Ingeniería Social

EL ARTE DE HACKEAR
HUMANOS

MFG
 ¿Qué es Ingeniería Social?

El término "ingeniería social" hace referencia al

arte de manipular personas para eludir los
sistemas de seguridad. Esta técnica consiste en
obtener información de los usuarios por
teléfono, correo electrónico, correo tradicional o
contacto directo.
 Proceso
• Acercamiento para ganarse la confianza del
usuario, haciéndose pasar por un integrante de la
administración, de la compañía o del círculo o un
cliente, proveedor, etc.

• Falsa Alarma, para desestabilizar al usuario y observar la

velocidad de su respuesta. Por ejemplo, éste podría ser un
pretexto de seguridad o una situación de emergencia;

• Distracción, es decir, una frase o una situación que tranquiliza

al usuario y evita que se concentre en la alerta. Ésta podría
ser un agradecimiento que indique que todo ha vuelto a la
normalidad, una frase hecha o, en caso de que sea mediante
correo electrónico o de una página Web, la redirección a la
página Web de la compañía.
 Planos de ataque
• Plano físico. Los intrusos se hacen pasar
por otras personas para acceder a los
sistemas o a los datos que
necesitan, físicamente.

• Plano psicológico. A través de la

conversación, sea física o virtual, el intruso
obtiene datos claves para tomar control o
acceder a un sistema.
 Habilidades necesarias para la Ingeniería
Social
• Personificar al Staff, es decir, hacerse pasar por miembro de un
equipo de trabajo o compañía.
• Jugar con la simpatía de las personas, haciéndose pasar por
trabajador de otra empresa que brinda servicios (empresa
telefónica, paquetería, servicio de limpieza, seguridad o
plomería)
• Intimidar. Esto es hacerse pasar por alguien importante, a quien
no se le debe negar ninguna información (personal
gubernamental de auditorías, hijo del dueño, esposa del
gerente, etc)
• Hoaxear (de hoax). Es una técnica por la cual se genera una
apreciación de realidad a una situación falsa. Por
ejemplo, difundir que vendrá una empresa a auditar el sistema.
• Crear confusión. Consiste en hacer a la gente salir de su lugar de
trabajo para tomar control del equipo que no fue apagado. Por
ejemplo, crear una falsa alarma de incendio, de sismo, etc.
• Ingeniería Social Inversa. Consiste en atraer a un hacker que
utilice ingeniería social y aplicarle la ingeniería social a él.
Similar a un honeypot psicológico.

• Falsear un correo electrónico. Esto es enviar correos con

apariencia amigable, con códigos malignos ocultos.

• Phishing. Consiste en clonar una página conocida, montarla

en un servidor y darle un dominio parecido al original. Por
ejemplo, www.bamcomer.com, www.faceboock.com, entre
otros. Así se capturan datos de acceso de un usuario distraído.

• Pepenar. Aunque parezca loco, es una de las técnicas más

sencillas de encontrar información. Consiste en esculcar la
basura de una empresa o una persona, en busca de
información importante.
 ¿Cómo protegerse?
• No difundir información confidencial.
• Siempre pensar las formas en que pueden ser
utilizados los datos que se revelan en internet.
• Tratar de asegurarse de que se conversa con la
persona que se cree conversar.
• No escatimar en desconfianza con los
desconocidos, al momento de brindar una
información.
 Fuentes de consulta
• Kioskea.net - Ingeniería Social [español]
http://es.kioskea.net/contents/25-ingenieria-social

• GRAPH-HOC Estudio de caso en las Técnicas de Persuasión en la Ingeniería Social [inglés]

http://airccse.org/journal/graphhoc/papers/0610jgraph2.pdf

• Symantec - Fundamentos de Ingeniería Social, Parte I: Tácticas Hackers

http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-
tactics

• Revista Seguridad, UNAM - Ingeniería Social: Corrompiendo la mente humana

http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-corrompiendo-la-mente-
humana

• ESET para Latinoamérica - El arma infalible: La Ingeniería Social.

http://www.eset-la.com/pdf/prensa/informe/arma_infalible_ingenieria_social.pdf