Hackeando Humanos

aaa aa
 Hackeando Humanos – El Poder de la Ingeniería Social 2

CONTENIDO
Resumen 3
¿Qué es la Ingeniería Social? 4
La ingeniería social aplicada a la informática 5
Variantes de la ingeniería social 6
Poniendo en práctica la ingeniería social 8
Reprogramando Hotmail 9
Subiendo nuestra página a internet 10
¿Cómo defendernos? 12
Consideraciones finales 14
Literatura recomendada 15
Nota Final 16

Aaaaa

Diego Alejandro Ríos Sagastume Marzo de 2016

 Hackeando Humanos – El Poder de la Ingeniería Social 3

Resumen
En el mundo tecnológico actual nos enfrentamos a muchos tipos de amenazas
en materia de seguridad informática, sin embargo, una de las amenazas a las cuales
todos sin excepción alguna estamos expuestos es sin dudas la ingeniería social. Esto
son todas aquellas técnicas que se utilizan para engañar a las personas de tal manera
que quienes caen en ellas, cedan toda su información a la persona atacante de manera
voluntaria.

La ingeniería social es poderosa, principalmente porque no hay mecanismos que

nos ayuden a impedir que caigamos en sus trampas. Existen multitud de formas en que
la ingeniería social puede manifestarse, en este artículo se muestran las más comunes
y algunos de los casos que encontrarás ejemplificarán mejor la forma en que esto
funciona.

Lamentablemente no existe un método seguro para evitarla, sin embargo

puedes defenderte de ella instruyéndote y conociendo el tema y como es que los
atacantes la utilizan para la obtención de información valiosa. No existe nada 100%
seguro en el mundo de la informática y una de las formas más efectivas para evitar
caer en las garras de los atacantes informáticos es estar preparados y en este artículo,
encontrarás las formas más básicas de la ingeniería social para poder defenderte de
esos ataques.

Algunos de los conocimientos adquiridos acá te permitirán poner en práctica la

ingeniería social; este artículo se escribió única y exclusivamente con fines educativos
así que no me responsabilizo por el mal uso que pudiese dársele al conocimiento
adquirido en este documento.

3
 Hackeando Humanos – El Poder de la Ingeniería Social 4

¿Qué es la ingeniería social?

Como lo menciona el título de este artículo (“Hackeando Humanos”), la
ingeniería social trata precisamente de esto, de explotar los “errores” que los humanos
poseemos con respecto a la tecnología para la obtención de información valiosa.

De la misma manera que existen hackers los cuales a través de ciertas técnicas
logran explotar las vulnerabilidades del software, existen personas que son expertas en
explotar las vulnerabilidades del usuario, es decir, los humanos que operan la
tecnología. Pero ¿De qué tipo de vulnerabilidades estamos hablando?, a continuación
te muestro algunas:

 La ignorancia: Si desconocemos algo, desde luego que no sabremos cómo

protegernos. Por ejemplo ¿sabías que fácilmente se pueden clonar sitios web?,
si, así como lo lees, una persona con algunos conocimientos de software
fácilmente puede venir y clonar la página web de tu banco o de tu red social
favorita y a través de diferentes engaños hacerte acceder a su página falsa la
cual, desde luego, busca únicamente robar tu información.

 La curiosidad: ¿Te ha pasado que encuentras a veces una USB tirada?, bueno
muchas veces estas usb contienen alguna clase de virus la cual si la conectas a
tu computadora, te infectarás. El ejemplo más significativo y más común que
se puede observar son los posts que encuentras en Facebook u otras redes
sociales: “Mira lo que este hombre le hizo a su propio abuelo”, una persona
curiosa fácilmente entrará en ese link el cual puede descargar a tu ordenador
un programa malicioso.

 Atracción Física: No encontré otra forma de definirlo, pero muchas veces nos
pasa que nos agregan personas bastante atractivas a nuestra red social,
generalmente son perfiles falsos que pueden engañarnos para obtener nuestra
información personal o inducirnos confianza para posteriormente citarnos en
un lugar y realizar alguna especie de secuestro o robo.

4
 Hackeando Humanos – El Poder de la Ingeniería Social 5

La Ingeniería Social Aplicada a la Informática

Una de las formas que se aplicaba antiguamente la ingeniería social era a través
de llamadas telefónicas y mensajes de texto. Más de alguno recordará que
antiguamente les pedía enviar ciertos códigos de tarjetas de saldo para los teléfonos
celulares para poder reclamar algún premio como algún automóvil; eso era ingeniería
social.

Actualmente existen otras formas con el auge de la tecnología, por ejemplo la

falsificación de páginas web y la utilización de estas páginas para el robo de
información.

Por ejemplo, la siguiente página que te muestro la he creado yo mismo:

Luce igual a la de Facebook ¿cierto? Como puedes ver es simple clonar páginas
web; ésta web en mi caso solamente se ha creado para ejemplificar, pero hay otras web
en internet las cuales no solo han sido clonadas sino también han sido reprogramadas
para el robo de contraseñas.

La ingeniería social no se queda acá, va mucho más allá de páginas falsas, otro
ejemplo son los correos falsos, por ejemplo, los correos electrónicos que recibimos que
se ha desactivado nuestra cuenta, el cual es muy común.

5
 Hackeando Humanos – El Poder de la Ingeniería Social 6

Variantes de la Ingeniería Social

Existen diferentes formas en que puede funcionar la ingeniería social, acá te
muestro unas cuantas variaciones:

Phishing: Es uno de los métodos más comunes el cual consiste en suplantar la

identidad de otra persona o empresa. Estos son utilizados para el robo de contraseñas
y nombres de usuarios. Esta será la forma de ingeniería social que utilizaremos en la
parte práctica.

Baiting: Como lo mencionamos, la ingeniería social explota las vulnerabilidades

humanas, pues éste tipo de ingeniería social explota la vulnerabilidad de “la
curiosidad”. Se presenta en la forma de que a veces se nos regalan usbs o cds, o nos
encontramos tirados estos dispositivos; dichos dispositivos pueden estar infectados
con un software malicioso el cuál puede robar tu información.

Vishing: Esta variante es bastante antigua, cosiste en que realizan llamadas telefónicas
para ofrecerte productos o diciendo que ganaste alguna especie de premio, para eso
te dicen que debes de dar tu información personal o alguna dirección para enviarte
algún premio, esto con el objetivo únicamente de robar tu información o realizar
alguna especie de robo.

Sea cual sea las variantes de la ingeniería social, su único objetivo es el robo de
información. Te preguntarás ¿Qué pueden hacer los piratas informáticos con mi
información?, bueno déjame decirte que MUCHO!!!. Veamos algunos ejemplos:

 Un pirata informático puede con tu correo electrónico tratar a través de

diferentes métodos de “fuerza bruta” ingresar a tus cuentas bancarias asociadas
a tu correo electrónico.
 Un atacante podría negociar con delincuentes tu información personal, como tu
dirección, tu dirección de trabajo, tu teléfono, tus horarios, etc, para que luego
éstos delincuentes realicen tu secuestro o vayan personalmente a robar a tu
casa o algo peor.

6
 Hackeando Humanos – El Poder de la Ingeniería Social 7

 Tus datos personales pueden ayudar a localizar a las personas toda tu

información si ven las guías telefónicas donde está tu información personal
como tus apellidos y dirección.
 En los adolescentes principalmente se ha dado el caso de que citan a personas
en cierto lugar, solo para realizarles un secuestro o violación en caso de las
señoritas.
 Muchas veces realizan lo que se llama secuestros express, lo cual no es más que
cuando te reúnes con esa persona que te ha citado por internet, localizan a tu
familia diciéndole que tienen 2 o 3 horas para que depositen dinero o de lo
contrario te asesinarían.
 En uno de los casos más comunes, robarían tus datos de cuentas bancarias para
realizar transacciones a otras cuentas.

7
 Hackeando Humanos – El Poder de la Ingeniería Social 8

Ahora que ya sabemos lo que es la ingeniería social (o por lo menos un poquito)

vamos a ponerla en práctica. Lo que haremos será una de las formas más comunes de
ingeniería social, el phishing.

Como vimos anteriormente, este tipo de ingeniería social consiste en suplantar

la identidad de una empresa o persona, en este caso vamos a tomar una empresa bien
conocida, Hotmail.

Al entrar a la página web de Hotmail, nos encontramos con su respectivo login

para ingresar nuestro usuario y contraseña. Para poder clonar el sitio web bastará con
dar click secundario en la página y luego dar click en “guardar como” y posteriormente
guardar la página como index.html, así:

8
 Hackeando Humanos – El Poder de la Ingeniería Social 9

Una vez que guardamos en sitio en nuestra carpeta, vamos a reprogramarlo

para poder hacer lo que nosotros deseamos, lo cual para motivos de este tutorial será
“extraer contraseñas de nuestras víctimas”.

Luego de descargar la plantilla web, nos damos a la tarea de reprogramarla

para eso nos valdremos de nuestros conocimientos de programación para que los
campos de nombre de usuario y contraseña sean guardados en un archivo de texto y
posteriormente cuando ya guardemos las credenciales, simplemente
redireccionaremos al usuario a la verdadera página de Hotmail.

No ahondaré como reprogramar la página de Hotmail, ya que tiene seguridad

alta y es necesario saber bastante de html, javascript, css y php además de Ajax y jquery
para poder reprogramar la página. Además de lo anterior mencionado, éste es un
artículo cuyo objetivo es la de informar cómo funciona la ingenería social y no como
programar páginas fake, asi que me limitaré a subir mi página web ya programada en
un hosting web para continuar con el artículo. No es difícil reprogramar la página, solo
es de realizar un login utilizando los campos que ya tiene la página web para usuario
y contraseña.

NOTA: Si estás pensando en subir la página y hacer phishing a tus amigos, lamento
darte una mala noticia, no lo lograrás con la página que te muestro acá, más adelante
te explico el por qué ya que los proveedores de hosting ya han tomado medidas con
respecto al phishing.

9
 Hackeando Humanos – El Poder de la Ingeniería Social 10

Subiendo nuestra página a internet

Luego de haber visto cómo se programa nuestra página web, es momento de

subirla a internet, puedes contratar un hosting gratuito y sin publicidad en muchos
sitios de internet, una vez que nuestra página esté online, podremos acceder a ella a
través de una url.

En mi caso, he subido mi página falsa a “www.usertech.mipropia.com”. Puedes

verla en cualquier momento accediendo a esta dirección y verás algo como esto:

Luce idéntica a Hotmail ¿verdad? Bueno pues si intentas acceder a esta página
lo único que sucederá es que te redireccionará a la verdader página de Hotmail y lo
único que hizo fue robar tus claves, como lo muestra el archivo que ha guardado la
clave:

10
 Hackeando Humanos – El Poder de la Ingeniería Social 11

Ahora solo es cuestión de tratar de persuadir a nuestros amigos para que en

lugar de ingresar a Hotmail, ingresen a la página que hemos creado, una página
llamada “fake” ya que es falsa.

Si eres observador te darás cuenta que la URL del sitio web no es la de Hotmail
(www.hotmail.com) sino que es una URL totalmente diferente.

Así es como funciona el phishing, se copia la página de una empresa y luego

con mentiras hacemos que nuestras víctimas caigan.

Es necesario decir que actualmente un sitio web de phishing puede ser

detectado fácilmente, por lo que no tardará más de 24 horas en el hosting que
contrates, esto debido a las técnicas de anti phishing que han surgido en los últimos
años. Si intentas entrar a la página web que anteriormente te aparecerá lo siguiente:

11
 Hackeando Humanos – El Poder de la Ingeniería Social 12

Lo que hicieron ahí fue suspenderme el dominio y esto sucedió en menos de 15

minutos. Existen otras técnicas para que no detecten tu página falsa, como la
ofuscación de código, almacenamiento en la nube, hosting propio, etc, pero eso se
verá en otros artículos.

¿Cómo Defendernos?

Ahora que ya conocemos como funciona la ingeniería social es momento de ver

la forma de evitarla. Si eres observador, te habrás dado cuenta que una de las formas
de detectar este tipo de web maliciosas es a través de su URL; mira en la parte práctica
y verás que la URL es “usertech.mipropia.com”, a lo cual recordemos que esta URL
debería ser la web de Hotmail (www.login.live.com).

Nada en la vida es gratuito y más abajo te muestro los datos que no debes
compartir con personas desconocidas, ya que una de las formas de ingeniería social
que utilizan los atacantes es indicar que has ganado un premio haciéndose pasar por
una empresa reconocida, a lo cual es de tener mucho cuidado debido a que mucha
gente ni siquiera ha participado en concursos y misteriosamente ha ganado.

Cuidado con la información que compartes en tus redes sociales, muchas

personas comparten toda su información incluido sus teléfonos y direcciones a lo cual
es increíblemente peligroso ya que los piratas informáticos no solo operan en el
internet, sino en la vida real también.

Para los administradores de sitios web es recomendable volver su sitio seguro

de tal manera que los clientes estén seguros de que sus sitios web son legítimos, para
eso existen muchas maneras, las principales son la encriptación a través de un
certificado SSL y la conexión segura HTTPS. Esto se puede ver en la barra de navegación

12
 Hackeando Humanos – El Poder de la Ingeniería Social 13

Ese candadito que se ve en la barra de navegación no

solamente es un adorno, nos indica que nuestra conexión con
el sitio web que visitamos se maneja encriptada (lo veremos
en otros artículos), esto nos da un mayor nivel de seguridad a
nuestro sitio web.

Si damos clic en Detalles podremos observar que nos mostrará

más detalles e incluso catalogará a nuestros sitios web como
seguros, no seguros e inseguros, algo así:

Como puedes ver acá, está catalogando al sitio web

como seguro ya que la conexión se realiza a través
de HTTPS, lo cual le da otro nivel de seguridad al sitio
web.

Te invito a que verifiques varias de las páginas

guatemaltecas para ver ¿Qué tan seguras son?, te
aseguro que te sorprenderás de los resultados ;)

Estas seguridades generalmente los usuarios deben de verificarlas, si tiene un

candadito verde eso significa que tiene buena seguridad, no garantiza que sea 100%
seguro pero le añade un nivel de seguridad mayor al normal.

13
 Hackeando Humanos – El Poder de la Ingeniería Social 14

A manera de comentario final es importante mencionar que la ingeniería social

no solo es clonar una página, muchas de las formas en que se presenta la ingeniería
social es en la forma de páginas que solicitan información privada para el usuario la
cual no pueden obtener por métodos convencionales. Si bien existen algunos datos
que no importa que las personas tengan, acá te dejo algunos que no debes dar a
cualquier persona y debes mantener contigo celosamente:

 Tu número de identificación personal.

 Tu número de teléfono tanto celular como residencial y trabajo.
 Tu número de cuenta bancaria.
 Tu dirección exacta.
 Datos de tus familiares.
 Nombres de los bancos donde tienes cuentas bancarias.
 El número de tus tarjetas de crédito.
 Tu curriculum.

Recuerdo una anécdota que me pasó una vez, una persona en la calle me realizó una
encuesta. Todo iba bien hasta que me comenzó a preguntar si yo tenía micro ondas, si
yo usaba tarjetas de crédito, ¿cuál era mi presupuesto mensual?, ¿cuánto ganaba? e
incluso llegó a preguntarme la dirección de mi casa y la zona donde vivía, por supuesto,
todo asumiendo que era parte de la encuesta. Este tipo de encuestas es muy común y
es un tipo de ingeniería social la cual debes tener mucho cuidado, debido a que
fácilmente pueden localizarte y realizarte un robo o secuestro. Con respecto a mi
encuestador, no creo que me localice a 40 km de donde en realidad vivo 

14
 Hackeando Humanos – El Poder de la Ingeniería Social 15

Literatura Recomendada

Hay mucha literatura sobre ingeniería social en internet, pero al final será la
habilidad de palabra y de persuasión de cada quien lo que dependerá del éxito o
fracaso del atacante. Es recomendable siempre mantenerse al tanto de las noticias
informáticas y quitar el pensamiento de las personas que piensan que esto no es para
ellos porque el mundo de la seguridad informática abarca muchas cosas y la mayoría
de los errores que se dan es por descuido o falta de información por parte de usuarios
finales.

Para quienes deseen profundizar en la ingeniería social, acá dejo algunas

lecturas y libros recomendados con una pequeña descripción:

Social Engineering: The Art of Human Hacking

Un libro muy recomendado para los que les interese la
ingeniería social, de hecho, para el título de éste artículo me basé
en este libro.

El Arte de la Intrusion
Es el libro del famoso Hacker Kevin Mitnick, uno de los más
grandes y más famosos. Aunque mezcla algunos conceptos técnicos
de programación, sistemas de archivos, etc, nos muestra que en la
mayoría de sus ataques utilizaba la ingeniería social como arma.

15
 Hackeando Humanos – El Poder de la Ingeniería Social 16

Global Phishing Survey

Este es un documento el cual recopila estadísticas de
phishing, como por ejemplo en que tipos de dominio se alojan
la mayor parte de páginas de phishing, los tipos de ataques
separados por tipo de industria atacada, etc. Es un muy buen
documento de referencia.

Anti Phishing Security Strategy

Este es un documento el cual te muestra cómo
funcionan algunas estrategias de anti phishing, un
documento el cual tiene un alto nivel técnico y está
bastante bien explicado.

Nota Final
Esperando que este artículo haya sido de tu agrado, no me queda más que
agradecerte por tu tiempo, muchas gracias por leer este documento el cual espero que
ayude a más de alguna persona a ver el poder de la ingeniería social y a defenderse de
ella, ya que existen muchas amenazas en el mundo especialmente de la informática y
más para personas que desconocen esto. Gracias por tu tiempo y cualquier cosa, duda,
sugerencia e inconveniente puedes escribirme a mi correo electrónico y con mucho
gusto te contestaré.
16