Ingeniería social, principal protagonista en fraude de suplantación de identidad en

plataformas Web.

Stefhany Galindo Suárez

ORCID 0000-0001-6363-0569
Universidad Externado de Colombia

Resumen
En la actualidad el uso de las TICS son un referente de desarrollo y credibilidad en las
organizaciones. por lo cual los servicios habituales de diferentes indoles son usados por medio de
plataformas Web. De esta manera nacen las diferentes vulnerabilidades de las organizaciones y
miles de oportunidades para el perpetrador, haciendo uso de una de sus múltiples estrategias para
llevar a cabo el delito, sin importar su tamaño, el sector económico y ubicación geográfica. en
este escrito se abordará concretamente sobre la ingeniería social como vehículo para la
suplantación de identidad, tomando como referencia casos muy sonados alrededor del mundo
como son, el robo de información en plataformas web de PlayStation, Alibaba y Adult Friend
Finder. uno de estos casos en menos de 18 meses ha sido víctima de dos ciberataques, otro caso
fue ejecutado por un funcionario de la compañía, y, por último, una de estas no confirmo quien
había violado su seguridad informática. dejando ver que a la fecha ninguna compañía esta
preparada para afrontar este tipo de ciberataques.
Palabras claves: Ingeniería social, protección de datos, suplantación de identidad,
sistemas informáticos, políticas de seguridad.
Clasificación JEL: K15, L86, M15, M48, O38

*Contadora publica
L

os delitos informáticos cada vez son mas comunes dentro de las organizaciones, y esto se
debe a que estas se enfocan a no incurrir directamente en una violación de la ley, y a la
funcionalidad de su servicio, que a enfocarse al cuidado de un activo tan importante como son las
bases de datos de contenido de identificaciones personales sensibles que son llamativos para los
perpetradores. la falta de controles, políticas de seguridad y cultura en la protección de datos
dentro de las organizaciones, las vuelve vulnerables y fáciles de atacar. ya que estos delincuentes
todo el tiempo están revisando o planeando su ataque, al encontrar la ecuación perfecta Poca
seguridad + bases de datos sensibles = es un ataque certero. quizás algunas organizaciones no
tengan dentro de sus planes u objetivos implementar y ser certificados en normas como ISO/IEC
27001 o ISO/IEC 27701, que son normas creadas para la protección de datos exclusivamente de
sistemas informáticos, pero sí podrían adoptar algunos procesos como medida preventiva, y sobre
todo como cultura organizacional en la protección de datos, ya que al no tener políticas de
seguridad adecuadas se está exponiendo claramente a delitos como: Robo o secuestro de
información, suplantación de identidad, Fishing, entre otros; en este documento se hablara del
fraude por suplantación de identidad, que básicamente es hacerse pasar por otra persona para
cometer fraudes económicos o extraer información sin autorización con fines ilícitos. (Incibe -
Instituto Nacional de Ciberseguridad, 2021)
“La ingeniería social, a veces llamada “la ciencia y arte de hackear a seres humanos”, ha
aumentado su popularidad en los últimos años gracias dado el crecimiento de las redes sociales,
los correos electrónicos y otras formas de comunicación online. En el sector de la seguridad IT,
este término se utiliza para hacer referencia a una serie de técnicas que usan los criminales para
obtener información sensible de sus víctimas o para convencerlos de realizar algún tipo de acción
que comprometa su sistema., las técnicas más usadas son: Phising, Spam, Dumper
Diving,Shoulder Surfing, Pharing, Tailgating, Eliciting Information, Prepending, Identy fraud,
invoice scams,Credential Harvesting, reconnaissance, Hoax, Impersonation, Watering htact,
Typo squatting.” (Santiago Pontiroli, 2013)
Por lo que hablar de los siguientes casos resultara muy conviene para comprender más
sobre la ingeniería social y el fraude por suplantación de identidad en plataformas Web.
Iniciando por la compañía japonesa de gran trayectoria. PlayStation, un caso que se dio a
conocer en el año 2011, donde estuvieron fuera del aire por alrededor de 5 días, y sus
proveedores tecnológicos no pudieron reestablecer y/o subsanar rápidamente la falla, donde los
ciberdelincuentes aprovecharon para extraer de forma ilegal datos de usuarios registrados en esta
plataforma. PlayStation cuenta con mas de 75 millones de usuarios registradas en todo el mundo,
los datos robados tienen información como dirección, teléfono, contraseñas, usuarios e
información de compras con tarjeta de crédito con sus respectivos números y códigos de
seguridad. este robo ha sido uno de los peores de la era digital, según lo señala un vocero de la
compañía PlayStation, a raíz de este ataque los más afectados son los usuarios allí registrados, ya
que sus datos financieros están en manos de estos delincuentes.
 A la fecha solo se especula que la seguridad fue violada por el grupo de Hackers activistas
Anonymous, pero ellos mismos publicaron que no tenían responsabilidad en este ataque, aunque
este grupo tuviera como objetivo la compañía japonesa. “Coincidentally, Anonymous declared
Sony as its latest protest target right around the time of the intrusion. They were unhappy with
Sony's lawsuit against PlayStation 3 rooter George Hotz, and unsatisfied by the settlement deal
reached between Hotz and the company this month” (Poulsen, 2011)
Por otro lado, PlayStation trabajo contrarreloj para reestablecer la conexión en línea para
los millones de usuarios, pero no mencionaron concretamente que estarían trabajando a la par
para dar mayor protección a los datos sensibles que allí reposan.
Luego de más de un mes del ataque cibernético PlayStation le informo a sus usuarios
sobre su nueva herramienta para protección de datos llamada Affinion International Limited, la
cual es de suscripción paga por parte del usuario y está disponible solamente en Europa.
(Poulsen, 2011)

En un hecho más resiente se encuentra el caso de Alibaba quien sufrió el robo de datos de
mas de 1.000 millones de usuarios por parte de una consultora en el año 2021, la compañía china
fue víctima de una operación Scraping Web, este hecho se perpetro durante meses sin que la
seguridad de Alibaba notara movimientos sospechosos dentro de su plataforma, esta modalidad
de robo de información consiste en rastrear textos, información privada y almacenarlos, esta
técnica no se requiere de mano humana ya que todo lo hace un software que simula que la
navegación la está realizando una persona, el caso de Alibaba a diferencia del caso PlayStation si
fue llevado a la corte, pues si dieron con el responsable del hecho, quien era un funcionario
adscrito a una filial de Alibaba que soportaba la consultoría de marketing, el funcionario y su jefe
fueron condenados a tres años de prisión y una multa que supera los 70.000 dólares.
Después de haber dado a conocer este hecho las acciones de Alibaba cayeron en el 1% en
el mercado de valores.
En china el robo de información es una práctica común, el gobierno tiene intenciones de
hacer mas estricta la legislación, pero hasta el momento solo se ha quedado en intenciones ya que
no se ha visto evolución.
(BÉCARES, 2021)

Y finalmente se aborda el ataque que sufrió la aplicación de citas Adult FriendFinder,” El

sitio de citas casuales ha sido atacado dos veces en menos de 18 meses, resultando en la fuga de
datos personales y preferencias sexuales de 3.9 millones de cuentas” (ESet, 2015)
Los 412 millones datos extraídos de forma ilegal circularon en la web en una hoja de
cálculo, la cual contenía información como la dirección de correo electrónico, fecha de
nacimiento, dirección y nombre de usuario, preferencias sexuales, orientación sexual, y si los
usuarios están buscando relaciones extramatrimoniales.
 La fuga de información se dio gracias a que la aplicación no contaba con la suficiente
seguridad, ya que en datos recolectados se evidencio que las contraseñas se almacenaban en texto
plano. Sumando la seguridad por parte de los usuarios donde las contraseñas mas usadas era
123456 y similares.
(ESet, 2015)

Analizar los tres casos expuestos se evidencia con claridad que la ingeniería social fue el
detonante para que estos hechos ocurrieran, ya que los controles de seguridad, fueron realmente
inexistentes, el acceso a la información estaba disponible para todos sin reparo alguno, el contar
con sistemas de información con tecnología de punta, pero sin seguimiento, ni controles y mucho
menos actualizaciones, hace que cada vez sea menos confiable los sistemas, ninguna compañía a
la fecha se encuentra preparada para este tipo de ataques, ya que estas se limitan a prestar un buen
servicio, por eso cuando esto sucede lo que realizan es toda la gestión tecnológica para
reestablecer el servicio y no para salvaguardar la información. Finalmente, el usuario será el mas
afectado, por lo que es importante generar conciencia de seguridad informática, usando las
herramientas necesarias para cifrar la información que se incluye en cualquier plataforma web.
Tomando estos casos de China, Japón y Estados unidos, se evidencia que la legislación al
igual que las compañías no están preparadas para actuar, que los delincuentes harán siempre uso
de estas debilidades para cada día inventar nuevas modalidades de ataque.
Aunque no se mencionan casos de Colombia es importante mencionar los datos
recolectados en un estudio realizado por la CCIT junto con la policía nacional de Colombia nos
muestra “los delitos informáticos que mas afectan a los colombianos, ocupando el puesto número
2, es la violación de datos personales con 8.037 casos, este dato revela que la segunda amenaza
en Colombia para empresas y ciudadanos es el robo de identidad” (TicTac, 2022)
No obstante Colombia es muy poco lo que se hace para salvaguardar y proteger los datos
recolectados de clientes internos, externos y proveedores, la concientización en este caso juega un
papel muy importante ya que la ingeniería social se basa en las actividades que se realizan
diariamente en la compañía y haciendo uso de estas el delincuente aborda a la víctima ganándose
la confianza de esta. haciendo que ella sin ningún reparo entregue o ingrese los datos o
información solicitada por el delincuente, ya sea por una llamada, respondiendo un mensaje de
texto, accediendo a un link enviado al correo corporativo, entre otras.
¿Por qué están importante los controles, procesos y políticas de seguridad en la protección
de datos? Muchas veces se piensa que un dato no es “importante”. Los delincuentes aprovechan
este para violar la privacidad, no hay que olvidar que son expertos en completar información
partiendo un dato no “importante”, por tal motivo la prevención es vital para el bienestar de la
organización y los demás que intervienen en esta, ya que al pasar por alto las metodologías de
prevención se estará facilitando la tarea para el delincuente y a su vez infringiendo la Ley 1582
de 2012, acarreando procedimientos y sanciones pecuniarias según lo señala el capitulo II de esta
misma ley, adicional de estar acarreando sanciones por la omisión también se junta la perdida de
credibilidad de clientes hacia la organización, la reputación de la compañía queda en vilo.
Por tal razón más allá de no incurrir al incumplimiento de la ley ya que todas las empresas
están expuestas a un ataque delictivo, por la modalidad o técnica que el delincuente utilice, se
debe estar preparado para este tipo de situaciones, ya sea por los controles que se tengan en los
sistemas informáticos, en controles para los mismos funcionarios, la educación en ciberseguridad
y en que medida corresponde la entrega y acceso a datos no autorizados, sensibles o de reserva.
Establecer procedimientos adecuados que permitan cerrar brechas y oportunidades para el
perpetrador.
Tener controles, procesos y políticas se estará anticipando a cualquier evento que se dé.
cerrar la puerta y el permiso de ingreso a cualquier intruso que tan solo lo intente.
Los datos de la mayoría de personas están en sistemas informáticos, al alcance de pocos
pero sin seguridad probablemente este al alcance de todos y mas de las organizaciones que se
dedican a delinquir, con la ola tecnológica que se está viviendo hoy en día, el ingresar datos
personales en distintas paginas web, aplicaciones, links recibidos mediante Emails o Aplicaciones
de mensajería, se expone a que esta información recopilada sea participé de fraudes económicos
en diferentes plataformas web.
El estudio de los tres casos en países como Japón, China y Estados unidos muestra que la
legislación, ni las políticas de seguridad de las organizaciones, hasta el momento no ampara de
manera adecuada al consumidor, casos como estos se repiten a diario en las diferentes
plataformas web, en diferentes países y de diversas formas, y no se hace nada para proteger la
información.
La enseñanza de todo esto es que las empresas solo esta preparadas para prestar un buen
servicio, que no serán responsables de los datos que allí se almacenen y que la seguridad también
debe ser por parte del usuario, que al igual que los ciberdelincuentes tengan técnicas de
protección para que su información no sea tan fácil de descifrar.

REFERENCIAS

AARP. (12 de 10 de 2021). Suplantación de identidad focalizada. AARP, 1. Recuperado el 09 de 04 de

2022, de https://www.aarp.org/espanol/dinero/estafas-y-fraudes/info-2019/suplantacion-
identidad-focalizada.html
BBC NEWS. (25 de 04 de 2011). BBC NEWS. Recuperado el 09 de 04 de 2022, de BBC NEWS:
https://www.bbc.com/mundo/noticias/2011/04/110425_1030_sony_playstation_psn_red_caida
_dc

BÉCARES, B. (16 de 06 de 2021). Genbeta. Recuperado el 09 de 04 de 2022, de Genbeta:

https://www.genbeta.com/actualidad/alibaba-ha-sufrido-robo-datos-1-000-millones-usuarios-
parte-consultora-asi-fue

COLOMBIA, E. C. (17 de 10 de 2012). https://www.funcionpublica.gov.co/. Recuperado el 09 de 04 de

2022, de LEY ESTATUTARIA 1581 DE 2012:
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

ESet, W. L. (22 de 05 de 2015). WeLive Security. Recuperado el 09 de 04 de 2022, de WeLive Security:

https://www.welivesecurity.com/la-es/2015/05/22/ataque-adult-friendfinder-informacion-
descubierto/

Fonte, A. (24 de 01 de 2022). Derecho a la Red. Recuperado el 09 de 04 de 2022, de Derecho a la Red:

https://derechodelared.com/tecnicas-de-ingenieria-social/

Gonzalez, L. (17 de 05 de 2011). Playstation.blog. Recuperado el 09 de 04 de 2022, de Playstation.blog:

https://blog.es.playstation.com/2011/05/17/informacin-sobre-el-programa-de-proteccin-contra-
el-robo-de-identidad-de-snee-scee/

Incibe - Instituto Nacional de Ciberseguridad. (18 de 05 de 2021). Glosario de terminos de

ciberseguridad. Recuperado el 09 de 04 de 2022, de Incibe:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_2
021.pdf

INCIBE. (10 de 10 de 2019). INCIBE - Instituto Nacional de Seguridad. Recuperado el 09 de 04 de 2022, de

INCIBE: https://www.incibe.es/protege-tu-empresa/blog/conoces-nueva-norma-gestion-
privacidad#:~:text=La%20ISO%2027701%20especifica%20los,de%20la%20Informaci%C3%B3n
%20(SGSI).

Internauta, O. d. (05 de 02 de 2021). OSI. Recuperado el 09 de 04 de 2022, de OSI:

https://www.osi.es/es/actualidad/blog/2021/02/05/suplantacion-de-identidad-y-secuestro-de-
cuentas-como-actuar

ISO, N. (08 de 04 de 2022). NORMAS ISO. Obtenido de NORMAS ISO: https://www.normas-iso.com/iso-

27001/

NEWS, B. (26 de 04 de 2011). BBC NEWS, 2. Recuperado el 09 de 04 de 2022, de BBC NEWS:

https://www.bbc.com/mundo/noticias/2011/04/110426_sony_playstaton_robo_datos_tarjetas
_credito_jrg

Poulsen, K. (28 de 04 de 2011). CNN INTERNACIONAL. Recuperado el 09 de 04 de 2022, de CNN

INTERNACIONAL TECH:
http://edition.cnn.com/2011/TECH/gaming.gadgets/04/28/playstation.hack.wired/index.html
REPÚBLICA, C. D. (5 de 05 de 2009). Secretaria Senado. Recuperado el 09 de 04 de 2022, de Secretaria
Senado: http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html

Santiago Pontiroli. (23 de 12 de 2013). Kaspersky Daily. Recuperado el 09 de 04 de 2020, de Kaspersky

Daily: https://latam.kaspersky.com/blog/ingenieria-social-hackeando-el-sistema-operativo-del-
ser-humano/1839/

TicTac. (2022). Informe de las tendencias del cibercrimen en colombia (2019-2020). Bogotà: CCIT.
Obtenido de https://www.ccit.org.co/wp-content/uploads/informe-tendencias-final.pdf