SEMINARIO ACTIVIDAD 2

Estado del arte

Análisis de técnicas de ingeniera social aplicadas a
personal de una entidad gubernamental/pública

Junio 2023
Universidad Tecnológica Metropolitana
Especialidad en ciberseguridad

PENIEL EDUARDO CAMBRANIS GAMBOA

Introducción
Actualmente cualquier industria cuenta con activos de información tecnológica,
empezando desde la infraestructura conformada por un solo equipo de computo hasta
llegar a entidades conformadas por miles de dispositivos. La protección de estos
dispositivos es vital porque almacenan información crítica, y si esta información llega a ser
vulnerada, no importa el tamaño de la empresa siempre desencadenara una serie de
esfuerzos con el objetivo de su recuperación para así minimizar las perdidas monetarias
y/o perdida de confianza hacia sus clientes.

Actualmente existen varias capas de protección para los dispositivos informáticos que
pueden ser utilizados contra las vulnerabilidades y están conformadas por hardware,
software y otros controles, pero sin importar la cantidad de medidas, los dispositivos y su
información pueden ser vulnerados a traves de un eslabón débil [4], el usuario final.

En las entidades públicas se cuenta con una gran plantilla de empleados y muchos de ellos
con acceso a un dispositivo conectado a la red, estos pueden llegar a ser el objetivo de un
atacante, que a traves de técnicas de ingeniería social puede lograr conseguir que le
brinden información sensible o también llegar a lograr que ejecuten algún software
malicioso. Si los usuarios finales no tienen el conocimiento de las técnicas actuales de
ingeniería social pueden llegar a ser víctimas de una de estas técnicas y no darse cuenta
de ello.

Estado del arte

A continuación, se enumeran diferentes artículos de investigación que se encuentran
relacionados con el tema:

[1] InterSedes, Revista electrónica de las sedes regionales de la Universidad de Costa Rica,
ISSN 2215-2458, Volumen XXIV, Número 49, Enero-Junio, 2023.

Autor: Paola Maritza Rincón Núñez

Título: Ataques basados en ingeniería social en Colombia, buenas prácticas y
recomendaciones para evitar el riesgo

Resumen: En este estudio se realiza un análisis de ataques de ingeniería social ocurridos

en Colombia durante el periodo de 2016-2019. El 90% de ciberataques hacia empresas
colombianas ha sido a traves de la ingeniería social.

[2] El arte del engaño: peligros organizacionales de explotar la vulnerabilidad más débil de
todas, el ser humano.

Autores: Maldonado Suárez, Juan Sebastián

Año: 2017

Resumen: En este artículo se realiza una concientización de la importancia de no

menospreciar la información y la necesidad de capacitar a los usuarios finales sobre los
temas de seguridad de la información. También nos relaciona los tipos de ataque mas
comunes que utilizan los ingenieros sociales para generar confianza y lograr obtener
información de sus víctimas.

[3] Revista Colombiana de Tecnologías de Avanzada

Título: Ingeniería social en instituciones de educación superior

Autores: Esp. Santiago Acosta Pineda, Ph.D. John A. Bohada, MSc. Magda Lorena Pineda

Año:2018

Resumen: Este articulo busca dar a conocer las vulnerabilidades a las que están expuestas
las instituciones de Educación Superior y que estrategias seguir para no ser víctimas. Para
lograrlo se realizó una investigación a instituciones que presentaron ataques de esta
índole, además se aplicaron distintas técnicas de ingeniería social a 5 instituciones de
Educación Superior de la zona.

[4] Caracterización de los ataques de phishing y técnicas para mitigarlos. Ataques: una
revisión sistemática de la literatura.
Autores: Benavides Eduardo; Fuertes Walter; Sanchez Sandra

Año: 2019

Resumen: Ataques de phishing con el uso de la ingeniería social con el objetivo de

vulnerar la seguridad de los usuarios finales.

[5] Ataques informáticos en tiempos de pandemia COVID-19 en Latinoamérica: Revisión

Bibliográfica.

Autores: Ormaza Calderón Jonathan Geovanny, López Mora Christian Israel, Muñoz Ríos
Lelis Javier, Aura Dolores Zambrano Rendón.

Resumen: Investigación de ataques informáticos durante la pandemia de COVID-19, a

traves del estudio realizado a diversas fuentes de información, se detectaron 3 tipos de
ataques que se encontraron a la cabeza durante la pandemia; malware, phishing y
ramsomware.

[6] Delitos informáticos en tiempos de covid: revisión literaria ecuador.

Autores: Aura Dolores Zambrano Rendón, Fausto Daniel Loor Campúes, Wilmer Orley
Zambrano Vera.

Resumen: Revisión bibliográfica sobre delitos informáticos en tiempos de pandemia. En

este estudio se realizó la recolección de información de artículos y noticias de diferentes
periódicos. Se obtuvo información del total de delitos informáticos en los últimos años
reportados en la fiscalía general de Ecuador y se nota que el phishing fue una de las
técnicas responsables del 90% de las infecciones por malware reportadas.

Conclusiones
En los trabajos anteriores podemos apreciar que la ingeniería social es una técnica que va
en evolución [2], esto se puede deber a que los sistemas cuentan con mayor número de
medidas de seguridad y en consecuencia las técnicas de ingeniería social están
aumentando en casos y complejidad al ser más fácil la obtención de información a traves
del recurso humano. También hay un aumento en el numero de intentos de ciberataque
hacia las empresas a traves de técnicas de ingeniera social, una de las mas utilizadas y
también con mas número de casos reportados es el phishing y podemos validarlo en los
análisis hechos en los artículos [1], [4], [5] y [6].

En cada organización existe un equipo de personas encargado de la administración y

seguridad del equipamiento informático. Estos grupos o equipos de tecnologías
implementan controles de seguridad física y lógica para protección de estos activos, pero
desconociendo la importancia que tiene el recurso humano como objeto fácilmente
vulnerable [3].

Debemos entender que los privilegios y conocimiento con los que cuenta una persona
también son un activo de información y por lo tanto deben ser protegidos. En la norma
ISO-27001 se nos menciona la importancia de la concientización, a traves de ella se puede
dar a conocer a los usuarios finales los activos que deben proteger y las técnicas actuales
de ingeniería social. Brindando esta información podemos preparar a los usuarios y
disminuir el riesgo a los que están expuestos. También no debemos olvidar que no es
suficiente con una sola capacitación, sino que la seguridad de la información es un ciclo
repetible, y esto se debe a varias razones entre ellas; la evolución de la tecnología, la
evolución de las técnicas de ingeniería social, la aparición o adquisición de nuevos activos
y la aparición de nuevos riesgos a los que nuestros activos son vulnerables.

Aunque en los estudios anteriores no se abordaron instituciones gubernamentales, estas

no están exentas de ser un objetivo de los atacantes. De hecho, actualmente en estos
sitios se han presentado ataques de ciberseguridad como el presentado en el Gobierno
del Estado de Yucatán. Por lo que es necesario que estas instituciones tomen varias
medidas de protección a todo tipo de ataques, entre ellos la ingeniería social.