HISTORIA

El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C.
Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée
Social), pero recibió su mayor impulso en EE.UU. a través del libro “Social Engineering” del
reformista social W.H. Tolman, conocido en aquella época por “ayudar a los pobres”. La idea
central es que no había en las empresas una función social (algo así como los departamentos
de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador
para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta
acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso
posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del
concepto peyorativo actual.

Se sugiere que el origen del término está en el concepto filantrópico de los pensadores
liberales de la segunda mitad del siglo XIX como los “intermediarios racionales” entre el capital
y el trabajo. Para las décadas 30 y 40 del siglo XX el término había caído en desuso.

A partir de esta especialización, se generaliza el concepto de que la ingeniería social puede ser
una técnica o método para lograr una variedad de resultados, es decir, deja de ser un
instrumento para resolver problemas sociales y se transforma en uno para manipular a la
población. Es evidente en este punto que la propaganda puede ser considerada ingeniería
social, así como las campañas políticas y la religión, dado que buscan lograr un
comportamiento específico en las masas. En 1945 Karl Popper reintroduce el término con la
acepción de implementación de métodos críticos y racionales de la ingeniería y ciencia a los
problemas sociales.

PEOR ATAQUE Y DONDE FUE DIRIGIDO

Virus Stuxnet: En enero de 2010 se introdujo una memoria USB en la central nuclear de
Natanz, Irán. Este USB estaba infectado con un malware llamado Stuxnet, que no era más que
un gusano programado para un fin concreto. Este fin era el de escanear la red de
computadoras de la central y inutilizar las centrifugadoras usadas para enriquecer el uranio.
Cerca del 20% (unas 1000 centrifugadoras) quedaron inutilizadas debido a este ataque
de Baiting, que le costó millones al gobierno iraní. No se sabe de los creadores de dicho
programa, aunque se sospecha que los gobiernos de Estados Unidos e Israel pueden estar
involucrados.

METODOS DE PROTECCION
 Instalar y mantener los firewalls, antivirus, software antispyware y filtros de correo
electrónico.
 No permitir que las personas se pongan detrás al escribir información confidencial.
 Tener una estrategia adecuada de respuesta a incidentes en la organización.
 El uso de identificaciones corporativas en dominio público, blogs, foros de discusión,
etc. debe estar prohibido.
 Se debe prestar atención a la URL de un sitio web. Aunque los sitios web maliciosos
generalmente se ven idénticos a un sitio legítimo, pero la URL puede usar una
variación en la ortografía o un dominio diferente.
  No se debe acceder a los detalles confidenciales y críticos en línea como el buzón de
correo corporativo en lugares públicos, cafés y hoteles, etc. donde no se puede confiar
en la seguridad del punto de Acceso a Internet.

 No enviar información sensible a través de Internet antes de verificar la seguridad de

los sitios web.
 No revelar información personal o financiera por correo electrónico, al igual que no
responder al correo electrónico sobre solicitudes de información similar.
 Verificar que todos los puntos físicos de entrada y salida estén asegurados en todo
momento.
 No proporcionar información personal o información sobre su organización a nadie a
menos que estar seguro de la autoridad de la persona para tener esa información.
 Usar el teclado virtual cuando corresponda.
 Tener mucho cuidado con lo que se proporciona/indica en el sitio web de su empresa.
Evitar publicar gráficos organizacionales o listas de personas clave siempre que sea
posible.
 Asegurarse de destruir cualquier documento descartado que pueda contener datos
confidenciales.
 Implementar un buen filtro de SPAM que detecte virus, remitentes en blanco, etc.
 Desarrollar una política de seguridad que incluya, pero no se limite a, la caducidad de
la contraseña y la complejidad.
 Implementar un filtro web para bloquear sitios web maliciosos.
 Cifrar toda la información sensible de la compañía.
 Convertir el correo electrónico HTML en mensajes de texto o deshabilitar los mensajes
de correo electrónico HTML.

METODOS DE INFECCION
Método Pasivo

 Observación

Métodos no presenciales

 Recuperar la contraseña
 Ingeniería Social y Mail
 IRC u otros chats
 Teléfono
 Carta y fax

Métodos presenciales no agresivas

 Buscando en La basura
 Mirando por encima del hombro
 Seguimiento de personas y vehículos
 Vigilancia de Edificios
 Inducción
 Entrada en Hospitales
 Acreditaciones
  Ingeniería social en situaciones de crisis
 Ingeniería social en aviones y trenes de alta velocidad
 Agendas y teléfonos móviles
 Desinformación

Métodos agresivos

 Suplantación de personalidad
 Chantaje o extorsión
 Despersonalización
 Presión psicológica

COMO AFECTA
La Ing. Social puede darse de manera digital o física y ambas formas son casi
imperceptibles ya que la mayor parte del éxito de este tipo de ataque consiste en
pasar desapercibido, aunque puede darse el caso de que sea un virus dirigido a
destruir algún sistema en específico, el alcance casi siempre es económico.

PORQUE LA GENTE HACE ESTE TIPO DE INSTRUCCIONES Y CUAL ES SU FUNCION

Para obtener información confidencial a través de la manipulación de usuarios legítimos. Es
una técnica que pueden usar ciertas personas para obtener información, acceso
o permisos en sistemas de información que les permitan realizar algún acto que perjudique o
exponga la persona u organismo comprometido a riesgos o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil".

COMO SE PROPAGAN
 Por correo electrónico.
 Vía internet.
 Por teléfono.
 A través de las redes sociales.
 Mediante unidades externas, como USB.
 A través de mensaje de texto.

TIPOS / EJEMPLOS
 Phishing

Esta técnica busca “pescar” víctimas. Para ello se utiliza el envío de correos
electrónicos conteniendo adjuntos con malware o links a páginas falsas.

 Redes Sociales
 Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un
lado y generar una relación con la misma por otro.

 Baiting

Es una técnica muy efectiva. Generalmente se utilizan pendrives con software

malicioso, los que dejan en el escritorio de la víctima o en el camino que la misma
realice (por ejemplo, en el estacionamiento, ascensor, etc). Para asegurarse del éxito
en la explotación e estudia a la víctima previamente, detectando así la vulnerabilidad a
ser explotada.

 Distracción

Conocida también como Misdirection (desorientar) esta técnica es la piedra

fundamental de la Magia y el Ilusionismo. Es utilizada para llevar la atención de la
víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario
(información valiosa). Gracias a esto el atacante puede, por ejemplo, sacar una foto de
la pantalla o papeles con datos importantes, robar un Token, pendrive o algún otro
dispositivo de almacenamiento.

 Shoulder Surfing

No es ni más ni menos que espiar por encima del hombro de las personas. En algunos
casos se hace para poder observar lo que está tecleando la víctima y así poder dilucidar
su password, PIN o patrones de desbloqueos en teléfonos.

 Pretexting / Impersonate

El atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual

trabaja la víctima (impersonate). De esta manera trata de generar empatía para ganar
credibilidad, pero acto seguido presenta algún tipo de excusa o pretexto (pretexting),
como alertar a la víctima de un comportamiento inadecuado en su equipo, el cual
requiere de su intervención. Así podrá dar instrucciones específicas que terminarán en
la instalación de algún tipo de malware, concretando así su objetivo (tomar el control
del equipo, obtener datos sensibles, etc).

 Vishing

Consiste en realizar llamadas telefónicas suplantando la identidad de una persona o

compañía para conseguir información confidencial de las víctimas.

COMO PROTEGERSE
 No abrir correos de usuarios desconocidos o que no hayas solicitado: elimínalos
directamente.
 No contestar en ningún caso a los mensajes sospechosos.
 Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en
WhatsApp o redes sociales, aunque sean de contactos conocidos.
 Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en
WhatsApp o en redes sociales, aunque sean de contactos conocidos.
  Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus
comprobar que está activo.
 Verificar la seguridad de las páginas web donde introducimos datos personales. Deben
utilizar certificado de seguridad y utilizar el protocolo HTTPS.
 Verificar la seguridad de las redes wifi públicas a las que nos conectamos. En caso de
dudas, no compartir información confidencial ni introducir credenciales de usuario o
contraseñas que puedan ser robados.
 Escribir las URL manualmente, en vez de usar los enlaces de los mensajes sospechosos.

COMO MITIGAR EL PROBLEMA

Dado que la ingeniería social es una técnica en lugar de algo físico, en realidad no es posible
eliminarla. Pero si es posible prevenir tomando ciertas medidas.

 Diseñar e implementar un protocolo de seguridad para mitigar los riesgos.

 Realizar simulacros de ataques que te permitan probar tus sistemas de prevención.
 Campañas permanentes de refuerzos de los protocolos de seguridad establecidos.
 Fomentar la cultura de la discreción, educar al personal en la importancia de no
divulgar información sensible con desconocidos o en lugares públicos.
 Formar al personal para detectar posibles fraudes e intentar que el sospechoso se
identifique y tratar de revertir la situación para obtener la mayor cantidad de
información posible del atacante.
 Realizar auditorías y pentest usando Ingeniería Social para detectar agujeros de
seguridad y ponerles remedio.

EL PRIMER INCIDENTE CONOCIDO