Ciberseguridad para los profesionales de la

Formación Profesional

Eduardo Sánchez
@edusatoe
 Tema 4

Ciberseguridad para los profesionales de la

Formación Profesional

Ataques de Ingeniería Social

 Objetivos

El objetivo de este tema es conocer las técnicas de engaño conocidas

como Ingeniería Social para estar alerta y no caer en realizar
acciones que puedan comprometer a la empresa. Para ello
desarrollaremos los siguientes puntos:

● ¿Qué es la Ingeniería Social?

● Características de la Ingeniería Social.
● ¿Quién puede usar la Ingeniería Social? ¿Y por qué?
● Tipos de ataques de Ingeniería Social

AllPentesting 2023 - All Rights Registered

 ¿Qué es la Ingeniería Social?

Es un conjunto de acciones que tienen como objetivo la

obtención de información, el fraude o el acceso no
autorizado a sistemas informáticos y que ha implicado
en algún momento la manipulación psicológica de la
víctima.

El punto que hace diferentes a los ataques de ingeniería

social de otros ataques es la manipulación psicológica
de las personas que se realiza en algún momento.
AllPentesting 2023 - All Rights Registered
 Ingeniería Social

Aspectos Explotables
Hay tres aspectos de la psicología social que serán
importantes para los propósitos de la ingeniería social:

1. Las técnicas para la persuasión y la influencia.

2. Las actitudes y creencias que afectan a la interacción
social.
3. La falsa confianza.

AllPentesting 2023 - All Rights Registered

 Ingeniería Social. Aspecto Explotables

1. Las técnicas para la persuasión y la influencia.

○ Autoridad → Ej: llamada de la policía (vishing)
○ Escasez → Ej: últimas unidades de un producto.
○ Similitud → persona del mismo gremio o mismas aficiones,
incluso compartir problemas (Ej: misma ciudad)
○ Reciprocidad → si nos regalan algo o ayudan, sentimos tendencia
a devolver algo a cambio (Ej: pedir un favor tras ayuda)
○ Compromiso → cumplir los compromisos hace ganar confianza.
○ Consistencia → actuar de la misma forma (Ej: predecir acción)
○ El consenso o prueba social → actuamos según el
comportamiento de los demás.
AllPentesting 2023 - All Rights Registered
 Ingeniería Social. Aspecto Explotables

2. Las actitudes y creencias.

Las personas piensan que el resto de gente tiene sus mismos sentimientos
e ideas. Esto se denomina efecto del falso consenso. Un atacante puede
utilizar estas creencias para manipular a la víctima y conseguir que realice
alguna acción.

Algunas víctimas de ingeniería social tienden a confiar más en sus

creencias o impresiones personales sobre la honestidad que les ofrece
alguien, que en el análisis objetivo del contenido del propio mensaje.

AllPentesting 2023 - All Rights Registered

 Ingeniería Social. Aspecto Explotables

3. La falsa confianza.

Las personas tienen una tendencia natural a confiar en sus congéneres. Ser
desconfiado de entrada suele ser mal visto socialmente y supone una percepción
negativa de las personas. Incluso si de entrada una persona decide no confiar, suele
ser sencillo hacerle cambiar de idea simplemente haciéndole ver que está
desconfiando.

Establecer contacto con una persona a través de una historia falsa suele ser suficiente
para que esa persona deposite confianza sobre el atacante y reduzca su negativa a
ofrecer información privada.

Se dice que una persona confía en nosotros si le facilitamos 3 datos verdaderos.

AllPentesting 2023 - All Rights Registered
 Ingeniería Social. Aspecto Explotables

https://www.elperiodico.com/es/tecnologia/20210218/ultima-estafa-whatsapp-codigo-numeros-11529785
AllPentesting 2023 - All Rights Registered
 Ingeniería Social.

Otros Aspectos Explotables

1. Curiosidad 9. Educación 17. Dejadez
2. Miedo 10. Inseguridad 18. Humanidad
3. Desconfianza 11. Envidia 19. Crueldad
4. Ánimo 12. Indignación 20. Amor
5. Desconocimiento 13. Codicia
6. Sensualidad 14. Cortesía
7. Soberbia 15. Empatía
8. Solidaridad 16. Compasión
AllPentesting 2023 - All Rights Registered
 ¿Características de la Ingeniería Social?

● No es un método completamente técnico.

● El usuario es el eslabón más débil de la cadena.
● El ser humano:
○ Siempre quiere ayudar a otros.
○ No le gusta decir NO.
○ Le gusta que le alaben.
● Método muy usado en la actualidad.

AllPentesting 2023 - All Rights Registered

 ¿Quién puede usar la Ingeniería Social?

● Ciber delincuentes.
● Espías industriales.
● Agentes de gobiernos extranjeros.
● Detectives privados.
● Criminal especializado.
● Empleados descontentos.
● Terroristas.

Cualquier persona con necesidad de información o de

obtención de algún tipo de beneficio, sobre todo económico.
AllPentesting 2023 - All Rights Registered
 Objetivos

Los objetivos de un ataque de ingeniería social puede ser

los siguientes:
● Obtener información.
● Acceso y autorización.
● Obtener reputación.
● Cometer un fraude.
● Robo de identidad.
● Espionaje industrial.
● Manipulación de sistemas.
● Obtener beneficio.
AllPentesting 2023 - All Rights Registered
 ¿De dónde sacan la información?
Para poder llevar a cabo un ataque de Ingeniería Social hace falta información
del objetivo. La información previa a un ataque de este tipo se suele obtener
de las fuentes abiertas que existen en Internet:

- Redes Sociales.
- Páginas Web de la empresa.
- Documentos oficiales (BOE, BOP, etc)
- Fugas de información (leaks de datos de usuarios)

Aplicando OSINT, es decir, la búsqueda de información en fuentes abiertas,

puedes encontrar gran cantidad de información de un objetivo de cara a
utilizarlo para un posterior ataque de ingeniería social.

AllPentesting 2023 - All Rights Registered

 Tipos de ataque de Ingeniería Social
Existen gran cantidad de ataques de Ingeniería Social, pero los principales son los
siguientes:

● Phishing: obtención de información suplantando la identidad de una página

Web real. Ej: robo de credenciales bancarias. Normalmente el Phishing viene
acompañado de un Smishing o un Spoofing de correo electrónico.

● Smishing, suplantación de identidad de un organismo vía SMS (Ej: un banco)

para llevarte a una Web fraudulenta y robarte los datos.

● Spoofing de correo: suplantación de un correo electrónico verdadero.

Aparentemente el remitente es verdadero pero no es así.

● Vishing: suplantación de identidad por llamada de teléfono.

AllPentesting 2023 - All Rights Registered

 Tipos de ataque de Ingeniería Social

https://www.20minutos.es/tecnologia/ciberseguridad/phishing-smishing-vishing-y-spoofing-que-son-y-por-que-debemos-preocuparnos-5023735/
AllPentesting 2023 - All Rights Registered
 Ejercicio 1

EJERCICIOS
En las transparencias anteriores hemos visto una noticia de un ataque de ingeniería
social en Whatsapp. Indica qué aspectos han explotado los cibercriminales para
generar confianza en el usuario.

Ejercicio 2
Se dice que una persona confía en nosotros si le facilitamos 3 datos
verdaderos. Busca tres datos sobre una persona (nombre completo, DNI, dónde
vive, IES donde trabajo, puesto de trabajo, etc) y plantea una posible llamada
suplantando la identidad de alguna empresa u organismo público. ¿Qué
información quieres obtener?
AllPentesting 2023 - All Rights Registered