Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tabla de contenido
Presentación de la Propuesta....................................................................................................................................4
Antecedentes.............................................................................................................................................................5
Justificación..............................................................................................................................................................7
Marco teórico............................................................................................................................................................8
Objetivos.................................................................................................................................................................17
Objetivo General....................................................................................................................................17
Objetivo Específico................................................................................................................................17
Alcance...................................................................................................................................................................18
Metodología............................................................................................................................................................19
Cronograma............................................................................................................................................................22
Referencias bibliográficas......................................................................................................................................23
Glosario..................................................................................................................................................................26
Tabla de ilustraciones
Presentación de la Propuesta
5. Lectores sugeridos:
Lic. Ing. Roberto Lemaître Picado.
Actualmente es coordinador del Centro de Respuestas e Incidentes Informáticos y en los
proyectos de la Estrategia de Transformación Digital de Costa Rica MICITT. Tiene
experiencia en el área de la seguridad informática con certificaciones en Hacking ético e
Informática Forense. Por consiguiente, cuenta con los siguientes posgrados académicos:
Bachillerato:
Ingeniería Informática.
Licenciatura:
Licenciatura en Derecho.
Maestría:
Máster en Computación e Informática
Nota:
A pesar de esto, hay personas que reúnen, analizan las técnicas y principios de la
ingeniería social, recolectado en un marco de trabajo o para las empresas. (Correga A y Orrego C,
2015). Por esta razón, se disponen de investigadores que recopilan amenazas cibernéticas en todo
el mundo; lo cual se obtendrán documentos en revistas de informática, libros, tesis, periódicos
nacionales en casos de Costa Rica y América latina.
Planteamiento del problema
El problema por resolver en este trabajo final de graduación es dar a conocer los riesgos
que puedan existir al compartir, subir a las redes sociales o sitios web información sensible a los
usuarios o empresas debido a que, éstos pueden convertirse en víctimas de estafadores
informáticos, hackers y delincuentes cibernéticos.
Aunado a esto, el avance de la tecnología comprende de una variedad dispositivos que son
utilizados por los usuarios para realizar casi todo tipo de tareas como las transacciones, registrar
sus datos en sitios web, navegar en redes sociales, realizar compras en línea y más. Por lo general
todo dispositivo viene protegido con seguridad contra infiltraciones, extravíos y pérdidas; sin
embargo, existen otros métodos de robo y eso, los convierten en terreno fértil para ingenieros
sociales, personas expertas en computación, en relaciones interpersonales y en comunicación; los
cuales buscan tener acceso completo a los sistemas de dichos dispositivos. (Granger, 2001, p.3)
(Traducción propia).
Correspondiente a esto, existen empresas que olvidan que deben fomentar una cultura de
seguridad informática en los empleados que trabajan en estas (López y Restrepo, 2013). Así
como el público general, tienen la posibilidad de sufrir estafas al desconocer a cerca de seguridad
informática y sus buenas prácticas. Sí las organizaciones presentan pérdidas de información
confidencial, llegaría a afectar su servicio, credibilidad, reputación, por lo que sería considerada
como inexperta en seguridad de sistemas informáticos y cultura de seguridad cibernética. (Correa
& Orrego 2015, p.17).
Costa Rica es un país que últimamente ha aumentado las tentativas de delitos, fraudes y
ventas ilegales con el propósito de obtener dinero fácil, información personal o sensible de
organizaciones privadas o públicas, esto indudablemente puede tratarse de una modalidad de
crimen organizado internacional o nacional (PROSIC, 2010, p.171). Entonces ¿Qué métodos
sutiles y comunes utilizan los estafadores informáticos para infiltrarse en la información
personal? ¿Cómo prevenir que sucedan en empleados y usuarios generales?
Justificación
A lo largo de esta sección del proyecto se pretende mostrar los conceptos fundamentales de la
Ingeniería Social, así como las técnicas y recursos que permiten aplicarlo a los usuarios para
profundizar el tema. Incluye conceptos como ingeniería social, usuario, ataques, seguridad
informática y más; que a su vez se presentarán en subconjuntos relacionándolos entre sí los
dichos conceptos.
1. Ingeniería Social
Según López C. y Salvador R (2015) “Inicialmente este se definió como un método para ayudar
al ser humano, pero con el tiempo se fue deformando” hasta lo que es hoy. El investigador o
delincuente se mueve en un segundo escenario, lo sepa o no lo sepa, para él mejor moverse en
este marco de acción, teniendo una capacitación especializada, ya sea en lectura y evaluación
exigente de la experiencia de su intervención. A esta persona no le interesan las consecuencias de
su acción; estas son el centro de su oficio. Así es como la ciencia y la ingeniería aparece en el
oficio de la historia oral en forma directa y sin necesidad de una excesiva explicación. Al
investigador ingenuo o perverso.
➔ Técnica pasiva:
➔ Técnicas no presenciales
Se destaca por el uso del teléfono, vishing, smishing, cartas, fax o correos electrónicos
solicitando información.
◆ Ataque vía SMS: Ataque que aprovecha las aplicaciones de los celulares. El
intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es
parte de una promoción o un servicio, luego, si la persona lo responde puede
revelar información personal, ser víctima de robo o dar pié a una estafa más
elaborada. (Sandoval,2011).
◆ Smishing: es una variante de los ataques Phishing. Lógicamente estamos ante una
forma diferente de suplantar la identidad. El objetivo es el mismo: engañar a la
víctima al hacerle creer que está ante algo legítimo. La seguridad y privacidad en
realidad están en peligro y podríamos dejar expuesta nuestra información llegando
a través de mensajes de SMS y actualmente aplicaciones como WhatsApp.
(Jiménez, 2019).
◆ Vishing: Esta técnica que se utiliza a través de una llamada telefónica o mensaje
de texto, el atacante pueda obtener información de la víctima o que pueda
influenciarlo a realizar acciones convenientes al atacante. Este tipo de ataque
puede incluir tecnologías que oculten el número telefónico real del atacante y que
lo sustituya por un número cualquiera o por otro que sea de confianza de la
víctima (López & Salvador, 2015).
◆ Grooming: Conjunto de estrategias que una persona adulta realiza para ganarse la
confianza de un niño, niña o adolescente, a través del uso de las tecnologías de la
comunicación información, con el propósito de abusar o explotar sexualmente de
él o ella. El adulto suele crear un perfil falso en una red social, foro, sala de chat u
otro, se hace pasar por un chico o una chica y entablan una relación de amistad y
confianza con el niño o niña con la intención de acosarlo. Rodriguez & Garcia
(2018, p17).
◆ Redes sociales: Es una técnica que tiene dos grandes objetivos, por un lado, obtener
información de la víctima y por otro lado generar una relación con la misma por otro.
Rodriguez & Garcia (2018, p16).
Las siguiente son las técnicas: Pretexting, Office snooping, Explotar la sexualidad, Leer el
lenguaje corporal, Presión psicológica, Suplantación de personalidad, Exploit de
familiaridad, Scareware, Phishing.
◆ Phishing: Correos electrónicos o comunicados falsos que pretenden suplantar la
identidad de sitios confiables, logrando obtener información personal o
proporcionar hiperenlaces que instalan malware. Montenegro (2017, p21).
◆ Suplantación de personalidad: Esta técnica es una de las más claras cuando se quiere
hacer daño a la persona, ya que tiene un alcance más efectivo que otras técnicas. Esta
sirve para engañar a usuarios y convertirlos en victimas del conocido phishing o estafas.
Hernández & Urrutia (2015, p30).
◆ Presión psicológica: técnica de manipulación para lograr que alguien haga lo que
deseamos, es un truco mediante el cual nosotros cambiamos de posiciones, es decir,
apoyamos una idea contraria a la original y la otra persona al querer llevarnos la contraria
acepta lo que realmente nos interesaba que acepte. Hernández & Urrutia (2015, p33).
◆ Leer el lenguaje corporal: Con esta técnica el ingeniero social comunica sus
falsas intenciones no solo verbalmente sino con su cuerpo. Una de las habilidades
para desenmascarar a los ingenieros sociales es desarrollar la habilidad de leer el
lenguaje corporal para diferenciar el natural del sospechoso, el congruente del
incongruente con el mensaje verbal que se está recibiendo. Castro (2016, p.4).
◆ Explotar la sexualidad: Técnica casi infalible. Las mujeres que juegan con los
deseos sexuales de los hombres poseen una gran capacidad de manipulación, ya
que el hombre baja sus defensas y su percepción. Es más común que en esta área
los hombres sean los más susceptibles y esto se debe a que al momento de que una
dama le pide ayuda, esto alimenta poderosamente el ego y querrá quedar bien y lo
que menos está pensando es que la dama sea un atacante. Las armas pueden ser
sonrisas, guiños de ojos e incluso un beso de agradecimiento. Rivera (2011, p.51)
◆ Pretexting: Es una de las técnicas más elaboradas, ya que el atacante debe crear
un buen pretexto o incluso, un buen escenario para poder robar información
importante y sensible a la víctima, al contrario del phishing que lo que busca es
generar miedo en la mayoría de los casos, el pretexting busca ganarse la confianza
de la víctima. López & Salvador (2015, p.41).
2. Usuario
Se define como usuario aquella persona que utiliza un dispositivo o un computador y realiza
múltiples operaciones con distintos propósitos. A menudo es usuario aquel que adquiere una
computadora o dispositivo para comunicarse con otros usuarios. (Bembibre, 2009).
3. Ingenieros Sociales
Es primordial conocer a quien nos enfrentamos y cuál es el perfil. Existen tres categorías.
3.1.1 El Script Kiddie: El 95% de los atacantes se encuentran en esta categoría, son
personas que intentan vulnerar algún sistema o tratar de ganar acceso utilizando
aplicaciones disponibles en la red de manera gratuita para realizar un ataque sin objetivo
definido. No tienen el conocimiento de lo que están haciendo, solamente lo hacen por
diversión.
3.1.2 El atacante habilidoso: Utiliza las mismas herramientas que el Script Kiddie con
la diferencia que este si tiene el conocimiento de las acciones que está realizando.
Persigue un objetivo específico con el fin de obtener un beneficio.
3.1.3 El atacante interno: Es una persona de confianza que posee los privilegios, tiene
conocimiento de los sistemas y acceso autorizado a estos. También persigue un objetivo
específico con el fin de obtener un beneficio. (PROSIC, 2010).
3.2.1 Hackers: Ellos están dentro de esta clasificación debido a que, por los avances
tecnológicos en cuestiones de seguridad, se han visto obligados a hacer uso de las técnicas
de la IS.
3.3.2 Pentesters: Son los “hackers” que utilizan sus conocimientos y habilidades en pro
de la seguridad de los sistemas informáticos de las organizaciones. Su labor es ejecutar
pruebas de penetración a estos sistemas a través de distintas herramientas para encontrar
las vulnerabilidades que poseen y poderlas solucionar. No pretenden en ningún momento
atentar contra la seguridad de la información de las empresas, por el contrario, su labor
está supervisada y se ejecuta bajo términos contractuales.
3.2.3 Espías: Son quizás los individuos más expertos en la aplicación de la IS, al punto,
de convertirla en su estilo de vida pues, deben asumir roles diferentes e imprimirles la
suficiente credibilidad para engañar a sus víctimas.
3..2.4 Ladrones de identidad: Este tipo de delincuente usa técnicas como la de buscar en
la basura para obtener ilegalmente datos personales de sus víctimas para hacer uso
indebido de ellos. Los delitos más frecuentes son la suplantación en transacciones
comerciales y la personificación.
3.2.7 Reclutadores: Sean legales; como las fuerzas armadas, cazatalentos, o ejecutivos
empresariales, o ilegales; como los grupos armados, bandas o pandillas, los reclutadores
se valen de técnicas como la de desarrollar confianza, afectividad, reciprocidad y
relaciones basadas en engaños para persuadir a sus objetivos, entendiendo sus
necesidades, gustos o inclinaciones, a fin de apoderarse de ellos.
3.2.9 Gobierno: Generalmente no se ven como ingenieros sociales, pero, los gobiernos y
sus representantes son hábiles a la hora de usar la IS. Por ejemplo; se aprovechan de la
autoridad para controlar distintas situaciones, crean cortinas de humo para desviar la
atención de temas realmente importantes o recurren, muy frecuentemente, a desarrollar
controversias con la oposición o sectores específicos de la sociedad.
3.2.10 Doctores, psicólogos y abogados: Los profesionales de estas ramas usan muchas
técnicas de IS para persuadir a sus “objetivos” (clientes) aunque esto no represente ningún
riesgo para ellos pues, en el caso de los médicos, sus recomendaciones o directrices van
en pro de la salud de los pacientes. (Bermúdez, 2015)
4. Tecnologías de Información
Se refiere a las herramientas que son utilizadas para manipular o distribuir información, es decir,
son el hardware y software. Bermúdez & Bailón (2015, p13)
5. Seguridad Informática
3.2 Confidencialidad: Esta propiedad garantiza que los mensajes almacenados en un equipo
tecnológico, dispositivo de almacenamiento o enviados por medio de una red informática
solo puedan ser leídos por destinatarios autorizados, esto quiere decir que en caso de ser
accedido por terceras personas no autorizadas el mensaje original sea incomprensible para
ellos. Torres (2019, p31).
Objetivo General
● Examinar los recursos, las técnicas más comunes de ingeniería social que aplican
los ciberdelincuentes para realizar sus ataques, con el fin de minimizar los riesgos
y educar a la población vulnerable del siglo XXI conforme a los avances
tecnológicos, logrando proteger la integridad y confidencialidad del individuo.
Objetivo Específico
Alcance
Se procurará cumplir con todos los objetivos planteados de este proyecto, el objetivo general
tiene como meta indagar en las técnicas más comunes de la ingeniería social que aplican muchos
ciberdelincuentes, sus diferentes recursos que utilizan para engañar a los usuarios, de tal maneras
que se reflejen en una selección de datos y enumerarlos de acuerdo a su técnicas; ésto para que
sean claro y asequible para todos usuarios.
Como consecuencia en esta investigación se recolectará información bibliográfica significativa
de los conceptos que están relacionados con la ingeniería social, ciencias sociales, psicología,
ingeniería informática y seguridad informática, tanto de Latinoamérica como partes del resto del
mundo.
Además, se tendrán pautas y recomendaciones a para reducir estos tipos de incidentes y ataques a
la población en conjunto a los avances tecnológicos. Tales pautas ayudarán administrar y darle el
verdadero valor de la información sensible de un individuo u organización empresarial por medio
de capacitaciones, charlas y guías de usuario acerca de seguridad informática. Así la población en
Costa Rica logrará a contrarrestar dichos delitos informáticos en su vida diaria, educándose a
tiempo y efectivamente en temas relacionados a la ingeniería social.
Metodología
Para la elaboración del presente trabajo seguimos la siguiente metodología:
1. Recolección de la información.
Ventajas:
Desventajas:
Las investigaciones colocadas en los sitios web por lo general no son revisadas por
expertos.
Las investigaciones incluidas en algunas web pueden ser textos plagiados o que son
publicadas sin el consentimiento del autor.
La información sobre nuestro tema de estudio son difícil de encontrar y de poca calidad.
Entrevista: Es definida como una conversación dirigida, con un propósito específico y que usa
un formato de preguntas y respuestas.
Ventajas:
Es una técnica eficaz para obtener datos puntuales y relevantes.
Por su modalidad oral y directa, se puede captar los gestos, tono de voz, entre otros.
La información que se obtiene es superior que cuando se limita a una respuesta escrita.
Desventajas:
Es posible que la persona entrevista mienta.
Grado de disposición del entrevistado en responder a las preguntas.
Muchas personas se inhiben antes un entrevistador.
Existe la posibilidad que el entrevistador no comprenda el discurso del entrevistado.
Ventajas:
Establece un puente entre la teoría y la práctica.
Potencia la enseñanza activa ya que permite trabajar aspectos técnicos y metodológicos.
Fomenta el desarrollo del juicio crítico: causas históricas.
Desventajas:
Es difícil que un microcosmos suministre el escenario general o explicación cultural.
Puede confundir si se refuerza lo anecdótico o lo excesivamente regular.
Abordan aspectos parciales de la realidad social que deben ser completados con otras
unidades
5. Análisis de los principales aspectos que deben tener los usuarios para evitar ser víctima.
6. Elaboración de la Guía de Usuario Responsable como tips de tenerlos en cuenta a diarios para
evitar ser víctimas de fraudes.
Cronograma
Figura. 2. Cronograma del anteproyecto
Referencias bibliográficas
Glosario
Hackers: es una persona que por sus avanzados conocimientos en el área de informática tiene un
desempeño extraordinario en el tema y es capaz de realizar muchas actividades desafiantes e
ilícitas desde un ordenador.
Vulnerabilidad: es el riesgo que una persona, sistema u objeto puede sufrir frente a peligros
inminentes, sean ellos desastres naturales, desigualdades económicas, políticas, sociales o
culturales.
Usuario: es quien usa ordinariamente algo, en términos informático se refiere a las personas que
son los utilizadores habituales de ciertos programas, aplicaciones y sistemas de un dispositivo, ya
sea, una computadora o un teléfono inteligente.
Ataque: Es un intento organizado e intencionado causada por una o más personas para causar daño o
problemas a un sistema informático o red.
Ataque: Es un intento organizado e intencionado causada por una o más personas para causar daño o
problemas a un sistema informático o red.