TEMA 6.

INGENIERÍA SOCIAL

1. INTRODUCCIÓN
Cuando se habla de ciberdelincuencia, la gran mayoría de usuarios piensa en
complejos códigos maliciosos creados para atacar a una gran empresa o institución.
La ciberdelincuencia no opera generalmente de esta manera, porque requiere de una
inversión de tiempo, recursos humanos y económicos elevados.
La mayoría se centran en atacar al mayor número de víctimas, con la mayor inversión
posible. Para conseguirlo, una de las técnicas preferidas por los ciberdelincuentes es:
la Ingeniería Social. La premisa básica es que es más fácil manejar a las personas que
a las máquinas.

2. ¿QUÉ ES LA INGENIERÍA SOCIAL?

Es la práctica o técnicas usadas con el objetivo de engañar / manipular a un usuario
para conseguir que:

 Revele algún tipo de información, normalmente de carácter personal o

confidencial
 O lleve a cabo algún tipo de acción, como la ejecución de un archivo o la visita
de un enlace web
Este arte del engaño, además de aspectos técnicos, incluye una componente
psicológica (psicohacking) para ganar la confianza del usuario y que haga lo que le
pide el ciberdelincuente
A través de esta técnica, los ciberdelincuentes suelen buscar obtener la siguiente
información:

 Contraseñas de acceso (credenciales) a equipos informáticos y servicios, p.ej.:

redes sociales, webmail, etc.
 Información financiaera, como el número de una tarjeta de crédito, cuenta
bancaria, etc.
 Información de datos de proveedores y clientes
 Información sobre productos y servicios, etc.
La obtención de credenciales podría ser utilizada para suplantarnos, y en muchas
ocasiones instalar software malicioso, sin que el usuario sea consciente. La ejecución
de software malicioso podría brindar a los ciberdelincuentes:

 Acceso a otras credenciales o información que encontrarán en nuestro

ordenador
 El control sobre nuestros equipos y aplicaciones que pondrán a trabajar sus
servicios (botnets y redes zombi)
 Poder secuestrar nuestros datos y pedir un rescate (ransomware)
La ingeniería social es algo que va más allá de la ciberseguridad y que seguirá siendo
usada por los ciberdelincuentes durante años ya que es una técnica que funciona
realmente bien con los usuarios. Las amenazas siguen siendo las mismas que hace
10 años o más, pero van evolucionando a medida que lo hace la tecnología.
2.1. ¿POR QUÉ FUNCIONA?
Podemos pensar que la gente es lo suficientemente inteligente como para no caer en
este tipo de engaños. Pero existen condicionantes que hacen que todos podamos
fallar y caer en ellos.
Por ejemplo, aunque con un objetivo legítimo, los comerciales también tratan de
convencernos para comprar productos que puede que ni siquiera necesitemos, y los
compramos.

2.3. PRINCIPIOS BÁSICOS INGENIERÍA SOCIAL

 Respeto a la autoridad, de una empresa o del Estado

 Voluntad de ayudar, sobre todo en nuestros entornos laborales donde el
ciberdelincuente puede suplantar a un compañero
 Temor a perder un servicio
 Respeto social, miedo a no ser socialmente aceptados o perder la reputación
(p.ej.: sextorsión)
 Productos gratis a cambio de información privada
 No nos gusta decir “No” (el “bienqueda”)
 A todos nos gusta que nos alaben

3. TIPOS DE ATAQUES
Los ataques de ingeniería social se pueden dividir en dos tipos dependiendo del
número de interacciones que requieran por parte del ciberdelincuente.

 Hunting (caza):
Este tipo de ataques buscan afectar al mayor número de usuarios realizando,
únicamente, una comunicación. Ejemplo de ello son las campañas de phishing

 Farming (cultivo):
Los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir
su objetivo u obtener la mayor cantidad de información posible, como en los casos de
extorsión y suplantación

3.1. ¿DÓNDE OBTIENEN LA INFORMACIÓN?

Tanto en campañas masivas, como en ataques más personalizados. La principal
fuente suele ser Internet, a través de motores de búsqueda, redes sociales y servicios
“underground”.
Una búsqueda de uno mismo en esos motores (egosurfing) nos puede dar una idea de
lo que pueden llegar a saber de nosotros. También pueden obtener información
mediante:

 Shoulder surfing: observando lo que escribe o tiene en pantalla el usuario

(“mirar por encima del hombro”)
  Dumpster diving: husmear en la basura para obtener documentos con
información personal o financiera

3.2. ¿A QUIÉN SUELEN SUPLANTAR?

 Una autoridad del Estado:

El atacante se hace pasar por Policía o la Agencia Tributaria para solicitar datos
personales, el pago de multas ficticias, etc.

 Una empresa de servicios:

El atacante se hace pasar por operador de Internet o empresa de transportes para
pedirle datos de conexión, el pago de un paquete, etc.

 Un empleado de la empresa o colaboradora:

El atacante dice ser el sustituto de un empleado que se encuentra enfermo o de
vacaciones para obtener datos

 Una empresa de encuestas

3.3. TIPOS DE ATAQUES

 Phishing:
Busca “pescar” personas a través de un correo electrónico en el que se hacen pasar
por una persona o empresa de confianza (banco, telefonía, energía, etc) y con la
apariencia de comunicación oficial
El correo suele incluir archivos adjuntos infectados o links a páginas plagiadas o
fraudulentas. Al seguir sus instrucciones acabamos enviándoles nuestras
credenciales, datos bancarios, etc., o infectando nuestro equipo de malware
Como detectar que el correo es fraudulento:
a) La dirección del remitente es sospechosa
b) Contiene errores en logos o imágenes copiadas
c) Contiene errores ortográficos
d) Contiene errores de expresión, como en una mala traducción
e) Si llegamos a pinchar en el enlace, debemos comprobar que se trata de una
web real y segura (https y certificado correcto)
f) Pero, sobre todo, si nos piden datos confidenciales. Tu banco nunca te pedirá
por email tu contraseña, clave o coordenadas de banca electrónica, pin de
tarjeta, etc.

 Email spoofing (suplantación):

Es cuando alguien nos envía un correo donde el campo FROM del remitente es falso,
de forma que podrían decirte que el correo te lo ha enviado una persona, empresa o
entidad bancaria conocida, pero que realmente no son ellos los que realizan este
envío.
La suplantación de identidad es posible debido a que el protocolo SMTP (Simple Mail
Transfer Protocol), el principal protocolo utilizado para el envío de correos electrónicos
no incluye un mecanismo de autenticación. Es muy utilizado para llevar a cabo
ataques mediante técnicas de phishing.

 Wailing:
Es el phishing dirigido a “peces gordos”

 Smishing:
Otra variante del phishing pero que se difunde a través de mensajes SMS, en los que
se pide llamar a un número de tarificación especial o seguir un enlace a una web falsa.
El mismo ataque también se puede realizar a través de mensajería instantánea
(WhatsApp, Facebook Messenger)

 Vishing:
Llamadas telefónicas en las que el atacante se hace pasar por una organización /
persona de confianza, por ejemplo, recreando la voz automática de las entidades
bancarias

 Spam con adjuntos o enlaces maliciosos:

Son correos electrónicos con publicidad engañosa que también pueden contener
adjuntos que instalan software malicioso, o llevar enlaces a sitios fraudulentos que
pueden comprometer nuestro equipo. Un equipo infectado puede ser utilizado para,
por ejemplo, enviar a su vez enormes cantidades de spam.

 Webs maliciosas:
Que ofrecen una publicidad engañosa sobre un premio o servicio gratis que para
obtenerlo es necesario registrarse. A menudo usamos las mismas credenciales para
registrarnos en distintos sitios, por lo que posiblemente les estemos dando las de
nuestro correo o red social. Un caso muy común son las páginas de descargas de
software y contenidos.

 Pop – ups:
Ventanas emergentes que piden instalar software o complementos en el ordenador,
pero que realmente esconden software malicioso. Es mejor bloquearlas.

 Redes sociales:
Con el auge de las redes sociales, los ciberdelincuentes han visto en ellas un entorno
donde obtener gran cantidad de resultados de información que nosotros, los usuarios,
compartimos con otros.
Suelen emplear anuncios y páginas de fans con chollos u oportunidades únicas que
finalmente dirigen a los internautas a webs maliciosas.

 Pendrives:
La infección de nuestros equipos y dispositivos también puede realizarse a través de
acciones tan sencillas e “inocentes” como insertar un pendrive USB. Existen
numerosos casos en los que se han distribuido por ciberdelincuentes en lugares
estratégicos para poder introducir malware en equipos y redes concretas. Es lo que se
llama baiting (poner un cebo), usar un cebo con software malicioso a la espera de que
sea el propio usuario quien infecte su equipo.

4. MEDIDAS PARA PROTEGERNOS

El refuerzo de la ciberseguridad ha de pasar por:

 Concienciación de los empleados: en relación con las amenazas y los riesgos

relevantes para la organización.
 Formación en materia de seguridad: para fortalecer las capacidades de
prevención, defensa, detección, análisis y respuesta a los ciberataques
 Desarrollo de políticas y documentos internos de seguridad: para empleados
de la organización y terceros que pudieran resultar afectados, como
proveedores, clientes, etc.
Recomendaciones básicas:

 No dar nuestras credenciales a nadie. Ningún banco, ni ninguna empresa con

la que se tenga un contrato llamará directamente para pedir datos
confidenciales
 No instalar en los equipos programas de origen desconocido.
 Tener instalado un antivirus con la característica antiphishing para correo
electrónico y navegación web.
 Mantenerse al día de las amenazas en ciberseguridad y de las vulnerabilidades
que van apareciendo suscribiéndonos a algún servicio de alerta, como por
ejemplo el boletín del Incibe.
Recomendaciones para una navegación segura:

 Antes de usar nuestras credenciales, o introducir datos personales o bancarios

en una web, comprobar que la URL (dirección) es correcta y que el contenido
no resulta sospechoso.
 Fíjate en que la conexión sea segura (https, el candado) y verificar el
certificado web de la página (que corresponda con el sitio que queremos
visitar).
 Accede directamente a la URL de la web y no a través de enlaces desde otras
páginas web, pero con cuidado de no cometer errores al escribir la dirección
(typosquatting).
Recomendaciones para el correo electrónico:

 Comprobar que la dirección del remitente del mensaje es legítima, y en caso

contrario no leerlos ni acceder a sus enlaces.
 Desconfiar de los correos genéricos que no están dirigidos a tu nombre.
 Desconfiar de los enlaces que indican una dirección y al acceder a ellos abren
una web con una URL distinta