¿Qué es la ingeniería social y cómo me

protejo?
Compartir en
redes sociales
 Compartir en Facebook
 Compartir en Twitter
 Compartir en Linkedin
 Compartir en Whatsapp
 Compartir en Telegram

Se llama ingeniería social a las diferentes técnicas de manipulación que usan los
ciberdelincuentes para obtener información confidencial de los usuarios.

Los ciberdelincuentes engañan a sus víctimas haciéndose pasar por otra persona.
Por ejemplo, se hacen pasar por familiares, personas de soporte técnico,
compañeros de trabajo o personas de confianza. El objetivo de este engaño es
apropiarse de datos personales, contraseñas o suplantar la identidad de la
persona engañada.

¿Qué canales utilizan los ciberdelincuentes para los ataques de ingeniería social?
Los ciberdelincuentes manipulan y engañan a las personas a través de:

 Llamadas telefónicas,

 Visitas personales al domicilio de las personas,

 Aplicaciones de mensajería instantánea,

 Correos electrónicos,

 Redes sociales.

¿Qué métodos pueden utilizar los ciberdelincuentes para cometer sus ataques?

 Hacerse pasar por un familiar, un conocido o un compañero de trabajo.

  Ofrecer a la víctima premios o promociones únicas y limitadas a cambio de
sus datos.

 Hacerse pasar por el técnico de la empresa o por la persona responsable

de sistemas.

 Invitar a completar formularios para ganar un premio o un producto.

 Ofrecer actualizaciones de navegadores o aplicaciones a través de páginas

falsas.

¿Cuáles son las técnicas de ingeniería social más difundidas?

Existen diferentes tipos de técnicas de ingeniería social:

 Vishing: obtienen información a través de una llamada telefónica. El

ciberdelincuente se hace pasar por un familiar, personal de una empresa o
de soporte técnico.

 Phishing: envían correos electrónicos falsos para obtener información de la

víctima. Por ejemplo, pueden solicitar datos personales, de tarjetas de
crédito, de obra social, de actualización laboral, contraseñas de sistemas,
etc.
Dispositivos maliciosos: dejan colocado un pendrive con contenido
malicioso en una computadora pública y este dispositivo obtiene
información de la persona que la utiliza.

 Spear phishing: envían un correo electrónico falso a una persona, por

ejemplo, alguien en una empresa que tiene un determinado cargo o maneja
información sensible. Los delincuentes conocen a la persona e intentan
robarle datos.

 Concursos falsos: informan a la persona que ha ganado un premio para

obtener información personal.

 Farming: realizan varias comunicaciones con las víctimas hasta conseguir

la mayor cantidad de información posible.
Robo de cuentas de correos electrónicos: roban cuentas reales para
 cometer ilícitos entre los contactos de la víctima, enviar software malicioso
o para obtener información personal.

¿Existe alguna herramienta informática para protegernos de la ingeniería social?

No. Los ataques de ingeniería social son muy difíciles de identificar. Los
ciberdelincuentes usan diferentes técnicas psicológicas y sociales y distintos tipos
de dispositivos y plataformas para engañar a las personas.

¿Cómo podemos protegernos de la ingeniería social?

 No entregues datos personales a personas extrañas por correos

electrónicos, redes sociales o por teléfono.

 Configurá la privacidad en las redes sociales para que no haya datos

personales expuestos en forma pública.

 Informate y aprendé sobre este tipo de amenazas.

 Usá una contraseña segura

 Configurá la autenticación de dos pasos para estar alerta de accesos

indebidos a tus cuentas.

 Prestá atención a cualquier persona que te pida información personal.

Información actualizada al 30 de diciembre de 2020

 ¿Qué es la Ingeniería Social?
Ataques, técnicas y prevención
 Tiempo de lectura:11 minutos de lectura
 Publicación de la entrada:junio 23, 2021
 Categoría de la entrada:Hacking
La ingeniería social es el arte de manipular a los usuarios de un
sistema informático para que revelen información confidencial
que se puede utilizar para obtener acceso no autorizado a
un sistema informático.
El término también puede incluir actividades como explotar la
bondad humana, la codicia y la curiosidad para obtener acceso a
lugares privados o causar daños posteriores.
Por ejemplo, lograr el acceso restringido a edificios fortificados
o lograr que los usuarios instalen software u hardware que
posteriormente den acceso a puertas traseras.
Conocer los trucos utilizados por los hackers para engañar a los
usuarios para hacerles divulgar la información vital de un inicio
de sesión, es fundamental para lograr proteger los sistemas
informáticos.
En este tutorial, se presentan las técnicas más comunes de
ingeniería social y cómo idear medidas de seguridad para
contrarrestarlas.
Contenidos
 ¿Cómo funciona la ingeniería social?
 Se recopila información
 Se planifica el ataque
 Se adquieren las herramientas necesarias
 Se ataca
 Se utilizan los conocimientos adquiridos
 Técnicas más comunes de ingeniería social
 Explotación de familiaridad
 Circunstancias intimidantes
 Phishing
 Tailgating
 Explotación de la curiosidad humana
 Explotación de la codicia humana
 Contramedidas de ingeniería social
 Resumen
¿Cómo funciona la ingeniería social?
Se recopila información
Esta es la primera etapa, la persona aprende todo lo posible de la
posible víctima.

La información se recopila de los sitios web de la empresa, otras

publicaciones y a veces, incluso hablando con el resto de
usuarios del sistema a atacar.

Se planifica el ataque
Los atacantes detallan y planifican cómo pretenden ejecutar el
ataque.

Se adquieren las herramientas necesarias

Se recopilan los programas informáticos necesario para ejecutar
un ataque.

Se ataca
Aprovechando las debilidades del sistema informático que se ha
determinado como objetivo, se pasa a ejecutar las herramientas
recopiladas buscando las posibles vulnerabilidades existentes.

Se utilizan los conocimientos adquiridos

Una vez encontradas las debilidades, se pasa a infiltrar los
programas capaces de ir más profundo dentro del sistema.
Para ello, se utiliza la información recopilada con anterioridad,
durante las tácticas de ingeniería social.

Esa información puede ser, a saber: Los nombres de las

mascotas, las fechas de nacimiento de los fundadores de la
organización, cualquier dato personal, etc.

Los datos se utilizan principalmente para practicar ataques de

fuerza bruta capaces de adivinar contraseñas.

La fórmula más común de utilizar esos datos, es el introducirlos

conjunto a posibles combinaciones de los mismos; dentro de los
scripts de descifrado de contraseñas.

Técnicas más comunes de ingeniería

social
Las técnicas de ingeniería social pueden adoptar muchas
formas. La siguiente es una lista de las técnicas más utilizadas.
Explotación de familiaridad
Los usuarios sospechan menos de las personas con las que están
familiarizados. Un atacante puede familiarizarse con los usuarios
del sistema objetivo antes del ataque de ingeniería social.

El atacante puede interactuar con los usuarios durante las

comidas, puede unirse cuando los usuarios están fumando, en
eventos sociales, etc.

Esto hace que el atacante sea capaz de familiarizarse con los

usuarios.

Supongamos que el usuario trabaja en un edificio que requiere

un código de acceso o tarjeta para acceder, el atacante puede
seguir a los usuarios cuando ingresan a dichos lugares.
A las víctimas les gustará mantener la puerta abierta para dar
opciones al atacante, ya que se encuentran familiarizados con él.

El atacante también puede extraer respuestas a posibles

preguntas como por ejemplo; Dónde conoció a su cónyuge, el
nombre de su profesor de matemáticas de la escuela secundaria,
etc.

Es más probable que los usuarios revelen posibles respuestas, ya

que el atacante ha logrado generar confianza en ellos.

Circunstancias intimidantes
Las personas tienden a evitar a las personas que intimidan a los
que les rodean. Con esta técnica, el atacante puede pretender
tener una acalorada discusión por teléfono o con un cómplice del
plan.

El atacante puede entonces pedir a los usuarios información que

se utilizaría para comprometer la seguridad del sistema de los
usuarios.

Lo más probable es que los usuarios den las respuestas correctas

solo para evitar tener una confrontación con el atacante.

Esta técnica también se puede utilizar para evitar ser revisados

en un punto de control de seguridad.

Phishing
Esta técnica utiliza engaños y trucos y para obtener los datos
privados de los usuarios.

El ingeniero social puede intentar hacerse pasar por un sitio web

genuino como Google o un banco de confianza, para luego
pedirle al usuario desprevenido que confirme su nombre de
cuenta y contraseña.

Esta técnica también puede utilizarse para obtener información

de tarjetas de crédito o cualquier otro dato.

Tailgating
Esta técnica implica seguir a los usuarios por detrás cuando
ingresan a áreas restringidas. Como cortesía humana, es probable
que el usuario deje que el ingeniero social ingresar al área
restringida.

Explotación de la curiosidad humana

Con esta técnica, el ingeniero social puede dejar caer
deliberadamente un pendrive infectado con virus  en un área
donde los usuarios puedan recogerlo fácilmente.
Lo más probable, es que por la curiosidad del ser humano, algún
usuario lo recoja y termine conectando el pendrive a una de las
computadoras internas.

El pendrive puede ejecutar automáticamente el virus o el usuario

puede tener la tentación de abrir un archivo con un nombre
como Informe_Despidos.docx que en realidad va a ser un archivo
infectado.
Explotación de la codicia humana
Con esta técnica, el ingeniero social puede atraer al usuario con
promesas de ganar mucho dinero en línea al completar un
formulario y confirmar sus datos utilizando los datos de la tarjeta
de crédito, etc.
Contramedidas de ingeniería social
La mayoría de las técnicas empleadas por los ingenieros
sociales implican manipular los prejuicios humanos  . Para
contrarrestar tales técnicas, una organización puede:
 Para contrarrestar el exploit por familiaridad , los usuarios
deben estar capacitados para no entremezclar la familiaridad
con las medidas de seguridad. Incluso las personas con las que
están familiarizados deben acreditar que tienen la autorización
para acceder a determinadas áreas e información.
 Para contrarrestar los ataques de circunstancias
intimidantes, los usuarios deben estar capacitados para
identificar técnicas de ingeniería social que buscan
información sensible y decir cortésmente que no.
 Para contrarrestar las técnicas de phishing , la mayoría de
los sitios como Google utilizan conexiones seguras para cifrar
los datos y demostrar que son quienes dicen ser.  Verificar la
URL puede ayudar a detectar sitios falsos . Evita responder
a correos electrónicos soliciten información personal .
 Para contrarrestar los ataques de persecución , los usuarios
deben estar capacitados para no permitir que otros usen su
autorización de seguridad, cada usuario debe utilizar su propia
autorización de acceso.
 Para contrarrestar la curiosidad humana , es mejor enviar
los pendrive perdidos a los  administradores del sistema ,
quienes pueden escanearlos (en máquinas aisladas) en  busca
de virus u otras infecciones.
 Para contrarrestar las técnicas que explotan la codicia
humana, los empleados deben estar  capacitados sobre los
peligros y la posibilidad de de caer en tales estafas.
Resumen
 La ingeniería social es el arte de explotar los elementos
humanos para acceder a recursos no autorizados.
 Los ingenieros sociales utilizan una serie de técnicas para
engañar a los usuarios y lograr que revelen la mayor
información confidencial posible.
 Las organizaciones deben tener políticas de seguridad que
tengan contramedidas de ingeniería social.
Definiendo la ingeniería social

El término ingeniería social es tomado de las Ciencias Sociales, como

aquella práctica que implica el uso de la manipulación con el fin de
conseguir un objetivo, sea positivo o negativo. En otras palabras, es
cualquier esfuerzo de los factores de cambio (medios de comunicación,
gobiernos o grupos privados) con el propósito de influir o moldear el
comportamiento de la población objetivo.

En el contexto de la seguridad de la información, la ingeniería social se

ejecuta con el fin de engañar a víctimas inocentes para que compartan
sus datos personales, al abrir enlaces hacia páginas web infectadas o
permitir a los hackers que instalen un software malicioso en sus
ordenadores inconscientemente.

¿Qué son las técnicas de ingeniería social?

Son las técnicas usadas por los ciberdelincuentes que se basan en

la generación de confianza por medio del lenguaje amable, empático o
atractivo. Estas llevan a que la víctima se sienta con la tranquilidad para dar
continuidad a un proceso determinado.
Tanto las técnicas para personas como para empresas y organizaciones
necesitan de la cooperación de la víctima sin que esta percate el peligro.
Para ataques o robos de información a grandes compañías se eligen
empleados de bajo nivel que tienen acceso a esta información.

Así mismo, se suele engañar a la víctima para que comparta esta

información voluntariamente, infectando su ordenador con un software
malicioso, monitoreando la actividad de su red y enviando informes
detallados directamente al cibercriminal.

Ingeniera social: tipos de ataques

Los ataques a la seguridad se manifiestan de múltiples maneras y formas.

Se pueden llevar a cabo fuera de la red, por una llamada telefónica o,
incluso, con la visita inesperada de una persona a una oficina solicitando
determinada información de la empresa.

Aquí presentamos los diferentes tipos de técnicas para que aprendas

cómo identificarlas.
Spear Phishing

El phishing es un tipo de ataque de ingeniería social en el que los

mensajes parecen provenir de una fuente fiable. Por lo que los usuarios
no dudan de la legitimidad de un mensaje que, aparentemente, proviene de
un amigo, un familiar o una tienda que visitan con frecuencia. Aquí, los
mensajes están diseñados específicamente para engañar a las víctimas y
que revelen sus datos personales o financieros.

Dentro de esta técnica también se emplea el logotipo oficial y el aspecto del

banco en cuestión para hacer más difícil que la víctima pueda descubrir que
el mensaje no es sospechoso.

Baiting

Este es un ejemplo de ingeniería social que no se origina en las redes, pues

se refiere al caso en el que un atacante deja un dispositivo infectado con
malware (por ejemplo, una USB) en algún lugar fácil de encontrar.

Estos dispositivos suelen tener etiquetas como «importante» o

«confidencial», palabras que sean provocativas para curiosear. Si la víctima
conecta la USB en su computador, esta instalará inmediatamente el
software malicioso en el PC. Lo cual proporcionará al hacker una visión
de su actividad online y fuera de la red, así como el acceso a sus
archivos y carpetas.

Si el computador es parte de una red, el hacker también obtendrá acceso

inmediato a todos los demás dispositivos que componen esa red.

Vishing o pretexting

También conocido como phishing por voz, es un tipo más actualizado de

ataque de phishing. Esta técnica consiste en la suplantación de un
número de teléfono para que parezca legítimo. Así los atacantes se hacen
pasar por técnicos, compañeros de trabajo, personal de informática, e
inclusive, familiares o amigos.

Seguramente, has recibido llamadas de un sobrino, primo o el nieto de un

amigo que fue encarcelado por la policía y debe pagar una cuantiosa suma
de dinero para que salga de ese problema.
Desafortunadamente, por las historias y discursos bien construidos, y con
ayuda de un lenguaje de confianza, muchas personas son víctimas de este
ataque. Compartiendo no solo sus datos personales o su cuenta bancaria
una única vez, sino que pueden llegar a ser víctimas por un largo periodo de
tiempo.

Smishing

Es un tipo de ataque de phishing que funciona por medio de mensajes de

texto o SMS. Normalmente, estos ataques piden a la víctima que realice
alguna acción inmediata a través de vínculos maliciosos en los que hacen
clic o dan números de teléfono para llamar.

 4 tips para evitar ataques de ingeniería social

Una vez que se cae en las redes de un ingeniero social, puede ser difícil
librarse de ellas. Las técnicas de la ingeniería social están diseñadas
para sacar provecho de los rasgos humanos como la curiosidad, la
confianza y la voluntad de ayudar de sus víctimas. De modo que la mejor
manera de protegerse es ser más desconfiado dentro del entorno
online.

Aunque usar el mejor software antivirus sea realmente importante,

también es necesario ser muy cuidadoso en internet. Además, de tener
sentido común y seguir buenas prácticas para la gestión y el cuidado de la
información, eso sin ser un experto en tecnología. A continuación, te
presentamos 4 tips para que puedas identificar y disminuir los ataques de
cibercriminales.

1. Investiga la fuente

 Si recibes un email, SMS o llamada telefónica de una fuente

desconocida, busca el número en internet para ver si encuentras
información relacionada.
 Comprueba hacia donde conducen los enlaces: los hipervínculos
fraudulentos son fáciles de detectar con solo deslizar el cursor por
encima (NO hagas clic en ellos).
 Verifica la ortografía, ya que los bancos cuentan con equipos de
personas cualificadas dedicadas a elaborar los comunicados que se
envían a los clientes. Sí un mensaje de correo electrónico tiene faltas
de ortografía clamorosas o una redacción incoherente, probablemente
sea fraudulento.

2. Cambia la configuración de spam en el correo electrónico

Puedes ajustar la configuración del correo electrónico para fortalecer los

filtros de spam si estos mensajes aparecen en la bandeja de entrada.
Estos filtros pueden detectar archivos o enlaces maliciosos. Así como
tener una lista negra de direcciones IP o remitentes sospechosos y analizar
el contenido de los mensajes para determinar si es probable que sean
falsos.

3. Razona antes de actuar

La ingeniería social genera una cierta sensación o situación de urgencia.

Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo
que está sucediendo. Por eso, es necesario tomarte un momento
para pensar y demostrar que se trata de un fraude.

Llama al número o visita la URL oficial del remitente que te está

contactando, en lugar de facilitar tus datos por teléfono o hacer clic en un
enlace. Utiliza un método de comunicación distinto para comprobar la
credibilidad de la fuente.

4. Instala y mantén actualizado el antivirus y antimalware

Un software antivirus capaz de detectar mensajes o páginas web

sospechosos puede ahorrarte el tiempo y las molestias de tener que
verificar las fuentes.

Reflexiona sobre la seguridad de tu información

Finalmente, te invitamos a reflexionar sobre la seguridad de tu

información, ya que compartir gran cantidad de datos en Internet (redes
sociales, foros, etc.) puede resultar de ayuda a los atacantes.

Por ejemplo, muchos bancos incluyen «Nombre de tu primera mascota»

como posible pregunta de seguridad. ¿Lo has publicado alguna vez en
Facebook? En caso afirmativo, eres vulnerable. Además, algunos ataques
de ingeniería social intentan ganar credibilidad aludiendo a eventos
recientes que tal vez hayas publicado en las redes sociales.

También, analiza otros aspectos de tu vida que compartes en Internet.

Si tienes un currículum online, piensa si es conveniente indicar la dirección
de tu residencia, número de teléfono o fecha de nacimiento. Todo esto es
información útil para cualquiera que esté planeando perpetrar un ataque de
ingeniería social.

La ingeniería social puede llegar a ser muy peligrosa porque parte de

situaciones perfectamente normales y las manipula con fines delictivos.
Aun así, entendiendo bien cómo funciona y tomando las precauciones
básicas es mucho menos probable que te conviertas en una víctima de un
ciberataque.
El kit de herramientas de ingeniería
social (SET)
 Derechos de autor©️2020
 Escrito por: David Kennedy (ReL1K) @HackingDave
 Empresa: TrustedSec

Descripción

Social-Engineer Toolkit es un marco de prueba de penetración de código abierto

diseñado para la ingeniería social. SET tiene una serie de vectores de ataque
personalizados que le permiten realizar un ataque creíble rápidamente. SET es un
producto de TrustedSec, LLC, una firma de consultoría de seguridad de la
información ubicada en Cleveland, Ohio.

DESCARGO DE RESPONSABILIDAD: Esto es solo para fines de prueba y solo se

puede usar cuando se haya otorgado un consentimiento estricto. No utilices esto
para fines ilegales, punto. Lea la LICENCIA en Léame/LICENCIA para obtener la
licencia de SET.

Plataformas compatibles:

 linux
 Mac OS X (experimental)

Instalación
Instalar a través de requirements.txt

pip3 install -r requisitos.txt

python3 configuración.py
Instalar CONJUNTO

=======

 Mac OS X

Instalación

Windows 10 WSL/WSL2 Kali Linux

sudo apt install conjunto -y

Kali Linux en Windows 10 es una instalación mínima, por lo que no tiene ninguna
herramienta instalada. Puede instalar fácilmente Social Engineer Toolkit en
WSL/WSL2 sin necesidad de pip usando el comando anterior.

linux

clon de git https://github.com/trustedsec/social-engineer-toolkit/ setoolkit/

cd setoolkit
pip3 install -r requisitos.txt
configuración de python.py

CONJUNTO Tutorial

Para obtener un documento completo sobre cómo usar SET, visite el manual de

usuario de SET .

Errores y mejoras

Para informes de errores o mejoras, abra un problema aquí.

¿Cómo funciona la ingeniería social?
La expresión "ingeniería social" abarca una amplia gama de comportamientos, y lo
que todos tienen en común es que explotan ciertas cualidades humanas
universales: la codicia, la curiosidad, la cortesía, la deferencia a la autoridad,
etc. Aunque algunos ejemplos clásicos de ingeniería social tienen lugar en el
"mundo real" (un hombre con uniforme de FedEx que se abre paso en un edificio
de oficinas, por ejemplo), gran parte de nuestra interacción social diaria tiene lugar
en Internet, y es ahí donde también se producen la mayoría de los ataques de
ingeniería social. Por ejemplo, es posible que no pienses en el phishing o
el smishing como tipos de ataques de ingeniería social, pero ambos se basan en
engañarte, fingiendo ser alguien en quien confías o tentándote con algo que
quieres, para que descargues malware en tu dispositivo.

Esto trae a colación otro punto importante, y es que la ingeniería social

puede representar un único paso en una cadena de ataque mayor. Un texto
de smishing utiliza la dinámica social para seducirle con una tarjeta de regalo
gratuita, pero una vez que pulse el enlace y descargue el código malicioso, los
atacantes utilizarán sus habilidades técnicas para obtener el control de su
dispositivo y explotarlo.

 
Ejemplos de ingeniería social
Una buena manera de hacerse una idea de las tácticas de ingeniería social a las
que debe prestar atención es conocer las que se han utilizado en el pasado.
Tenemos todos los detalles en un extenso artículo sobre el tema, pero de
momento vamos a centrarnos en tres técnicas de ingeniería social,
independientes de las plataformas tecnológicas, que han tenido mucho éxito para
los estafadores.

Ofrecer algo dulce. Como le dirá cualquier estafador, la forma más fácil de

estafar a un blanco es explotar su propia codicia. Esta es la base de la clásica
estafa nigeriana 419, en la que el estafador intenta convencer a la víctima de que
le ayude a sacar el dinero supuestamente mal habido de su país a un banco
seguro, ofreciendo una parte de los fondos a cambio. Estos correos electrónicos
de "príncipes nigerianos" son un chiste desde hace décadas, pero siguen
siendo una técnica eficaz de ingeniería social en la que la gente cae: en 2007,
el tesorero de un condado poco poblado de Michigan entregó 1,2 millones de
dólares de fondos públicos a un estafador de este tipo con la esperanza de cobrar
personalmente. Otro señuelo común es la perspectiva de un nuevo y mejor
trabajo, que aparentemente es algo que demasiados de nosotros queremos: en
una brecha enormemente embarazosa de 2011, la empresa de seguridad RSA se
vio comprometida cuando al menos dos empleados de bajo nivel abrieron un
archivo de malware adjunto a un correo electrónico de phishing con el nombre de
archivo "2011 recruitment plan.xls".

Fingir hasta que lo consigas. Una de las técnicas de ingeniería social más

sencillas -y sorprendentemente más exitosas- es simplemente fingir ser la
víctima. En una de las primeras y legendarias estafas de Kevin Mitnick, consiguió
acceder a los servidores de desarrollo del sistema operativo de Digital Equipment
Corporation simplemente llamando a la empresa, diciendo que era uno de sus
principales desarrolladores, y diciendo que tenía problemas para iniciar sesión;
inmediatamente fue recompensado con un nuevo nombre de usuario y
contraseña. Todo esto sucedió en 1979, y uno pensaría que las cosas han
mejorado desde entonces, pero se equivocaría: en 2016, un hacker se hizo con el
control de una dirección de correo electrónico del Departamento de Justicia de
Estados Unidos y la utilizó para hacerse pasar por un empleado, engatusando a
un servicio de asistencia para que le entregara un token de acceso a la intranet de
la institución, diciendo que era su primera semana en el trabajo y que no sabía
cómo funcionaba nada.

Muchas organizaciones cuentan con barreras destinadas a evitar este tipo de

suplantaciones descaradas, pero a menudo se pueden eludir con bastante
facilidad. Cuando Hewlett-Packard contrató a investigadores privados para
averiguar qué miembros de la junta directiva de HP estaban filtrando información a
la prensa en 2005, pudieron proporcionar a los investigadores privados los cuatro
últimos dígitos del número de la seguridad social de sus objetivos, que el servicio
técnico de AT&T aceptó como prueba de identificación antes de entregar registros
de llamadas detallados.

Actúar como si estuvieras al mando. La mayoría de nosotros estamos

preparados para respetar la autoridad o, como resultado, para respetar a las
personas que actúan como si tuvieran autoridad para hacer lo que están haciendo.
Puedes explotar distintos grados de conocimiento de los procesos internos de una
empresa para convencer a la gente de que tienes derecho a estar en lugares o a
ver cosas que no deberías, o de que una comunicación que viene de ti viene
realmente de alguien a quien respetan. Por ejemplo, en 2015 los empleados de
finanzas de Ubiquiti Networks transfirieron millones de dólares en dinero de la
empresa a estafadores que se hacían pasar por ejecutivos de la compañía,
probablemente utilizando una URL parecida en su dirección de correo electrónico.
En el lado de la tecnología más baja, los investigadores que trabajaban para los
tabloides británicos a finales de los años 00 y principios de los 10, a menudo
encontraban maneras de obtener acceso a las cuentas de correo de voz de las
víctimas haciéndose pasar por otros empleados de la compañía telefónica a través
de un puro farol; por ejemplo, un IP convenció a Vodafone para restablecer el PIN
del correo de voz de la actriz Sienna Miller llamando y diciendo ser "John de
control de crédito."

A veces son autoridades externas cuyas exigencias cumplimos sin pensarlo

mucho. El mandamás de la campaña de Hillary Clinton, John Podesta, sufrió el
hackeo de su correo electrónico por parte de espías rusos en 2016, cuando le
enviaron un correo de phishing, disfrazado de nota de Google, pidiéndole que
restableciera su contraseña. Al tomar una medida que pensó que protegería su
cuenta, en realidad regaló sus credenciales de inicio de sesión.

Cinco tipos de ingeniería social

1. Phishing, como ya hemos dicho, que también incluye el smishing basado en texto
y el vishing basado en voz. Estos ataques suelen ser de bajo esfuerzo pero de
gran difusión; por ejemplo, un phisher puede enviar miles de correos electrónicos
idénticos, con la esperanza de que alguien sea lo suficientemente crédulo como
para hacer clic en el archivo adjunto.
2. El spear phishing, o whaling, es una variante de phishing "de alto contacto" para
objetivos de alto valor. Los atacantes dedican tiempo a investigar a su víctima, que
suele ser una persona de alto estatus con mucho dinero de la que pueden
separarse, para elaborar comunicaciones de estafa únicas y personalizadas.
3. El cebo es una parte clave de todas las formas de phishing y también de otras
estafas: siempre hay algo para tentar a la víctima, ya sea un texto con la promesa
de una tarjeta de regalo gratuita o algo mucho más lucrativo o lascivo.
4. El pretexto consiste en crear una historia, o pretexto, para convencer a alguien de
que entregue información valiosa o acceso a algún sistema o cuenta. Un pretexto
puede conseguir encontrar algunos de sus datos personales y utilizarlos para
engañarle; por ejemplo, si sabe qué banco utiliza, puede llamarle y decir que es un
representante de atención al cliente que necesita saber su número de cuenta para
ayudarle con un pago atrasado. O bien, podrían utilizar la información para
 imitarle: esta fue la técnica utilizada por los investigadores privados de HP de la
que hablamos anteriormente.
5. Los fraudes por correo electrónico comercial combinan varias de las técnicas
anteriores. Un atacante se hace con el control de la dirección de correo electrónico
de la víctima o se las arregla para enviar correos electrónicos que parezcan
proceder de esa dirección, y luego comienza a enviar correos electrónicos a los
subordinados en el trabajo solicitando la transferencia de fondos a las cuentas que
controlan.

Cómo detectar los ataques de ingeniería social

La empresa de seguridad Norton ha hecho un buen trabajo al esbozar
algunas banderas rojas que podrían ser una señal de un ataque de ingeniería
social. Estas señales se aplican tanto a las técnicas sociales como a las
tecnológicas, y es bueno tenerlas en mente para intentar mantenerse en guardia:

 Alguien conocido envía un mensaje inusual: Robar o imitar la identidad en línea

de alguien y luego minar sus círculos sociales es relativamente fácil para un
atacante decidido, así que si recibes un mensaje de un amigo, pariente o
compañero de trabajo que parece extraño, asegúrate de que realmente estás
hablando con él antes de actuar. Es posible que tu nieta esté realmente de
vacaciones y necesite dinero, o que tu jefe quiera realmente que le envíes una
suma de seis cifras a un nuevo proveedor en Bielorrusia, pero eso es algo que
debes comprobar tres veces antes de pulsar enviar.
 Un desconocido te hace una oferta demasiado buena para ser verdad: Una
vez más, todos nos reímos de los correos electrónicos de príncipes nigerianos,
pero muchos de nosotros seguimos cayendo en estafas que nos engañan
diciéndonos que estamos a punto de conseguir algo que no esperábamos ni
habíamos pedido. Tanto si se trata de un correo electrónico en el que se nos dice
que hemos ganado una lotería en la que no habíamos entrado, como de un
mensaje de texto de un número extraño en el que se nos ofrece una tarjeta regalo
sólo por haber pagado la factura del teléfono a tiempo, si parece demasiado bueno
para ser verdad, probablemente lo sea.
 Tus emociones se intensifican y tienes que actuar ahora: Los estafadores de
ingeniería social se aprovechan de las emociones fuertes -miedo, codicia,
empatía- para inculcar un sentido de urgencia, específicamente para que no te
detengas a pensar dos veces en escenarios como los que acabamos de
describir. Una técnica especialmente perniciosa en este ámbito es la estafa de
soporte técnico, que se aprovecha de las personas que ya están nerviosas por los
hackeos, pero que no son muy expertas en tecnología: te llama una persona
agresiva que dice ser de Google o Microsoft, te dice que tu sistema ha sido
comprometido y te exige que cambies tus contraseñas de inmediato, engañándote
para que les reveles tus credenciales en el proceso.

Cómo evitar ser víctima de la ingeniería social

La lucha contra todas estas técnicas requiere vigilancia y una mentalidad de
Zero Trust (confianza cero). Esto puede ser difícil de inculcar en la gente
común; en el mundo corporativo, la formación en materia de seguridad es la
forma número uno de evitar que los empleados sean presa de ataques de alto
riesgo. Los empleados deben ser conscientes de que la ingeniería social
existe y estar familiarizados con las tácticas más utilizadas.

Afortunadamente, la concienciación sobre la ingeniería social se presta a la

narración de historias. Y las historias son mucho más fáciles de entender y mucho
más interesantes que las explicaciones de los fallos técnicos. Los concursos y los
carteles llamativos o humorísticos también son recordatorios eficaces para no dar
por sentado que todo el mundo es quien dice ser.

Pero no sólo el empleado medio debe ser consciente de la ingeniería social. Como
hemos visto, los ingenieros sociales se centran en objetivos de gran valor,
como los directores generales y los directores financieros. Los altos cargos a
menudo se resisten a asistir a los cursos de formación que se imparten a sus
empleados, pero necesitan ser conscientes de estos ataques más que nadie.

Cinco consejos para defenderse de la ingeniería social

Dan Lohrmann, colaborador de CSO, ofrece los siguientes consejos:

1. Formar y volver a formar cuando se trata de la concienciación en materia de

seguridad. Asegúrate de que dispones de un programa completo de formación en
materia de seguridad que se actualiza periódicamente para abordar tanto las
amenazas generales de phishing como las nuevas ciberamenazas dirigidas.
Recuerda que no se trata sólo de hacer clic en los enlaces.
2. Ofrezcer una sesión informativa itinerante y detallada sobre las últimas
técnicas de fraude en línea al personal clave. Sí, incluye a los altos ejecutivos,
pero no olvide a cualquiera que tenga autoridad para realizar transferencias u
otras transacciones financieras. Recuerae que muchas de las historias reales de
fraude se producen con personal de nivel inferior que se deja engañar haciéndole
creer que un ejecutivo le pide que realice una acción urgente, normalmente
saltándose los procedimientos y/o controles normales.
3. Revisar los procesos, procedimientos y separación de funciones existentes
para las transferencias financieras y otras transacciones
importantes. Añadir controles adicionales, si es necesario. Recuerde que la
separación de funciones y otras protecciones pueden verse comprometidas en
algún momento por las amenazas internas, por lo que puede ser necesario volver
a analizar las revisiones de riesgos dado el aumento de las amenazas.
4. Considera nuevas políticas relacionadas con las transacciones "fuera de
banda" o las solicitudes urgentes de los ejecutivos. Un correo electrónico
procedente de la cuenta de Gmail del director general debería hacer saltar
automáticamente la alarma entre el personal, pero éste debe conocer las últimas
técnicas desplegadas por el lado oscuro. Necesitas procedimientos de emergencia
autorizados que sean bien entendidos por todos.
5. Revisa, perfecciona y prueba tus sistemas de gestión de incidentes y de
notificación de phishing. Realiza un ejercicio de simulación con la dirección y
con el personal clave de forma regular. Prueba los controles y haz ingeniería
inversa de las posibles áreas de vulnerabilidad.
Tendencias de la ingeniería social
El último informe de ISACA State of Security 2021, Part 2 (una encuesta realizada
a casi 3.700 profesionales de la ciberseguridad a nivel mundial) descubrió que la
ingeniería social es la principal causa de los compromisos experimentados por las
organizaciones, mientras que el Informe Trimestral de Tendencias e Inteligencia
de Amenazas de PhishLabs reveló un aumento del 22% en el volumen de ataques
de phishing en la primera mitad de este año en comparación con el mismo período
de 2020. Una investigación reciente de Gemini también ha ilustrado cómo los
ciberdelincuentes utilizan técnicas de ingeniería social para eludir protocolos de
seguridad específicos, como 3D Secure, para cometer fraudes de pago.

Las tendencias de los ataques de ingeniería social suelen ser cíclicas, y

suelen ir y venir con regularidad. Para Nader Henein, vicepresidente de
investigación de Gartner, una tendencia significativa es que la ingeniería social se
ha convertido en un elemento estándar de las grandes cajas de herramientas de
ataque, que se despliega en combinación con otras herramientas contra
organizaciones y personas en un enfoque profesional y repetible. "Gran parte de
estas capacidades, ya sea el phishing o el uso de deepfakes para convencer o
coaccionar a los objetivos, se están entregando en combinación como un servicio,
con acuerdos de nivel de servicio y apoyo". Como resultado, la concienciación
sobre la ingeniería social y las pruebas posteriores son cada vez más necesarias y
están presentes en la formación sobre seguridad en la mayoría de las
organizaciones, añade.

Jack Chapman, vicepresidente de inteligencia de amenazas de Egress, señala el

reciente aumento de los ataques de ingeniería social por "mensajes perdidos".
"Se trata de suplantar la cuenta de un empleado de alto nivel; el atacante enviará
a un colega más joven un correo electrónico solicitando que le envíe un trabajo
terminado, como un informe", explica a CSO.

Para crear una presión adicional, el atacante mencionará que el informe fue
solicitado por primera vez en un correo electrónico anterior ficticio, haciendo creer
al destinatario que ha perdido un correo electrónico y que no ha completado una
tarea importante. "Esta es una forma muy eficaz de generar urgencia para
responder, especialmente en un entorno de trabajo remoto", dice Chapman.
Además, los atacantes aprovechan cada vez más los halagos para animar a
los destinatarios a hacer clic en sus enlaces maliciosos. "Una tendencia
sorprendente que hemos visto es la de los hackers que envían tarjetas de
cumpleaños. Los atacantes pueden utilizar OSINT para averiguar cuándo es el
cumpleaños de su víctima y enviar un enlace para 'ver una tarjeta electrónica de
cumpleaños' que en realidad es un enlace de phishing armado. A menudo, el
destinatario no sospecha que se trata de un ataque de phishing, porque está
demasiado ocupado sintiéndose halagado por haber recibido una tarjeta en su
cumpleaños".
Según el CISO de Neosec, Renan Feldman, la mayoría de los ataques de
ingeniería social hoy en día aprovechan las APIs expuestas. "La mayoría de los
atacantes buscan el acceso a esas APIs más que el acceso a un dispositivo o a
una red, porque en el mundo actual el negocio se desarrolla en plataformas de
aplicaciones. Además, vulnerar una API es mucho más fácil que penetrar en una
red empresarial y desplazarse lateralmente para hacerse con la mayoría o todos
los activos clave de la misma. Por lo tanto, en los próximos dos años, es
probable que veamos un aumento de la extorsión individual a través de las
API. Con cada vez más datos empresariales moviéndose hacia las API, las
organizaciones están reforzando sus controles antiransomware."

Recursos de ingeniería social

Varios proveedores ofrecen herramientas o servicios para ayudar a realizar
ejercicios de ingeniería social, y/o para concienciar a los empleados a través de
medios como carteles y boletines.

También merece la pena consultar el kit de herramientas de ingeniería social de

social-engineer.org, que se puede descargar gratuitamente. El kit de herramientas
ayuda a automatizar las pruebas de penetración a través de la ingeniería social,
incluyendo los ataques de spear phishing, la creación de sitios web de aspecto
legítimo, los ataques basados en unidades USB, y más.

Otro buen recurso es The Social Engineering Framework.

Actualmente, la mejor defensa contra los ataques de ingeniería social es la

educación de los usuarios y las capas de defensas tecnológicas para detectar
y responder mejor a los ataques. La detección de palabras clave en los mensajes
de correo electrónico o las llamadas telefónicas puede servir para descartar
posibles ataques, pero incluso esas tecnologías serán probablemente ineficaces
para detener a los ingenieros sociales expertos.