Vulnerabilidades causadas por la Ingeniería Social en los usuarios de la sociedad costarricense.

Tabla de contenido

Presentación de la Propuesta....................................................................................................................................4

Antecedentes.............................................................................................................................................................5

Planteamiento del problema.....................................................................................................................................6

Justificación..............................................................................................................................................................7

Marco teórico............................................................................................................................................................8

Objetivos.................................................................................................................................................................17

Objetivo General....................................................................................................................................17
Objetivo Específico................................................................................................................................17
Alcance...................................................................................................................................................................18

Metodología............................................................................................................................................................19

Cronograma............................................................................................................................................................22

Referencias bibliográficas......................................................................................................................................23

Glosario..................................................................................................................................................................26
Tabla de ilustraciones
Presentación de la Propuesta

1. Nombre del proyecto:

Vulnerabilidades causadas por la Ingeniería Social en los usuarios de la sociedad
costarricense.
2. Modalidad:
Tesis.
3. Estudiante:
César Danilo Villagra Obando
4. Tutor:
Ph. D Carlos Luis Chanto Espinoza.
Actualmente es Académico de la Universidad Nacional, Sede Chorotega Campus Liberia.
Tiene experiencia en el área de redes, ya que, cuenta con certificaciones en Cisco, ha
recibo capacitaciones en el área de seguridad informática, además ha realizado
conferencias en dicha área. Por consiguiente, cuenta con los siguientes posgrados
académicos:
Licenciatura:
 Lic. Informática con énfasis en Sistemas de Información.
Maestría:
 Máster en Dirección Estratégica en Tecnologías de la información.
 Maestría en Gerencia de Proyectos en Desarrollo.
 Maestría en Dirección Estratégica. Especialidad en Tecnologías de la Información.
Doctorado:
 Doctorado en proyectos.

5. Lectores sugeridos:
Lic. Ing. Roberto Lemaître Picado.
Actualmente es coordinador del Centro de Respuestas e Incidentes Informáticos y en los
proyectos de la Estrategia de Transformación Digital de Costa Rica MICITT. Tiene
experiencia en el área de la seguridad informática con certificaciones en Hacking ético e
Informática Forense. Por consiguiente, cuenta con los siguientes posgrados académicos:
 Bachillerato:
 Ingeniería Informática.
Licenciatura:
 Licenciatura en Derecho.
Maestría:
 Máster en Computación e Informática

Ing. Amancio Vargas Castillo.

Actualmente es Académico de la Universidad Técnica Nacional, Sede Guanacaste. Tiene

experiencia en el área de la docencia con formación complementaria en Certificaciones
CNNA de Cisco, Seguridad Informática, Desarrollo de Aplicaciones. Por consiguiente,
cuenta con los siguientes posgrados académicos:
Bachillerato:
 Bachiller, Informática Administrativa.
Licenciatura:
 Licenciatura en Sistemas Computacionales.
Maestría:
 Maestría en Docencia Universitaria.

Nota:

1 El tutor es un académico de la escuela de informática de la Universidad Nacional. Tiene

conocimiento en el área de seguridad informática, así como en realización de proyectos de
ingeniería en sistemas. Además, labora en el ámbito de redes, en que se encuentra
estrechamente relacionado y complementa con seguridad cibernética.
Antecedentes

La información es muy recurso sumamente importante para la sociedad, especialmente en

el ámbito de empresas y personas en general, debido a esto, los ingenieros sociales son
reconocidos por usar diferentes métodos para obtener información personal de un individuo o
dichas empresas, además de tener conocimientos de los principios que imperan en la ingeniería
social; como Kevin Mitnick, un famoso un ingeniero por haber sustraído información importante
de un organismo gubernamental y divulgarla en la web. (Ramírez J, 2009).

Al llevar a cabo estos métodos en la ingeniería social, el ingeniero no requiere de gastos

económicos para realizarlo únicamente la paciencia y la confianza es un factor decisivo para que
el robo de información se complete de forma eficiente a los vulnerables usuarios. En
consecuencia, los incidentes de robos y estafas en los últimos años han aumentado a causa de la
poca cultura en seguridad informática de las personas o empresas. Una empresa de seguridad
como es ESET, un antivirus diseñado para computadoras percibe una de las principales amenazas
cibernéticas más efectivas la ingeniería social con alrededor con alrededor de un 52 % de
efectividad (Chacón, 2106).

A pesar de esto, hay personas que reúnen, analizan las técnicas y principios de la
ingeniería social, recolectado en un marco de trabajo o para las empresas. (Correga A y Orrego C,
2015). Por esta razón, se disponen de investigadores que recopilan amenazas cibernéticas en todo
el mundo; lo cual se obtendrán documentos en revistas de informática, libros, tesis, periódicos
nacionales en casos de Costa Rica y América latina.
Planteamiento del problema

El problema por resolver en este trabajo final de graduación es dar a conocer los riesgos
que puedan existir al compartir, subir a las redes sociales o sitios web información sensible a los
usuarios o empresas debido a que, éstos pueden convertirse en víctimas de estafadores
informáticos, hackers y delincuentes cibernéticos.

Aunado a esto, el avance de la tecnología comprende de una variedad dispositivos que son
utilizados por los usuarios para realizar casi todo tipo de tareas como las transacciones, registrar
sus datos en sitios web, navegar en redes sociales, realizar compras en línea y más. Por lo general
todo dispositivo viene protegido con seguridad contra infiltraciones, extravíos y pérdidas; sin
embargo, existen otros métodos de robo y eso, los convierten en terreno fértil para ingenieros
sociales, personas expertas en computación, en relaciones interpersonales y en comunicación; los
cuales buscan tener acceso completo a los sistemas de dichos dispositivos. (Granger, 2001, p.3)
(Traducción propia).

Correspondiente a esto, existen empresas que olvidan que deben fomentar una cultura de
seguridad informática en los empleados que trabajan en estas (López y Restrepo, 2013). Así
como el público general, tienen la posibilidad de sufrir estafas al desconocer a cerca de seguridad
informática y sus buenas prácticas. Sí las organizaciones presentan pérdidas de información
confidencial, llegaría a afectar su servicio, credibilidad, reputación, por lo que sería considerada
como inexperta en seguridad de sistemas informáticos y cultura de seguridad cibernética. (Correa
& Orrego 2015, p.17).

Costa Rica es un país que últimamente ha aumentado las tentativas de delitos, fraudes y
ventas ilegales con el propósito de obtener dinero fácil, información personal o sensible de
organizaciones privadas o públicas, esto indudablemente puede tratarse de una modalidad de
crimen organizado internacional o nacional (PROSIC, 2010, p.171). Entonces ¿Qué métodos
sutiles y comunes utilizan los estafadores informáticos para infiltrarse en la información
personal? ¿Cómo prevenir que sucedan en empleados y usuarios generales?
Justificación

Actualmente con la evolución de la tecnología de la comunicación y los software

informáticos, las personas se encuentran expuesta a ser víctima de ataques sofisticados mediante
técnicas elaboradas utilizando ingeniería social, la cual consiste en convencer al individuo a que
entregue información confidencial y sensible, que ayudará al delincuente a llevar a cabo el delito.
Costa Rica no es la excepción con este tipo de delitos el cual el primer objetivo de ataque no es la
infraestructura tecnológica, sino la parte humana la que es considerada como el eslabón más débil
de la seguridad informática.

En Costa Rica a diario se presentan delitos de robos y estafas aplicando la ingeniería

social en donde el delincuente previamente estudia a la víctima y la situación que se vive en el
momento para realizar un elaborado plan de cómo ganar la confianza de la posible víctima y que
este le brinde la información necesaria para realizar el delito.

Con el desarrollo de la investigación se pretende sintetizar las bases conceptuales en las

que se basan los ingenieros sociales en la forma de estafar y además hacer ciertas
recomendaciones que mitiguen los riesgos a los que actualmente las personas están expuestas, lo
que será realizado por fuentes bibliográficas y otras fuentes con el fin de generar el
conocimientos necesarios para poder realizar políticas de seguridad que minimicen estos riesgos,
quién será guiada por un profesional con la experiencia necesaria para completar el proyecto.
Marco teórico

A lo largo de esta sección del proyecto se pretende mostrar los conceptos fundamentales de la
Ingeniería Social, así como las técnicas y recursos que permiten aplicarlo a los usuarios para
profundizar el tema. Incluye conceptos como ingeniería social, usuario, ataques, seguridad
informática y más; que a su vez se presentarán en subconjuntos relacionándolos entre sí los
dichos conceptos.

1. Ingeniería Social

1.1 Ingeniería Social

Según López C. y Salvador R (2015) “Inicialmente este se definió como un método para ayudar
al ser humano, pero con el tiempo se fue deformando” hasta lo que es hoy. El investigador o
delincuente se mueve en un segundo escenario, lo sepa o no lo sepa, para él mejor moverse en
este marco de acción, teniendo una capacitación especializada, ya sea en lectura y evaluación
exigente de la experiencia de su intervención. A esta persona no le interesan las consecuencias de
su acción; estas son el centro de su oficio. Así es como la ciencia y la ingeniería aparece en el
oficio de la historia oral en forma directa y sin necesidad de una excesiva explicación. Al
investigador ingenuo o perverso.

1.2 Ingeniería Social Informática

Se refiere en un sistema de engaño basada en la manipulación psicológica del individuo con el

objetivo de extraer información confidencial como contraseñas las cuales le puede permitir el
acceso o privilegios a un determinado equipo o aplicación. Mazariegos (2011, p.35), menciona
que la ingeniería social no aprovecha ninguna vulnerabilidad del sistema aunque esta existiera,
sus bases se fundamentan en el ingenio y persuasión, en donde no es necesario contar con
conocimiento informáticos, ya que se aprovecha de lo manipulable que es la conducta humana.
 1.2.1 Técnicas o ataques de Ingeniería social

➔ Técnica pasiva:

Entre las técnicas pasivas de ataque de ingeniería social tenemos la siguiente:

◆ Observación: Consiste como su nombre lo indica en la obtención de información

por medio de la observación: búsqueda en redes sociales, páginas web, directorios,
entre otros. Correa & Orrego (2015, p07).

➔ Técnicas no presenciales

Se destaca por el uso del teléfono, vishing, smishing, cartas, fax o correos electrónicos
solicitando información.

◆ Ataque vía SMS: Ataque que aprovecha las aplicaciones de los celulares. El
intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es
parte de una promoción o un servicio, luego, si la persona lo responde puede
revelar información personal, ser víctima de robo o dar pié a una estafa más
elaborada. (Sandoval,2011).

◆ Smishing: es una variante de los ataques Phishing. Lógicamente estamos ante una
forma diferente de suplantar la identidad. El objetivo es el mismo: engañar a la
víctima al hacerle creer que está ante algo legítimo. La seguridad y privacidad en
realidad están en peligro y podríamos dejar expuesta nuestra información llegando
a través de mensajes de SMS y actualmente aplicaciones como WhatsApp.
(Jiménez, 2019).

◆ Vishing: Esta técnica que se utiliza a través de una llamada telefónica o mensaje
de texto, el atacante pueda obtener información de la víctima o que pueda
influenciarlo a realizar acciones convenientes al atacante. Este tipo de ataque
puede incluir tecnologías que oculten el número telefónico real del atacante y que
 lo sustituya por un número cualquiera o por otro que sea de confianza de la
víctima (López & Salvador, 2015).

◆ Ciberbullying/Ciberacoso: El ciberbullying es una de las modalidades del

bullying y comparte sus características básicas, tiene sus propias particularidades,
por ejemplo el agresor generalmente se mantiene en el anonimato y trasciende la
realidad de las aulas y el centro educativo, sus mensajes agresivos llegan a un
número ilimitado de personas y utiliza adicionalmente tanto el texto como la
imagen, lo que lo convierte en potencialmente más peligroso (Acuña, 2015).

◆ Grooming: Conjunto de estrategias que una persona adulta realiza para ganarse la
confianza de un niño, niña o adolescente, a través del uso de las tecnologías de la
comunicación información, con el propósito de abusar o explotar sexualmente de
él o ella. El adulto suele crear un perfil falso en una red social, foro, sala de chat u
otro, se hace pasar por un chico o una chica y entablan una relación de amistad y
confianza con el niño o niña con la intención de acosarlo. Rodriguez & Garcia
(2018, p17).

◆ Sexting: Comprende el envío y/o recepción de contenido sexual a través de

medios electrónicos. El mismo consiste en el intercambio de imágenes y vídeos
sexuales a través de mensajes, redes sociales, email y sobre todo con el teléfono
móvil. Rodriguez & Garcia (2018, p17).

◆ Sextortion: Forma de extorsión en la que se chantajea a una persona por medio de

una imagen o vídeo de sí misma desnuda, que puedo haber compartido a través de
Internet o mensajes. La víctima es coaccionada a ejecutar acciones que den
gratificación sexual al malhechor (tener relaciones sexuales con el chantajista,
producir pornografía u otras acciones que ponen en serio peligro a la víctima).
Rodriguez & Garcia (2018, p17).

➔ Técnicas presenciales no agresivas:

 Tales como las siguientes: Dumpster diving, Shoulder surfing, Redes sociales,
Tailgaiting, Baiting.

◆ Dumpster diving: Es la recolección de información privada, sensible o

importante mediante la revisión de la basura; problema para todo tipo de
entidad (empresa u organización), pero su origen radica en la falta de
conocimiento y control preventivo/correctivo con relación al manejo de los
datos residuales (información) expuestos en la basura generada por las
mismas, ya que esto puede propiciar a distintos ataques informáticos.
Cusaria & Fagua (2016, p.4).

◆ Shoulder surfing: Esta técnica consiste en obtener información de una pantalla

por estar físicamente cerca de ella y tener acceso a la lectura de la información
digitada en la pantalla. Castro (2016, p.6).

◆ Redes sociales: Es una técnica que tiene dos grandes objetivos, por un lado, obtener
información de la víctima y por otro lado generar una relación con la misma por otro.
Rodriguez & Garcia (2018, p16).

◆ Tailgaiting: Aprovechando la solidaridad o inconsciencia de un empleado, un

atacante puede evadir controles de acceso físico como puertas electrónicas e
ingresar a una organización sin autorización. Rodriguez & Garcia (2018, p16).

◆ Baiting: Es la táctica de dejar un medio de almacenamiento (por ejemplo, una

memoria USB) dentro de una organización con un malware dentro del dispositivo
(por ejemplo, un troyano o keylogger). Castro (2016, p.4).

➔ Técnicas presenciales agresivas:

Las siguiente son las técnicas: Pretexting, Office snooping, Explotar la sexualidad, Leer el
lenguaje corporal, Presión psicológica, Suplantación de personalidad, Exploit de
familiaridad, Scareware, Phishing.
◆ Phishing: Correos electrónicos o comunicados falsos que pretenden suplantar la
identidad de sitios confiables, logrando obtener información personal o
proporcionar hiperenlaces que instalan malware. Montenegro (2017, p21).

◆ Scareware: Se pretende asustar a la víctima haciéndole pensar que su computador está

infectado con malware y el atacante ofrece una solución que arreglaría el falso problema
cuando en realidad la víctima se descarga e instala el malware del atacante. Montenegro
(2017, p21).

◆ Exploit de familiaridad: Táctica en que el atacante aprovecha la confianza que la

gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos.
Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de
sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera
no ser de confianza. Rodriguez & Garcia (2018, p16).

◆ Suplantación de personalidad: Esta técnica es una de las más claras cuando se quiere
hacer daño a la persona, ya que tiene un alcance más efectivo que otras técnicas. Esta
sirve para engañar a usuarios y convertirlos en victimas del conocido phishing o estafas.
Hernández & Urrutia (2015, p30).

◆ Presión psicológica: técnica de manipulación para lograr que alguien haga lo que
deseamos, es un truco mediante el cual nosotros cambiamos de posiciones, es decir,
apoyamos una idea contraria a la original y la otra persona al querer llevarnos la contraria
acepta lo que realmente nos interesaba que acepte. Hernández & Urrutia (2015, p33).

◆ Leer el lenguaje corporal: Con esta técnica el ingeniero social comunica sus
falsas intenciones no solo verbalmente sino con su cuerpo. Una de las habilidades
para desenmascarar a los ingenieros sociales es desarrollar la habilidad de leer el
lenguaje corporal para diferenciar el natural del sospechoso, el congruente del
incongruente con el mensaje verbal que se está recibiendo. Castro (2016, p.4).
 ◆ Explotar la sexualidad: Técnica casi infalible. Las mujeres que juegan con los
deseos sexuales de los hombres poseen una gran capacidad de manipulación, ya
que el hombre baja sus defensas y su percepción. Es más común que en esta área
los hombres sean los más susceptibles y esto se debe a que al momento de que una
dama le pide ayuda, esto alimenta poderosamente el ego y querrá quedar bien y lo
que menos está pensando es que la dama sea un atacante. Las armas pueden ser
sonrisas, guiños de ojos e incluso un beso de agradecimiento. Rivera (2011, p.51)

◆ Office snooping: Esta técnica aprovecha la ausencia de la persona responsable de

la oficina para husmear en su PC o documentos. De allí la importancia de generar
el bloqueo de la sesión al momento de retirarnos de nuestros PC. Es importante
dar este tipo de capacitación al personal de operadores en las centrales de
monitoreo. Rodriguez & Garcia (2018, p16).

◆ Pretexting: Es una de las técnicas más elaboradas, ya que el atacante debe crear
un buen pretexto o incluso, un buen escenario para poder robar información
importante y sensible a la víctima, al contrario del phishing que lo que busca es
generar miedo en la mayoría de los casos, el pretexting busca ganarse la confianza
de la víctima. López & Salvador (2015, p.41).

2. Usuario

Se define como usuario aquella persona que utiliza un dispositivo o un computador y realiza
múltiples operaciones con distintos propósitos. A menudo es usuario aquel que adquiere una
computadora o dispositivo para comunicarse con otros usuarios. (Bembibre, 2009).

3. Ingenieros Sociales

Se define como personas o investigador que se mueve en el segundo escenario en diferentes

ámbitos laborales y sociales, el cual necesita de una capacitación especializada, una lectura y una
evaluación más exigente de la experiencia de su intervención. Galindo (2009, p112) Estos pueden
tener intenciones maliciosas o amigables dependiendo de su fin de construir o destruir; debido a
esto existen diferentes tipos de ingenieros sociales.
 3.1 Perfiles

Es primordial conocer a quien nos enfrentamos y cuál es el perfil. Existen tres categorías.

3.1.1 El Script Kiddie: El 95% de los atacantes se encuentran en esta categoría, son
personas que intentan vulnerar algún sistema o tratar de ganar acceso utilizando
aplicaciones disponibles en la red de manera gratuita para realizar un ataque sin objetivo
definido. No tienen el conocimiento de lo que están haciendo, solamente lo hacen por
diversión.

3.1.2 El atacante habilidoso: Utiliza las mismas herramientas que el Script Kiddie con
la diferencia que este si tiene el conocimiento de las acciones que está realizando.
Persigue un objetivo específico con el fin de obtener un beneficio.

3.1.3 El atacante interno: Es una persona de confianza que posee los privilegios, tiene
conocimiento de los sistemas y acceso autorizado a estos. También persigue un objetivo
específico con el fin de obtener un beneficio. (PROSIC, 2010).

3.2 Tipos de ingenieros sociales

3.2.1 Hackers: Ellos están dentro de esta clasificación debido a que, por los avances
tecnológicos en cuestiones de seguridad, se han visto obligados a hacer uso de las técnicas
de la IS.

3.3.2 Pentesters: Son los “hackers” que utilizan sus conocimientos y habilidades en pro
de la seguridad de los sistemas informáticos de las organizaciones. Su labor es ejecutar
pruebas de penetración a estos sistemas a través de distintas herramientas para encontrar
las vulnerabilidades que poseen y poderlas solucionar. No pretenden en ningún momento
atentar contra la seguridad de la información de las empresas, por el contrario, su labor
está supervisada y se ejecuta bajo términos contractuales.

3.2.3 Espías: Son quizás los individuos más expertos en la aplicación de la IS, al punto,
de convertirla en su estilo de vida pues, deben asumir roles diferentes e imprimirles la
suficiente credibilidad para engañar a sus víctimas.
3..2.4 Ladrones de identidad: Este tipo de delincuente usa técnicas como la de buscar en
la basura para obtener ilegalmente datos personales de sus víctimas para hacer uso
indebido de ellos. Los delitos más frecuentes son la suplantación en transacciones
comerciales y la personificación.

3.2.5 Empleados descontentos: Se convierten en ingenieros sociales al disimular a toda

costa su disgusto con su jefe o patrono, con el fin de no perder su trabajo y luego, poder
cometer toda clase de delitos como; robo de datos, suplantación, espionaje, vandalismo y
venta de información confidencial de la organización a la competencia.

3.2.6 Estafadores: Estos personajes se aprovechan de las necesidades de las personas y

organizaciones para proponerles negocios fraudulentos, que por ende no cuentan con
ninguna sustentación legal, con la intención de lograr sonsacarles su dinero.

3.2.7 Reclutadores: Sean legales; como las fuerzas armadas, cazatalentos, o ejecutivos
empresariales, o ilegales; como los grupos armados, bandas o pandillas, los reclutadores
se valen de técnicas como la de desarrollar confianza, afectividad, reciprocidad y
relaciones basadas en engaños para persuadir a sus objetivos, entendiendo sus
necesidades, gustos o inclinaciones, a fin de apoderarse de ellos.

3.2.8 Vendedores: Aunque estos no representan ningún peligro ni amenaza a la seguridad

de la información, los vendedores se basan en técnicas propias de la IS para poder
llegarles a sus clientes. Obtienen información de diferentes fuentes en busca de las
necesidades de los consumidores y logran ganarse la confianza de estos.

3.2.9 Gobierno: Generalmente no se ven como ingenieros sociales, pero, los gobiernos y
sus representantes son hábiles a la hora de usar la IS. Por ejemplo; se aprovechan de la
autoridad para controlar distintas situaciones, crean cortinas de humo para desviar la
atención de temas realmente importantes o recurren, muy frecuentemente, a desarrollar
controversias con la oposición o sectores específicos de la sociedad.

3.2.10 Doctores, psicólogos y abogados: Los profesionales de estas ramas usan muchas
técnicas de IS para persuadir a sus “objetivos” (clientes) aunque esto no represente ningún
riesgo para ellos pues, en el caso de los médicos, sus recomendaciones o directrices van
en pro de la salud de los pacientes. (Bermúdez, 2015)
 4. Tecnologías de Información

Se refiere a las herramientas que son utilizadas para manipular o distribuir información, es decir,
son el hardware y software. Bermúdez & Bailón (2015, p13)

5. Seguridad Informática

La seguridad informática comprende software, hardware y todo lo que la organización valores

(activo) y que signifique un riesgo si esta información confidencial llega a manos de otras personas ,
convirtiéndose, por ejemplo en información privilegiada. Aranda (2013, p17).

La seguridad de la información tiene tres pilares fundamentales que son integridad,

confidencialidad y disponibilidad, los cuales proporcionan un marco para la protección de la
misma. PROSIC (2010, p238). Los 3 principios que deben trabajar en conjunto para garantizar la
seguridad son las siguientes:

3.2 Confidencialidad: Esta propiedad garantiza que los mensajes almacenados en un equipo
tecnológico, dispositivo de almacenamiento o enviados por medio de una red informática
solo puedan ser leídos por destinatarios autorizados, esto quiere decir que en caso de ser
accedido por terceras personas no autorizadas el mensaje original sea incomprensible para
ellos. Torres (2019, p31).

3.3 Integridad: Tener la certeza de que la información y método de procesamiento no han

sido modificados. Bermúdez & Bailón (2015, p28).

3.4 Disponibilidad: Asegurar que el objeto o información esté disponible al personal

autorizado. Aranda (2013, p109).
Figura. 1
 Objetivos

Objetivo General

● Examinar los recursos, las técnicas más comunes de ingeniería social que aplican
los ciberdelincuentes para realizar sus ataques, con el fin de minimizar los riesgos
 y educar a la población vulnerable del siglo XXI conforme a los avances
tecnológicos, logrando proteger la integridad y confidencialidad del individuo.

Objetivo Específico

● Determinar los referentes conceptuales y teóricos relacionados con la ingeniería social

y las técnicas más comunes utilizadas por los ciberdelincuentes por medio de una
revisión bibliográfica para sustentar la teoría necesaria para el desarrollo del trabajo
final de graduación.

● Diagnosticar el “estado de la situación” en el contexto de las principales debilidades

que tienen los usuarios ante un ataque de ingeniería social, por medio de estudio de
casos y observación para desarrollar una propuesta de estrategia de fortalecimiento del
área de la seguridad informática en el contexto de la ingeniería social y ciberdelitos.

● Proponer una estrategia de fortalecimiento en el área de la seguridad informática en el

contexto de la ingeniería social y ciberdelitos que contribuya a reducir la cantidad de
usuarios víctimas de hackeo de ingeniería social, por medio de la creación de una
Guía de Usuario Responsable para una incrementar la educación en ciberseguridad de
los usuarios.

● Evaluar la Guía de Usuario Responsable en un contexto realista con el fin de

recolectar retroalimentación que permita afinar dicha Guía.

Alcance

Se procurará cumplir con todos los objetivos planteados de este proyecto, el objetivo general
tiene como meta indagar en las técnicas más comunes de la ingeniería social que aplican muchos
ciberdelincuentes, sus diferentes recursos que utilizan para engañar a los usuarios, de tal maneras
que se reflejen en una selección de datos y enumerarlos de acuerdo a su técnicas; ésto para que
sean claro y asequible para todos usuarios.
Como consecuencia en esta investigación se recolectará información bibliográfica significativa
de los conceptos que están relacionados con la ingeniería social, ciencias sociales, psicología,
ingeniería informática y seguridad informática, tanto de Latinoamérica como partes del resto del
mundo.

Además, se tendrán pautas y recomendaciones a para reducir estos tipos de incidentes y ataques a
la población en conjunto a los avances tecnológicos. Tales pautas ayudarán administrar y darle el
verdadero valor de la información sensible de un individuo u organización empresarial por medio
de capacitaciones, charlas y guías de usuario acerca de seguridad informática. Así la población en
Costa Rica logrará a contrarrestar dichos delitos informáticos en su vida diaria, educándose a
tiempo y efectivamente en temas relacionados a la ingeniería social.

Metodología
Para la elaboración del presente trabajo seguimos la siguiente metodología:

1. Recolección de la información.

2. Análisis de la Información recolectada por medio de revisión bibliográfica, entrevista y estudio

de casos.

Revisión bibliográfica: su objetivo principal es realizar una investigación documental, es decir,

recopilar información ya existente sobre un tema o problema.
Uso: generalmente es utilizada en la modalidad de trabajo académico para elaborar artículos
científicos, trabajos de fin de grado, máster o tesis.

Ventajas:

 Posibilita buscar en los más de millones de referencias de todos los usuarios.

 Acceso fácil las 24 del día.
 Información en español e inglés de acuerdo al tipo de búsqueda.
 Posibilidad de realizar búsquedas de información más recientes.
 Se realiza el acceso de información por medio de buscadores web.
 La mayoría de fuentes son de libre acceso y gratuito.

Desventajas:

 Las investigaciones colocadas en los sitios web por lo general no son revisadas por
expertos.
 Las investigaciones incluidas en algunas web pueden ser textos plagiados o que son
publicadas sin el consentimiento del autor.
 La información sobre nuestro tema de estudio son difícil de encontrar y de poca calidad.

La revisión bibliográfica es la metodología principal de fuente de recolección de información

que se pretende utilizar, en donde se pretende consultar base de datos científicas, revistas
científicas, tesis o investigaciones realizadas sobre el tema de investigación.

Entrevista: Es definida como una conversación dirigida, con un propósito específico y que usa
un formato de preguntas y respuestas.

Uso: Es una técnica útil en la investigación cualitativa para recolectar información.

Ventajas:
 Es una técnica eficaz para obtener datos puntuales y relevantes.
 Por su modalidad oral y directa, se puede captar los gestos, tono de voz, entre otros.
 La información que se obtiene es superior que cuando se limita a una respuesta escrita.

Desventajas:
  Es posible que la persona entrevista mienta.
 Grado de disposición del entrevistado en responder a las preguntas.
 Muchas personas se inhiben antes un entrevistador.
 Existe la posibilidad que el entrevistador no comprenda el discurso del entrevistado.

Mediante la técnica de entrevista se recolectara la información que nos ayudara a desarrollar la

investigación del tema, tratando de entrevistar a víctima y si fuese posible al delincuente que
realizo algún ataque de ingeniería social.

Caso de estudios: Es método de investigación el cual se caracteriza por precisar de un proceso

de búsqueda e indagación, así como el análisis sistemático de uno o varios casos.
Uso: Es utilizado para recoger información sobre un caso en específico de una sola persona o
grupo, el cual es exclusivo y particular de esa persona o grupo.

Ventajas:
 Establece un puente entre la teoría y la práctica. 
 Potencia la enseñanza activa ya que permite trabajar aspectos técnicos y metodológicos. 
 Fomenta el desarrollo del juicio crítico: causas históricas.

Desventajas:
 Es difícil que un microcosmos suministre el escenario general o explicación cultural.
 Puede confundir si se refuerza lo anecdótico o lo excesivamente regular. 
 Abordan aspectos parciales de la realidad social que deben ser completados con otras
unidades

3. Análisis de la Información existente en la Web a cerca de la Ingeniería Social nivel nacionales

e internacionales.

4. Analizar algunos casos concretos de Ingeniería Social en Costa Rica.

5. Análisis de los principales aspectos que deben tener los usuarios para evitar ser víctima.

6. Elaboración de la Guía de Usuario Responsable como tips de tenerlos en cuenta a diarios para
evitar ser víctimas de fraudes.
Cronograma
Figura. 2. Cronograma del anteproyecto

Referencias bibliográficas

➔ Acuña Aguilar, Y. (2015). Diseño de estrategias psicopedagógicas para el abordaje y la

prevención del “cyberbullying” con estudiantes de educación primaria en Costa Rica.
(Tesis Doctoral). Recuperado de
 http://repositorio.uned.ac.cr/reuned/bitstream/120809/1381/1/TFG%20Yessy%20Ma.
%20Acuna%20Aguilar.pdf
➔ Aranda, R (2013). Estudio de Sistemas de Seguridad Basado en la Detección de Intrusión
Física y Tecnología. Recuperado de
https://repositorio.unican.es/xmlui/bitstream/handle/10902/4531/TFM%20-%20Ricardo
%20Aranda%20LuengoS.pdf?sequence=1&isAllowed=y
➔ Bermúdez, E. (2015). Ingeniería Social, un Factor de Riesgo Informático Inminente en la
Universidad Cooperativa de Colombia Sede Neiva. (Tesis Doctoral). Recuperado de
https://repository.unad.edu.co/bitstream/handle/10596/3629/1075210015.pdf
➔ Bermúdez & Bailón (2015). Análisis en Seguridad Informática y Seguridad de la
Información basado en las normas ISO/IEC 27001- Sistemas de Gestión de Seguridad de
la información dirigido a una Empresa de Servicios Financieros. Recuperado de
https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
➔ Castro (2016). Ingeniería Social, El Elemento Humano de la Seguridad; Contramedidas y
Planes de Acción para Fortalecer la Seguridad en las Organizaciones. Recuperado de
http://rd.udb.edu.sv:8080/jspui/bitstream/11715/1182/1/60909%20_tesis.pdf
➔ Correa & Orrego (2015). The social engineering framework para el aseguramiento de
PYME. Recuperado de
https://repository.eafit.edu.co/bitstream/handle/10784/8550/Alejandro_CorreaSierra_Carl
osAndres_OrregoOssa_2015.pdf?sequence=2&isAllowed=y
➔ Cusaria & Fagua (2016). Estrategias de Ingeniería Social a Partir del Análisis de Datos
Residuales en la Ciudad de Tunja. Recuperado de
https://www.jdc.edu.co/revistas/index.php/rciyt/article/download/73/69/
➔ El Financiero (marzo 2016) Cibercriminales usan ingeniería social para atacar datos
personales. El Financiero. Recuperado de https://www.elfinancierocr.com/economia-y-
politica/cibercriminales-usan-ingenieria-social-para-atacar-datos-
personales/MX4X4IQ2IJFZFKHHI6TA6TYATM/story/
➔ Galindo, L (2009). Capítulo Metodología, métodos, técnicas. Ingeniería Social,
Comunicalogía e Historia Oral. Vol. XV. Núm 30, Estudio sobre las Culturas
Contemporáneas. (pp.105- 122) Recuperado de
http://web.b.ebscohost.com.ezproxy.sibdi.ucr.ac.cr:2048/ehost/pdfviewer/pdfviewer?
vid=3&sid=22fcfa68-273b-482c-a89c-b144cecb149d%40pdc-v-sessmgr05
➔ Granger (2001). Social Engineering Fundamentals, Part I: Hacker Tactics. Recuperado de
http://personal.utulsa.edu/~james-
childress/cs5493/SocialEngineering/SocialEngineeringFundamentals.doc
➔ Hernández & Urrutia (2015). Ingeniería Social a Través de Medios Informáticos, Análisis
de las Posibles Amenazas Existentes en la Facultad de Ciencias Administrativas de la
Universidad de Guayaquil
http://repositorio.ug.edu.ec/bitstream/redug/10731/1/tesis_Ingenieria%20social%20a
%20traves%20de%20medios%20informaticos%2C%20analisis%20de%20las
%20posibles%20amenazas%20existe.pdf
➔ Jiménez, J. (Julio 2019). Smishing y Vishing: qué son estas variantes de ataques Phishing
y cómo podemos evitarlas. RZ redes zone. Recuperado de
https://www.redeszone.net/2019/07/20/ataques-smishing-vising-evitarlos/
➔ López, C (2015). Ingeniería Social: El Ataque Silencioso. Recuperado de
http://www.redicces.org.sv/jspui/bitstream/10972/2910/1/Articulo6.pdf
➔ López, E (Setiembre 2014). No sea víctima de los ingenieros sociales, en laprensalibre.cr.
Recuperado de http://www.laprensalibre.cr/Noticias/detalle/935-no-sea-victima-de-los-
ingenieros-sociales-
➔ López & Restrepo (2013). Social Engineering Fundamentals, Part I: Hacker Tactics.
Recuperado de http://personal.utulsa.edu/~james-
childress/cs5493/SocialEngineering/SocialEngineeringFundamentals.doc
➔ López & Salvador (2015). Ingeniería Social: El Ataque Silencioso. Recuperado de
http://www.redicces.org.sv/jspui/bitstream/10972/2910/1/Articulo6.pdf
➔ Medrano, J (2019). Cómo ejecutan uno de los timos del "falso funcionario de Hacienda"
para estafar a clientes del Banco Popular. Recuperado de
https://adalidmedrano.com/como-ejecutan-uno-de-los-timos-del-funcionario-de-hacienda-
para-estafar-a-clientes-del-banco-popular/2019/
➔ Montenegro Lenin (2017). Propuesta Metodológica para la Evaluación de Seguridad De Usuarios
de Redes Sociales con Relación a Ataques de Ingeniería Social. Recuperado de
http://dspace.ucuenca.edu.ec/bitstream/123456789/28604/1/Tesis.pdf
➔ Ortiz, L. (director y Locutor). (5 noviembre del 2019). Costa Rica es el país de
Latinoamérica más vulnerable a ataques de ingeniería social. [Tec-Toc Radio].
Recuperado de https://tectoc.blog/2019/11/05/costa-rica-es-el-pais-de-latinoamerica-mas-
vulnerable-a-ataques-de-ingenieria-social/
 ➔ Ramírez, J (2009). Ingeniería Social, una amenaza Informática. Recuperado de
https://es.scribd.com/search?content_type=tops&page=1&query=ingenier%C3%ADa
%20%20social&language=4
➔ Rivera, J (2011). Ciclo de Vida de una Prueba de Penetración Física. Recuperado de
http://biblioteca.usac.edu.gt/tesis/08/08_0562_CS.pdf
➔ Rodriguez & Garcia (2018). Metodologías de Ingeniería Social. Recuperado de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/81255/6/jrodriguezrinTFM0618m
emoria.pdf
➔ PROSIC, (2010). Ciberseguridad en Costa Rica. Recuperado de
http://www.prosic.ucr.ac.cr/sites/default/files/documentos/ciberseguridad_2010.pdf
➔ Sandoval Castellanos, E. (mayo 2011). Ingeniería Social: Corrompiendo la mente
humana. Revista Seguridad Cultura de Prevención para Ti. Número 10. Recuperado de
https://revista.seguridad.unam.mx/numero-10/ingenierí-social-corrompiendo-la-mente-
humana
➔ Torres María (2019). Proceso para Definir y Establecer un Centro de Operaciones de
Seguridad (SOC) en una Organización Financiera. Recuperado de
https://reunir.unir.net/bitstream/handle/123456789/8169/ROMAN%20TORRES%2C
%20MARIA%20JOSE.pdf?sequence=1&isAllowed=y

Glosario

Ingeniería Social: es un sistema de engaño basado en la psicología social y que se sustenta en

una serie de estrategias o técnicas sociales usadas para convencer a las personas con el fin de que
proporcionen sus datos personales.
Hackeada: hace referencia a las actividades que fue comprometido un dispositivo digital, como
ordenadores, teléfonos inteligentes, tabletas e incluso redes enteras.

Ciberdelincuentes: Persona que realiza actividades delictivas en internet como robar

información, acceder a redes privadas, estafas, y todo lo que tiene que ver con los delitos e
ilegalidad.

Hackers: es una persona que por sus avanzados conocimientos en el área de informática tiene un
desempeño extraordinario en el tema y es capaz de realizar muchas actividades desafiantes e
ilícitas desde un ordenador.

TI: Tecnología de la Información.

IS: Ingeniería Social

Vulnerabilidad: es el riesgo que una persona, sistema u objeto puede sufrir frente a peligros
inminentes, sean ellos desastres naturales, desigualdades económicas, políticas, sociales o
culturales.

Usuario: es quien usa ordinariamente algo, en términos informático se refiere a las personas que
son los utilizadores habituales de ciertos programas, aplicaciones y sistemas de un dispositivo, ya
sea, una computadora o un teléfono inteligente.

Ataque: Es un intento organizado e intencionado causada por una o más personas para causar daño o
problemas a un sistema informático o red.

Ataque: Es un intento organizado e intencionado causada por una o más personas para causar daño o
problemas a un sistema informático o red.