Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vea discusiones, estadísticas y perfiles de autor para esta publicación en: https://www.researchgate.net/publication/339676784
Ingeniería social
Capítulo ∙ Marzo 2020
DOI: 10.1007/9783319903071_381
CITAS LEE
3 12,428
2 autores:
JanWillem H. Bullée mariana junger
Universidad de Twente
18 PUBLICACIONES 219 CITAS
239 PUBLICACIONES 3.844 CITAS
VER EL PERFIL
VER EL PERFIL
Algunos de los autores de esta publicación también están trabajando en estos proyectos relacionados:
Revisar las intervenciones de ingeniería social Ver proyecto
El éxito del phishing por correo electrónico Ver proyecto
Todo el contenido que sigue a esta página fue subido por Marianne Junger el 04 de marzo de 2020.
El usuario ha solicitado la mejora del archivo descargado.
Machine Translated by Google
Ingeniería social
JanWillem Bullee y Marianne Junger
Contenido
¿Qué es la ingeniería social? .................................................... ................... 2
Historia de la Ingeniería Social .............................................. ...................... 3
Diferentes tipos de ingeniería social, su éxito y contramedidas .................. 4
Llamada de voz ................................................ ..................................... 5
Correo .................................................... ........................................ 6
electrónico cara a cara ............................................. ............................................. 7
Mensaje de texto ................................................ .................................... 8
¿Qué hacer contra la ingeniería social? .................................................... .. 9
¿Quién es más vulnerable a la ingeniería social? ............................................ 10
¿Por qué es exitosa la ingeniería social? .................................................... ........ 13
Características del objetivo .................................................. ......................... 13
Estrategias del delincuente .................................................. ............................ 17 Dificultad de la
investigación en ingeniería social ................ ....................................... 17 Estudios de
casos ........ .................................................... ......................... 18 Encuestas (Entrevistas y
Reportajes) .................. .......................................... 18
Experimentos ...... .................................................... .......................... 19 20 21 21
Resumen ................................................. .............................................
Referencias cruzadas ............................................... ....................................
Referencias .................................................. .............................................
J.W. Burbuja (*)
Universidad de Linköping, Linköping, Suecia
Correo electrónico: janwillem.bullee@liu.se
M. Junger
Universidad de Twente, Enschede, Países Bajos Correo
electrónico: m.junger@utwente.nl
© Los autores, bajo licencia exclusiva de Springer Nature Switzerland AG 2019 T. Holt, AM 1
Bossler (eds.), The Palgrave Handbook of International Cybercrime and Cyberdeviance, https://
doi.org/10.1007/9783 319903071_381
Machine Translated by Google
2 J.W. Bullée y M. Junger
Resumen
La ingeniería social es el uso de manipulación social y trucos psicológicos para hacer que los
objetivos ayuden a los delincuentes en su ataque. Entre los informáticos, la ingeniería social se
asocia con llamar a un objetivo y pedir su contraseña. Sin embargo, esta amenaza puede
manifestarse de muchas formas. En este capítulo, se analizan cuatro modalidades de ingeniería
social (es decir, llamada de voz, correo electrónico, cara a cara y mensaje de texto). Explicamos
los conceptos psicológicos que intervienen en la ingeniería social. Incluyendo (i) por qué las
personas son victimizadas y (ii) cómo los delincuentes abusan de las fallas en el razonamiento
humano. Una serie de estudios de campo ilustra el éxito de la ingeniería social. Además, ¿qué
grupo es más vulnerable a la ingeniería social y en qué medida las intervenciones contrarrestan
el ataque? Finalmente, discutimos algunas dificultades en la investigación de la ingeniería social
y concluimos con algunas sugerencias para futuras investigaciones.
Palabras clave
Concienciación ∙ Sesgo cognitivo ∙ Engaño ∙ Fraude ∙ Intervención ∙ Manipulación ∙
Estafa de phishing
Acrónimos
2FA Autenticación de dos factores
CMC Comunicación mediada por computadora
RCP Reanimación cardiopulmonar
F2F Cara a cara
Centrales telefónicas privadas PBX
Ataque de reenvío de código de verificación VCFA
¿Qué es la ingeniería social?
Ha estado de viaje y acaba de registrarse en su habitación de hotel. Cuando entra a su habitación
y deja su bolso, suena el teléfono de su habitación. Una buena chica se presenta como Rebecca
de la recepción del hotel. Ella explica que hubo un problema durante el checkin y que necesita
volver a confirmar la información de su tarjeta de crédito. Suponiendo que llama desde la recepción
del hotel, usted proporciona la información de su tarjeta de crédito. Luego le informa que todo se
resolvió y que disfrute de su estadía.
La persona que llamó al viajero no fue Rebecca de la recepción. En cambio, era un
delincuente que llamaba a cada habitación de hotel en un intento de victimizar a alguien.
¿Qué sucedió que hizo que el viajero le diera los datos de su tarjeta de crédito a un extraño?
El escenario (The SANS Institute 2012) ilustra lo que se conoce como un ataque de ingeniería
social. Abraham y ChengalurSmith (2010) propusieron la siguiente definición: “El uso de
disfraces sociales, estratagemas culturales y trucos psicológicos para lograr que los usuarios
de computadoras (es decir, objetivos) ayuden a los piratas informáticos (es decir, delincuentes)
en su intrusión ilegal o uso de sistemas y redes informáticas”. La ingeniería social puede
concebirse como un tipo de ataque no técnico basado en la interacción humana que complementa la tecnología.
Machine Translated by Google
Ingeniería social 3
ataques Uno de los peligros de los ataques de ingeniería social es su apariencia inofensiva y
legítima, de modo que los objetivos (es decir, una persona y no el objetivo del ataque) no se dan
cuenta de que están siendo víctimas (The Federal Bureau of Investigation 2015; Hadnagy y Wilson
2010 ) . El uso de violencia física, extorsión, soborno, chantaje y similares no se consideran
ingeniería social.
Los incidentes de seguridad cibernética son causados con mayor frecuencia por fallas humanas
(Chan et al. 2005) que por fallas tecnológicas (Schneier 2000b). En consecuencia, los humanos
son el eslabón más débil en la seguridad de la información (Happ et al. 2016). Para decirlo sin
rodeos: “solo los aficionados atacan a las máquinas, los profesionales atacan a los
humanos” (Schneier 2000a). Los delincuentes utilizan el engaño y la manipulación para que los
objetivos ayuden en su victimización (Bosworth et al. 2014). El vector de ataque de ingeniería
social se considera la mayor amenaza para los sistemas de información (Rouse 2006).
En este capítulo, explicamos qué es la ingeniería social, incluido cómo funciona este ataque,
qué tan exitoso es y qué se puede hacer para reducir la victimización. El uso del engaño y el fraude
ha existido durante mucho tiempo. La siguiente sección proporciona una breve descripción de
algunos de los casos notables.
Historia de la Ingeniería Social
La ingeniería social ya se ha utilizado durante bastante tiempo como vector de ataque.
A continuación se muestra una breve descripción de seis casos notorios de ingeniería social de la
historia antigua (y no tan antigua).
Guerra de Troya Quizás uno de los relatos más antiguos de ingeniería social es de Odiseo del
antiguo ejército griego. Después de una larga década de guerra con los troyanos, el ejército griego
se retiró de la arena y dejó a los troyanos una colosal estatua de un caballo de madera. Los
troyanos dieron la bienvenida a su regalo en su ciudad y celebraron la victoria.
Durante la noche, soldados griegos aparecieron desde dentro del caballo y conquistaron la ciudad
(Graves 1992). Mito o no, este ejemplo ilustra cómo se engaña al elemento humano para lograr un
objetivo que era imposible solo por medios técnicos.
Frank Abagnale La historia del ex estafador Frank Abagnale se ha contado muchas veces en
libros, musicales y en la película Atrápame si puedes (Internet Movie Database 2002). Después del
divorcio de sus padres, el adolescente Frank se escapó de casa y se quedó solo en el mundo. Lo
que comenzó como una forma creativa de sobrevivir se convirtió en un juego.
Cuando solo tenía 16 años, Frank logró hacerse pasar por piloto de Pan Am Airlines. Más tarde se
hizo pasar por pediatra residente, abogado y supuestamente asistente de enseñanza. Frank
dominó la habilidad de falsificar cheques y, al defraudar a los bancos entre los 16 y los 21 años,
ganó 2,5 millones de dólares. Eventualmente, sin embargo, fue capturado y encarcelado. Desde
su liberación, ha trabajado de cerca con el FBI durante casi 40 años (Solon 2017).
Stanley Mark Rifkin Stanley Mark Rifkin trabajó como consultor informático para Security Pacific
Bank en Los Ángeles, en 1978. Estaba trabajando en el desarrollo de un sistema de respaldo para
la sala de cables, que le dio acceso a los procedimientos sobre cómo funciona el banco. transfiere
dinero. Se necesitaba un código rotatorio diario secreto para realizar una transferencia. Stanley se
enteró de que los empleados escribieron el código en
Machine Translated by Google
4 J.W. Bullée y M. Junger
una nota adhesiva para evitarles la molestia de memorizarla. Al aprender este código, Stanley
logró transferir $10,2 millones a una cuenta en el extranjero en Suiza. Había llevado a cabo el
mayor atraco a un banco de la historia, sin usar ningún tipo de violencia o computadora (Mitnick
y Simon 2002).
ABNAMRO En Amberes (Bélgica), la capital mundial del diamante, se robaron diamantes
por valor de 21,5 millones de euros. Sin el uso de ningún tipo de violencia, el delincuente logró
llevar a cabo este atraco. ¿Su arma? El infractor, un cliente habitual, conoció a los empleados.
Usando amuletos y comprando chocolates para el personal, logró copiar las llaves de la bóveda
(Castle 2007).
Kevin Mitnick Kevin Mitnick es conocido como el hacker más famoso del mundo y como la
persona que popularizó el término “ingeniería social”. En uno de sus primeros relatos, diseñó
socialmente a un conductor de autobús, lo que, combinado con un poco de zambullida en los
basureros, dio como resultado viajes gratuitos en autobús (Gots 2011). En años posteriores,
Kevin aplicó sus habilidades de ingeniería social a través del teléfono. Al preparar
cuidadosamente los ataques, pudo obtener acceso a partes de muchos sistemas telefónicos
de Private Branch Exchanges (PBX), que, entre otras cosas, le permitieron hacer llamadas
gratuitas de larga distancia. En 1993, Kevin fue investigado por el FBI y condenado por varios
delitos informáticos (Mitnick y Simon 2002; Gots 2011).
Violación de RSA Security LLC En marzo de 2011, un grupo de delincuentes utilizó técnicas
de ingeniería social para piratear RSA Security, la empresa (llamada así por las iniciales de los
cofundadores Ron Rivest, Adi Shamir y Leonard Adleman) conocida por los tokens de
autenticación de dos factores RSA . Mediante el uso de ingeniería social a través del correo
electrónico (es decir, phishing por correo electrónico), el delincuente persuadió a un empleado
para que abriera un archivo de hoja de cálculo que contenía malware adjunto. El malware
instaló una puerta trasera que permitía al delincuente acceder a la máquina. Desde allí, el
delincuente podía navegar por la red (Richmond 2011). El costo estimado de la brecha fue de
$ 66,3 millones. En el período posterior a la infracción, los márgenes brutos de RSA se
redujeron del 67,6 % al 54,1 % (King 2011). Otro aspecto de la infracción es el daño a la
reputación que encontró RSA Security. En el negocio de la seguridad, uno es tan bueno como
su reputación. Se desconoce el impacto real de este ataque; sin embargo, le dio a la
competencia una oportunidad para cerrar (Savage 2012).
Estos seis escenarios muestran que la ingeniería social existe desde hace algún tiempo y
puede ocurrir de diferentes maneras. La siguiente sección discute en qué formas puede ocurrir
la ingeniería social.
Diferentes tipos de ingeniería social, su éxito y
contramedidas
Hay infinitas formas en que los atacantes pueden engañar a otros humanos para su beneficio.
El servicio de asistencia para el fraude de los Países Bajos detecta 99 tipos de fraude; 12
siendo conceptos amplios (por ejemplo, lavado de dinero), 28 tipos están relacionados con
ciber (información disponible en www.fraudehelpdesk.nl.). El FBI distingue 33 tipos de delitos
(Centro de quejas de Internet (IC3) 2018a) y describe 18 esquemas de delitos en línea (Centro
de quejas de Internet (IC3) 2018b) (A saber: (1) Fraude de subasta; (2) Fraude de subasta: Rumania; (3)
Machine Translated by Google
Ingeniería social 5
cheque de caja falsificado; (4) fraude con tarjetas de crédito; (5) Eliminación de Deuda; (6) esquema de
correo electrónico de mensajería de paquetes; (7) Oportunidades de Empleo/Negocios; (8) Fraude de
servicios de depósito en garantía; (9) Robo de Identidad; (10) Extorsión por Internet; (11) Fraude de inversiones; (12)
loterías; (13) Carta nigeriana o “419”; (14) suplantación de identidad/suplantación de identidad; (15) Ponzi/
Pyra medio; (16) Reenvío; (17) correo basura; (18) Receptor de fondos de terceros). Una forma de
categorizar la ingeniería social es por el tipo de comunicación con la víctima. En esta sección, exploramos
cuatro modalidades que los delincuentes pueden usar en la ingeniería social, qué tan exitosos son y el éxito
de sus contramedidas.
Llamada de voz
La ingeniería social a través del teléfono también se conoce como estafa telefónica, estafa de soporte
técnico o llamada en frío. Por ejemplo, desde 2008, “la estafa de Microsoft” la llevan a cabo a nivel mundial
delincuentes que afirman ser empleados del departamento técnico de Microsoft (Arthur 2010). Al principio,
se apuntaron a los países de habla inglesa nativa y luego al resto del mundo. El guión de la estafa es el
siguiente: el objetivo recibe una llamada telefónica en su casa, el delincuente se presenta como un empleado
del departamento técnico de Microsoft y le informa que la integridad de esta PC y los datos están en riesgo.
Para verificar el reclamo del infractor, se persuade al objetivo para que abra una conexión de escritorio
remoto para revisar algunos de los archivos de registro como evidencia (Arthur 2010).
Afortunadamente, el delincuente tiene una solución que resolverá el problema. Una pequeña herramienta
de software que se puede comprar para evitar la pérdida de datos y el pago es posible mediante tarjeta de
crédito o PayPal. Cuando luego revisa el saldo de la cuenta bancaria, el objetivo se da cuenta de que sus
ahorros se han ido. Mientras que el objetivo piensa que está haciendo lo correcto al asegurar su sistema
informático, en cambio, se convierte en víctima.
Es difícil determinar el éxito de este tipo de ataque. En un intento de obtener una indicación de la
prevalencia, se contactó con el servicio de asistencia para fraudes holandés (una organización que recopila
informes sobre fraudes). En el período comprendido entre 2015 y 2018, se reportaron 4507 incidentes,
mientras que 499 fueron victimizados (11,1%). El total de daños denunciados fue de 850.701 €, una media
de más de 1700 € por víctima. Estos números deben considerarse como una estimación aproximada, ya
que este método de recopilación de datos es propenso a sesgos (p. ej., recordar mal la cuenta o sentirse
demasiado avergonzado de informar; consulte la sección “Encuestas (entrevistas e informes)” para obtener
más detalles ) .
En un entorno experimental, se realizó una estafa de soporte técnico a 92 empleados (Bullée et al.
2016). Dos semanas antes del ataque simulado, un tercio de los objetivos (N = 28) recibió una intervención.
Otro tercio de los objetivos (N = 29) recibió una intervención 1 semana antes de la prueba de campo. La
intervención constaba de dos partes: (i) un folleto que explicaba qué era una estafa telefónica, por qué era
peligrosa y cómo protegerse; y (ii) un tarjetahabiente que contenga el texto “Cuidado con las estafas.
Verifique todas las solicitudes. Reportar todos los incidentes.” El resultado fue que el 40% (N = 14) de los
empleados del grupo de control siguieron todas las instrucciones del infractor para instalar el software, en
comparación con el 17,2% (N = 5) de los del grupo de 1 semana (χ2 = 3,935, gl = 1, p = 0,047). Sin
embargo, de los del grupo de 2 semanas, el 42,9 % (N = 12) cumplió con el infractor (χ2 = 0,052, df = 1, p =
0,819); consulte la Fig. 1 (Bullée et al.
Machine Translated by Google
6 J.W. Bullée y M. Junger
Fig. 1 Cambio en el cumplimiento
del infractor a lo largo del tiempo 100 cumplió
80
60
cumplimiento
Porcentaje
de
42,9
40
40
17.2
20
0 1 2
Tiempo (semanas) desde que el
sujeto experimentó la intervención
Alabama. 2016). Esto significa que hubo una reducción significativa en la victimización para aquellos que
recibieron la intervención 1 semana antes del simulacro de ataque; sin embargo, este efecto no estuvo
presente para el grupo de 2 semanas.
Correo electrónico
La ingeniería social a través del correo electrónico a menudo se conoce como "phishing". En el phishing por
correo electrónico, el objetivo recibe un correo electrónico malicioso que intenta convencerlo de que visite
un sitio web fraudulento. Estos sitios web a menudo tienen un solo objetivo: engañar a las personas para
que compartan información confidencial (por ejemplo, contraseñas o números de seguro social) (Ramzan 2010).
El phishing se define como “un acto escalable de engaño mediante el cual se utiliza la suplantación de
identidad para obtener información de un objetivo” (Lastdrager 2014, p. 8). La primera parte de la definición
("acto escalable") se relaciona con la distribución masiva de mensajes. La segunda parte (“engaño mediante
el cual se utiliza la suplantación de identidad”) es necesaria para hacerlo fraudulento.
Los evaluadores de penetración argumentaron que el 80% de los empleados caen en el phishing cuando
el correo electrónico dice que hay un iPad gratis para la persona que hace clic en el enlace (de una
conversación con el segundo autor). Por otro lado, un análisis rápido de K = 16 estudios, que contienen N =
25 890 sujetos de investigación, muestra que el éxito promedio de las campañas de phishing está en el
rango de 2 a 93 % (promedio de 30,9 % y promedio ponderado de 17,2 %). Cada uno de los estudios antes
mencionados utilizó un correo electrónico simulado diferente y hubo diferentes tipos de usuarios involucrados
(por ejemplo, estudiantes o empleados). Además, podría haber un aspecto cultural que influye en los
resultados ya que los estudios se realizan en Europa y América del Norte en diferentes institutos. La
conclusión es que el éxito del phishing por correo electrónico es inestable y depende en gran medida tanto
del mensaje como del contexto. Aunque hay muchas diferencias entre los estudios, esto da una primera
indicación del éxito general del phishing por correo electrónico.
Con respecto a las contramedidas del phishing de correo electrónico, el efecto de entrenar o jugar un
juego se ha investigado tanto en un entorno de laboratorio (consulte Kumaraguru et al.
Machine Translated by Google
Ingeniería social 7
2007a, b; Alnajim y Munro 2009; Sheng et al. 2010; Parsons et al. 2015; Kunz et al. 2016; Lastdrager
et al. 2017; Pars 2017) y en un entorno de campo (consulte Kumaraguru et al. 2008, 2009; Caputo
et al. 2014; Jensen et al. 2017; Jansson y von Solms 2013; Bullée y Junger 2019). Una campaña de
concientización muy conocida es PhishGuru, un cómic que explica qué es el phishing, cómo
reconocerlo y tiene como objetivo reducir la victimización (Kumaraguru et al. 2007a). PhishGuru se
probó tanto en un laboratorio como en un entorno de campo. Los resultados mostraron que fue
capaz de reducir la victimización y que esta reducción se mantuvo estable en el tiempo (Kumaraguru
et al. 2007a, b, 2008, 2009). Otro entrenamiento de concientización es NoPhish, que es una
aplicación web interactiva, donde el jugador es educado en ocho niveles sobre cómo reconocer un
correo electrónico de phishing (Kunz et al. 2016). Después de jugar, los sujetos reconocieron mejor
los correos electrónicos de phishing que antes del juego (p = 0,004). Finalmente, PHREE es una
capacitación basada en juegos que tiene como objetivo aumentar la habilidad de detectar correos
electrónicos de phishing (Pars 2017). Antes de jugar, se reconoció el 52 % de los correos electrónicos
de phishing, en comparación con el 92 % en la prueba posterior directa después de jugar (p < 0,01)
y el 87 % 1 semana después (p < 0,01) (Pars 2017) .
Cara a cara
Hemos visto ingeniería social a través de una llamada telefónica; el delincuente llama a los objetivos
y, por ejemplo, trata de convencerlos de que descarguen software malicioso. También hemos visto
ingeniería social a través del correo electrónico (es decir, phishing), donde el delincuente envía un
correo electrónico a su objetivo y lo convence para que visite un sitio web malicioso. El delincuente
también puede decidir visitar físicamente al objetivo y realizar la ingeniería social cara a cara (F2F).
En lugar de llamar al objetivo por teléfono o enviar un correo electrónico, visitan al objetivo en
persona.
En una universidad de los Países Bajos, se instruyó a un grupo de estudiantes para que
aprendieran un guión y realizaran un ataque de ingeniería social F2F (Bullée et al. 2015). En este
ataque, el delincuente tenía que ir y hablar con el objetivo en persona. El ataque tenía como objetivo
hacer que el objetivo entregara la llave de la oficina al delincuente (es decir, a un extraño). Parte de
los sujetos (N = 46) recibieron, mediante asignación aleatoria, una intervención que constaba de tres
elementos: (i) un volante que explicaba qué es la ingeniería social, por qué es peligrosa y cómo
protegerse; (ii) un llavero negro con el logo de la universidad en un lado y el texto “No me entregues
a un extraño” en el otro lado (ver Fig. 2a, b ) ; (iii) un cartel que le indique que no comparta su PIN,
claves o contraseñas.
El resultado fue que el 62,5 % (N = 45) de los sujetos del grupo de control entregó la llave de su
oficina, en comparación con el 37,0 % (N = 17) de los del grupo de intervención (χ2 = 7,34, gl = 1, p
= 0,007 ) (Bullée et al. 2015). En muchos casos, la llave de la oficina se adjuntaba a otras llaves y
se entregaba todo el conjunto, incluidas las llaves de la bicicleta, las llaves de la casa, las llaves del
automóvil, las llaves maestras, las tarjetas de fidelización y los dispositivos de almacenamiento USB.
Machine Translated by Google
8 J.W. Bullée y M. Junger
Fig. 2 Llavero. (Adoptado de Bullée et al. 2015)
Mensaje de texto
Finalmente, analizamos la ingeniería social a través de mensajes de texto, también conocida como
smishing o phishing por SMS. A través de mensajes SMS (o aplicaciones móviles de mensajería,
por ejemplo, WhatsApp), el delincuente intenta imitar las comunicaciones legítimas, a menudo con
el objetivo de recopilar información personal o dinero. Esta sección describe tres ataques de
ingeniería social a través de mensajes de texto, un ataque razonablemente simple y dos ataques
más sofisticados.
Primero: en una cuenta, el objetivo recibe un mensaje a través de WhatsApp de uno de sus
contactos que lo anima a hacer clic y recibir vales de £ 100 para el supermercado. Al hacer clic en
el enlace, el delincuente puede instalar software malicioso en el teléfono (McGoogan 2016).
Segundo: Un escenario de ataque, usando WhatsApp, tiene como objetivo robar dinero
haciéndose pasar por un miembro de la familia. Se utiliza el siguiente MO: El delincuente informa
al objetivo de tener un nuevo número de teléfono. Esto incluye una imagen de perfil coincidente
de la persona suplantada. La imagen se extrae de las redes sociales, así como de las relaciones
familiares y de cómo las personas interactúan entre sí (Fraudehelpdesk.nl 2018a). A menudo,
primero hay una pequeña charla, seguida de una llamada de ayuda. Hay facturas que deben
pagarse lo antes posible y hay problemas con el sistema bancario en línea. Para ayudar al familiar
que lo necesita, usted paga las cuentas (Radar 2019). Mientras piensas que estás ayudando, en
cambio te victimizan.
El servicio de asistencia contra fraudes holandés recibió, durante los primeros 6 meses de
2018, 160 informes de incidentes relacionados con intentos de fraude a través de WhatsApp
(Majid 2018). Esto es cuatro veces más que durante el mismo período en 2017 (Fraudehelpdesk.nl
2018b), lo que sugiere un gran aumento en este tipo de ataques. Las cuentas reportadas
involucraban fraude de identidad donde un delincuente fingía ser un miembro de la familia
(generalmente un hijo o una hija) y le pedía al objetivo (generalmente un padre) que enviara dinero para una emergencia.
En promedio, el daño fue de 2000 € por caso (Fraudehelpdesk.nl 2018b).
Aunque, hasta donde sabemos, no se conoce una tasa de éxito de esta estafa, los números
indican que se está disparando. Se requiere más investigación para obtener una comprensión
más profunda de este ataque.
Tercero: este escenario describe cómo un delincuente usa SMS para eludir una capa de
seguridad adicional (es decir, autenticación de dos factores (2FA)). En 2FA, además de un nombre
de usuario y una contraseña, se requiere un segundo factor (p. ej., código de verificación de SMS)
para iniciar sesión. El proveedor de servicios envía el código de verificación al número de teléfono
que registró, lo que brinda una capa adicional de seguridad. Sin embargo, el delincuente puede
“pasar por alto” este segundo factor enviando un SMS hábilmente construido al objetivo; este ataque es
Machine Translated by Google
Ingeniería social 9
también conocido como ataque de reenvío de código de verificación (VCFA) (Siadati et al. 2017;
Jakobsson 2018). Este ataque requiere tres partes: (i) O = delincuente, (ii) S = proveedor de servicios
y (iii) T = objetivo, y cinco pasos:
1. ¡Oh! S: El infractor activa al proveedor de servicios para que entregue el código de verificación;
2. S! T: el proveedor de servicios envía el código de verificación al objetivo; 3.
¡Oh! T: El infractor engaña al objetivo para que reenvíe el código de verificación; 4. T! O:
El objetivo envía el código de verificación al infractor; 5. ¡Oh! S: El infractor inicia
sesión proporcionando un código de verificación.
En el caso de iniciar sesión en Gmail, así es como se intercambian mensajes en los pasos 2 y 3
podría verse como (adoptado de Siadati et al. 2017):
2. S! T: "Su código de verificación de Google es 175197".
3. ¡Oh! T: “¿Solicitó un restablecimiento de contraseña para su cuenta de Gmail? Borra este mensaje
si lo hiciste. De lo contrario, envía Cancelar + el código de verificación que te enviamos.”
Se prueba que el éxito de este ataque es del 50%.
El proveedor es cómplice involuntario de este tipo de ingeniería social. Para evitar este ataque, se
puede agregar un mensaje adicional al mensaje que generalmente reciben los usuarios cuando se les
envía un código de verificación. Al incluir una advertencia adicional en el mensaje de verificación (es
decir, "Ignore este mensaje si no solicitó un código. Su código de verificación de Google es 175197"),
los que reenviaron su código se redujeron al 8% (Siadati et al. 2017).
¿Qué hacer contra la ingeniería social?
La sección anterior discutió cuatro modalidades de ingeniería social, su éxito y contramedidas. Hay
otras contramedidas, más generales, que podrían usarse. Se han desarrollado varios métodos para
ayudar a los expertos (p. ej., profesionales encargados de hacer cumplir la ley) a distinguir a los
mentirosos de los que dicen la verdad. Estos métodos se basan en hallazgos en la literatura; sin
embargo, los tamaños del efecto suelen ser pequeños. Se discutirá el uso de (i) aumento de la carga
cognitiva y (ii) microexpresiones.
Aumentar la carga cognitiva se relaciona con hacer una entrevista mentalmente más difícil. La
razón es que mentir requiere más recursos cognitivos que decir la verdad. Cuando la carga cognitiva
aumenta aún más, por ejemplo, al hacer una solicitud adicional, los mentirosos tienen más dificultades
para hacer frente a estas solicitudes que los que dicen la verdad. Una de las formas de aumentar esta
carga cognitiva es pedir que se cuente la historia en orden inverso (Evans et al.
2013; Vrij et al. 2015). Sin embargo, esta técnica también ha sido criticada por no ser muy útil en la
práctica. Además, se argumentó que el aumento de la carga cognitiva podría obstaculizar la memoria
de trabajo y hacer que los que dicen la verdad también tengan dificultades para contar su historia
(Verschuere et al. 2018).
Las microexpresiones son reflejos de emociones que queremos ocultar (Ekman 2001; Wu et al.
2017). Mediante el uso de una combinación de (i) funciones de movimiento (es decir, grabación de video),
Machine Translated by Google
10 J.W. Bullée y M. Junger
(ii) características de audio (es decir, grabación de voz) y (iii) características de transcripción (es decir, texto escrito), los
investigadores lograron llegar a un predictor de engaño. En el contexto de los videoclips de los juicios en los tribunales,
demostraron que el predictor se desempeñó un 11 % mejor que los humanos a quienes se les pidió que hicieran una
clasificación (verdad o mentira) sobre los mismos datos (Wu et al. 2017) . Sin embargo, el uso de microexpresiones
también ha sido criticado por no ser lo suficientemente efectivo en la práctica (Burgoon 2018).
Se han realizado estudios sobre las características lingüísticas de los relatos verbales.
Algunos estudios presentaron una descripción optimista de las posibilidades de los programas de computadora para
discernir características en un texto que ayudaría a distinguir las mentiras de las verdades (Hancock y Gonzales 2013). Se
han presentado aplicaciones para distinguir la mentira de la verdad en los discursos políticos (Hauch et al. 2014) y en la
quiebra de ENRON (Keila y Skillicorn 2005).
Un metanálisis sobre programas informáticos para la detección de mentiras encontró que solo un factor era importante
en la comunicación mediada por computadora (CMC): los mentirosos usaban más palabras, mientras que en entrevistas o
interacciones persona a persona, los mentirosos usan menos palabras (Hauch et al. . 2014). Todos los demás factores que
se estudiaron no fueron significativos (es decir, cantidad de palabras, diversidad de palabras de contenido, relación tipo
token, palabras de seis letras, longitud promedio de palabras, cantidad de verbos, cantidad de oraciones, longitud promedio
de oraciones) (Hauch et al.
2014). En general, parece que la detección de mentiras, incluso para los profesionales encargados de hacer cumplir la ley,
es difícil y los resultados son inciertos. Sin embargo, estudios recientes encontraron que tanto el movimiento del brazo
como el del ratón pueden usarse para detectar el engaño (Sartori et al. 2018). Varios experimentos ya mostraron que la
dinámica de pulsaciones de teclas podría usarse para obtener un efecto similar (Sartori et al. 2018). Por ejemplo, los
usuarios de computadoras que mienten usan más retrocesos y ejecutan más ediciones.
En conclusión, mientras que los humanos probablemente seguirán siendo malos detectores de mentiras, las máquinas
podría ayudarnos a atrapar a los mentirosos.
¿Quién es más vulnerable a la ingeniería social?
Las secciones anteriores proporcionaron información sobre el éxito de diferentes ataques de ingeniería social. A menudo
se incluyen factores adicionales para comprender mejor quiénes son particularmente vulnerables. Realizar un ataque de
ingeniería social en una organización proporciona una instantánea del estado actual de las cosas. Incluir variables
sociodemográficas en el análisis ayuda a comprender mejor la organización; los empleados no son un grupo homogéneo
de entidades y son diversos en cuanto a, por ejemplo, sexo y edad (Pfeffer 1985). Otra razón para realizar análisis de
subgrupos se relaciona con las contramedidas. Saber quién es más vulnerable a un ataque puede ayudar a enfocar una
campaña de concientización y distribuirla de manera eficiente en cuanto a los recursos. Una campaña diseñada para, por
ejemplo, personas mayores se ve diferente a una campaña que es tanto para personas mayores como para adolescentes.
De manera similar, cuando, por ejemplo, los machos son más vulnerables a un ataque, los machos deben recibir un
entrenamiento de concientización, y aquellos que ya realizan el comportamiento deseado pueden quedarse solos. Las
características que suelen repetirse son las variables sociodemográficas de sexo y edad; estos serán discutidos con más
detalle. Lo haremos
Machine Translated by Google
Ingeniería social 11
centrarse en la ingeniería social a través del correo electrónico, debido a la cantidad de estudios empíricos disponibles.
Sexo
En el contexto de la ingeniería social a través del correo electrónico, creemos que no hay razón para suponer que
las mujeres y los hombres se desempeñan de manera diferente. Dado que el correo electrónico es una parte integral
de nuestra vida, es de esperar que tanto mujeres como hombres tengan una experiencia similar con el phishing y,
por lo tanto, estén igualmente equipados para identificar intentos de phishing (Moody et al. 2017) .
Nos enfocaremos en 12 estudios que investigaron la relación entre el sexo y el éxito del phishing por correo
electrónico en un experimento de campo. Se persuadió a todos los sujetos para que hicieran clic en un enlace o
proporcionaran datos. Hubo siete estudios que investigaron una población estudiantil (Jagatic et al. 2007; Halevi et
al. 2013; Wright et al. 2014; Benenson et al. 2017; Goel et al. 2017; Moody et al. 2017; Carella et al. 2018), cuatro
empleados investigados (Holm et al. 2013; Flores et al. 2015; Bullée et al. 2017a; van der Meer 2017), y uno utilizó a
civiles como población (Oliveira et al.
2017). La razón por la que hay más poblaciones estudiantiles investigadas es que tienen un mayor riesgo de
victimización (Sheng et al. 2010). De los 12 estudios, cuatro encontraron que las mujeres tenían más riesgo que los
hombres, mientras que ocho no encontraron un efecto principal del sexo. Sin embargo, podría haber un efecto
moderador; Cuatro de los siete estudios que investigaron a los estudiantes encontraron que las mujeres tenían mayor
riesgo (Carella et al.
2018; Halevi et al. 2013; Jagatic et al. 2007; Wright et al. 2014). Quienes investigaron al personal o a los civiles no
encontraron tal efecto. En resumen, no parece haber un efecto principal del sexo sobre la victimización; sin embargo,
una variable moderadora podría explicar estos hallazgos.
Edad
Todo el mundo puede ser objeto de un ataque de ingeniería social, tanto jóvenes como mayores.
Investigaciones anteriores vincularon la edad con el comportamiento de riesgo. Los hallazgos sobre los riesgos fuera
de línea sugieren que los adolescentes corren más riesgos que los adultos (Hirschi y Gottfredson 1983; Massie et al.
1995; Steinberg 2007). Dado que el cerebro de los adolescentes aún está en desarrollo, tienden a involucrarse (en
promedio) en comportamientos más riesgosos (Reyna y Farley 2006; Sheng et al.
2010). La búsqueda de sensaciones, la búsqueda de emociones, la impulsividad y otras conductas de riesgo son
parte del aprendizaje continuo sobre el mundo. Además, las personas más jóvenes tienden a aprender menos de la
experiencia que las personas mayores, mientras que las personas mayores resisten el comportamiento arriesgado
por intuición (Reyna y Farley 2006). Sin embargo, para el comportamiento en línea, esta relación con la edad es
menos clara (Baumgartner et al. 2010). En el contexto del delito cibernético, se argumentó que las personas más
jóvenes corren más riesgo ya que tienen menos años de educación, menos años en Internet, menos exposición a
materiales de capacitación y menos aversión al riesgo (Sheng et al. 2010) .
Presentamos los resultados de cuatro estudios experimentales que controlan las posibles diferencias por edad
en la exposición (Holm et al. 2013; Bullée et al. 2017a; Moody et al.
2017; Oliveira et al. 2017). El resultado fue que un estudio encontró que las personas mayores, en lugar de las
personas más jóvenes, eran el grupo con mayor riesgo (Holm et al. 2013). Los otros tres estudios no encontraron un
efecto principal de la edad. Dos estudios informaron que había una
Machine Translated by Google
12 J.W. Bullée y M. Junger
Tabla 1 Tabla resumen de la literatura presentada sobre estudios de phishing y predictores sociodemográficos
Mayor riesgo
efecto de interacción con una tercera variable: (i) los empleados más jóvenes con pocos años de
servicio en la organización son los de mayor riesgo (Bullée et al. 2017a) y (ii) las mujeres mayores
eran los grupos de mayor riesgo (Oliveira et al. 2017) .
En conclusión, la investigación sobre los efectos de la edad y el sexo en la investigación de
ingeniería social mostró resultados mixtos. Por lo tanto, una conclusión general es difícil ya que
muchos estudios no encontraron relaciones. Sin embargo, cuando se encuentra una relación,
generalmente se informa que las mujeres y los grupos de edad más jóvenes parecen tener un
mayor riesgo de ser víctimas de experimentos de ingeniería social. Para obtener un resumen de
los estudios, consulte la Tabla 1.
En cuanto al éxito de la ingeniería social, es imposible dar cifras precisas: como se muestra
en la Tabla 1, el porcentaje de éxito depende mucho de la redacción y la forma del mensaje
engañoso, así como del contexto.
Sección “¿Por qué es exitosa la ingeniería social?” explica por qué victimizar
los seres humanos que utilizan la ingeniería social es relativamente fácil.
Machine Translated by Google
Ingeniería social 13
¿Por qué es exitosa la ingeniería social?
La investigación sobre seguridad, confianza y divulgación de la información también ha estudiado qué tan
fácil es hacer que los usuarios en línea divulguen información personal. También nos basamos en la
literatura sobre divulgación para explicar la facilidad con la que las personas tienden a caer en la ingeniería social.
Se discuten tanto la perspectiva de las características del objetivo como las tácticas del delincuente.
Características del objetivo
Los seres humanos tienen grandes dificultades para reconocer mentiras En
general, es difícil para las personas reconocer una mentira. Muchos académicos argumentan que los
humanos están predispuestos a confiar en los demás. Rousseau et al. (1998) definió la confianza como
“un estado psicológico que comprende la intención de aceptar la vulnerabilidad basada en expectativas
positivas de las intenciones o el comportamiento de otro” (Rousseau et al.
1998). La confianza determina cómo un individuo se acerca a otras personas (Kosfeld et al.
2005). Los seres humanos tienden a conformarse y son relativamente dignos de confianza por naturaleza:
la confianza tiene un valor de supervivencia evolutivo, por ejemplo, los niños necesitan confiar en los
demás para poder aprender (Morgan y Laland 2012 ). De acuerdo con este enfoque, la mayoría de los
investigadores del engaño creen que los adultos comienzan con la presunción de la verdad (Burgoon y
Levine 2010). En general, tener confianza en los demás tiene resultados positivos para las personas
(Dohmen et al. 2011).
Dado que los humanos comienzan con la suposición de la verdad, probablemente siempre será difícil
para ellos detectar el fraude (Burgoon y Levine 2010). Bond y DePaulo (2006) realizaron un metanálisis de
206 estudios sobre la precisión de las personas para distinguir una mentira de la verdad. Descubrieron que
las personas logran un promedio del 54 % de juicios correctos de mentira y verdad, clasificando
correctamente el 47 % de las mentiras como engañosas y el 61 % de las verdades como no engañosas.
Aunque no se encuentran relaciones entre el comportamiento y la mentira, o solo se encuentran débiles,
los mentirosos tienden a causar una impresión más negativa y son más tensos (DePaulo et al. 2003).
Investigación sobre divulgación en línea La
divulgación o autodivulgación es el proceso de comunicar información sobre uno mismo verbalmente a
otra persona (Cozby 1973). Además de tener una confianza relativamente alta, los humanos parecen tener
umbrales bajos para revelar información personal y lo hacen con relativa frecuencia. La mayoría de los
estudios sobre divulgación se encuentran en el contexto de la psicología y la salud mental. Estos estudios
mostraron que la autorrevelación tiene resultados positivos para la salud mental (Dindia 2002; Cozby 1973).
Sin embargo, además de tener resultados positivos, también se puede abusar de la información
personal (Acquisti et al. 2015). El resultado de una revisión de la literatura muestra que los usuarios son
"sensibles" a la configuración predeterminada; los usuarios tienden a mantener la configuración
preprogramada (Acquisti et al. 2015). Además, también se encontró que la percepción de tener control
sobre su información personal reduce las preocupaciones sobre la privacidad y aumenta la divulgación
(Acquisti et al. 2015). Los estudios muestran que estar activo en línea, por ejemplo en las redes sociales,
puede conducir a la victimización del acoso cibernético y el acoso cibernético.
Machine Translated by Google
14 J.W. Bullée y M. Junger
(Mishna et al. 2009; Wachs et al. 2015). Además, la pérdida de información de identificación
personal (PII) puede tener graves consecuencias tanto para las personas como para las
organizaciones. Las consecuencias individuales pueden incluir robo de identidad, vergüenza o
chantaje. Las consecuencias para una organización pueden incluir la pérdida de la confianza
pública, la responsabilidad legal o los costos de remediación (McCallister 2010). Se han realizado
investigaciones para investigar el grado en que los usuarios están preparados para divulgar
información personal en línea y el contexto en el que aumenta o disminuye la divulgación (para
una revisión, consulte Junger et al. 2017 ).
Juan et al. (2011) presentaron cuatro experimentos en los que midieron la revelación del
comportamiento desviado. En tres experimentos, los usuarios revelaron más información personal
en sitios web de aspecto no profesional en comparación con sitios web de aspecto profesional
(John et al. 2011, p. 868). En un cuarto experimento, en el que los usuarios tenían que pensar en
la privacidad, el efecto del contexto (es decir, el tipo de sitio web) estuvo ausente y todas las tasas
de divulgación fueron comparables entre los grupos.
Juan et al. (2011, p. 868) concluyó que sus resultados “contrastan con el considerable cuerpo
de investigación sobre privacidad que se basa en el supuesto de elección racional”. La elección
racional establece que las personas hacen concesiones entre la privacidad y otras preocupaciones,
lo que implica que la divulgación es el resultado de esta ponderación racional de costos y beneficios,
en la que los costos objetivos, como un sitio web de aspecto poco profesional, deberían evitar o al
menos disminuir la divulgación.
Un aspecto específico del contexto es la persona a quien se le revela la información.
Olson et al. (2005) afirmó que lo que importa no es tanto la naturaleza de la información revelada,
sino la persona a quien se revela la información. Cuando se confía en esa otra persona, los
usuarios revelan fácilmente (Joinson et al. 2010). Ningún otro estudio estudió este aspecto de la
divulgación de información.
Acquisti et al. (2015) concluyen que los niveles de divulgación son altamente maleables. Por
ejemplo, los usuarios son sensibles a la configuración predeterminada: tienden a ceñirse a la
configuración predeterminada preprogramada. Estos son fácilmente manipulables por el diseño
del sitio web; algunos sitios web frustran o confunden a los usuarios para que revelen información personal.
Además, la percepción de tener control sobre la información personal reduce las preocupaciones
sobre la privacidad y aumenta la divulgación (Acquisti et al. 2015).
Falta de conocimiento Los
usuarios tienen conocimientos insuficientes y carecen de estrategias para identificar vulnerabilidades
y estafas (Purkait 2012). No conocen los métodos que utilizan los atacantes para ejecutar sus
crímenes (Jansen y Leukfeldt 2015). En un estudio experimental de advertencias antes de
descargar un archivo pdf, muchos sujetos explicaron que confiaban en el programa antivirus o
pensaban que los archivos pdf siempre eran seguros (Krol et al. 2012).
Un experimento de Grazioli y Wang (2001) estudió los determinantes del éxito o el fracaso para
determinar si un sitio web era fraudulento o no. Llegaron a la conclusión de que todos los sujetos
eran igualmente buenos para inspeccionar el sitio web o para percibir señales de engaño. Sin
embargo, el fracaso se debió a que la generación de hipótesis, con base en las señales percibidas,
no puede evaluarse. Los autores concluyeron que “preparar a los sujetos para facilitar la generación
de hipótesis es inútil a menos que les proporcionemos el conocimiento adecuado para evaluar la
hipótesis preparada” (Grazioli y Wang 2001, p. 201). El
Machine Translated by Google
Ingeniería social 15
los autores piensan que esto es una buena noticia, en general, porque, cuando se les proporciona más
conocimiento, los usuarios deberían poder actuar de manera más inteligente. La conclusión de Acquisti et al. (2015)
es que muchos usuarios desconocían el hecho de que la información que les solicitan los investigadores podría ser
abusiva: “La gente a menudo desconoce la información que está compartiendo, no sabe cómo se puede usar. , e
incluso en las raras situaciones, cuando tienen pleno conocimiento de las consecuencias de compartir, sin estar
seguros de sus preferencias.” Debido a su falta de conocimiento, los usuarios siguen su opción “predeterminada”,
que es la confianza, la obediencia y la divulgación de información.
En la sección anterior se discutió la falta de conocimiento como una de las principales causas de victimización.
Un refinamiento de la falta de conocimiento es la falta de conocimiento de las consecuencias. Es posible que los
usuarios no comprendan la gravedad de las consecuencias si completan su información personal en un sitio web
falsificado (Purkait 2012; West 2008). Parece plausible que las víctimas no sean conscientes de las posibles
consecuencias de un esquema fraudulento. Sin embargo, no todos los investigadores encontraron que la falta de
conocimiento es una de las principales causas de victimización.
Un estudio que entrevistó a víctimas de estafas informó que las víctimas a menudo tienen un conocimiento
significativo sobre el tema del contenido de la estafa (Lea et al. 2009, p. 137). Por ejemplo, el conocimiento previo
de acciones y acciones puede aumentar la probabilidad de caer en una estafa de inversión. Alternativamente, las
personas que tienen experiencia en ganar un precio en loterías legítimas pueden ser más propensas a caer en una
estafa de lotería, en comparación con aquellas que no tienen tal experiencia (Lea et al. 2009, p. 137 ) . El proceso
cognitivo subyacente es el sesgo de exceso de confianza (consulte la sección "Sesgos cognitivos"). Otro hallazgo
en la literatura contra la idea de que las víctimas no son conscientes de las consecuencias proviene de la
investigación experimental. El entrenamiento que instala el miedo a las consecuencias no es ineficaz para prevenir
el phishing (Zielinska et al. 2014).
Jerarquía de objetivos: ¿los usuarios no están motivados?
La seguridad no suele ser la principal preocupación de los usuarios. Pueden preferir la comodidad o ser engañados
por motivos económicos u otros motivos humanos básicos (West 2008).
Forster et al. (2007) afirman, en línea con la Teoría del Sistema de Metas, que las metas se organizan en una red
jerárquica. Muchos autores han argumentado que, durante su trabajo, las advertencias de seguridad, por ejemplo,
interrumpen a los usuarios y, por lo tanto, se consideran una molestia, alejándolos de su objetivo principal, que es
hacer su trabajo (Krol et al. 2012) . Hallazgos similares fueron reportados por Krol et al. (2012), quienes encontraron
que las advertencias emergentes generalmente interrumpen a los usuarios en su tarea principal. Debido a su
naturaleza disruptiva, los usuarios tienden a omitirlos para continuar con su tarea principal.
Esto puede explicar por qué el cebado o las advertencias mostraron estos efectos variables en el comportamiento
de seguridad.
Junger et al. (2017) investigó la divulgación de datos bancarios a un entrevistador en un distrito comercial. Su
hallazgo fue que los participantes que se enfrentaron a una advertencia de "no compartir detalles bancarios con
nadie", revelaron por igual en comparación con aquellos que no recibieron dicha advertencia (Junger et al. 2017 ).
Entre otras cosas, la "jerarquía de objetivos" podría explicar sus hallazgos. La mente de los sujetos estaba en su
tarea principal (es decir, comprar) y completaron la segunda tarea (es decir, la encuesta) sin prestar demasiada
atención a las consideraciones de privacidad.
Machine Translated by Google
dieciséis
J.W. Bullée y M. Junger
Sesgos cognitivos Los
seres humanos utilizan heurísticas, o reglas empíricas, para tomar decisiones en situaciones relativamente
complejas (Benson 2016). Benson (2016) identificó cuatro tipos de situaciones en las que los humanos
tienden a usar heurísticas: (i) sobrecarga de información, (ii) falta de significado, (iii) la necesidad de
actuar rápido y (iv) cómo saber qué debe ser. recordado para más adelante.
(i) Sobrecarga de información. Demasiada información no ayuda a tomar decisiones. Por lo tanto, los
accesos directos ayudan a seleccionar los bits de información que probablemente serán útiles de
alguna manera. (ii) Falta de significado. El
mundo que nos rodea es confuso y, por lo tanto, debemos darle sentido y dirección. (iii) Necesidad de
actuar rápido. Los seres humanos están
limitados por el tiempo y la información, pero no podemos dejar que eso nos paralice. En consecuencia,
necesitamos atajos para tomar decisiones rápidamente.
(iv) ¿Qué debemos recordar? No todo es igual de importante. Los humanos necesitan hacer apuestas y
concesiones constantes sobre lo que tratamos de recordar y lo que olvidamos.
Para obtener más información sobre los sesgos cognitivos, consulte Hilbert (2012). Acquisti et al.
(2017) sugirieron siete tipos de sesgos relevantes para la divulgación en línea: anclaje, efectos de
encuadre, autocontrol, aversión a la pérdida, sesgo de optimismo, errores posteriores a la finalización y
sesgo de statu quo. A continuación, presentamos una breve descripción de los sesgos más relevantes
para la vulnerabilidad a la ingeniería social.
• El anclaje es la tendencia a depender en gran medida de una pieza (generalmente la primera) de
información (Acquisti et al. 2017). Las personas tienden a divulgar más información en las encuestas
que comienzan con preguntas intrusivas sobre privacidad, en comparación con los cuestionarios que
aumentan gradualmente la sensibilidad a la privacidad de las preguntas (Acquisti et al. 2017).
• Efectos de encuadre Las decisiones de las personas están influenciadas por la forma en que se
presenta la información (Acquisti et al. 2017). Se encontró que las recomendaciones de seguridad
cibernética de los encuestados a su mejor amigo estaban significativamente influenciadas por la
experiencia personal.
• Autocontrol En la economía del comportamiento, se dice que las personas descuentan el valor de la
recompensa posterior (Acquisti et al. 2017). Varios estudios encontraron un vínculo con la victimización
por delitos cibernéticos (Bossler y Holt 2010). •
Sesgo de optimismo Las personas creen que es menos probable que les sucedan eventos negativos a
ellos que a otros y que es más probable que les sucedan eventos positivos a ellos que a otros
(Weinstein 1980).
• La prueba social es nuestra tendencia a buscar en los demás pistas sobre qué usar y cómo comportarse
(Nolan et al. 2008). Un experimento de Facebook que mostró a las personas el número de sus amigos
que usaban funciones de seguridad llevó a que un 37 % más de espectadores exploraran las
funciones de seguridad promocionadas en comparación con la concienciación sobre problemas de
seguridad (Das et al. 2014 ).
Machine Translated by Google
Ingeniería social 17
• El exceso de confianza es la tendencia a sobrestimar el desempeño o el juicio y ocurre en tareas difíciles o
cuando es probable el fracaso (Moore y Schatz 2017). Un caso específico de exceso de confianza es la
ilusión de control; este es el caso cuando uno cree tener el control cuando en realidad no lo tiene (Langer
1975).
Estrategias del delincuente
Atacantes inteligentes
Stajano y Wilson (2011) presentaron los siete principios que utilizan los atacantes para victimizar a sus objetivos,
en función de su conocimiento del fraude. Derivan sus principios de un análisis del programa de televisión de la
BBC The Real Hustle. En este programa, se recrearon una variedad de estafas y “estafas breves” para advertir
al público y evitar que caigan en las mismas estafas (Stajano y Wilson 2011).
(i) El principio de distracción. Cuando los usuarios se distraen con lo que capta nuestro interés, los ingenieros
sociales se beneficiarán y muchos no se darán cuenta. (ii) Principio de Cumplimiento
Social. Las personas están entrenadas para no cuestionar la autoridad.
Los ingenieros sociales explotan esta tendencia “suspensión de la suspicacia” para hacernos hacer lo
que ellos quieren. El fraude de los directores ejecutivos se basa en gran medida en este principio (Stajano
y Wilson 2011, p. 72)
(iii) Principio de manada. Lo que hacen los demás puede influir fuertemente en el comportamiento (Gold stein
et al. 2008). El comportamiento de manada describe cómo los individuos de un grupo pueden colaborar
y hacer cosas que comprometen su seguridad (p. ej., consulte Junger et al. 2017).
(iv) Principio de Deshonestidad. La deshonestidad de los usuarios los hace vulnerables. estafadores
puede usar cualquier cosa ilegal.
(v) Principio de Bondad. Las personas son fundamentalmente agradables y dispuestas a ayudar a los demás.
Los ingenieros sociales se aprovechan descaradamente de ello. (vi)
Principio de necesidad y codicia. Nuestras necesidades y deseos nos hacen vulnerables. Una vez que los
ingenieros sociales saben lo que queremos, pueden manipularnos fácilmente.
(vii) Principio de Tiempo. Cuando están bajo presión de tiempo, las personas usan diferentes estrategias de
decisión, y los ingenieros sociales usan mucho este método, por ejemplo, en correos electrónicos de phishing.
Dificultad de la investigación en ingeniería social
Para comprender mejor la ingeniería social, se pueden utilizar diferentes metodologías de investigación. Esta
sección analiza tres métodos: (i) estudios de casos, (ii) entrevistas y encuestas, y (iii) experimentos. Para cada
método, se presentan las ventajas y desventajas.
Machine Translated by Google
18 J.W. Bullée y M. Junger
Estudios de caso
Los estudios de casos son informes sobre una sola instancia de un escenario y se utilizan a menudo
en los medios populares (p. ej., periódicos o redes sociales) para informar sobre ingeniería social.
Hay libros sobre ingeniería social que contienen muchos estudios de casos, por ejemplo (i) The Art
of Deception: Controlling the Human Element of Security (Mitnick y Simon 2002), (ii) Ghost in the
Wires: My Adventures as the World's Most Wanted Hacker (Mitnick et al. 2011), (iii) Hacking the
Human: Técnicas de ingeniería social y contramedidas de seguridad (Mann 2008), e (iv) Ingeniería
social: El arte de la piratería humana (Hadnagy y Wilson 2010).
Los delitos tradicionales se analizan desde la perspectiva tanto del delincuente como de la
víctima. En los delitos informáticos, es difícil encontrar al delincuente con fines de investigación,
especialmente cuando el objetivo no sabe que está siendo víctima (Bullée et al. 2017b). Los cuatro
libros mencionados anteriormente son, por lo tanto, particularmente interesantes ya que están
escritos por delincuentes que utilizan la ingeniería social. Los estudios de casos pueden utilizarse
en guiones delictivos para obtener una mejor comprensión de la ejecución de un delito y en
particular para el diseño de intervenciones específicas (Cornish 1994). Se ha demostrado el uso de
guiones delictivos para varios delitos: fabricación de drogas (Chiu et al. 2011), actividad de
desechos ilegales (Thompson y Chainey 2011), reventa de vehículos robados (Tremblay et al.
2001), delitos sexuales en serie (Beauregard et al. al. 2007), y también para la ingeniería social
(Bullée et al. 2017b).
Los estudios de casos dan una idea del delito y dónde aplicar las intervenciones.
Además, es un método útil para generar hipótesis y teorías, mientras que los estudios de casos
son menos útiles para probar hipótesis (Flyvbjerg 2006). Además, una desventaja es que los
estudios de casos a menudo carecen de rigor; en el pasado, los investigadores a menudo eran
descuidados e incluían puntos de vista sesgados para influir en los hallazgos y conclusiones (Yin
2009, p. 14). Finalmente, dado que los estudios de caso pueden ser complejos y extensos, a
menudo es difícil resumir correctamente un estudio de caso sin perder información valiosa (Flyvbjerg
2006).
En el contexto de la ingeniería social, una desventaja de esta metodología es que no proporciona
una idea del éxito ni de la prevalencia del delito. Una de las razones es que a menudo solo se
informan las historias de éxito. Además, estos estudios de casos individuales no constituyen una
muestra representativa de víctimas (Ross et al. 2014).
Aunque los estudios de casos pueden tener un gran valor, también se deben considerar los
aspectos negativos. En las próximas secciones se discutirá cómo los investigadores pueden
examinar la prevalencia o el éxito de la ingeniería social.
Encuestas (Entrevistas y Reportajes)
Las encuestas son un método conveniente para recopilar datos (Mathiyazhagan y Nandan 2010) y
obtener información sobre la ingeniería social y los delitos en general. En un tiempo relativamente
corto, se puede llegar a una gran audiencia por un costo razonablemente bajo (Jones et al. 2013).
Preguntar a las personas sobre experiencias pasadas contribuye a obtener información sobre la
prevalencia de un delito y preguntar a las personas cómo reaccionarían en un caso particular.
Machine Translated by Google
Ingeniería social 19
situación puede proporcionar información sobre el éxito de un delito. Sin embargo, preguntar a las
personas directamente sobre su experiencia producirá un resultado sesgado, ya que muchas encuestas
no controlan la oportunidad (es decir, la pregunta de si las personas recibieron un intento de fraude)
(Ross et al. 2014) . Es evidente que no estar expuesto a un intento delictivo nunca producirá una víctima;
sólo hay unas pocas encuestas que tienen esto en cuenta (p. ej., Titus et al. 1995). Otros factores que
se deben tener en cuenta al realizar una encuesta incluyen: (i) el encuestado podría no estar consciente
de haber sido víctima, (ii) recordó mal la cuenta, (iii) olvidó que sucedió, o (iv) se siente demasiado
avergonzado para informe (Ross et al. 2014). Finalmente, el sesgo de autoselección es una limitación a
tener en cuenta. En cualquier comunidad dada, algunas personas tienen más probabilidades que otras
de completar una encuesta o cuestionario (Stanton 1998; Wright 2005).
Preguntar a las personas cómo esperan que se comporten en un escenario específico puede aportar
información sobre la tasa de éxito de un delito. Tenga en cuenta que las personas tienden a proporcionar
respuestas socialmente deseables que pueden sesgar los resultados de la encuesta. A menudo, se
sobreestima el “buen comportamiento”, mientras que se subestima el “mal comportamiento” (Crowne y
Marlowe 1960). Este fenómeno también es conocido en la ciencia política y se refiere a la inconsistencia
en las encuestas de opinión de los votantes y los resultados de las elecciones (Payne 2010).
Esta discrepancia se investigó en el contexto del miedo a la delincuencia, utilizando el siguiente
diseño: en primer lugar, los investigadores preguntaron a los encuestados cómo reaccionaría el
participante si un extraño llamara a su puerta por la noche. En una etapa posterior, los investigadores
visitarían a sus encuestados en su casa, tocarían su puerta y observarían su comportamiento. El
resultado fue una diferencia estadísticamente significativa entre la reacción verbal esperada y su
reacción conductual (p = 0,001) (Van Dijk y Nijenhuis 1979).
Dos estudios de ingeniería social también utilizaron este enfoque. El primer estudio involucró
ingeniería social F2F social, y el objetivo era obtener las llaves de la oficina de los objetivos.
Se preguntó a los encuestados, según los pasos de un escenario, cómo reaccionarían. De los 31
encuestados, 1 (3,23%) esperaba cumplir con la solicitud del infractor. Los resultados del experimento
de campo mostraron que 68 (58,62%) de los 116 sujetos sí cumplieron con la solicitud del infractor
(Bullee 2017).
El segundo estudio se realizó por teléfono; el objetivo era hacer que las personas descargaran e
instalaran software de una fuente no confiable. En una encuesta, se preguntó a 49 encuestados cómo
pensaban que reaccionarían. El resultado fue que ninguno de ellos cumplió con la solicitud del infractor,
mientras que los resultados de la prueba de campo mostraron que 14 (40%) descargaron e instalaron el
software (Bullee 2017) .
Experimentos
Las limitaciones de la metodología de la encuesta se relacionan con la dificultad de las personas para
recordar el relato de un delito. Mediante el uso de experimentos, se puede observar el comportamiento
de los sujetos en un entorno controlado (Siedler y Sonnenberg 2010). Además, el experimentador a
menudo puede repetir el experimento hasta que se recopilen suficientes observaciones para responder
a la pregunta de investigación. Otra ventaja de los experimentos es
Machine Translated by Google
20 J.W. Bullée y M. Junger
la capacidad de manipular una o más variables. El investigador puede controlar con precisión la
manipulación de variables especificando las condiciones exactas del experimento (Christensen
2007). Sin embargo, realizar un experimento sobre ciberdelincuencia e ingeniería social requiere
una cuidadosa planificación y consideración, por ejemplo, cómo presentar el estudio a los sujetos.
Las personas que conocen el objetivo del experimento podrían estar sesgadas en su
comportamiento. Es poco probable que realicen el mismo comportamiento (p. ej., tengan niveles
similares de sospecha) fuera del experimento; esto podría influir en la validez ecológica del
estudio (Furnell 2007; Parsons et al. 2013).
No tanto como una desventaja como algo a tener en cuenta es el diseño de investigación de
un experimento. Cada diseño tiene amenazas asociadas internas (es decir, historia, maduración,
pruebas, instrumentación, regresión estadística, sesgos de selección, mortalidad experimental e
interacción selecciónmaduración) y externas (es decir, el efecto reactivo o de interacción de las
pruebas; los efectos de interacción de sesgos de selección con la variable experimental; efectos
reactivos de los arreglos experimentales; interferencia de tratamientos múltiples) validez
(Campbell y Stanley 1963). Debido al contexto y la puesta en práctica de un experimento de
ingeniería social, las opciones de diseños de investigación pueden reducirse.
Finalmente, dado que los experimentos de ingeniería social generalmente involucran humanos
(por ejemplo, empleados), se deben tener en cuenta consideraciones éticas (Belmont Report
1979). Particularmente desafiante es el uso del engaño (consulte la sección "Correo electrónico")
ya que entra en conflicto con los principios éticos (Código de Regulaciones Federales 2005).
Resumen
Este capítulo comenzó con el escenario de un viajero que fue engañado para que revelara la
información de su tarjeta de crédito. El delincuente utilizó la ingeniería social a través del teléfono,
una de las modalidades para realizar un ataque. Los experimentos de campo mostraron que el
uso de la ingeniería social como vector de ataque, según el contexto, genera muchas víctimas.
La victimización, desde el punto de vista de la víctima, es causada por tres factores: (i) las
personas tienen dificultad para detectar una mentira, (ii) las personas “sufren” sesgos cognitivos
(por ejemplo, asumir que toda comunicación es honesta), y (iii) una falta de conocimiento para
identificar estafas y prever consecuencias. Por otro lado, los delincuentes son conscientes de
estas debilidades y no temen utilizarlas en sus ataques. Los siete principios de ataque descritos
por Stajano y Wilson (2011) ilustran este punto.
Discutimos campañas que redujeron con éxito la victimización por ingeniería social. La
aplicación web interactiva y cómica PhishGuru NoPhish hizo que las personas fueran más
resistentes al phishing por correo electrónico. Para contrarrestar el ataque de reenvío de código
de verificación (VCFA) a través de mensajes de texto, un mensaje de advertencia en el mensaje
de verificación demostró una reducción sustancial en la victimización.
A pesar de los ejemplos de intervenciones exitosas, necesitamos más investigación sobre
cómo prevenir la ingeniería social y cuáles son los principios de las intervenciones exitosas.
Se han observado varios problemas en estudios anteriores. Aunque las intervenciones para
contrarrestar la ingeniería social pueden tener efectos significativos, el estudio de Bullée et al.
(2016) también encontraron un efecto de decaimiento de fuerza similar. Significa que con el tiempo, el
Machine Translated by Google
Ingeniería social 21
el conocimiento (o la habilidad para actuar sobre el conocimiento) se evapora al nivel del grupo de
control. Es nuestra opinión que este fenómeno requiere mayor investigación y es una sugerencia
para futuras investigaciones.
Tenemos tres sugerencias para futuras investigaciones. Primero, como se mencionó en el
párrafo anterior: "¿Cómo se pueden utilizar los 'refuerzos' para contrarrestar el efecto de deterioro?"
El efecto de la intervención sólo se presentó a corto plazo. Por lo tanto, un estudio de seguimiento
adecuado podría implicar el uso de intervenciones de refuerzo "rápidas" para contrarrestar el efecto
de descomposición. Esto ya se probó en el contexto de retención de habilidades de reanimación
cardiopulmonar (RCP) (Sutton et al. 2011).
En segundo lugar, en muchos casos, los estudios de campo se realizaron una sola vez. Todos
los experimentos fueron instantáneas de la organización. Los resultados dicen algo del estado de
cosas en un momento particular. Un trabajo futuro interesante podría ser hacer un estudio longitudinal
donde los sujetos sean evaluados varias veces. Sería particularmente interesante ver cómo ser
"victimizado" en una prueba de este tipo influye en el comportamiento en futuras pruebas. La
sugerencia implica un estudio longitudinal: “¿Cuáles son los efectos de los repetidos intentos de
victimización?” o "¿Cuál es el efecto de ser victimizado en el comportamiento en futuras pruebas?"
En tercer lugar, en el contexto del comportamiento de la seguridad de la información, se han
realizado investigaciones limitadas sobre las influencias culturales. La mayoría de los estudios se
han realizado en países occidentales, ocasionalmente en Asia, mientras que se ha pasado por alto
el resto del mundo. La investigación intercultural es relevante ya que es probable que la cultura
tenga una influencia directa (Crossler et al. 2013).
Referencias cruzadas
La piratería informática y la subcultura hacker
Violaciones de datos y GDPR
Hactivismo: conceptualización, técnicas y revisión histórica Evoluciones
históricas del delito cibernético: del delito informático al delito cibernético Robo de identidad:
naturaleza, alcance y respuesta global Crimen organizado y
delito cibernético Phishing y manipulación
financiera Estafas basadas en spam
Tecnología como medio
de rehabilitación: un impacto medible en la reducción
Delito
Uso, abuso de la tecnología y percepciones públicas del delito cibernético
La teoría general del delito La
psicología del delito cibernético
Referencias
Abraham, S. y ChengalurSmith, I. (2010). Una descripción general del malware de ingeniería social: tendencias,
tácticas e implicaciones. Tecnología en la sociedad, 32(3), 183–196.
Machine Translated by Google
22 J.W. Bullée y M. Junger
Acquisti, A., Brandimarte, L. y Loewenstein, G. (2015). Privacidad y comportamiento humano en la era de la información.
Ciencia, 347(6221), 509–514.
Acquisti, A., Adjerid, I., Balebako, R., Brandimarte, L., Cranor, LF, Komanduri, S., et al. (2017).
Empujones para la privacidad y la seguridad: comprender y ayudar a las elecciones de los usuarios en línea.
Encuestas informáticas de ACM, 50(3), 44:1–44:41.
Alnajim, A. y Munro, M. (2009). Un enfoque antiphishing que utiliza la intervención de entrenamiento para la detección
de sitios web de phishing. En ITNG 2009 – 6.ª conferencia internacional sobre tecnología de la información:
Nuevas generaciones IEEE Computer Society Washington, DC, EE. UU. (págs. 405–410).
Arturo, C. (2010). Estafa telefónica de virus que se ejecuta desde centros de llamadas en India. [Artículo de periódico].
Obtenido de http://www.theguardian.com/world/2010/jul/18/phonescamindiacallcentres.
Baumgartner, SE, Valkenburg, PM y Peter, J. (2010). Solicitación sexual en línea no deseada y comportamiento sexual
de riesgo en línea a lo largo de la vida. Revista de Psicología del Desarrollo Aplicada, 31(6), 439–447.
Beauregard, E., Proulx, J., Rossmo, K., Leclerc, B. y Allaire, J.F. (2007). Análisis de guión del proceso de caza de
delincuentes sexuales seriales. Justicia penal y comportamiento, 34(8), 1069–1084.
Informe Belmont. (1979). El informe Belmont: Principios éticos y directrices para la protección de
sujetos humanos de investigación. La Comisión. Washington DC)
Benenson, Z., Gassmann, F., Landwirth, R. (2017). Desempaquetando la susceptibilidad al phishing selectivo. En
Lecture Notes in Computer Science (incluidas las subseries Lecture Notes in Artificial Intelligence y Lecture Notes
in Bioinformatics), 10323 LNCS Springer, Cham (págs. 610–627).
Benson, B. (2016). Hoja de trucos de sesgo cognitivo. Recuperado el 23sep2018, de https://betterhumans.
coach.me/cognitivebiascheatsheet55a472476b18
Bond, CF y DePaulo, BM (2006). Precisión de los juicios de engaño. Personalidad y Social
Revisión de psicología, 10(3), 214–234.
Bossler, AM y Holt, TJ (2010). El efecto del autocontrol sobre la victimización en el cibermundo.
Revista de Justicia Criminal, 38(3), 227–236.
Bosworth, S., Kabay, M. y Whyne, E. (2014). Manual de seguridad informática (6ª ed.). Nueva York:
Wiley.
Bullee, JH (2017). Ingeniería social experimental. Tesis doctoral inédita,
Universidad de Twente, Países Bajos.
Bullée, JH y Junger, M. (2019). ¿Las intervenciones contra la ingeniería social son efectivas, no efectivas o tienen
efectos adversos? Un metanálisis de 27 estudios. (Manuscrito en preparación).
Bullée, JH, Montoya, L., Pieters, W., Junger, M. y Hartel, PH (2015). El experimento de persuasión y conciencia de
seguridad: Reduciendo el éxito de los ataques de ingeniería social. Revista de Criminología Experimental, 11(1),
97–115.
Bullée, JH, Montoya, L., Junger, M. y Hartel, PH (2016). Ataques de ingeniería social por teléfono: un experimento que
prueba el éxito y el declive temporal de una intervención. En A. Mathur y A.
Roychoudhury (Eds.), Actas de la conferencia inaugural de investigación y desarrollo en seguridad cibernética de
Singapur (sgcrc 2016), Singapur, Singapur (Vol. 14, págs. 107–114). Ámsterdam: IOS Press.
Bullée, JH, Montoya, L., Junger, M. y Hartel, PH (2017a). Spear phishing en las organizaciones
explicado. Seguridad informática y de la información, 25(5), 593–613.
Bullée, JH, Montoya, L., Pieters, W., Junger, M., Hartel, PH (2017b). Sobre la anatomía de los ataques de ingeniería
social: una disección basada en la literatura de ataques exitosos. Revista de Psicología de Investigación y Perfiles
de Delincuentes, 15(1), 1–26.
Burgoon, JK (2018). Las microexpresiones no son la mejor manera de atrapar a un mentiroso. Fronteras en
Psicología, 9, 1–5.
Burgoon, JK y Levine, TR (2010). Avances en la detección de engaños. En Nuevas direcciones en
investigación en comunicación interpersonal (págs. 201–220). Publicaciones SAGE.
Campbell, DT y Stanley, JC (1963). Diseños experimentales y cuasiexperimentales para la investigación. Boston:
Compañía Houghton Mifflin.
Caputo, D., Pfleeger, S., Freeman, J. y Johnson, M. (2014). Ir al spear phishing: Explorando
formación y sensibilización integradas. Seguridad y privacidad de IEEE, 12(1), 28–38.
Machine Translated by Google
Ingeniería social 23
Carella, A., Kotsoev, M., Truta, T. (2018). Impacto de la capacitación en concientización sobre seguridad en clics de phishing
a través de tarifas (vol. 2018enero, págs. 4458–4466).
Castillo, S. (2007). Ladrón corteja al personal del banco con chocolates y luego roba diamantes por valor de 14 millones de libras esterlinas.
Consultado el 6 de agosto de 2018, de https://www.independent.co.uk/news/world/europe/thiefwoos bankstaffwith
chocolatesthenstealsdiamondsworth16314m5332414.html
Chan, M., Woon, I. y Kankanhalli, A. (2005). Percepciones de la seguridad de la información en el lugar de trabajo: Vincular
el clima de seguridad de la información con el comportamiento de cumplimiento. Revista de privacidad y seguridad de la
información, 1(3), 18–41.
Chiu, Y.N., Leclerc, B. y Townsley, M. (2011). Análisis del guión delictivo de la fabricación de drogas en laboratorios
clandestinos: Implicaciones para la prevención. Revista británica de criminología, 51(2), 355–374.
Christensen, L. (2007). Metodología experimental. Boston: Pearson/Allyn & Bacon.
Código de Regulaciones Federales. (2005). Título 45: Bienestar público, Departamento de Salud y Servicios Humanos, parte
46: Protección de sujetos humanos. Imprenta del Gobierno de los Estados Unidos. Washington DC)
Cornualles, DB (1994). El análisis procesal del delito y su relevancia para la situación
prevención. Estudios de prevención del delito, 3, 151–196.
Cozby, PC (1973). Autorrevelación: una revisión de la literatura. Boletín Psicológico, 79(2), 73–91.
Crossler, RE, Johnston, AC, Lowry, PB, Hu, Q., et al. (2013). Direcciones futuras para el comportamiento
investigación en seguridad de la información. Informática y Seguridad, 32, 90–101.
Crowne, DP y Marlowe, D. (1960). Una nueva escala de deseabilidad social independiente de la psico
patología. Revista de Psicología Consultiva, 24(4), 349.
Das, S., Kramer, AD, Dabbish, LA y Hong, JI (2014). Aumentar la sensibilidad a la seguridad con pruebas sociales. En Actas
de la conferencia ACM SIGSAC de 2014 sobre seguridad informática y de las comunicaciones: CCS '14. Prensa ACM.
DePaulo, BM, Lindsay, JJ, Malone, BE, Muhlenbruck, L., Charlton, K. y Cooper, H. (2003).
Claves para el engaño. Boletín Psicológico, 129(1), 74–118.
Dindia, K. (2002). Investigación de autorrevelación: conocimiento a través del metanálisis. Mahwah: Ley
rence Erlbaum Associates Publishers.
Dohmen, T., Falk, A., Huffman, D. y Sunde, U. (2011). La transmisión intergeneracional de las actitudes de riesgo y confianza.
The Review of Economic Studies, 79(2), 645–677.
Ekman, P. (2001). Decir mentiras: pistas sobre el engaño en el mercado, la política y el matrimonio. Nueva York: WW Norton.
Evans, JR, Michael, SW, Meissner, CA y Brandon, SE (2013). Validación de un nuevo método de evaluación para la detección
de engaños: Introducción de una herramienta de evaluación de la credibilidad basada en la psicología.
Revista de Investigación Aplicada en Memoria y Cognición, 2(1), 33–41.
Flores, W., Holm, H., Nohlberg, M. y Ekstedt, M. (2015). Investigar los determinantes personales del phishing y el efecto de la
cultura nacional. Seguridad informática y de la información, 23(2), 178–199.
Flyvbjerg, B. (2006). Cinco malentendidos sobre la investigación de estudios de casos. Investigación Cualitativa, 12(2),
219–245.
Förster, J., Liberman, N. y Friedman, RS (2007). Siete principios de la activación de objetivos: un enfoque sistemático para
distinguir el cebado de objetivos del cebado de construcciones sin objetivos.
Revista de personalidad y psicología social, 11(3), 211–233.
Fraudhelpdesk.nl. (2018a). Daño significativo fraude whatsapp. Recuperado el 4 de abril de 2019, de https://
www.fraudehelpdesk.nl/aanzienlijkeschadewhatsappfraude/
Fraudehelpdesk.nl. (2018b). Forse toename whatsappfraude. Recuperado el 4 de octubre de 2018, de https://
www.fraudehelpdesk.nl/nieuws/forsetoenamewhatsappfraude/ Furnell, S. (2007).
Phishing: ¿Podemos detectar las señales? Fraude informático y seguridad, 2007(3), 10–15.
Goel, S., Williams, K. y Dincelli, E. (2017). ¿Tienes phishing? Seguridad en Internet y vulnerabilidad humana
habilidad Revista de la Asociación de Sistemas de Información, 18(1), 22–44.
Goldstein, HJ, Martin, S. y Cialdini, RB (2008). ¡Sí! 50 maneras científicas de ser persuasivo.
Nueva York: Simon & Schuster.
Machine Translated by Google
24 J.W. Bullée y M. Junger
Gotts, J. (2011). Hacker por diversión: Las aventuras de Kevin Mitnick. Recuperado el 24 de septiembre de 2018, de
https://bigthink.com/thinktank/hackerforthehellofittheadventuresofkevinmitnick
Graves, R. (1992). Los mitos griegos. Libros de pingüinos. Londres
Grazioli, S. y Wang, A. (2001). Mirar sin ver: comprender el éxito y el fracaso de los consumidores poco sofisticados
para detectar el engaño en Internet. En procedimientos ICIS 2001 (Vol. 23). https://aisel.aisnet.org/icis2001/23.
Hadnagy, C. y Wilson, P. (2010). Ingeniería social: el arte de la piratería humana. Nueva York: Wiley.
Halevi, T., Lewis, J. y Memon, N. (2013). Un estudio piloto sobre el comportamiento y los rasgos de personalidad
relacionados con la seguridad cibernética y la privacidad. En Actas de la 22.ª conferencia internacional sobre la
red mundial (págs. 737–744). Nueva York: ACM.
Hancock, JT y Gonzáles, A. (2013). El engaño en la comunicación mediada por ordenador.
En Pragmática de la comunicación mediada por ordenador. De Gruyter. Berlina
Happ, C., Melzer, A. y Steffgen, G. (2016). Truco con trato: la reciprocidad aumenta la disposición a comunicar datos
personales. Computadoras en el comportamiento humano, 61, 372–377.
Hauch, V., BlandónGitlin, I., Masip, J., & Sporer, SL (2014). ¿Son las computadoras detectores de mentiras efectivos?
Un metanálisis de las claves lingüísticas del engaño. Revista de personalidad y psicología social, 19(4), 307–342.
Hilbert, M. (2012). Hacia una síntesis de sesgos cognitivos: cómo el procesamiento de información ruidoso puede
sesgar la toma de decisiones humanas. Boletín Psicológico, 138(2), 211–237.
Hirschi, T. y Gottfredson, M. (1983). La edad y la explicación del delito. Revista estadounidense de sociología, 89 (3),
552–584.
Holm, H., Flores, W., Ericsson, G. (2013). Ciberseguridad para una red inteligente: ¿qué pasa con el phishing?
Centro de Quejas de Internet (IC3). (2018a). Informe de delitos en Internet de 2017. Recuperado el 23 de septiembre
de 2018, de https://pdf.ic3.gov/2017_IC3Report.pdf
Centro de quejas de Internet (IC3). (2018b). Esquemas de delincuencia en Internet. Recuperado el 23sep2018, de
https://www.ic3.gov/crimeschemes.aspx#item1
Base de datos de películas de Internet. (2002). Atrápame si puedes. Recuperado el 26sep2018, de https://www.
imdb.com/title/tt0264464/
Jagatic, TN, Johnson, NA, Jakobsson, M. y Menczer, F. (2007). Suplantación de identidad social. comun
ciones de la ACM, 50(10), 94–100.
Jakobsson, M. (2018). Autenticación de dos factores: el aumento de los ataques de phishing por SMS. Computadora
Fraude y seguridad, 2018(6), 6–8.
Jansen, J. y Leukfeldt, R. (2015). Cómo las personas ayudan a los estafadores a robar su dinero: un análisis de 600
casos de fraude bancario en línea. En 2015 taller sobre aspectos sociotécnicos en seguridad y confianza.
IEEE.
Jansson, K. y von Solms, R. (2013). Phishing para conciencia de phishing. Comportamiento y tecnología de la
información, 32(6), 584–593.
Jensen, M., Dinger, M., Wright, R. y Thatcher, J. (2017). Formación para mitigar ataques de phishing utilizando
técnicas de mindfulness. Revista de sistemas de información de gestión, 34(2), 597–626.
John, LK, Acquisti, A. y Loewenstein, G. (2011). Extraños en un avión: Disposición dependiente del contexto para
divulgar información sensible. Revista de Investigación del Consumidor, 37(5), 858–873.
Joinson, A., Reips, UDD., Buchanan, T. y Schofield, CBP (2010). Privacidad, confianza y autorrevelación en línea.
Interacción humanocomputadora, 25(1), 1–24.
Jones, TL, Baxter, MAJ y Khanduja, V. (2013). Una guía rápida para la investigación de encuestas. Anales de
el Real Colegio de Cirujanos de Inglaterra, 95(1), 5–7.
Junger, M., Montoya, L. y Overink, F.J. (2017). El cebado y las advertencias no son efectivos para prevenir ataques
de ingeniería social. Computadoras en el comportamiento humano, 66, 75–87.
Keila, PS y Skillicorn, D. (2005). Detección de comunicaciones inusuales y engañosas en el correo electrónico.
En la conferencia sobre Centros de estudios avanzados, Queen's University Press, Ontario (págs. 17–20).
Rey, R. (2011). La brecha de seguridad rsa de Emc puede costar a los clientes bancarios $100 millones. Recuperado
el 5 de agosto de 2016, de http://www.bloomberg.com/news/articles/20110608/emcsrsasecuritybreatmay
costbankcustomers100million
Machine Translated by Google
Ingeniería social 25
Kosfeld M, Heinrichs M, Zak PJ, Fischbacher U y Fehr E (2005). La oxitocina aumenta la confianza en los humanos.
Naturaleza, 435(7042), 673676.
Krol, K., Moroz, M. y Sasse, MA (2012). no trabajes ¿No puedes trabajar? Por qué es hora de repensar las
advertencias de seguridad. En 2012 7ª conferencia internacional sobre riesgos y seguridad de internet y
sistemas (CRiSIS). IEEE.
Kumaraguru, P., Rhee, Y., Acquisti, A., Cranor, L., Hong, J. y Nunge, E. (2007a). Proteger a las personas del
phishing: el diseño y la evaluación de un sistema de correo electrónico de capacitación integrado. En
Conferencia sobre factores humanos en sistemas informáticos: procedimientos ACM Nueva York, NY, EE.
UU. (págs. 905–914).
Kumaraguru, P., Rhee, Y., Sheng, S., Hasan, S., Acquisti, A., Cranor, L., et al. (2007b). Conseguir que los usuarios
presten atención a la educación antiphishing: Evaluación de retención y transferencia. Serie de Actas de la
Conferencia Internacional ACM, 269, 70–81.
Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, LF y Hong, J. (2008). Lecciones de una evaluación del mundo
real de la capacitación antiphishing. En la cumbre de investigadores de Ecrime, 2008 IEEE, Nueva York, NY,
EE. UU. (págs. 1 a 12).
Kumaraguru, P., Cranshaw, J., Acquisti, A., Cranor, L., Hong, J. y Blair, M., et al. (2009). Escuela de phishing: una
evaluación del mundo real de la formación antiphishing. En SOUPS 2009: actas del quinto simposio sobre
privacidad y seguridad utilizables. ACM. Nueva York, Nueva York, EE. UU.
Kunz A, Volkamer M, Stockhardt S, Palberg S, Lottermann T y Piegert E (2016). Nophish: Evaluación de una
aplicación web que enseña a las personas a ser conscientes de los ataques de phishing. En la reunión anual
de Gi. “Sociedad de Informática eV”, Bonn, Alemania.
Langer, EJ (1975). La ilusión del control. Revista de Personalidad y Psicología Social, 32(2),
311.
Lastdrager, EE (2014). Lograr una definición consensuada de phishing basada en un
revisión de la literatura. Ciencia del crimen, 3(1), 1–10.
Lastdrager, EE, Carvajal Gallardo, I., Hartel, P., & Junger, M. (2017). ¿Qué tan efectivo es el entrenamiento anti
phishing para niños? En Decimotercer simposio sobre privacidad y seguridad usable (sopas 2017). Santa
Clara: Asociación USENIX.
Lea, S., Fischer, P. y Evans, K. (2009). La psicología de las estafas: Provocar y cometer errores de juicio:
Preparado para el oficio de comercio justo. (Representante técnico). Escuela de la Universidad de Exeter
Universidad de Exeter, Escuela de Psicología. Éxeter
Majid, A. (2018). Me sentí tan estúpido. Un botón y todo se había ido. Recuperado el 4 de octubre de 2018, de
https://www.volkskrant.nl/nieuwsBACKGROUND/ikvoeldemezodomeenknopenalleswasweg
~bbadb2d6/ Mann, yo
(2008). Hackear al humano: técnicas de ingeniería social y contramedidas de seguridad.
Aldershot: Gower.
Massie, DL, Campbell, KL y Williams, AF (1995). Tasas de implicación en accidentes de tráfico por edad y sexo
del conductor. Análisis y prevención de accidentes, 27(1), 73–87.
Mathiyazhagan, T. y Nandan, D. (2010). Método de investigación por encuesta. Media Mimansa, 4(1), 34–45.
McCallister, E. (2010). Guía para proteger la confidencialidad de la información de identificación personal. Editorial
Diana. Collingdale, PA McGoogan, C. (2016).
Usuarios de Whatsapp atacados con la estafa de Sainsbury's de £ 100: cómo protegerse. Recuperado el 22 de
noviembre de 2016, de http://www.telegraph.co.uk/technology/2016/10/25/whatsappuserstargetedwith100
sainsburysscam%2D%2Dhowto proteger/
Mishna, F., McLuckie, A. y Saini, M. (2009). Peligros del mundo real en una realidad en línea: un estudio cualitativo
que examina las relaciones en línea y el abuso cibernético. Investigación de Trabajo Social, 33(2), 107–118.
Mitnick, K. y Simon, W. (2002). El arte del engaño: controlar el elemento humano de la seguridad.
Nueva York: Wiley.
Mitnick, K., Simon, W. y Wozniak, S. (2011). Fantasma en los cables: Mis aventuras como el hacker más buscado
del mundo. Nueva York: Little, Brown.
Machine Translated by Google
26 J.W. Bullée y M. Junger
Moody, G., Galletta, D. y Dunn, B. (2017). Qué phishing se detecta un estudio exploratorio de la susceptibilidad de las
personas al phishing. Revista Europea de Sistemas de Información, 26(6),
564–584.
Moore, DA y Schatz, D. (2017). Las tres caras del exceso de confianza. Sociales y Personalidad
Brújula de psicología, 11(8), e12331.
Morgan, TJH y Laland, KN (2012). Las bases biológicas del conformismo. Fronteras en Neurociencia, 6, 87.
Nolan, JM, Schultz, PW, Cialdini, RB, Goldstein, NJ y Griskevicius, V. (2008). La influencia social normativa no se detecta.
Boletín de Personalidad y Psicología Social, 34(7), 913–923.
Oliveira, D., Rocha, H., Yang, H., Ellis, D., Dommaraju, S., & Muradoglu, M., et al. (2017).
Disección de correos electrónicos de phishing selectivo para adultos mayores y adultos jóvenes: sobre la interacción
de las armas de influencia y los dominios de la vida en la predicción de la susceptibilidad al phishing. En Actas de la
conferencia chi de 2017 sobre factores humanos en sistemas informáticos (págs. 6412–6424). Nueva York: ACM.
Olson, JS, Grudin, J. y Horvitz, E. (2005). Un estudio de preferencias para compartir y privacidad. En CHI '05 resúmenes
extendidos sobre factores humanos en sistemas informáticos CHI '05. Prensa ACM.
Pars, C. (2017). Phree of phish: el efecto de la capacitación antiphishing en la capacidad de los usuarios para identificar
correos electrónicos de phishing. (Tesis de Maestría inédita).
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2013). en l
J. Janczewski, HB Wolfe y S. Shenoi (Eds.), Protección de la seguridad y la privacidad en los sistemas de
procesamiento de información: 28.ª conferencia internacional ifip tc 11, sección 2013, Auckland, Nueva Zelanda, 8 al
10 de julio de 2013. Actas (págs. 366–378). Berlín/Heidelberg: Springer.
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2015). El diseño de estudios de phishing: Desafíos
para los investigadores. Informática y Seguridad, 52, 194–206.
Payne, JG (2010). El efecto Bradley: realidad mediatizada de raza y política en las elecciones presidenciales de 2008 en
Estados Unidos. Científico estadounidense del comportamiento, 54(4), 417–435.
Pfeffer, J. (1985). Demografía organizacional: implicaciones para la gestión. California Management Review, 28(1), 67–
81.
Purkait, S. (2012). Medidas contra el phishing y su efectividad: revisión de la literatura. información
Gestión de la información y seguridad informática, 20(5), 382–420.
Radar. (2019). Fikse toename van oplichting a través de whatsapp. Recuperado el 4 de abril de 2019, de https://
radar.avrotros.nl/uitzendingen/gemist/item/fiksetoenamevanoplichtingviawhatsapp/ Ramzan, Z. (2010). Ataques
de phishing y contramedidas. En P. Stavroulakis & M. Stamp (Eds.), Manual de seguridad de la información y las
comunicaciones (págs. 433–448). Berlín/Heidelberg: Springer.
Reyna, VF y Farley, F. (2006). Riesgo y racionalidad en la toma de decisiones de los adolescentes: implicaciones para la
teoría, la práctica y las políticas públicas. Ciencia psicológica en el interés público, 7(1), 1–44.
Richmond, R. (2011). El truco de rsa: cómo lo hicieron. Recuperado el 06mrt2019, de https://bits. blogs.nytimes.com/
2011/04/02/thersahackhowtheydidit/ Ross, M., Grossmann, I. y Schryer,
E. (2014). Contrariamente a la opinión psicológica y popular, no hay pruebas convincentes de que los adultos mayores
sean víctimas desproporcionadamente del fraude al consumidor. Perspectivas sobre la ciencia psicológica, 9(4), 427–
442.
Rouse, M. (2006). Definición ingeniería social. objetivo tecnológico. Recuperado el 23 de octubre de 2013, de http://
www.searchsecurity.techtarget.com/definition/socialengineering Rousseau, DM, Sitkin,
SB, Burt, RS y Camerer, C. (1998). No tan diferente después de todo: una cruz
visión disciplinar de la confianza. Academy of Management Review, 23(3), 393–404.
Sartori, G., Zangrossi, A., Monaro, M. (2018). Detección de engaños con métodos conductuales.
En Detectar información oculta y engaño (págs. 215–241). Elsevier.
Salvaje, M. (2012). La brecha de rsa: un año después. Recuperado el 04sep2016, de http://buscar
security.techtarget.com/magazineContent/TheRSAbreachOneyearlater
Schneier, B. (2000a). Cryptogram, 15 de octubre de 2000. Recuperado el 10 de octubre de 2018, de https://www.
schneier.com/cryptogram/archives/2000/1015.html
Schneier, B. (2000b). Secretos y mentiras: seguridad digital en un mundo en red (1ª ed.). Nueva York:
Wiley.
Machine Translated by Google
Ingeniería social 27
Sheng, S., Holbrook, M., Kumaraguru, P., Cranor, LF y Downs, J. (2010). ¿Quién cae en el phishing?: Un análisis
demográfico de la susceptibilidad al phishing y la efectividad de las intervenciones.
En Actas de la conferencia sigchi sobre factores humanos en sistemas informáticos (págs.
373–382). Nueva York: ACM.
Siadati, H., Nguyen, T., Gupta, P., Jakobsson, M. y Memon, N. (2017). Cuide sus SMS: Mitigación de la ingeniería social
en la autenticación de segundo factor. Informática y seguridad, 65, 14–28.
Siedler, T. y Sonnenberg, B. (2010). Experimentos, encuestas y el uso de muestras representativas como datos de
referencia. (Rep. Técnica No. 146). Consejo Alemán de Datos Sociales y Económicos (RatSWD). Berlina
Solon, O. (2017). Frank Abagnale sobre la muerte del estafador y el auge de la ciberdelincuencia.
Recuperado el 26 de septiembre de 2018, de https://www.wired.co.uk/article/frankabagnale
Stajano, F. y Wilson, P. (2011). Comprender a las víctimas de estafas: Siete principios para los sistemas
seguridad. Comunicaciones de la ACM, 54(3), 70–75.
Stanton, JM (1998). Una evaluación empírica de la recopilación de datos utilizando Internet. Psicología del personal,
51(3), 709–725.
Steinberg, L. (2007). Toma de riesgos en la adolescencia: Nuevas perspectivas desde el cerebro y el comportamiento
ciencia. Direcciones actuales en ciencia psicológica, 16 (2), 55–59.
Sutton, RM, Niles, D., Meaney, PA, Aplenc, R., French, B., Abella, BS, et al. (2011). El entrenamiento en RCP de baja
dosis y alta frecuencia mejora la retención de habilidades de los proveedores de pediatría en el hospital.
Pediatría, 128(1), e145–e151.
La Oficina Federal de Investigaciones. (2015). Compromiso de correo electrónico comercial. Consultado el 04ago2016,
de https://www.ic3.gov/media/2015/1508271.aspx
El Instituto SANS. (2012). Boletín de ciberseguridad (ingeniería social – hackeando tu mente).
Recuperado el 23ago2016, de https://www.uab.edu/it/home/images/Module02SocialEngineeri ngNewsletter.pdf
Thompson, L. y Chainey, S. (2011). Perfilando la actividad de desechos ilegales: uso de guiones delictivos como
estrategia analítica y de recopilación de datos. Revista europea sobre política criminal e investigación, 17(3),
179–201.
Tito, RM, Heinzelmann, F. y Boyle, JM (1995). Victimización de personas por fraude. Crimen y Delincuencia, 41(1), 54–
72.
Tremblay, P., Talon, B. y Hurley, D. (2001). Cambio de carrocería y adaptaciones relacionadas en la reventa de vehículos
robados. Elaboración de guiones y curvas de aprendizaje de delitos agregados. Revista británica de criminología,
41(4), 561–579. van der Meer, J.
(2017). ¿Qué es precies de zwakste schakel? Trabajo de fin de máster inédito, Erasmus
Universidad.
Van Dijk, J. y Nijenhuis, N. (1979). Di que sí, ¿no? un estudio de la correspondencia entre las actitudes verbales y el
comportamiento real en la ansiedad por el crimen. Revista de Criminología, 21(6), 257–273.
Verschuere, B., Köbis, NC, BerebyMeyer, Y., Rand, D. y Shalvi, S. (2018). ¿Exigir el cerebro para descubrir mentiras?
Metanálisis del efecto de imponer una carga cognitiva sobre los costos de tiempo de reacción de mentir. Revista de
Investigación Aplicada en Memoria y Cognición, 7(3), 462–469.
Vrij, A., Fisher, RP y Blank, H. (2015). Un enfoque cognitivo para la detección de mentiras: un metanálisis.
Psicología jurídica y criminológica, 22(1), 1–21.
Wachs, S., Junger, M. y Sittichai, R. (2015). Roles de acoso tradicional, cibernético y combinado:
Diferencias en actividades riesgosas en línea y fuera de línea. Sociedades, 5(1), 109–135.
Weinstein, ND (1980). Optimismo poco realista sobre los eventos futuros de la vida. Revista de personalidad y
Psicología Social, 39(5), 806–820.
Oeste, R. (2008). La psicología de la seguridad. Comunicaciones de la ACM, 51(4), 34–40.
Wright, KB (2005). Investigación de poblaciones basadas en Internet: ventajas y desventajas de la investigación de
encuestas en línea, paquetes de software de creación de cuestionarios en línea y servicios de encuestas web.
Revista de comunicación mediada por computadora, 10(3), 00–00.
Machine Translated by Google
28 J.W. Bullée y M. Junger
Wright, R., Jensen, M., Thatcher, J., Dinger, M. y Marett, K. (2014). Técnicas de influencia en los ataques de
phishing: un examen de la vulnerabilidad y la resistencia. Investigación de sistemas de información, 25(2),
385–400.
Wu, Z., Singh, B., Davis, LS y Subrahmanian, VS (2017). Detección de engaños en videos. arxiv:1712.04415v1.
Obtenido de http://arxiv.org/abs/1712.04415v1 Yin, R. (2009). Investigación de
estudio de caso: diseño y métodos. Thousand Oaks: SALVIA.
Zielinska, OA, Tembe, R., Hong, KW, Ge, X., MurphyHill, E. y Mayhorn, CB (2014). Un phishing, dos phishing,
cómo evitar el phishing de internet: Análisis de estrategias de entrenamiento para detectar correos
electrónicos de phishing. Actas de la Reunión Anual de la Sociedad de Ergonomía y Factores Humanos,
58(1), 1466–1470.
Ver estadísticas de publicación