Cuestionario:

1. ¿Cómo se define a la ingeniería social?

2. ¿Es algo propio de la informática o puede ser aplicado en otros ámbitos?
3. ¿En qué premisa se basa la ingeniería social?
4. Un ingeniero social puede tener 2 posturas diferentes, ¿Cuáles son? ¿Cómo utiliza su
conocimiento/técnicas cada uno?
5. Existen diversos tipos de técnicas de Ingeniería Social, investigue 4 ejemplos de uso
de cada una (2 informáticos y 2 no informáticos) y desarrolle una explicación para
cada caso de como logro llevarse a cabo el acto.
6. Nadie está exento de ser víctima de un ataque de este estilo y hay ciertos consejos a
seguir para protegernos mejor. Desarrolle un discurso que le daría a alguien tomando
como base los consejos que aquí aparecen e investigando otros para que mejore sus
cuidados.

Ingeniería Social
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros; dichos ataques pueden ser
contrarrestados o eliminados, pero hay un tipo de ataque, que no afecta directamente a los ordenadores,
sino a sus usuarios, conocidos como “el eslabón más débil”. Dicho ataque es capaz de conseguir resultados
similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas
maliciosos. Además, es un ataque más eficiente, debido a que es más complejo de calcular y prever. Se
pueden utilizar infinidad de influencias psicológicas para lograr que los ataques a un servidor sean lo más
sencillo posible, ya que el usuario estaría inconscientemente dando autorización para que dicha inducción
se vea finiquitada hasta el punto de accesos de administrador.

Definición
La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación
de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores
privados, criminales, o delincuentes informáticos, para obtener información, acceso
o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga
la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón
débil".
Nuestras debilidades naturales como humamos pueden ser explotadas en muchas
ocasiones mucho más fácilmente que las de un software o hardware. La ingeniería
social hace esto, explota nuestras debilidades psicológicas para extraer información.

Quienes utilizan ingeniería social con propósitos maliciosos, tienden a decir que es más fácil "hackear" a un
humano que hackear una computadora, simplemente porque la "gente es estúpida". Realmente no se trata
de que una persona sea estúpida, se trata de gente no informada, o de que el perpetrador logra encontrar en
la victima una debilidad para ganarse su confianza y luego explotarla.

Aplicar ingeniería social, es hacer que una persona confíe en ti con el propósito de extraer información de
ella que luego usarás para tu propio beneficio. Es el arte de la manipulación. Habrán casos en los que para
obtener las contraseñas o números de tarjeta de crédito de alguien solo baste con pedírselos como si fuese
algo normal, y esa persona nunca se cuestionará las intenciones o la legitimidad de las palabras de quien
solicita la información. Mientras que, alguien que esté al menos un poco familiarizado con este tipo de
prácticas tal vez dude de el por qué debe dar esta información e intente verificar quien es en realidad el
solicitante.

Nuestras debilidades naturales como humamos pueden ser explotadas en muchas ocasiones mucho más
fácilmente que las de una red, un software o un dispositivo. Bajo el uso de un escenario completamente
inventado (pretexto) se puede persuadir a una persona de entregar información, por ejemplo:

-Buenos días, le estamos llamando de su compañía de cable para informarle que hubo
un problema con su tarjeta de crédito al cancelar la factura de este mes, ¿podría ser
tan amable de confirmarnos sus datos para intentar realizar el pago nuevamente?

Técnicas
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente,
fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo,
un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de
permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las
famosas cadenas, llevando así a revelar información sensible o a violar las políticas de seguridad típicas.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de
manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente
funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas
informáticos.

 La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de
un sitio en internet, para poder ver la información que ellos quieren.
 Se hace para obtener acceso a sistemas o información útil.
 Los objetivos de la ingeniería social son fraude, intrusión de una red, espionaje industrial, robo de
identidad, etc.

Tipos de Técnicas

Pretextos
El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal
o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica
a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo
la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios,
etc.) y hacerle creer que es legítimo.
Esta técnica puede ser utilizada por investigadores privados para engañar a una empresa para que revele
información personal de los clientes, y obtener así los registros telefónicos, registros bancarios y otros
datos.
El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a
autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la
mente de la víctima. El "pretexter" simplemente debe preparar respuestas a preguntas que se puede
plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y
la capacidad de improvisar para crear un escenario pretextual.

Phishing
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un
administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de
sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta
de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a
este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos
sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra
información sensible a personas que dicen ser administradores.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en  correos
electrónicos, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis"
(a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso
(por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de
que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar
la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita
para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier
archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los
sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de
contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta:
¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de
seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la
ingeniería social se basa en estos cuatro principios:

1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Vishing
El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se
podría sacar información personal de forma que la víctima no sospeche.
Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de
nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido
casualmente la nuestra.
Baiting
En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un
software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos,
ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el
software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.

Quid pro quo

Quid pro quo significa "algo por algo". El atacante llama a números aleatorios en una empresa, alegando
estar llamando de nuevo desde el soporte técnico. Esta persona informará a alguien de un problema
legítimo y se ofrecerá a ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un malware.
En una encuesta de seguridad de la información de 2003, el 90% de los trabajadores de una oficina dieron
a los investigadores lo que ellos afirmaban ser su contraseña en respuesta a una pregunta de la encuesta a
cambio de una pluma. Estudios similares en años posteriores obtuvieron resultados similares utilizando
chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas.

Cómo protegerme
Aunque podría decirse que solo con tener sentido común basta, esto solo es cierto para ataques simples y
fáciles de detectar. Ser siempre desconfiado sea tal vez la única protección, pero no se puede estar tan alerta
todo el tiempo.

Algunas medidas que podemos tomar son:

 Verificar siempre la identidad de alguien que nos solicite información personal. Por ejemplo, si
recibimos una llamada telefónica de un operador que nos solicita datos personales, podemos pedirle
todos sus datos de empleado, pero la mejor manera de confirmar si es quien dice ser, es ofrecerle
algunos datos ligeramente equivocados para contra-verificar que realmente es un operador y tiene
en sus manos, la información correcta que dimos a la empresa.
 No debemos nunca abrir archivos adjuntos ni hacer clic en enlaces de correos con remitentes
desconocidos o sospechosos.
 Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o nombres de usuario con
nadie vía correo electrónico.
 No reveles tus contraseñas a nadie, ni tampoco las mantengas a la vista en una nota en el escritorio ni
nada parecido.
 Cuando trabajamos con información sensible, procuremos estar pendientes de si alguien está
observándonos. Ya sea la pantalla del ordenador en el trabajo, o hasta la del móvil en la calle. Este es
básicamente el mismo consejo que te da el banco al usar un cajero automático, no permitir que nadie
se acerque lo suficiente como para que pueda ver cuando ingresas tu PIN.
 No creer cualquier cosa que te diga un extraño por muy "bueno" que parezca.

¿Sabías que?
El 97% de los ataques informáticos no aprovechan una falla en el software, sino que usan técnicas de
ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática. Por eso,
a veces poco importa las medidas de seguridad tecnológicas que implementes si las personas están
mandando su clave por correo electrónico. Como parte de la estrategia de seguridad de tu compañía,
tienes que hacer un gigantesco esfuerzo para evitar que los criminales informáticos implementen técnicas
de ingeniería social para entrar a tus sistemas.