etapas de una estrategia de Ingeniería social” Url: https://goo.gl/auzk5g

3
humanos. En efecto, debemos tener presente cuáles son las herramientas
que utilizan, que encontraremos en todo ciberdelito:

 Phishing: práctica de manipulación que consiste en el envío de correos

electrónicos que simulan originarse en fuentes de buena reputación
con el objetivo de influir u obtener información personal de la víctima.
Hoy en día es uno de los grandes problemas que se deben
contrarrestar, ya que se mueven millones de dólares (ver Figura 1).
 Smishing: práctica de manipulación que consiste en el envío de
mensajes de texto que simulan originarse en números de personas
reales y de buena reputación, con el objetivo de influir u obtener
información personal de la víctima.
 Vishing: es una práctica que tiene como fin obtener información o
pretender influir en la acción a través del uso telefónico.
 Suplantación de identidad: es la habilidad de simular ser otra persona
con el objetivo de obtener información o acceso a una persona,
empresa o sistema informático.

Figura 1: Métodos de ingeniería social

Fuente: Social Engineer, Inc., 2014, https://goo.gl/o84unt

En conclusión, como pudemos ver, hay diferentes herramientas de las que

se sirven los delincuentes para obtener los datos personales de empresas,
gobiernos y personas.

4
Social media, medios sociales, redes sociales

En lo que respecta a la temática que a continuación nos compete, debemos

resaltar cómo el social media o redes sociales de comunicación influye en
los datos íntimos de las personas o grupo de ellas. ¿Cuántas veces
queremos ingresar a una red social y simplemente abrimos una cuenta
haciendo doble clic sin leer los términos y condiciones? ¿Sabemos a qué
edad podemos abrir una cuenta, quién es el dueño de la información,
donde está alojada, si hay cesión o renuncia a mis datos, si tenemos un
problema legal o qué tribual y ante qué jurisdicción será posible realizar
alguna presentación? Como podemos ver, la incidencia de los datos es
clave en las redes sociales, ya que estas se alimentan de los que los
usuarios les proporcionan. Es decir, que cada día compartimos nuestros
datos personales en diversas tecnologías de la información y cada vez su
crecimiento va en aumento considerablemente.

Con estos detalles, debemos hacer mención a diferentes teorías que

coexisten dentro del mundo de las conexiones y que hacen que nuestros
datos dejen de ser personales y sean compartidos por millones de
personas, gracias a que los porpios usuarios los suministran.

Primero, contamos con la teoría de los 6 grados de separación, que es una

hipótesis que intenta probar que cualquier persona en el planeta tierra se
encuentra conectado a cualquier otra persona a través de una cadena de
conocidos que no tiene más de cinco intermediarios (es decir, 6 enlaces
entre ambos) (Porras, 2008). Esta teoría surge en 1930, a través del escritor
húngaro Frigys Karinthy, y luego a través del psicólogo social Stanley
Milgram (1967). Su finalidad es demostrar que el número de conocidos
crece con la cantidad de enlaces que posee la cadena (ver Figura 2). Esto
significará que para llegar a una figura o persona determinada contamos
con 5 intermediarios desde cada uno de nosotros, ya que se incluyen
amigos, familiares, colegas de trabajo. Si trasladamos esto a una red de
redes de usuarios, es decir, a una red social, podemos inferir que la
posibilidad de obtener información o de que obtengan información nuestra
es grandísima. A su vez, la mencionada teoría cuenta con diferentes niveles
de separación:

 1.er nivel: 100.

 2.do nivel: 10.000.
 3.er nivel: 1.000.000.
 4.to nivel: 100.000.000.
 5.to nivel: 10.000.000.000.
 6.to nivel: 1.000.000.000.000.

5
De los datos que anteceden, podemos ver 6 grados o niveles de separación
que permiten a un individuo estar conectado con el mundo, pero a ello hay
que sumarle el número de Dunbar, es decir, la cantidad de individuos que
pueden relacionarse en un determinado sistema. Esto significa que el valor
aproximado sería de unos 150 individuos dentro del entorno en el que un
individuo mantiene contacto personal con los demás miembros de ese
grupo social.

En resumen, podemos ver cómo estamos conectados y de qué manera los

datos personales de cada usuario pueden verse afectados dentro de la
cadena de relaciones existente.

Figura 2: Redes de conexión entre personas

Fuente: Porras, 2008, https://goo.gl/xfPjUW

Marketing digital

Siguiendo con el desarrollo del temario, en esta oportunidad nos

abocaremos al marketing digital, es decir, aquella herramienta de
estrategias de comercialización a través de medios digitales que tienden a
lograr que el usuario llegue a un producto determinado. Podemos decir
que es una forma de influenciar en las personas, pero ¿cómo poder influir
sin antes recolectar información? Es entonces cuando entra a jugar la
incidencia de los datos personales de usuarios finales y clientes de
compañías.

Lo importante aquí es conocer herramientas mediante las cuales se

obtiene información del usuario, ya que, aunque son legímitas, este
desconoce –en cierta medida– cómo sucede esto. Actualmente, por ley, en
Europa está la obligación de notificar cada vez que se ingresa a un sitio web
donde se va a interactuar con su contenido. Lo primero que aparece es una
leyenda que se refiere al uso de cookies (Agencia Española de Protección

6
 de datos personales, 2002). Estas, según la Ley 34/2002 de Servicios de la
Sociedad de la Información, son:

“Tipo de archivo o dispositivo que se descarga en el equipo terminal de un

usuario con la finalidad de almacenar datos que podrán ser actualizados y
recuperados por la entidad responsable de su instalación” (Agencia Española
de Protección de datos personales, 2002, p. 7).

En consecuencia, el propósito es recordar información del usuario con el

objeto de controlarlo y conocer sus hábitos de navegación.
Se sugiere profundizar
las lecturas de las Otra cuestión con respecto a datos personales es la de las bases de datos
disposiciones N.° 2/2004 que manejan las grandes empresas. Dentro del ordenamiento argentino,
y N.° 4/2009 de la
encontramos dos disposiciones respecto al tema mencionado: Disposición
DNPDP en
https://goo.gl/kRBRNr N.° 4/2009, de la Dirección Nacional de Protección de Datos Personales
(DNPDP)2, y Disposición N.° 2/2004, de la Dirección Nacional de Protección
de Datos Personales (DNPDP)3.

Comunicación no verbal
Al entrar en materia, debemos tener presente que, si bien la comunicación
no verbal es un lenguaje entre seres humanos, no podemos olvidarnos de
que expresa estados emocionales que hacen a la intimidad de la persona,
los cuales muchas veces son aprovechados por ciberdelincuentes para
obtener información sensible para usarla con determinado interés. Es
decir, que en cierta forma se encontraría relacionado a la temática que
venimos estudiando. Para ello, podemos decir a grandes rasgos que la
comunicación no verbal, se la entiende como:

... aquel lenguaje, en su gran mayoría inconsciente, que expresa corporalmente

una persona y que es utilizado para transmitir mensajes a otras (Guerri, 2015).

Esto, llevado al plano de los ciberdelitos, tiene también su relación directa,

ya que los ciberdelincuentes se sirven de este tipo de herramientas cuando
requieren información clave o buscan vulnerabilidades humanas con el fin
de aprovecharse y lograr su cometido. En efecto, el lenguaje puede ser
kinésico, proxémico, paralingüístico, háptico (Toledo, 2015), de

2 Disposición 4. (2009). Protección de los datos personales. Dirección Nacional de Protección de

Datos Personales.
3 Disposición 2. (2003). Registro nacional de bases de datos. Dirección Nacional de Protección de

Datos Personales.

7
microexpresiones, diacrítico y cronémico (Protocolo y Etiqueta, 2017).
Generalmente, lo podemos ver en casos de suplantación de identidad, que
es una manera de lograr obtener información íntima del objetivo, y en
casos de fraude.

8
Bibliografía de referencias
Agencia Española de Protección de datos personales. (2002). Guía sobre el
uso de las cookies [en línea]. Recuperado de
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones
/common/Guias/Guia_Cookies.pdf

Disposición 2. (2003). Registro nacional de bases de datos. Dirección

Nacional de Protección de Datos Personales. Recuperado de
http://servicios.infoleg.gob.ar/infolegInternet/anexos/90000-
94999/90557/norma.htm

Disposición 4. (2009). Protección de los datos personales. Dirección

Nacional de Protección de Datos Personales. Recuperado de
http://servicios.infoleg.gob.ar/infolegInternet/anexos/150000-
154999/151221/norma.htm

Guerri, M. (2015). La comunicación no verbal, el arte de expresarse sin

hablar. Recuperado de https://www.psicoactiva.com/blog/la-
comunicacion-no-verbal-el-arte-de-expresarse-sin-hablar/

Porras, I. (2008). A seis grados de Separación. Implicaciones y aplicaciones

de la teoría de redes en el desarrollo organizacional. Recuperado de
http://docplayer.es/12548541-A-seis-grados-de-separacion-implicaciones-
y-aplicaciones-de-la-teoria-de-redes-en-el-desarrollo-organizacional.html

Protocolo y Etiqueta. (2017). Comunicación no verbal. La importancia de

los gestos. Recuperado de https://www.protocolo.org/social/conversar-
hablar/comunicacion-no-verbal-la-importancia-de-los-gestos-i.html

Social Engineer, Inc. (s. f.). The Social Engineering Framework. Recuperado
de https://www.social-engineer.org/framework/general-discussion/social-
engineering-defined/

Social Engineer. (2014). The Social Engineering Infographic. Recuperado de

https://www.social-engineer.org/social-engineering/social-engineering-
infographic/

Toledo, C. (2015). Lenguaje corporal y comunicación no verbal.

Recuperado de http://www.analisisnoverbal.com/lenguaje-corporal-y-
comunicacion-no-verbal/

Undercover. (2017). Qué es la Ingeniería Social?. Recuperado de

https://underc0de.org/hacking/ingenieria-social.html