Práctica de laboratorio: Ingeniería social
Objetivos
Investigar e identificar ataques de ingeniería social
Antecedentes / Escenario
Los ataques de ingeniería social tienen como objetivo lograr que una víctima introduzca información personal
o confidencial; este tipo de ataque puede ser realizado por un delincuente que está utilizando un capturador
de teclas, correos electrónicos de phishing o un método físico en persona. En esta práctica de laboratorio
tendrán que investigar la ingeniería social e identificar formas de reconocerla e impedirla.
Recursos necesarios
Computadora o dispositivo móvil con acceso a Internet
Paso 1: Leer el siguiente artículo
Diríjanse al siguiente sitio web (el contenido está en inglés) y léanlo por completo para responder las
preguntas que siguen en el Paso 2.
https://www.sans.org/reading-room/whitepapers/critical/methods-understanding-reducing-social-engineering-
attacks-36972
Paso 2: Respondan las siguientes preguntas.
a. ¿Cuáles son los tres métodos que se utilizan en la ingeniería social para obtener acceso a la información?
Phishing: Engañar a las personas para que entreguen información confidencial mediante correos o sitios falsos.
Pretexting: Crear una historia falsa para obtener información haciéndose pasar por alguien de confianza.
Tailgating: Seguir a una persona autorizada para entrar en áreas restringidas sin tener las credenciales necesarias.
b. Mencionen tres ejemplos de ataques de ingeniería social de los primeros dos métodos del Paso 2a?
Phishing (RSA, 2011): Un empleado abrió un archivo Excel malicioso en un correo de phishing, lo que permitió a los atacantes
obtener datos sensibles.
Phishing (Target, 2013): Un ataque de phishing comprometió a un proveedor de HVAC de Target, permitiendo el robo de datos de
tarjetas de crédito.
Pretexting (Auditor falso): Un atacante fingió ser un auditor de TI para engañar al personal y obtener acceso físico a la empresa
c. ¿Por qué las redes sociales son una amenaza de ingeniería social?
Las redes sociales son una amenaza de ingeniería social porque los usuarios comparten demasiada
información personal, que los atacantes pueden utilizar para suplantar identidades o crear ataques
dirigidos. Además, los atacantes pueden crear perfiles falsos para ganar confianza y acceso a información
o redes profesionales
d. ¿Qué puede hacer una organización para defenderse de ataques de ingeniería social?
Para defenderse de los ataques de ingeniería social, las organizaciones deben implementar programas de
capacitación en seguridad personalizados, enfocados en las características de los empleados y sus roles. Es clave
crear una cultura de conciencia sobre seguridad, realizar entrenamientos continuos y evaluar regularmente las
vulnerabilidades. Este enfoque ayudará a prevenir ataques dirigidos y fortalecer la defensa organizacional
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 2 www.netacad.com
�Práctica de laboratorio: Ingeniería social
e. ¿Qué es el SANS Institute, el autor de este artículo?
El SANS Institute es una organización especializada en formación y certificación en ciberseguridad.
Fundada en 1989, ofrece cursos prácticos y programas de certificación, como GIAC, para mejorar la
seguridad de infraestructuras tecnológicas. También es conocida por su contribución al desarrollo de
políticas y mejores prácticas en seguridad informática a nivel global
Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 2 www.netacad.com
