Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es
probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a
creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y días, el poeta
épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides.
Se le atribuye la creación del hombre, modelado a partir de barro. En lo que se conoce como el
"Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses
y mortales.
Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto
del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra
era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como
consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa,
conservando la carne para sí. Enojado por el engaño de Prometeo, Zeus castigó a los mortales
quitándoles el fuego. Sin embargo, en un acto más de ingeniería social contra Zeus, Prometeo robó
“el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte Olimpos y se lo
legó a los hombres. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada
día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. Como castigo para
los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por
curiosidad, liberando incontables plagas.
Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una técnica
de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el
atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se quedó ciego en los
últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, Esaú: “tráeme
caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma
te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería que fuera Jacob en lugar de Esaú el
que recibiera las bendiciones de Isaac, Rebeca concibió un plan. Jacob, reacio al principio, dijo: "Esaú
mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él
un engañador y traeré sobre mí una maldición y no una bendición.” (Génesis 27:11- 12.) Para
engañar a Isaac y hacerle creer que estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a
Jacob con las mejoras ropas de Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el
cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las
bendiciones que debían ser para Esaú.
Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de su
fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los filisteos la
convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de 1.100 monedas de
plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y
castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) Sansón se
resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Así que ella le dijo:
“¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres
veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y
noche, se rindió. De modo que le dijo: ”Nunca ha pasado navaja sobre mi cabeza, pues he sido
Nazareo para Dio desde el vientre de mi madre. Si me cortan el cabello, mi fuerza me dejará y me
debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió,
Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos
prendieron a Sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.
La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la
Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más
inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron
derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibió una
estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la
ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera
junto con un soldado griego llamado Sinón.
Tras ser capturado por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo
de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que
lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad,
ya que ello les traería mala suerte a los griegos.
El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la
ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin
que nadie la creyera jamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos
fue su perdición. Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del
caballo mataron a los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa
táctica de ingeniería social ideada por
Ulises, los griegos derrotaron a los troyanos.
Cuando Ulises trazó su plan para infiltrarse en Troya, poco imaginaba él que estaba sentando un
precedente para los siglos venideros. El tipo de malware más frecuente que se encuentra en la
actualidad, el término "caballo de Troya" electrónico lo acuñó Daniel
Edwards de la Agencia de Seguridad Nacional de Estados Unidos en los años setenta.
Edwards le puso ese nombre por la técnica de ingeniería social utilizada por los griegos.
Antes de Internet, los usuarios de PC que querían compartir archivos de software lo hacían mediante
dispositivos físicos o conectándose a los sistemas de tablón de anuncios (BBS). Los piratas
informáticos con fines malintencionados se dieron cuenta enseguida de que podían inducir a los
usuarios a ejecutar un código malintencionado sencillamente disfrazándolo como un juego o una
utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todavía
emplean esta técnica de ingeniería social siglos después. En la actualidad, el número de usuarios de
PC que se dejan infectar con troyanos es alarmante. Les atrae la tentación de la música, los vídeos, el
software gratuitos y los simpáticos mensajes electrónicos de anónimos “seres queridos”.
Un timo actualizado
El fraude del pago por adelantado, más conocido como timo nigeriano (timo 419), ha circulado
durante décadas y sigue siendo uno de los tipos de spam más prolíficos. El número “419” hace
referencia a la sección del Código Penal de Nigeria que prohíbe esta práctica. Esta táctica de
ingeniería social de “enriquecimiento rápido” llegó en forma de carta y empezó a distribuirse por
correo postal en los setenta. El timo evolucionó hacia faxes no solicitados en los ochenta y, en la
actualidad, se envía casi exclusivamente a través del correo electrónico. Sus orígenes se remontan al
siglo dieciséis, cuando se conocía como el timo del prisionero español. El plan es bien sencillo: se
informa a una víctima ingenua sobre un prisionero español enormemente rico que necesita ayuda
para ser liberado. Este por así llamarlo prisionero contaba con que el estafador recaudaría la
cantidad necesaria para el rescate. El estafador abordaba a la víctima contándole la historia y
“permitía” que él o ella le ayudaran con una parte de la recaudación de fondos, bajo la promesa de
enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo.
El timo nigeriano atrae a sus víctimas con la tentadora promesa de un pago multimillonario a cambio
de una “inversión” de sólo unos pocos miles de dólares. Aunque la mayoría de los receptores
comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los
destinatarios acaba respondiendo.
Según los servicios secretos de EE. UU., los timadores estafaron a sus víctimas una media de 100
millones de dólares anuales.
INGENIERÍA SOCIAL
CASO DE ESTUDIO:
“Me haces un favor?. Por supuesto!”
________________________________________
Introducción
Este documento está escrito con el único fin de que sirva de ejemplo para todos los estudiantes de
mis asignaturas, posiblemente podrá servirle de ejemplo a otras personas. He decidido escribirlo
porque creo que contiene buenos ejemplos de cómo se puede encaminar un ataque de ingeniería
social detectando los puntos vulnerables de una posible víctima.
Nota: La palabra víctima es usada en el documento en modo amable y con el ánimo de ejemplificar,
puede ser cualquier persona como tu o como yo.
Ingeniería Social
La ingeniería social se puede dar de muchas formas, pero dos vectores de ataque principales ocurren
en las siguientes circunstancias:
1. La víctima tiene deseos de colaborar y de sentirse útil, en ese momento esta persona será
vulnerable si es posible intercambiar el servicio por unas palabras que provoquen
sensaciones de satisfacción o por una remuneración que estimule positivamente a la víctima.
2. La víctima está solicitando un favor, tiene una necesidad, en ese momento es vulnerable
porque su foco de atención es la necesidad puntual y cualquier otra cosa estará en segundo
plano, por lo tanto siempre y cuando parezca que esta obteniendo una solución a su
necesidad la víctima “estará dispuesta” a entregar la información.
víctima: lo q pasa es que una vieja me acabo de decir por msn q me va a robar la cuenta q
puedo hacer ella ya le ha hecho esto a varias personas
de la cuenta q me hablo era de una amiga q también se la robó
## Comienzan las sospechas, al parecer es alguien que no sabe mucho del tema, sin embargo puede
## estar enterada de que es posible que alguien pueda robarse una clave.
## Conservando la calma y prestando mínima importancia al asunto le hace sentir a la otra persona
## que su caso es típico o que simplemente no me importa.
víctima: q puedo hacer, si es posible q me robe la cuenta, como hago para q salirle adelante
esto fue lo q me escribió listo, tengo tu ip te van a pasar cosas raras a tus cositas jajaaj el pc
cambiara un poco jaajaj
## Le doy un OK a lo que dice, ella siente que estoy de acuerdo con su forma de pensar y luego
## trato de ponerme al nivel de su conversación, usando palabras que ella podría usar o expresiones
## que le sean comunes. Quién dijo Rapport?
Ingeniero: si
configurando opciones en el sistema en tu cuenta personalizandola!
## Una respuesta simple, para insinuarle que ella no sabría como solucionar el problema con
## soluciones mas técnicas, en resumen, lo obvio. Si esta verdaderamente interesada en que yo le
## ayude, volverá a preguntar. (atención a la última palabra personalizan...)
víctima: si eso hice desde q se lo hice a mi amiga entonces confiemos
jaja muchas gracias
## Aquí se puede terminar la conversación si respondo algo como “ok”, o “hasta pronto”. Debo
## regresarla al tema, debo terminar la tarea, la respuesta suya es muy extraña.
## Una pregunta confusa pidiendo detalles hará que lo vuelva a explicar, si la nueva explicación
## contradice la primera, entonces todo es mentira, en caso de que sea verdad, ayudará a entender
## mas a fondo el asunto.
## Hago que sienta que me identifico con ella, lo que ella pueda ver, escuchar o sentir sobre el
## asunto.
## Invento un termino y calculo el tiempo que toma en responder, con eso concluyo si va a google a
## buscar lo que significa o si no. En este paso pude haber creado un sitio web con una palabra
## mágica que google pueda indexar, de este modo cuando alguien busque la palabra encontrará mi
## documento publicado haciendo que se corrobore lo que digo. Como el documento aparece por ##
google y nunca le dije que lo buscara, ella pensará que es realidad lo que le estoy diciendo.
## En este caso, la respuesta es casi inmediata dándome a entender que no le presto
## atención a lo que le dije, pero que igual logró el objetivo de asustarla.
## Tiene algo de información, tiene un poco de susto y sabe que puedo ayudarla.
## Le hago pensar que no me interesa su clave, tampoco mucho su asunto, de esta forma puede
## confiar mas en lo que diga.
Ingeniero: correcto
pero tiene que ser completamente segura
con estándares internacionales
## Siempre estoy de acuerdo con ella, pero reafirmo su paranoia, hablando de temas que quizás
## sean raros para ella
## Ahora hago la tarea. Si esto se hubiera dicho antes no funcionaría y si se hubiera dicho después,
## seria demasiado tarde.
## Supongo que esta en Windows, así que le planteo un escenario que ella no tenga fácilmente.
## Hay que quitar el foco de atención y hacerle pensar que solo hay una forma de que pueda ##
obtener sus respuestas, obviamente a través de mi.
## Hecho!, aunque aún no termina la tarea, pues hay que lograr que todo parezca natural.
#./strongpass 78loky8u7
[*] Calculando la fortaleza ...
[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]
Su clave es insegura en un 37%
# En realidad el programa que use lo programe en 5 segundos para hacerlo mas real
# Se requiere conocimientos avanzados de bash para entenderlo.
#
#cat strongpass
#echo "[*] Calculando la fortaleza ..."
#echo "[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]"
#echo "Su clave es insegura en un 37%"
víctima: :'(
Ingeniero: Según esto porque los números no son diferentes, no hay caracteres raros y tampoco
mayúsculas. No puedes poner los mismos números en la palabra clave
víctima: aaa ok
Ingeniero: esa es la clave tuya o la de Catalina?
# Confirmando ...
víctima: la mia
Ingeniero: ah bueno, pero no tienes cuenta en gmail menos mal
víctima: no por q
Ingeniero: por eso
si ella no sabe tu msn, entonces no puede
## ??
## ?? D.o.S
víctima: si ya
Ingeniero: ah bueno
## Done!
## Aquí puede terminar la conversación, pero aún falta la mitad de la información, cual es el
## usuario?
Ingeniero: Ingeniero tengo msn, si quiere me da el suyo y conversamos por ahi, para que no tengas
que usar la cuenta de Catalina.
víctima: bueno pero ya voy a acambiar la contraseña
Jajajja
taty752@hotmail.com
## Hecho!
## Pero quizás sospecha algo y va a cambiar su clave inmediatamente, como lo evitamos?
## El que abra alguno de los vídeos te da tiempo suficiente para entrar y cambiar la clave, si fuera el
## objetivo final, que creen?, que funcionó o no la clave?
Ingeniero:Vale, te cuidas
Recuerda cambiar esa clave, con la info que te dije
Conclusiones
Que pensarían si les digo que Ingeniero es la misma persona de la que inicialmente Tatiana quería
huir?. Upss!
Más Conclusiones
• Ah!, que va!, eso solo le pasa a esa persona.
THE END