1

CIBERSEGURIDAD, INGENIERIA SOCIAL Y ANALISIS ETICO SOBRE LAS

TECNICAS PARA VALIDAR LA SEGURIDAD EMPRESARIAL (Black White Hacking)

Kéller Eduardo Zapote Tún

Estudiante de Ingeniería en Sistemas – Centro Universitario Antigua Guatemala
Autor

1. Introducción
A lo largo de este artículo se toma un abordaje enfocado a un panorama general sobre la
ciberseguridad, ingeniería social y un análisis ético sobre las técnicas para validar la seguridad
empresarial en el marco del seminario de tecnologías de la información presentado por el
Ingeniero Amílcar de León. A continuación, luego de efectuar la recopilación de fuentes de
información compartidas por el ponente, a través de la lectura se realizó un análisis concreto para
fundamentar las ideas principales de este escrito, y luego sintetizar de forma clara las ideas,
planteamientos y aportes personales. Así mismo se observó el material audiovisual compartido
por la Dra. Alma Olivet el cual fue de vital importancia para retroalimentar y reforzar los apuntes
tomados en base a la temática impartida por el Ingeniero De León.

Sobre el contenido del artículo se desarrolla de una forma estructurada acerca del término
que muchas veces es mal utilizado en los medios cuando existen ataques cibernéticos “hacker”.
Además, este articulo presenta los distintos tipos de ataques más relevantes que se han efectuado
en el medio empresarial y social, se aborda un panorama general acerca de las técnicas o
métodos son los utilizados en este caso para conocimiento del lector y de cómo prevenir dichos
ataques.

De esta forma se establece un panorama general de como un profesional en

ciberseguridad es muy importante dentro de una empresa ya que mediante las habilidades de un
hacker de sombrero blanco podemos validar en que punto se encuentra la organización en cuanto
a buenas prácticas y controles de seguridad. Y basados en una metodología piramidal que en
articulo se explica se detalla en proceso de como se realiza un ataque apoyado en el arte de la
ingeniería social que es uno de los métodos más llamativos en este ámbito.
 2

2. ¿Qué es un Hacker?

Una definición para la interrogante planteada en el título puede ser aquel individuo con
las habilidades técnico informáticas adecuadas para vulnerar barreras de seguridad a través de
brechas existentes en cualquier sistema informático. Dicho esto, De León (2021) indica que esto
está estrechamente relacionado a dos tipos de personalidades y una de ellas se refiere a aquel
individuo que utiliza la tecnología como un medio para obtener un beneficio que en la mayoría
de las situaciones en económico a este tipo de personalidad se les denomina hackers de sombrero
negro. En un principio por allá en la década de los noventa cuando el movimiento surgió esto
comienza como un hobbie placentero por simplemente destruir un sistema.

Es importante resaltar que los hackers de sombrero negro pueden actuar en calidad de
personas individuales o en forma de grupo ya que a lo largo de los años han existido ataques
masivos a empresas mundialmente reconocidas los cuales muchas veces no son obra de un solo
individuo. Por otro lado, existen los hackers de sombrero blanco donde según De León (2021)
este tipo de personalidad maneja los mismos conocimientos avanzados en tecnología, pero la
diferencia es que en este caso cuando se realizan los ataques a sistemas existe una autorización
previa por parte de la empresa o solicitante, y así mismo se realiza en un ambiente controlado.

Estas habilidades que tienen estos dos tipos de personalidades en la actualidad son muy
valiosas para prevenir cualquier falla que exista dentro de una empresa en el contexto
tecnológico y del comportamiento humano. Pero el objeto principal es robustecer la seguridad
mediante el escaneo de vulnerabilidades realizado por estos expertos en tecnología. Y es que
algo muy alarmante según lo que menciona De León (2021) es que a nivel mundial son pocos los
países que tienen regulaciones con respecto a implementar pruebas para validar fallas de
seguridad dentro de los sistemas de una corporación en lapsos determinados, en resumen, las
empresas no están obligadas a realizar este tipo de escaneos en sus sistemas ya se por ahorrar
costos o porque simplemente no están interesados en hacerlo por ignorancia a los peligros que
esto conlleva.

Claramente como bien lo menciona el experto en ciberseguridad, a nivel nacional existe

un ente regulador para las entidades bancarias. Esto se traduce en un comportamiento estándar
con respecto a normas de ciberseguridad que deben cumplir todos aquellos sistemas asociados al
conglomerado bancario. Es claro que estas entidades deben de manejar buenas practicas en todo
 3

el eje transversal de la empresa debido a que serán auditadas por este ente regulador, por tanto,
es un punto muy a favor de que exista este tipo de entidades para dar cumplimiento a todas estas
normas y/o estándares preestablecidos.

3. El arte de la ingeniería social

Es importante acotar que en muchas ocasiones los ataques para vulnerar sistemas no
siempre dependen de un sinfín de habilidades informáticas para acceder a través de las fallas
existentes en los sistemas de una corporación. Y una de las habilidades que es de mucha utilidad
en este ámbito del hacking es la persuasión a través de ingeniería social el cual es catalogado
como un arte dentro de este ámbito de la vulneración de sistemas (De León, 2021). Una de las
frases más icónicas dentro del mundo del hacking es la siguiente “"Las organizaciones gastan
millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna
de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y
administra los ordenadores" -Kevin Mitnick
Algo que llama mucho la atención en este rubro de la ciberseguridad es que la ingeniería
social como tal nos brinda un resultado del nivel de concientización en cuanto a buenas prácticas
de seguridad implementadas dentro de una empresa. Del lado del hacking ético existen varias
metodologías para realizar este tipo de ataques mediante ingeniería social y el experto en
ciberseguridad De León (2021) nos comparte el orden en forma piramidal de cómo se realiza
este tipo de ataques bajo un ambiente controlado de esta forma desarrollaremos cada uno de los
componentes a continuación:
OSINT: Según nuestra fuente consultada “OSINT significa Open Source Intelligence (en
español Inteligencia de Fuentes Abiertas), y se trata de un conjunto de técnicas y herramientas
para recopilar información pública, correlacionar los datos y procesarlos” (Pastorino, 2019).
Según lo que menciona De León (2021) la utilización de OSINT es totalmente legal ya
que en este caso el mismo usuario es quien permite el acceso a todo este tipo de información
personal o profesional en todo tipo de sitios o redes sociales. De esta forma mediante numerosas
herramientas gratuitas y de paga que existen en la web inicia la recopilación de datos de un
determinado individuo para posteriormente ser analizado para un futuro ataque de ingeniería
social.
Desarrollo del pretexto: Esto va vinculado estrictamente con el punto anterior debido a
que desde ese punto a través de la información previamente recopilada se formará un panorama
 4

general del individuo y luego se desarrolla lo que se le conoce como “el pretexto” que es la
herramienta persuasiva que utilizará el atacante para intentar obtener acceso a los sistemas de
información de una empresa. Según De León (2021) del lado del hacking ético antes de realizar
un ataque en un ambiente controlado se debe tener el visto bueno de la empresa que contrata este
tipo de servicio esto con el fin de no ocasionar ningún escandalo mediático dentro de la
organización ya que muchas veces los pretextos que son utilizados son de contexto social y se
usan busca vulnerar los lados más débiles de un ser humano que son sus sentimientos.
Plan de Ataque: La planificación del ataque es uno de los puntos críticos para efectuar
un ataque de ingeniería social ya que según De León (2021) se comienza a evaluar ¿qué y cuál?
tipo de tecnología es la que se utilizará para poder efectuar el ataque o en su defecto si la
información recabada nos invita a ingresar a la organización para hacernos pasar por alguien más
es totalmente valido también. En este caso se entiende que se analiza la forma en que se ejecutará
el ataque teniendo en cuenta todos los factores que podrían entrar en juego, pero como en
muchos otros ámbitos y esto aplica también para la ingeniería social, una sencilla llamada
telefónica puede ser suficiente para efectuar un ataque masivo comparado con un ataque más
laborioso que implique la conexión a la red empresarial de equipos sofisticados para elaborar el
mismo tipo de ataque, prácticamente se elige la mejor opción para vulnerar el sistema objetivo.
Ejecución de ataque: Este punto como su nombre lo indica se lleva a cabo la ejecución
del ataque previamente analizado y planificado, donde se tiene presente que existe una sola
oportunidad para tener éxito. Sin embargo, es importante mencionar que dentro de este punto si
el plan se sale de las riendas en que se planificó entra el factor de improvisación y las habilidades
interpersonales y comunicación social del hacker entran en juego para poder disfrazarse de la
personalidad que le sea de utilidad en base a la información que se recabo previamente (De
León, 2021).
Reportes: Esta parte es la documentación que se lleva a cabo finalmente luego de haber
efectuado el ataque en la organización, y es la razón por la que un profesional en ciberseguridad
es contratado ya que de esta forma se logran evidenciar los indicadores y resultados obtenidos
mediante un reporte detallado (De León, 2021). Esto tiene mucho valor para las empresas
considerando que en base a este reporte se tiene un punto de partida para robustecer las medidas
de seguridad dentro de la organización en cuestión.
 5

3.1. Tipos de ataques comúnmente efectuados

Suplantación de identidad (phishing): Partiendo de esta definición “es la práctica de

enviar correos electrónicos fraudulentos que se asemejan a correos electrónicos de
fuentes de buena reputación. El objetivo es robar datos sensibles, como números de
tarjetas de crédito e información de inicio de sesión” (Cisco, 2021).
Cabe mencionar que este tipo de ataque requiere de numerosos intentos para lograr
“pescar” algo y se dice de esta forma ya que se asemeja a estar pescando y nuestro
anzuelo es el enlace adjunto con código malicioso dentro correo electrónico enviado a
miles de usuarios en internet. Es un ataque muy común a nivel empresarial y la
ingeniería social entra en juego en estos casos cuando ya se cuenta con un publico
objetivo, porque en base a esto el correo es enviado según los intereses de estas
personas.

Vishing: Por otro lado, el vishing es uno de los derivados de la suplantación de identidad
solo que en este caso la herramienta utilizada es un teléfono inteligente y según nuestra
definición es:

un tipo de ataque peligrosamente eficaz que se apoya en técnicas de ingeniería social y en el cual
el atacante se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o
entidad confiable con la intención de engañar a la víctima y convencerla de que realice una acción
que va en contra de sus intereses (ESET, 2021).

Curiosamente según De León (2021) es uno de los ataques más rentables debido a que la
inversión es realmente baja en comparación a las ganancias que un atacante de sombrero
negro puede obtener, adicional no se requieren de muchos conocimientos por lo cual una
persona con habilidades sociales considerables, con un repertorio telefónico disponible y
saldo de aire para realizar llamadas es más que suficiente para atacar a cualquier
persona.

Intrusión Física: Esta es una técnica muy peculiar que requiere de una gran habilidad
social para manejar cualquier situación que se presente en el momento, pero a la vez es
 6

uno de los métodos más eficientes para perpetrarse dentro de una organización, se le
conoce también como el ataque cara a cara y según Sandoval (2018) “Las personas más
susceptibles suelen ser las más inocentes, por lo que no es un gran reto para el atacante
cumplir su objetivo si elige bien a su víctima”.
En este sentido cuando se realiza un ataque de este tipo desde la tónica del hacking ético
se puede logar validar todas las practicas y controles de seguridad que se manejan dentro
de una empresa según (De León, 2021). Al mismo tiempo se evalúa la forma en que los
empleados resguardan información critica que no puede ser compartida con cualquier
individuo así sea el jefe de tal departamento sin previa autorización de un ente superior
que este a cargo.

4. Conclusiones
Cuando se habla de ciberseguridad es importante mencionar que no solo se enfoca desde
un punto de vista empresarial, sino que al mismo tiempo individual debido al aumento
desmesurado de usuarios en internet y por ende en perfiles de redes sociales nosotros mismos
somos responsables de lo que hacemos publico en internet. Y es aun más importante inculcar a
las nuevas generaciones de este tipo de peligros que se encuentran en internet ya que en muchas
situaciones los cibercriminales aprovechan el lado más humano de las personas para atacar y los
niños son los más vulnerables en este sentido. Por esto es importante manejar medidas de
seguridad en nuestro hogar como también educar a la familia en general por una sencilla razón,
si la mayoría es reservada, pero uno de los integrantes se expone es un punto vulnerable. No esta
demás mencionar que el apoyo de la tecnología es siempre bienvenido así que el uso de
aplicaciones anti malware, antivirus y gestores de contraseñas son muy útiles para estos
propósitos de resguardo y protección de nuestra información.
 7

Referencias

Cisco. (2021, 4 octubre). ¿Qué es la ciberseguridad? Recuperado 3 de noviembre de 2021, de

https://www.cisco.com/c/es_mx/products/security/what-is-cybersecurity.html#%7Ehow-

cybersecurity-works

de León, A. (2021, octubre). Ciberseguridad, ingeniería social y análisis ético sobre las técnicas

para validar la seguridad empresarial (black white hacking). Foro - Seminario de

tecnologías de la información presentado en Facultad de Ingeniería en Sistemas,

Guatemala, Antigua Guatemala. Recuperado de

https://drive.google.com/file/d/1uIp_CSZFDC1Kz8Nj1EagiKKI2iKAC4fK/view

ESET. (2021). Qué es el vishing: estafa a través de llamadas o mensajes de voz. Recuperado 2 de

noviembre de 2021, de https://www.eset.com/py/acerca-de-eset/sala-de-

prensa/comunicados-de-prensa/articulos-de-prensa/que-es-el-vishing-estafa-a-traves-de-

llamadas-o-mensajes-de-voz-1/

Pastorino, C. (2019, 7 octubre). Técnicas y herramientas OSINT para la investigación en

Internet. Recuperado 3 de noviembre de 2021, de https://www.welivesecurity.com/la-

es/2019/10/07/tecnicas-herramientas-osint-investigacion-internet/

Sandoval, E. J. (2018). Ingeniería Social: Corrompiendo la mente humana | Revista .Seguridad.

Recuperado de https://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-

corrompiendo-la-mente-humana