Qué es la Ingeniería social?

En una primera definición, y dentro del campo de la seguridad informática (ciberseguridad),

ingeniería social es la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos.

Es una técnica relacionada estrechamente con el malware y el scam, que pueden usar
ciertas personas, tales como investigadores privados, criminales, o delincuentes
computacionales, para obtener información, acceso o privilegios en sistemas de
información que les permitan realizar algún acto que perjudique o exponga la persona u
organismo comprometido a riesgo o abusos.

En otra definición se podría indicar que es el conjunto de prácticas o estrategias para

conseguir obtener información de una persona y con esos datos poder hacer un uso de la
información para fines en su mayoría ilícitos. En la base de la mayoría de las extorsiones,
acosos, fraudes, etc… se encuentra la ingeniería social.

Para algunos supone el mayor agujero de seguridad que podemos encontrarnos en

Internet.

Definición

Podríamos dar diversas definiciones más o menos académicas:

Explotación por medio de la manipulación y el engaño al eslabón más débil de la cadena

de la seguridad: el factor humano. Se da cuando un estafador, en lugar de utilizar técnicas
de hacking, manipula o engaña a la gente para que realice ciertas acciones o divulgue
información personal.

En otra acepción se definiría como el conjunto de técnicas psicológicas y habilidades

sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de
información de terceros.

También como el arte de conseguir de un tercero aquellos datos de interés para el atacante
por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación
entre seres humanos.

Describe un método de ataque, donde alguien hace uso de la persuasión, muchas veces
abusando de la ingenuidad o confianza de un usuario, para obtener información que pueda
ser utilizada para tener acceso autorizado a la información de las computadoras.

http://www.gitsinformatica.com/ingenieria%20social.html
 Usuarios expertos y profesionales de la
seguridad en las tecnologías y la
informática estan acostumbrados a
escuchar infinidad de ataques hacia las
infraestructuras de red, aplicaciones web,
etc. tales como buffer overflow, remote file
inclusion, cross site scripting, SQL
injection, crackeo de passwords, robo de
sesiones, shellcodes, sniffing, entre
muchos más que constituyen la Ingeniería
Social.

Pero en otras ocasiones el usuario

internauta es también víctima de la
Ingeniería Social conocida por otros
términos mucho más simples y cotidianos
pero que persiguen el mismo fin.

No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior

de la información obtenida.

Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave
de acceso de la caja fuerte del Banco de España.

Sin embargo, el origen del término tiene que ver con las actividades de obtención de
información de tipo técnico utilizadas por hackers.

Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha

conseguido la información buscada. Las acciones que esa información pueda facilitar o
favorecer no se enmarcan bajo este término.

En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas,

pero sin su colaboración otros no tendrían la posibilidad de hacerlo.

Los ingenieros sociales toman ventaja del comportamiento humano con el objetivo de
infectar con malware las PCs de sus víctimas y obtener información personal y/o dinero.
Sus ataques se están volviendo cada vez más frecuentes y complejos según afirman
expertos en seguridad.

La naturaleza de las infecciones de malware ha cambiado durante los últimos años.

Antiguamente, el malware y los virus se propagaban de forma mucho menos sofisticada.

http://www.gitsinformatica.com/ingenieria%20social.html
Actualmente, los autores de malware inventan constantemente nuevas formas intelectuales
para manipular a las personas y comprometer sus máquinas.

Métodos usados por los atacantes

El objetivo del Ingeniero Social es ganarse la confianza de la otra persona con el único fin
de engañarla y/o manipularla mediante técnicas de persuasión. Su secreto no es preguntar,
realmente, sino la forma de hacer la pregunta, en definitiva podría definirse como yo te digo
lo que tú quieres oír y tú me cuentas lo que yo quiero saber.

Los ataques de ingeniería social destinados a usuarios domésticos usualmente se

aprovechan de emociones humanas básicas para manipular y persuadir a las personas a
caer en sus trucos, incluyendo la curiosidad, el miedo y la empatía.

- Curiosidad: La explotación de la curiosidad de una persona podría suponer el envío de

un e-mail que supuestamente contiene un enlace para ver un vídeo sobre la historia de las
últimas noticias sensacionalistas.

El enlace, sin embargo, llevará a un sitio malicioso destinado a la instalación de malware o

robar información privada.

- Miedo: La táctica de los ladrones cibernéticos para infundir miedo y persuadir a una
persona a actuar de cierta manera es mediante el envío de correos electrónicos de phishing,
supuestamente de un banco de la víctima.

Utilizando el argumento de que su cuenta ha sido violada, el mensaje lleva al usuario a

hacer clic en un enlace determinado para validar la cuenta. Una vez más, el enlace llevará
a un sitio malicioso destinado a comprometer la computadora, o robar información
confidencial.

- Empatía: Para tomar ventaja de los sentimientos de empatía de una persona hacia los
demás, los hackers han sabido hacerse pasar por amigos de las víctimas o enfermos en
redes sociales y solicitar el dinero con urgencia.

En otro claro ejemplo, las recientes estafas de ingeniería social también se vieron a raíz del
terremoto y tsunami en Japón, con los estafadores intentando aprovecharse de la tragedia.
Otro caso, en 2.013, con los atentados en la Maratón de Boston.

Aunque las tácticas anteriores son comunes, es importante tener en cuenta que hay
muchos otros métodos utilizados por los estafadores, podemos esperar variaciones casi
ilimitadas sobre los ataques.

http://www.gitsinformatica.com/ingenieria%20social.html
Ejemplos de ataques de Ingeniería Social

Estos son simples ejemplos donde se ha utilizado el e-mail y una llamada telefónica.

- Ejemplo 1: Recibir un mensaje por e-mail, donde el remitente es el gerente o alguien en

nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de
Internet Banking está presentando algún problema y que tal problema puede ser corregido
si ejecutas la aplicación que está adjunto al mensaje.

La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para
tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad,
esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y
enviarla al atacante.

- Ejemplo 2: Recibir un mensaje de e-mail, diciendo que tu computadora está infectada por
un virus.

El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para
eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un
virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos
almacenados.

- Ejemplo 3: Un desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor
de internet.

En esta comunicación te dice que tu conexión con internet está presentando algún problema
y, entonces, te pide tu contraseña para corregirlo.

Si le entregas tu contraseña, este supuesto técnico podrá realizar una infinidad de

actividades maliciosas, utilizando tu cuenta de acceso internet y, por lo tanto, relacionando
tales actividades con tu nombre.

- Ejemplo 4: Mediante una llamada telefónica alguien se hace pasar por nuestra compañía
telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que
confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de
la línea.

Llegan a decirnos que para comprobar que son quien realmente dicen no tenemos más que
darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra
se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF
con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos
podríamos hacer con esa fórmula.

http://www.gitsinformatica.com/ingenieria%20social.html
Con este tipo de artimañas pueden llegar, y de hecho lo hacen, a conseguir toda nuestra
información, incluso nuestra información bancaria.

Estos casos muestran ataques típicos de ingeniería social, pues los discursos presentados
en los ejemplos buscan inducir el usuario a realizar alguna tarea y el éxito del ataque
depende única y exclusivamente de la decisión del usuario en suministrar información o
ejecutar programas.

El éxito de este tipo de técnicas, que como veis no tienen mucho que ver con la informática,
se refuerza con el aprovechamiento de las vulnerabilidades humanas y me refiero a la
curiosidad, a la inocencia, a la ambición, a la confianza, y sobre todo al desconocimiento.

Otros casos reales podrían ser:

- Una página web o programa que nos proporciona el historial de conversaciones de

nuestros contactos, o simplemente quien nos ha suprimido como contactos de nuestro
cliente de mensajería preferido. Para obtener esta información solo tenemos que acceder
a dicha web con nuestro usuario y password.

- Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder
disponer de ese dinero debemos acceder a una página web con nuestras credenciales
bancarias.

- Nos ha tocado la lotería (aunque no hayamos jugado) somos multimillonarios y para

hacerlo realidad solo tenernos que pagar, en concepto de tasas, una insignificante cantidad
de dinero en comparación con el premio.

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:

http://www.gitsinformatica.com/ingenieria%20social.html
Técnicas Pasivas:

- Observación
- Técnicas no presenciales:
- Recuperar la contraseña
- Ingeniería Social y Mail
- IRC u otros chats
- Teléfono
- Carta y fax

Técnicas presenciales no agresivas:

- Buscando en La basura
- Mirando por encima del hombro
- Seguimiento de personas y vehículos
- Vigilancia de Edificios
- Inducción
- Entrada en Hospitales
- Acreditaciones
- Ingeniería social en situaciones de crisis
- Ingeniería social en aviones y trenes de alta velocidad
- Agendas y teléfonos móviles
- Desinformación

Métodos agresivos

- Suplantación de identidad
- Chantaje o extorsión
- Despersonalización
- Presión psicológica

Consejos de prevención

La labor preventiva, como señalan las Fuerzas y Cuerpos de Seguridad del Estado, resulta
esencial. Entre los consejos, destaca el de que deben usarse contraseñas seguras:
alfanuméricas de al menos ocho dígitos y que contengan mayúsculas y minúsculas.

Además, se aconseja mantener el sistema operativo actualizado para evitar vulneraciones

y fallos en la seguridad, y también poseer soluciones antivirus para evitar robo de datos y
contraseñas.

Con las medidas preventivas se minimiza el riesgo, aunque si el usuario ha sufrido una

http://www.gitsinformatica.com/ingenieria%20social.html
usurpación de estado civil, lo más adecuado es que acuda a profesionales.

Sobre todo porque es posible que el infractor pueda haber actuado o usado
fraudulentamente el nombre y los datos del afectado poniéndolo en situaciones legales
peligrosas; en esos casos es prioritario denunciar los hechos a la Policía o la Guardia Civil
para que se oficialice que la identidad ha sido sustituida y no puedan atribuirle a él los
hechos cometidos por el infractor.

Simplemente tenemos que analizar la situación, no es necesario ser expertos en nada, solo
debemos hacernos algunas preguntas lógicas como si nuestro banco se pondría en
contacto con nosotros de esa manera, o el motivo que nos toque un premio de la lotería si
no hemos jugado.

La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido

común.

Con un pequeño esfuerzo de análisis de los ejemplos anteriores puede encontrar

rápidamente preguntas sin respuesta:

- ¿Es posible que un servicio usado por millones de usuarios como MSN tenga una
vulnerabilidad que permita acceder al historial de conversaciones?

- ¿Es creíble que una entidad bancaria necesite confirmación para recibir dinero en una
cuenta?

- ¿De verdad cree que una compañía telefónica puede perder sus datos bancarios?

- ¿Es posible ser el ganador de un premio de lotería sin haber jugado?

Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la

ingeniería social y por tanto a evitar ser víctima de este tipo de ataques:

- Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números
de tarjetas de crédito, cuentas bancarias, etc.).

- Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el
que le piden datos personales.

- Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar

dinero con facilidad.

- Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en

un web datos de acceso, asegúrese de que la dirección de la web es correcta.

http://www.gitsinformatica.com/ingenieria%20social.html
- No confíe en las direcciones de los remitentes de e-mail o en los identificadores del número
llamante en el teléfono: pueden falsearse con suma facilidad.

- Instale en su ordenador un buen software de seguridad que incluya si es posible

funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos.

- Cuando accedamos a nuestro sistema de banca online deberemos verificar que estamos
haciéndolo a la página correcta y no en una página simulada o copiada, normalmente
accederemos mediante https (Hypertext Transfer Protocol Secure, que es una combinación
del protocolo HTTP y protocolos criptográficos.

Se emplea para lograr conexiones más seguras en la WWW, generalmente para

transacciones bancarias o de pagos o cada vez que se intercambie información sensible en
Internet).

- Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada

sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que
le solicitan.

Por último una breve reflexión: la ingeniería social existe desde que el hombre es hombre:
a fin de cuentas simplemente se trata de conseguir que otra persona haga o diga lo que
nosotros deseamos.

Además, mucho antes del nacimiento de la red Internet ya se utilizaban esas técnicas con
propósitos deshonestos y con excelentes resultados, aunque nadie las acuñó con el término
de "Ingeniería Social" : eran conocidas con nombres que seguro que nos suenan como "El
timo de la estampita", "El tocomocho", "El nazareno"...

En caso de suplantación de identidad, para eludir la siempre farragosa vía judicial, es mejor
ponerse en contacto con el administrador de la página web o red social para que elimine de
forma inmediata el perfil falso y devuelva su control al verdadero titular.

Si esa vía judicial resulta oportuna, es adecuado que se levante acta notarial de los
contenidos dañinos antes de reclamar su retirada.

Con todo, la Justicia no va tan rápido como los propios delitos en internet. Por ello, a falta
de muchas sentencias que esclarezcan cómo actuar ante actos de suplantación de
identidad, la Agencia Española de Protección de Datos (APED) acordó ya en diversas
ocasiones multas por actuaciones denunciadas por usuarios a este organismo.

Por ejemplo, por una suplantación en la red Badoo, la APED impuso una multa de 2.000
euros a un suplantador (se encontró tras el rastreo de la dirección IP de su ordenador por

http://www.gitsinformatica.com/ingenieria%20social.html
la Guardia Civil) ante lo que se consideró una infracción del artículo 6 de la Ley Orgánica
de Protección de Datos, tipificada como grave en el artículo 44.3.b de esa norma.

Resumiendo: las mejores herramientas para protegerse de los ataques de ingeniería social
son el sentido común y la Lógica, la Educación y la Información.

http://www.gitsinformatica.com/ingenieria%20social.html