UNIVERSIDAD PFC-N-CIS-002

NACIONAL
DE LOJA

Facultad de la Energía, las Industrias y los Recursos Naturales No Renovables

CARRERA DE INGENIERÍA EN SISTEMAS

“Revisión Sistemática de Literatura: La

ingeniería social y su incidencia en las
instituciones bancarias”
Línea de investigación: Seguridad Informática

PROYECTO DE TITULACIÓN DE
INGENIERÍA EN SISTEMAS

Autor

 Katherine Estefanía Vera Córdova

Director:
 Rene Guaman

LOJA-ECUADOR
2021
Índice General
Índice General.........................................................................................................................2
Índice de Figuras.....................................................................................................................3
Índice de Tablas......................................................................................................................3
A. Tema.............................................................................................................................4
B. Problemática....................................................................................................................5
1. Situación Problemática..........................................................................................5
2. Problema de Investigación....................................................................................6
C. Justificación.....................................................................................................................7
D. Objetivos......................................................................................................................8
1. Objetivo General.....................................................................................................8
2. Objetivos Específicos............................................................................................8
E. Alcance............................................................................................................................9
F. Marco Teórico...............................................................................................................10
Ingeniería Social............................................................................................................. 10
Definición....................................................................................................................... 10
Técnicas de Ingeniería Social[10].....................................................................................10
Tipos de Atacantes[11]....................................................................................................12
Casos de Ingeniería Social...............................................................................................15
Ingeniería Social en instituciones bancarias.....................................................................17
Leyes contra delitos Informáticos....................................................................................18
Mecanismos de Protección de Seguridad para evitar la Ingeniería Social[1].....................20
G. Metodología...............................................................................................................24
Métodos......................................................................................................................... 24
Técnicas......................................................................................................................... 24
H. Cronograma................................................................................................................25
I. Presupuesto y Financiamiento.......................................................................................26
J. Bibliografía....................................................................................................................27
K. Anexos.......................................................................................................................28

Índice de Figuras
2
Figura 1: Correo Malicioso................................................................................................17
Figura 2: Correo Electrónico Con Falso Mensaje DHL......................................................17
Figura 3: Descarga de un Falso Programa e Infección de Equipo.....................................18
Figura 4: Pilares de la seguridad.......................................................................................22

Índice de Tablas
Tabla 1: Cronograma........................................................................................................ 27
Tabla 2: Presupuesto........................................................................................................ 28

3
A. Tema

“Revisión Sistemática de Literatura: La ingeniería social y su incidencia en las instituciones

bancarias”

4
B. Problemática

1. Situación Problemática

El avance de la tecnología es imparable, a través de los años la humanidad ha tenido

grandes cambios en sus vidas satisfaciendo así sus necesidades en el ámbito profesional,
personal, laboral y social, incluso para subsistir[1]. A pesar de ello, así como la tecnología
ha traído aspectos positivos a la humanidad también tiene sus aspectos negativos siendo
peligrosas para las personas que no hacen un buen uso de las mismas[2]. La tecnología es
un gran facilitador en comunicaciones entre instituciones porque ayuda a coordinar
servicios, pero también presenta un riesgo generalizado, potencialmente de alto impacto.
Por ello; uno de los inconvenientes que presentan estos sistemas son el riesgo cibernético
en la forma de robo de datos, cuentas comprometidas, archivos destruidos, sistemas
deshabilitados o degradado[3].

La tecnología permite realizar virtualmente cada actividad en los servicios financieros y

consume una porción enorme de las inversiones de capital y de los gastos operacionales. El
desempeño de la institución financiera depende de la confiabilidad y seguridad de su
tecnología[4]. La caída del sistema puede maniatar a la institución y a sus clientes;
solamente durante el año 2017, más de cuatro mil millones de registros fueron expuestos al
robo informático los ciberdelincuentes atacaron muchas organizaciones, desde pequeñas
firmas hasta el sistema bancario internacional[3].

El panorama cambiante de la tecnología requiere que las instituciones bancarias tomen

decisiones estratégicas sobre cuáles tecnologías adoptar, y cuáles evitar. Los controles
débiles en la tecnología pueden llevar a errores de procesamiento o a transacciones no
autorizadas[5].

Debido a lo antes mencionado cada día son más comunes los ataques informáticos en
instituciones bancarias aplicándose así la ingeniería social, que se caracteriza en explotar la

5
confianza del usuario para extraer información confidencial, por medio de diferentes
técnicas como pretexting, dumpster diving, shoulder surfing, phishing y redes sociales, con
el objetivo de la instalación de un tipo de malware para tomar el control del equipo, lograr
la infiltración de personas a entidades, robo o suplantación de identidad, a través del engaño
y manipulación psicológica e inocencias de las victimas[6].

Uno de los datos más llamativos fue una alarmante realidad del continente, en el que se
registraron 85 billones de intentos de ciberataques durante el 2019. Solo en Chile, se
registraron 1,5 billones de intentos ataques informáticos durante el año. En la mayoría de
estos incidentes, el objetivo principal de los hackers es penetrar en redes bancarias, obtener
información sensible de usuarios y robar dinero[7].

Actualmente la sociedad no es consciente de los riesgos que trae consigo la ingeniería

social y cada una de sus técnicas.

2. Problema de Investigación

Luego de identificar la situación problemática sobre el tema en estudio, se cree conveniente

realizar la Revisión Sistemática de Literatura de la Ingeniería Social y su incidencia en las
instituciones bancarias.

Por ello se plantea dar respuesta al siguiente problema de investigación:

¿Qué incidencia tiene la ingeniería social en las instituciones bancarias?

6
C. Justificación

El desarrollo del presente Trabajo de Titulación tiene como finalidad analizar y comparar
estudios de carácter científico que contengan las distintas técnicas de Ingeniería Social en
los ataques informáticos en las instituciones bancarias. El objetivo del presente Trabajo es
servir como apoyo a la investigación académica en la Carrera de Ingeniería en Sistemas de
la Universidad Nacional de Loja.

Para lograr los objetivos de estudio, se acude al empleo de técnicas de investigación como
la revisión sistemática literaria con la metodología de Barbara Kitchenham para analizar así
la incidencia que tiene la ingeniería social en los fraudes informáticos de las instituciones
bancarias. Con ello se pretende conocer el nivel de riesgo que tienen las instituciones
bancarias ante las técnicas de ingeniería social.

Este tipo de trabajos se ajusta a las líneas de investigaciones definidas por la senescyt en el
área de la Tecnología de la Información y Comunicación (TIC). Además, se acopla en los
campos de estudio del libro blanco del ministerio de telecomunicaciones. Por ello, el
proyecto servirá como referencia académica para consulta a los estudiantes del último año
como guía para construir una revisión.

Para finalizar la Universidad Nacional de Loja cuenta con diversas areas de investigación,
una de las más destacadas es la Energía, Industrias y Recursos Naturales no Renovables, la
cual está formada por un conjunto de carreras, entre ellas la Carrera de Ingeniería en
Sistemas, la cual tiene algunas líneas de Investigación vinculándose directamente con este
trabajo de titulacion. La revision sistematica literaria, pretende observar la importancia de
aplicar las TIC en el sector financiero.

7
D. Objetivos

1. Objetivo General

Desarrollar una Revisión Sistemática de Literatura sobre la ingeniería social y su incidencia

en instituciones bancarias.

2. Objetivos Específicos

 Planificar la Revisión Sistemática de Literatura definiendo las preguntas de

investigación y el protocolo de revisión.
 Identificar y analizar los estudios que abordan técnicas de ingeniería social que
intervienen en fraudes en instituciones bancarias.
 Desarrollar el informe de presentación de resultados de la Revisión Sistemática de
Literatura.

8
E. Alcance

Para el presente Trabajo de Titulación (TT) se pretende desarrollar las siguientes

actividades estimadas de acuerdo a los objetivos planteados.
1. Planificar la Revisión Sistemática de Literatura definiendo la pregunta de
investigación y el protocolo de revisión.
 Establecer los objetivos de la revisión.
 Determinar las palabras clave y sinónimos.
 Elaborar las cadenas de búsqueda.
 Especificar las fuentes de consulta.
 Establecer los criterios de búsqueda.
2. Identificar y analizar los estudios que abordan técnicas de ingeniería social que
intervienen en fraudes en instituciones bancarias.
 Búsqueda de estudios
 Seleccionar los estudios primarios.
 Evaluar de la calidad del estudio.
 Extraer datos.
 Síntesis de datos.
3. Desarrollar el informe de presentación de resultados de la Revisión Sistemática de
Literatura
 Definir el formato del informe
 redactar la memoria final

9
F. Marco Teórico

Ingeniería Social

En la actualidad y en el campo de la seguridad informática el término de ingeniería social

es muy reconocido, pues sin duda alguna son las compañías las que más resguardan y
protegen su información, puesto que es considerada como la columna vertebral de sus
negocios y se debe conservar su integridad[8].

Definición

La I.S se puede definir como la práctica de obtener información confidencial, en la mayoría

de los casos información de gran valor a través de la manipulación de la mente en las
personas, donde los atacantes por medio del engaño intentan obtener información sensible o
privilegios en algún sistema, en definitiva se trata de engañar y confundir al usuario de un
sistema informático para que acabe haciendo algo que realmente no quiere hacer, cómo
ejecutar un software, facilitar sus claves de acceso, o acceder a determinados servicios[9].

Este tipo de ataque es muy simple, pero a la vez bastante efectivo, ya que se puede
conseguir información en muy poco tiempo, a comparación de otras técnicas de hackeo
sofisticadas, como un programa maligno desarrollado para acceder a sistemas y encriptarlos
que lleven a la recolección de datos.

Técnicas de Ingeniería Social[10].

Pretexting
Se presenta cuando un supuesto representante de una institución financiera, de una
compañía de teléfonos o algún otro servicio, pregunta por información de la cuenta del
cliente.

10
Tailgaiting
Aprovechando la solidaridad o inconsciencia de un empleado, un atacante puede evadir
controles de acceso físico como puertas electrónicas e ingresar a una organización sin
autorización.

Dumpster diving
Se refiere al acto de husmear entre la basura, de esta manera se pueden obtener documentos
con información personal o financiera de una persona.

Shoulder surfing
Consiste en mirar por encima del hombro a un usuario descuidado mientras ingresa el
patrón de desbloqueo, pin o alguna otra contraseña.

Baiting
Técnica que consiste en colocar memorias externas con malware instalado en lugares donde
personas escogidas específicamente puedan encontrarlo e infectar sus ordenadores.

Phishing
Consiste en engañar a un grupo masivo de personas mediante correos electrónicos, páginas
web, perfiles sociales o sms falsos con fin de robar información confidencial.

Vishing
Llamadas telefónicas mediante las que se buscan engañar a la víctima suplantando a
compañías de servicios o de gobierno para que revele información privada

Redes sociales
Es una técnica que tiene dos grandes objetivos, por un lado, obtener información de la
víctima y por otro lado generar una relación con la misma por otro.

11
Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida
minuta a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya
que si la misma es el objetivo se podrá obtener muchísima información que será de gran
utilidad.

Ciberbullyng/Ciberacoso
Engloba el uso de las tecnologías de información y comunicación, para causar daño de
manera repetida, deliberada y hostil. Esto puede incluir, pero no limitarse, al uso de
Internet, teléfonos móviles u otros dispositivos electrónicos para difundir o colocar textos o
imágenes que dañan o avergüenzan a una persona.

Grooming
Conjunto de estrategias que una persona adulta realiza para ganarse la confianza de un
niño, niña o adolescente, a través del uso de las tecnologías de la comunicación
información, con el propósito de abusar o explotar sexualmente de él o ella. El adulto suele
crear un perfil falso en una red social, foro, sala de chat u otro, se hace pasar por un chico o
una chica y entablan una relación de amistad y confianza con el niño o niña con la
intención de acosarlo.

Tipos de Atacantes[11].

Hackers
Un Hacker es una persona dedicada a su arte, alguien que sigue el conocimiento hacia
donde este se dirija, alguien que se apega a la tecnología para explorarla, observarla,
analizarla y modificar su funcionamiento, es alguien que es capaz de hacer algo raro con
cualquier aparato electrónico y lo hace actuar distinto, alguien que no tiene límites para la
imaginación y busca información para después compartirla, es alguien al que no le interesa
el dinero con lo que hace, solo le importa las bellezas que pueda crear con su cerebro,
devorando todo lo que le produzca satisfacción y estimulación mental... Un hacker es aquel

12
que piensa distinto y hace de ese pensamiento una realidad con diversos métodos. Es aquel
que le interesa lo nuevo y que quiere aprender a fondo lo que le interesa.

Crackers
El cracker es conocido por utilizar sus conocimientos para romper sistemas, descifrar
claves y contraseñas de algoritmos de encriptación, crackear programas o juegos, es decir,
legalizar un software por tiempo ilimitado y sin tener que pagar por ello.

Lammers
Lammers son personas que carecen de conocimientos sobre la informática y que presumen
tener habilidades como las de los hackers.

Copyhackers
Es una nueva raza solo conocida en el terreno del crackeo de Hardware, mayoritariamente
del sector de tarjetas inteligentes empleadas en sistemas de telefonía celular. La principal
motivación de estos nuevos personajes, es el dinero.

Bucaneros
Comparados con los piratas informáticos, los bucaneros buscan el comercio negro de los
productos entregados por los Copyhackers. Los bucaneros tienen cabida fuera de la red, ya
que, dentro de ella, los que ofrecen productos "Crackeados" pasan a denominarse "Piratas
Informáticos" así puestas las cosas, el bucanero es simplemente un comerciante, el cual no
tienen escrúpulos a la hora de explotar un producto de Cracking a un nivel masivo.

Phreaker
La palabra phreaker proviene de phone (teléfono), hack y freak (monstruo). Es un término
que se utiliza para denominar así a las personas que investigan y practican el arte de
pasearse por las redes telefónicas, por ejemplo, para hacer llamadas internacionales
gratuitas. Se convirtió en una actividad de uso común cuando se publicaron las aventuras

13
del Capitán Crunch (John Draper) quién empleó un silbato que regalaban con una caja de
cereales de desayuno para lograr su objetivo.

Newbie
De acuerdo a (Revista Hacker, 2008): “Son personas sin experiencia que intentan
introducirse en sistemas de fácil acceso creados por otros hackers y fracasan en la mayoría
de los intentos, al contrario que los Lamers, los Newbies aprenden el Hacking siguiendo
todos los pasos meticulosamente para lograrlo y no se burla de su logro, sino que
aprenden.”

Script Kiddie
Se trata de simples usuarios de Internet, sin conocimientos sobre Hack o Crack en su estado
puro, en realidad son devotos de estos temas, pero no los comprenden. Simplemente son
internautas que se limitan a recopilar información de la Red.

Fases de la Ingeniería Social

Para realizar un ataque de ingeniería social se debe tener claro que esta cuenta con 2
fases muy importantes, son las siguientes [12]:

Acercamiento
Esta consiste en generar confianza con la víctima, por lo general esto se logra haciéndose
pasar por servidores públicos o de algún servicio que pueda requerir o necesitar la víctima,
comúnmente este proceso de acercamiento se lo suele realizar por medios de comunicación
como correo o teléfono, cabe mencionar que el acercamiento también se suele realizar en
persona, el ingeniero social trata de ser simpático o interesado sobre algo en que pueda unir
a la víctima con el atacante, en esta etapa el esfuerzo es principal puesto que se puede
captar cualquier información valiosa.

14
Recopilación y Ejecución.
Esta fase se debe identificar preocupaciones, interés o necesidad de la víctima; puesto que
esto permitirá utilizar su curiosidad, deseo o afecto a algo o alguien a favor del atacante
para comenzar el ataque de una manera sutil sin levantar alerta, es decir, en el momento que
se desarrolla esta etapa se debe observar en todo momento la reacción de la víctima con la
finalidad de que la víctima no levante sospecha.

Casos de Ingeniería Social

Dentro del estudio de la Ingeniería Social se ha podido identificar y conocer muchos casos
sobre ataques utilizando las técnicas como: observación, suplantación, correo electrónico,
teléfono y otras más que han permitido revelar información sensible, o bien violar políticas
de seguridad. Sin embargo, muchos de los ataques registrados son por el descuido y falta de
conocimiento del usuario, así como también proporcionar información en distintos medios
sin que exista mayor seguridad electrónica [2].

CASOS REALES.

 Correos Maliciosos Que Simulan Provenir De CORREOS

Se envía un correo electrónico cuyo texto solo se puede ingresar pulsando un enlace que
redirige al usuario hacia otro sitio en este caso un dominio belga del cual se descargará
rápidamente un virus. El engaño es rápido y muy tentador para el usuario ya que se envía
como un mensaje normal de otro correo, donde le informan que ha recibido un telegrama
online y la forma de visualizarlo es pulsando en un enlace con ficheros malicioso.

A continuación, en la Figura # se presenta un correo malicioso enviado. Los mensajes

pueden variar ligeramente pero la mayoría de los que se han detectado en esta oleada tienen
el siguiente aspecto:

15
 Figura 1: Correo Malicioso.

 Campaña De Correo Masivo Con Un Falso Mensaje De DHL

Se ha enviado correos falsos que contienen virus indicando ser un mensaje de la empresa de
servicios de correo DHL [33] que buscan engañar al usuario para que esta abra y ejecute el
archivo. Los atacantes utilizan las técnicas del la Ingeniería Social en este caso mejorando
la técnica de suplantación, el mensaje redactado correctamente e incluye un archivo adjunto
que a simple vista pareciera ser un documento de texto (.doc), aunque en realidad es un
ejecutable (.exe). A continuación, en la figura # se indica el texto de este correo.

Figura 2: Correo Electrónico Con Falso Mensaje DHL

Este mensaje está conformado por una etiqueta postal falsa, con un número de
fichero aleatorio, en realidad es un virus con diferentes características, desde un
falso virus hasta un troyano capaz de proporcionar tomar control del computador.

 Terremoto De Haití Aprovechado Para Engañar A Los Usuarios

16
Cuando se produjo el terremoto en Haití el 12 de enero los atacantes ya estaban
listos para aprovechar esta oportunidad. Cuando un usuario buscaba información
sobre esta noticia y se le presentaban a sitios poco seguros, no confiables, donde
podían enlazarse con páginas maliciosas.

Figura 3: Descarga de un Falso Programa e Infección de Equipo

El envió de correos phishing, buscando engañar a los usuarios para que ayuden con
donativos a las víctimas, pero en realidad las páginas del pago son falsa e intentan
apoderase de la ingenuidad de las personas.

Con el acceso a estas páginas fraudulentas, intentan a los usuarios persuadir de que
su equipo está siendo infectado para de esta manera sugerirle descargue la solución
de seguridad, de esta manera el usuario compraría y descargaría el falso programa,
sin darse cuenta que el usuario habrá dado una fuerte suma de dinero por algo que
no funciona o simplemente infectara su equipo.

17
 Ingeniería Social en instituciones bancarias

Una investigación hecha por Fortinet reveló que, en América Latina y el Caribe, se
registraron 85 billones de intentos de ciberataques durante 2019. Robar dinero, información
sensible de usuarios y acceso a redes bancarias serían los principales objetivos de los
ataques.
Uno de los datos más llamativos del informe fue la alarmante realidad del continente, en el
que se registraron 85 billones de intentos de ciberataques durante 2019. Solo en Chile,
se registraron 1,5 billones de intentos ataques informáticos durante el año 2019. En la
mayoría de estos incidentes, el objetivo principal de los hackers es penetrar en redes
bancarias, obtener información sensible de usuarios y robar dinero.

Entre las amenazas más detectadas durante el año 2019, se encuentran los dirigidos al
sector de la banca y gobierno[13].

DoublePulsar es un tipo de ataque por detrás o “backdoor”, que emplea generalmente el

ransomware “WannaCry” y que fue empleado en hackeos masivos a empresas como
Pemex, en México, o distintas Secretarías Ministeriales del mismo país. Este mismo
ransomware ha sido usado continuamente en incidentes registrados en Chile, Brasil y
México[14].

Por otro lado, Emotet es un botnet dirigido a bancos que permite que un atacante remoto
pueda emitir comandos para realizar diferentes operaciones como descargas de malware y
ransomware[14].

El cibercrimen es uno de los mayores riesgos hoy y continúa evolucionando en

Latinoamérica a un nivel alarmante, tanto en cantidad como en sofisticación. Ante este
panorama de amenazas, las empresas e instituciones financieras en particular, se ven
obligadas a repensar sus estrategias para asegurar la continuidad del negocio.

18
https://tecno.americaeconomia.com/articulos/banca-salud-e-ingenieria-social-son-los-
principales-blancos-de-los-ciberataques-en

Leyes contra delitos Informáticos

Desde que en 1999 en el Ecuador se puso en el tapete de la discusión el proyecto de Ley de

Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, desde ese tiempo se puso
de moda el tema, se realizaron cursos, seminarios, encuentros. También se conformó
comisiones para la discusión de la Ley y para que formulen observaciones a la misma por
parte de los organismos directamente interesados en el tema como el CONATEL, la
Superintendencia de Bancos, las Cámaras de Comercio y otros, que ven el Comercio
Telemático una buena oportunidad de hacer negocios y de paso hacer que nuestro país entre
en el boom de la llamada Nueva Economía[15].

Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se
fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la
misma es decir los llamados Delitos Informáticos, como se los conoce, se sancionarían de
conformidad a lo dispuesto en nuestro Código Penal, situación como comprenderán era un
tanto forzada, esto si tomamos en cuenta los 65 años de dicho Código, en resumen los tipos
penales ahí existentes, no tomaban en cuenta los novísimos adelantos de la informática y la
telemática por tanto les hacía inútiles por decirlo menos, para dar seguridad al Comercio
Telemático ante el posible asedio de la criminalidad informática[16].

Por fin en abril del 2002 y luego de largas discusiones los honorables diputados por fin
aprobaron el texto definitivo de la Ley de Comercio Electrónico, Mensajes de Datos y
Firmas Electrónicas, y en consecuencia las reformas al Código Penal que daban la luz a los
llamados Delitos Informáticos[15].

De acuerdo a la Constitución Política de la República, en su Título X, Capitulo 3ro al

hablar del Ministerio Público, en su Art. 219 inciso primero señala que: “El Ministerio

19
Público prevendrá en el conocimiento de las causas, dirigirá y promoverá la investigación
pre-procesal y procesal penal. Esto en concordancia con el Art. 33 del Código de
Procedimiento Penal que señala que “el ejercicio de la acción pública corresponde
exclusivamente al fiscal”. De lo dicho podemos concluir que el dueño de la acción penal y
de la investigación tanto preprocesal como procesal de hechos que sean considerados como
delitos dentro del nuevo Sistema Procesal Penal Acusatorio es el Fiscal. Es por tanto el
Fiscal quien deberá llevar como quien dice la voz cantante dentro de la investigación de
esta clase de infracciones de tipo informático para lo cual contara como señala el Art. 208
del Código de Procedimiento Penal con su órgano auxiliar la Policía Judicial quien
realizará la investigación de los delitos de acción pública y de instancia particular bajo la
dirección y control Ministerio Público, en tal virtud cualquier resultado de dichas
investigaciones se incorporaran en su tiempo ya sea a la Instrucción Fiscal o a la
Indagación Previa, esto como parte de los elementos de convicción que ayudaran
posteriormente al representante del Ministerio Público a emitir su dictamen
correspondiente[17].

Ahora bien el problema que se advierte por parte de las instituciones llamadas a perseguir
las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto
del Ministerio Público como de la Policía Judicial, esto en razón de la falta por un lado de
la infraestructura necesaria, como centros de vigilancia computarizada, las modernas
herramientas de software y todos los demás implementos tecnológicos necesarios para la
persecución de los llamados Delitos Informáticos, de igual manera falta la suficiente
formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que
lo auxiliara en dicha tarea, dado que no existe hasta ahora en nuestra policía una Unidad
Especializada, como existe en otros países como en Estados Unidos donde el FBI cuenta
con el Computer Crime Unit, o en España la Guardia Civil cuenta con un departamento
especializado en esta clase de infracciones. De otro lado también por parte de la Función
Judicial falta la suficiente preparación por parte de Jueces y Magistrados en tratándose de
estos temas, ya que en algunas ocasiones por no decirlo en la mayoría de los casos los
llamados a impartir justicia se ven confundidos con la especial particularidad de estos
delitos y los confunden con delitos tradicionales que por su estructura típica son incapaces

20
de subsumir a estas nuevas conductas delictivas que tiene a la informática como su medio o
fin[17].

Mecanismos de Protección de Seguridad para evitar la Ingeniería Social[1].

Los pilares de la seguridad de la información se fundamentan en esa necesidad que todos

tienen de obtener la información, de su importancia, integridad y disponibilidad de la
información para sacarle el máximo rendimiento con el mínimo riesgo. La Figura # muestra
los principales pilares de la seguridad de la información.

Figura 4: Pilares de la seguridad.

Según la Figura #, la seguridad está fundamentada por 3 pilares, pero puede haber más que
puedan fundamentar a la seguridad, en este caso, si alguno de los lados es débil se perderá
seguridad o usabilidad, si falta alguno de los lados la organización queda expuesta a
ataques,

Confidencialidad: La confidencialidad consiste en asegurar que sólo el personal

autorizado accede a la información que le corresponde, de este modo cada sistema
automático o individuo solo podrá usar los recursos que necesita para ejercer sus tareas,

21
para garantizar la confidencialidad se recurre principalmente a tres recursos:
 Autenticación de usuarios: Sirve para identificar qué quién accede a la información
es quien dice ser.
 Gestión de privilegios: Para los usuarios que acceden a un sistema puedan operar
sólo con la información para la que se les ha autorizada y sólo en la forma que se les
autorice, por ejemplo, gestionando permisos de lectura o escritura en función del
usuario.
 Cifrado de información: Según Costas Santos (2011), el cifrado también
denominado encriptación, evita que ésta sea accesible a quién no está autorizado,
para ello se transforma la información de forma inteligible a una no legible y es
aplicable tanto a la información que esté autorizado para ello como para la que no lo
está, sólo mediante un sistema de contraseñas puede extraerse la información de
forma inteligible y es aplicable tanto a la información que está siendo transmitida
como a la almacenada.

La integridad: Es el segundo pilar de la seguridad, consiste en asegurarse de que la

información no se pierde ni se ve comprometida voluntaria e involuntariamente, el hecho
de trabajar con información errónea puede ser tan nocivo para las actividades como perder
la información, de hecho, si la manipulación de la información es lo suficientemente sutil
puede causar que se arrastre una cadena de errores acumulativos y que sucesivamente se
tome decisiones equivocadas. Para garantizar la integridad de la información se debe
considerar lo siguiente:

 Monitorear el tráfico de red para descubrir posibles intrusiones.

 Auditar los sistemas para implementar políticas de auditorías que registre quien
hace que, cuando y con qué información.
 Implementar sistemas de control de cambios, algo tan sencillo como por ejemplo
comprobar los resúmenes de los archivos de información almacenados en sistema
para comprobar si cambian o no.

22
  Como otro recurso se tiene las copias de seguridad, que en caso de no conseguir
impedir que se manipule o pierda la información permitan recuperarla en su estado
anterior.

Disponibilidad: Para poder considerar que se dispone de una seguridad mínima en lo que a
la información respecta, se tiene a la disponibilidad, de nada sirve que solo el usuario
acceda a la información y que sea incorruptible, si el acceso a la misma es tedioso o
imposible, la información para resultar útil y valiosa debe estar disponible para quien la
necesita, se debe implementar las medidas necesarias para que tanto la información como
los servicios estén disponibles, por ejemplo un ataque distribuido de denegación de servicio
o DDoS puede dejar inutilizada una tienda online impidiendo que los clientes accedan a la
misma y puedan comprar. Ogro ejemplo de perdida de disponibilidad sería que la dirección
de correo electrónico sea utilizada para lanzar campañas de spam y en consecuencia
añadida a listas negras, impidiendo que ninguno de los destinarios de los emails legítimos
los reciba. Para este propósito se implementan políticas de control como:

 El acuerdo de nivel de servicio o (SLA).

 Balanceadores de carga de tráfico para minimizar el impacto de DDoS.

 Copias de seguridad para restauración de información perdida.

 Disponer de recursos alternativos a los primarios.

La información y sistemas son seguros si sólo accede a la información y recursos quién

debe, sí se puede detectar y recuperar de manipulaciones voluntarias o accidentales de la
información y si se puede garantizar un nivel de servicio y acceso a la información
aceptable según las necesidades.

Carpentier (2016), indica que el uso de sistemas de información implica establecer normas
y procedimientos aplicados al uso y sistemas de información ante posibles amenazas como:

 Elaborar varias normas y procedimientos.

 Definición de acciones que deben emprender las personas.

 Definición del perímetro que se va a afectar.

23
G. Metodología

La aplicación de metodologías constituye una parte fundamental en el estudio que se

realizara para responder al problema planteado. Garantizando la validez de las afirmaciones
que se realicen. Es así como en el presente Proyecto de Titulación se utilizará la
metodología propuesta por Barbara K.

Métodos

Método Deductivo. - Con el método deductivo se partirá de aspectos generales para llegar
a los específicos, con el cual se podrá recopilar la información general para poder plantear
el problema del proyecto utilizando técnicas como las RSL y bibliográficas.

Método Inductivo. - El método inductivo propone obtener conclusiones generales a partir

de premisas particulares, con el cual se comprobará que el proyecto desarrollado cumpla
con los objetivos planteados.

24
Revisión Sistemática Literaria. - Esta técnica fue utilizada para extraer de libros, páginas
web, artículos científicos, ensayos, etc., la información teórica referente al tema del
presente proyecto relacionado con la ingeniería social y su incidencia en las instituciones
bancarias; lo cual sirvió para obtener conocimientos teóricos que serán la base para el
desarrollo de este proyecto.

Técnicas

Revisión bibliográfica. - Esta técnica permite sustentar la base teórica de la realización

del proyecto de TT, mediante consultas a: fuentes bibliográficas confiables, textos, revistas
indexadas, artículos científicos, caso de éxito, apuntes, documentos varios, así como
también fuentes informáticas.

H. Cronograma

Actividades Mes Mes 2 Mes 3

1
Planificar la Revisión Sistemática de Literatura definiendo
la pregunta de investigación y el protocolo de revisión.

 Establecer los objetivos de la revisión.

 Determinar las palabras clave y sinónimos.
 Elaborar las cadenas de búsqueda.
 Especificar las fuentes de consulta.
 Establecer los criterios de búsqueda.
Identificar y analizar los estudios que abordan técnicas de
ingeniería social que intervienen en fraudes en instituciones
bancarias.

25
  Búsqueda de estudios
 Seleccionar los estudios primarios.
 Evaluar de la calidad del estudio.
 Extraer datos.
 Síntesis de datos.
Desarrollar el informe de presentación de resultados de la
Revisión Sistemática de Literatura
 Definir el formato del informe
Tabla 1: Cronograma

I. Presupuesto y Financiamiento

Talento humano
Rol Número de horas Valor ($) Valor Total ($)
Estudiante 400 5.00 2000.00
Docente tutor 48 12.50 600.00
Profesor de la 384 12.50 4800.00
asignatura
Total 7400.00
Recursos Materiales
Descripción Cantidad Valor Unitario ($) Valor Total ($)
Computador 1 800.00 800.00

26
 portátil
Pendrive 1 15.00 15.00
Resma de papel 2 4.00 8.00
Cartuchos 2 25.00 50.00
Internet 300h 0.50 150.00
Subtotal de Recursos 1023.00
Imprevistos ($) 145.00
Total, de Recursos a disponer ($) 1.168
Tabla 2: Presupuesto

El trabajo de titulación involucra la asesoría de dos docentes de la carrera, el docente tutor

y el profesor de la asignatura, cuyo costo es asumido por la Universidad Nacional de Loja.
El tiempo empleado para el desarrollo del presente trabajo de titulación es de 400 horas. El
presupuesto sin estos rubros serán 1.168.00.

J. Bibliografía

[1] M. I. Romero et al., “INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Y EL

ANÁLISIS DE VULNERABILIDADES.”
[2] E. Armijos, A. S. Directora:, P. Arévalo, and J. A. Ing, “‘Ingeniería social y sus
niveles de incidencias en la UTPL’ Trabajo de Fin de Titulación,” 2012.
[3] “2,” Los riesgos la Tecnol. la Inf. en los Serv. Financ., vol. 2, 2016.
[4] E. Yulieth, R. Rincón, Á. María, and G. Valdés, “Metodologías de Ingeniería Social,”
2018.
[5] L. Jorge and M. Muriel De Los Reyes, “LA BANCA POR INTERNET COMO
INNOVACIÓN TECNOLÓGICA EN EL SECTOR BANCARIO,” 2007.
[6] I. N. G. Jasson and F. Oliveros, “No Title,” Identificacion Tec. Ing. Soc., p. 74, 2019.
[7] I. Español, D. E. Estratégicos, I. Universitario, and G. Gutiérrez,
CIBERSEGURIDAD. RETOS Y AMENAZAS A LA SEGURIDAD NACIONAL EN EL
CIBERESPACIO. .
[8] “UNIVERSIDAD INTERNACIONAL SEK FACULTAD DE SISTEMAS Y
TELECOMUNICACIONES.”
[9] “ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL Facultad de Ingeniería en
Electricidad y Computación Previa a la obtención del Título de : INGENIERO EN
27
 ELECTRÓNICA Y TELECOMUNICACIONES Presentado por : Ivo Leodan Cabrera
Sánchez Marco Andrés Segura Romero Daniel Enrique Granizo Franco,” 2008.
[10] C. Edgardo, L. Grande, and R. S. Guadrón, “Ingeniería Social: El Ataque
Silencioso,” no. 1, 2015.
[11] N. Caixanova, “Tipos de ataques e intrusos en las redes informáticas.”
[12] T. Literature, “Caracterización de los ataques de phishing y técnicas para mitigarlos.
Ataques: una revisión sistemática de la literatura,” vol. 13, pp. 97–104, 2020.
[13] G. Díaz et al., “ANALYSIS OF THE FINANCIAL INTERMADIATION ON THE
STAGE,” 2011.
[14] C. D. E. Ingeniería, E. N. Tecnologías, and D. E. L. A. Información, “Departamento
de ciencias de la computación,” 2019.
[15] A. J. E. Zambrano-mendieta, A. K. I. Dueñas-zambrano, and A. L. M. Macías-
ordoñez, “Delito Informático . Procedimiento Penal en Ecuador Computer crime .
Criminal Procedure in Ecuador Criminalidade informática . Processo Penal no
Equador Resumen Resumo Introducción,” vol. 2, pp. 204–215, 2016.
[16] A. De, “Los Delitos Informáticos y su Tipificación en la Legislación Ecuatoriana,”
2012.
[17] C. D. E. Derecho, “‘ Análisis de los delitos informáticos por ataque y acceso no
autorizado a sistemas electrónicos , tipificados en los artículos 232 y 234 del
Código Orgánico Integral Penal en el Ecuador ’.,” 2016.

K. Anexos

28