Certificado de especialidad II

Ingeniería social
Certificado de especialidad II
Ingeniería social

Certificado de Especialidad II / Ingeniería Social 1

 ESCUELA DE CONSTRUCCIÓN E INGENIERÍA

Director de Escuela / Marcelo Lucero Yáñez

ELABORACIÓN

Experto disciplinar / Eder Morán

Diseñador instruccional / Daniela Araya

VALIDACIÓN PEDAGOGICA

Experto disciplinar / Marcos León

Jefa de diseño instruccional y multimedia / Alejandra San Juan Reyes

DISEÑO DOCUMENTO

Equipo de Diseño Instruccional AIEP

Certificado de Especialidad II / Ingeniería Social 1

Contenido
APRENDIZAJE ESPERADO DE LA SEMANA: .................................................................................................. 6
1. Introducción a la ingeniería social .......................................................................................................... 6
1.1 Estado actual de la ciberdelincuencia.................................................................................... 6
1.2 Terminología de la ingeniería social ............................................................................................ 7
1.3 Elementos de la ingeniería social................................................................................................. 8
1.4 Las personas en el ciclo de la ingeniería social .......................................................................... 10
2. Vectores de ataque ..................................................................................................................................... 11
2.1 Motivos, metas y objetivos de los ataques de la Ingeniería Social............................................ 11
2.2 Ranking de los vectores de ataques en la actualidad ................................................................ 12
2.3 Categorías de los ataques en la actualidad................................................................................ 13
2.4 Principales Vectores de ataques de Ingeniería Social................................................................ 14
2.5 Tipos de ataques en la ingeniería social .................................................................................... 14
2.5.1 Engaño Humano ..................................................................................................................... 15
2.5.2 Engaño basado en la tecnología ............................................................................................. 15
3. Etapas de ingeniería social....................................................................................................................... 16
3.1 Interacciones previas al compromiso ........................................................................................ 16
3.2 Recogida de información ........................................................................................................... 17
3.3 Explotación de la información ................................................................................................... 18
3.4 Post Explotación......................................................................................................................... 20
4. Roles de la Ingeniera Social ......................................................................................................................... 20
4.1 Usuario final ............................................................................................................................... 20
4.2 Mesa de ayuda ........................................................................................................................... 21
4.3 Cargo de alto nivel ..................................................................................................................... 21
4.4 Explotación de la información / Post explotación ..................................................................... 21
5. Técnicas de la ingeniería social .............................................................................................................. 21
5.1 Navegación engañosa .......................................................................................................... 22
5.2 Acceso remoto / Acceso directo ................................................................................................ 22
5.3 Interceptación de comunicación ............................................................................................... 23
Conclusiones .......................................................................................................................................................... 24
Bibliografía .............................................................................................................................................................. 24

Certificado de Especialidad II / Ingeniería Social 1

APRENDIZAJE ESPERADO DE LA SEMANA:

Los alumnos caracterizan la Ingeniería Social, considerando vectores de ataques,

etapas, roles y técnicas asociadas.

1. Introducción a la ingeniería social

Las TIC (Tecnologías de la Información y la Comunicación) y especialmente la

informática, están alojadas en todos los entornos de la sociedad: desde la prensa
hasta la educación. Siendo cada vez más beneficioso e indispensable para el
desarrollo de las actividades diarias.

Antiguamente para realizar una transacción bancaria, era necesario desplazarse físicamente a
la sucursal de banco más cercana. En la actualidad, es posible hacer una transferencia en solo
5 segundos desde el teléfono móvil y lo fabuloso, es que se puede realizar desde cualquier
parte del planeta, reduciendo tiempo, riesgos y recursos.

De igual forma que crece el uso de la informática, la seguridad informática debe tener una
relevancia cada vez mayor, considerando que el funcionamiento correcto de sus sistemas nos
brindará una mejor protección a nuestros datos. A pesar de ello, aun si se reducen riesgos, no
estamos exentos de ser víctimas de algún delito digital.

Todos estamos inmersos en esta era tecnológica, pero la pregunta es: ¿usted cree, que
estamos prevenidos para evitar el robo de información digital que viaja en internet?, como:
contraseñas, tarjetas de crédito, entre otros.

Durante el avance del módulo, visualizaremos que las amenazas, medidas de protección y
vulnerabilidades ha ido en crecimiento y cambiando sus variantes con el tiempo. Para ello
haremos uso de conceptos básicos de Ingeniería Social, comenzando a entender diversos los
diversos vectores de ataques y que tácticas son las más usadas. Finalizaremos utilizando
métodos de concientización para la detección de phishing en el contexto digital actual. Con
todo lo expuesto, se busca que el estudiante aplique técnicas y métodos para la reducción de
ciberestafas, consideración la concientización y sensibilización sobre los riesgos asociados a
un contexto digital.

1.1 Estado actual de la ciberdelincuencia

La ciberseguridad en la actualidad es un problema global, cada problema que se presenta en

seguridad no se puede manejar de forma aislada, es importante tomar las medidas desde el

Certificado de Especialidad II / Ingeniería Social 1

principio hasta el final. Si protegemos nuestro hogar, no serviría de nada instalar una puerta
blindada con una cerradura compleja, si dejamos las ventanas sin ninguna protección.

Los elementos primordiales que se deben salvaguardar en un sistema

informático son: el hardware, software y los datos.

En la actualidad este último (software), es el principal elemento de los tres a proteger, porque
es el más amenazado y probablemente el más complicado de recuperar.

Y nos hemos preguntado, ¿cuál será el camino pendiente que tiene la

ciberseguridad en los próximos años?

Teniendo en cuenta que la tecnología sufre una constante innovación y los ciber delincuentes
con ella, (tanto para las organizaciones como para los usuarios finales), se tiene un futuro
dudoso, de tal manera que no podemos predecir: ¿qué ataque empleara un ciberdelincuente
en dos años? ¿cuál es el próximo banco que atacaran?

Acá es donde, nace la pregunta: ¿deberían las empresas invertir en

ciberseguridad?

Una de las grandes expectativas de la ciberdelincuencia es arremeter con las tres aristas de la
seguridad informática (confidencialidad, integridad y disponibilidad) y sobre todo con los
datos, generando con ello la masificación de diversos delitos en el espacio virtual, también
conocido como: ciberdelitos. En conclusión, podemos indicar que la ciberdelincuencia busca,
desbaratar y/o dañar los sistemas informáticos, con el fin de realizar un uso fraudulento de
los datos.

1.2 Terminología de la ingeniería social

En la actualidad, es un pensamiento popular decir, que para vulnerar un sistema informático

se debe tener conocimiento de técnicas avanzadas de seguridad, con el objetivo de encontrar
vulnerabilidades, riesgos de aplicación, versión de software, entre otros. Sin embargo, es todo
lo contrario, hay maneras más sencillas de obtener la información confidencial de una

Certificado de Especialidad II / Ingeniería Social 1

persona. Solo se requiere paciencia, estudio del comportamiento digital y un poco de
psicología; de ahí es donde nace el concepto de ingeniería social.

Entonces, podemos entender a la ingeniería social, es el estudio del comportamiento y

reacciones humanas. Que recurre a la vanidad, la avaricia y curiosidad para obtener
información relacionada a las tecnologías de la información y el uso que le dan las personas.
Por otro lado, también es considerado una técnica que utilizan los hackers para despistar a
los usuarios y obtener información no autorizada (confidencialidad, integridad y
disponibilidad).

Si evocamos a esta frase muy conocida: “toda cadena se rompe por el eslabón más débil”; se
podría mencionar sobre este tipo de actividades, siendo el eslabón más débil el usuario del
sistema, empresa o usuario final.

En el caso de las empresas, no se encuentran exentas de este tipo de ciberdelitos, ya que

podrán contar con la tecnología más avanzada y actualizada en cuanto a seguridad
informática. Sin embargo, si no cuenta con una concientización y sensibilización de los
colaboradores en la empresa, este será su mayor debilidad.

Los ciberdelincuentes usaran diversos métodos no convencionales para buscar directa o

indirectamente que el usuario o el colaborador de la empresa devele la información esperada;
sin ser responsable de los riesgos que incurre. Para ello, no solo usaran las tecnologías para
tal fin, también lograran obtener información mediante el contacto humano, para lo cual
usaran llamada telefónicas, métodos de suplantación, la compasión, lo gratuito y el respeto.

En resumen, la Ingeniería Social se basa en la interacción humana, donde

usan el engaño para cometer delitos en todos los niveles, incluidos los
informáticos.

1.3 Elementos de la ingeniería social

Según Pablo F. Iglesias (autor referencia), consultor especializado en materia digital y

ciberseguridad, existen 6 elementos de cuales algunos delincuentes juegan para ganarse la
confianza de las víctimas:

a. Reciprocidad: Es la correspondencia mutua de una persona a otra, este simple

enunciado indica, que si una persona le da una correspondencia ya sea material o
subjetiva, la otra contraparte le corresponderá de igual forma. Por ejemplo, una
persona le envía un correo con todo el respeto y resaltando otras cualidades, la persona en

Certificado de Especialidad II / Ingeniería Social 1

reciprocidad será susceptible a responderle de igual forma. Entonces concluimos que la
reciprocidad, es un «impulso» social fácilmente manejable.

b. Urgencia: “Prontitud y rapidez para que suceda o se ejecute algo” es uno de los
elementos de ataque más usado, por el cual los ciberdelincuentes usan la premura
de su lado para vulnerar la información de las personas. Para ello, también se
apoyan en la cualidad de la responsabilidad y el sentimiento del temor. Por ejemplo: “tu
cuenta ha sido vulnerada tienes 5 minutos para cambiar la Clave”, este anuncio llevará a la
persona en caer en el ardid.

c. Consistencia: Como base de la consistencia se usa el temor, que es una emoción

natural que nos hace huir o rehusar aquello que se considera dañino. Por ejemplo,
cuando el atacante se hace pasar por un directivo de la empresa y ordena a los
colaboradores hacer una tarea sencilla, para luego, ejecutar las actividades más delicadas, el
colaborador por temor y al sentirse comprometido, los llevará a cabo. Con esta acción el
atacante lograra el objetivo por consistencia.

d. Confianza: Nuestra aprensión ira descendiendo, en la medida que la persona

que entabla el dialogo, nos atraiga con su simpatía y hábilmente se alinea con
nuestros intereses. “El que no arriesga no gana”, podría usarse este refrán como
una representación típica cuando el atacante se gana la confianza de la persona y seduce al
colaborador para acceder a algún perfil. Luego el ciberdelincuente inicia la extorsión si no
cumple con sus exigencias Cuando se da con un componente sexual a esto se le llamara
sextorsión, históricamente los ataques de confianza se usaron para usos de espionaje o
durante las guerras.

e. Autoridad: Cuando un colaborador recién inicia labores en una empresa, solicita

permisos para acceder a un servicio. Es muy probable que exista desconfianza. Sin
embargo, si consideramos que los mismos pedidos de acceso, son solicitador por
colaboradores de primer nivel (director, gerente, administrador) la situación cambia,
volviéndose factico algo que no se puede cambiar. De ello, se respaldan los atacantes para
jugar un papel clave “la suplantación”, para lograr vulnerar la información, accediendo a
perfiles y cuentas de usuarios.

f. Validación social: Es cuando las personas en común o los colaboradores de la

empresa, aceptan o validan servicios. También conocido como “presión de grupo”.
Sin embargo, si pensamos que las mismas validaciones son solicitadas por una sola
persona, ello generará una desconfianza grande, que la persona atacada automáticamente se
bloqueará. Las personas por lo general quieren ser parte de un grupo, sin distinguirse de los
demás; en especial si carecen de ideas. Esto conlleva a afirmar inclusive ideas falsas. Esta
práctica es comúnmente usada en el ámbito de la política para conseguir votos

Certificado de Especialidad II / Ingeniería Social 1

 1.4 Las personas en el ciclo de la ingeniería social

El universo de la ciberseguridad está constantemente en desarrollo. Los atacantes

o ciberdelincuentes evolucionan sus técnicas para evitar las medidas de seguridad
o también conocido como “multi capa”; donde las empresas refuerzan su seguridad
perimetral. Es por ello, que como profesionales de la seguridad, debemos estar siempre
actualizado con las nuevas tendencias de ataques que se producen en el ciberespacio, para
ayudar a las personas en mitigar los riesgos y formar parte de la continuidad del negocio.

Sin embargo, la seguridad de hoy no necesariamente es estar al día en conceptos como

firewall, encriptación de datos, VPN, detector de intrusos. La ciberseguridad, se refiere a cuidar
al activo más importante que tiene la organización, las personas. Ya que, aportan ventajas
competitivas, las cuales, permiten diferenciarse de otras. Las personas son el eslabón más
débil en el sistema de seguridad, mientras algunas empresas se gastan millones de dólares
en implementar o actualizar nueva infraestructura TI, no se preocupan por entrenar a sus
colaboradores, con la finalidad de evitar que terceros consiguen datos críticos de la empresa.

A pesar de las defensas tecnológicas los atacantes pueden “eludir”, con el solo uso de la
Ingeniería Social, los sistemas más elaborados.

Por ejemplo, un ataque de la “capa 8 del Modelo OSI”, vulnera directamente

los sistemas técnicos, mediante la manipulación de los colaboradores usando
técnicas de engaño.

La condición humana, conlleva a ser presa fácil de los atacantes que, valiéndose de ser
colaborativos, comunicativos y generosos, propician la ignorancia sobre el tema, obteniendo
una gran ventaja. Por lo tanto, en estos tiempos de mejora de las relaciones interpersonales,
el elemento humano debe ser considerado en su conjunto. Todos los colaboradores deben
ser considerados dentro de la organización, tanto el personal externo, el prestador de servicio,
los voluntarios y becarios.

El atacante de ingeniería social es una persona que tiene una condición humana innata para
hacer el mal (considerando que su único objetivo es hacer daño), pues cuenta con
características iguales a las víctimas. Y las faltantes, las abstiene por lograr su cometido, sus
principales cualidades son: la falta de miedo, la voluntad de hacer algo nuevo, poseer
pensamiento crítico, además del conocimiento y la empatía. Por lo general, un ingeniero social
imitará todas las cualidades de un vendedor: hablador, amable, extrovertido y muy hábil
recopilando datos de las personas con las que interactúa.

Certificado de Especialidad II / Ingeniería Social 1

 2. Vectores de ataque

Cuando se habla de ingeniería social desde una mirada maliciosa se hace referencia
a una brecha o falla, ya sea en la red, en un equipo o en una seguridad establecida.
Sin embargo, es importante aseverar que el factor humano es una de las
vulnerabilidades más sensibles.

Al ingresar al sistema y vulnerarlo, logran iniciar un ataque malicioso con el

propósito expreso de obtener un beneficio.

2.1 Motivos, metas y objetivos de los ataques de la Ingeniería Social

La ingeniería social es el arte de embaucar a las personas para obtener un

beneficio propio, la forma más eficiente de evitar este tipo de artilugios es
informarse, teniendo claro cuáles son los riesgos que se debe evitar y cuando
hay que actuar.

Entre los motivos de estudios de la Ingeniería Social se encuentran:

a. Suplantar identidades físicas: es una de las estafas más antiguas. En la

actualidad, sigue siendo común escuchar este tipo de noticias ligados con la
suplantación física. Por ejemplo, ingresan al cuartel de Bomberos y se identifican
como directores de empresas para poder acceder a los servicios y obtener secretos
cooperativos o de dinero.

b. Secretos de Estado: En un nivel más elevado, se encuentran este tipo de ataques

perpetrados por Estados-Nación como China o EEUU, los cuales se usan para lograr
objetivos más estratégicos y de nivel de espionaje. Generalmente, sus objetivos son
personas de nivel alto dentro de un conglomerado u organización. Sin embargo, actualmente
están variando los objetivos para atacar grupos de nivel medio, pero con una influencia de
decisión dentro de la organización gubernamental.

Certificado de Especialidad II / Ingeniería Social 1

 c. Robo de información silenciosa: Lo más perturbador de este tipo de ataque, es
que los usuarios no se darán cuenta que su información estará siendo sustraída, de
algún modo no habrá ventanas emergentes, ni solicitudes de descarga, la mayor
parte del tiempo los ciberdelincuentes ingresaran al sistema y asimismo se retiraran logrando
su objetivó.

Actualmente, los objetivos de los ciberataques se han diversificado. Sin embargo, la venta de
información en empresas grandes y las PYMES más digitalizadas son una "mina de oro” para
los cibercriminales. Su enfoque claramente está orientado al sector empresarial.

Por ejemplo, LinkedIn es una entrada por el cual los ciberdelincuentes pueden
sacar toda la información de los mandos medios con herramientas
digitalizadas como OSINT, es posible sustraer las direcciones y los cargos de
una organización inclusive correos electrónicos y luego realizar un ataque de
tipo phishing.

Sin embargo, las metas serán a corto plazo y específicas, como: información, acceso,
autorización, confianza, dinero, reputación, cometer fraudes, espionaje industrial, robo de
identidad, entre otros.

Por lo tanto, al analizar las metodologías usadas de la ingeniería social e investigar los
antecedentes actuales que se han presentado en la sociedad, conlleva a establecer estrategias
efectivas, que permitan a los usuarios navegar en forma adecuada y segura. También aprender
a actuar frente un incidente o un ataque especifico.

2.2 Ranking de los vectores de ataques en la actualidad

Actualmente, existen cinco vectores de ataque, que son las principales fuentes de ataques
informáticos. Por ello, es de suma importancia, contratar soluciones informáticas para
protegerse de ofensivas cada más refinadas. A continuación, detallaremos los vectores
mencionados:

a. Correo electrónico: es la principal fuente de ataque de todos los niveles, debido

a que su uso es el más extendido en todas las organizaciones. No importa cuál sea
su tamaño, el correo electrónico ha sido usado por los ciberdelincuentes para envíos
de correos maliciosos tipo: spam, phishing, malware. Debido al uso masivo de estas
herramientas, las empresas optan por el filtro de correo (antispam) como una de las
alternativas para evitar el ataque.

Certificado de Especialidad II / Ingeniería Social 1

 b. Navegación: se realiza mediante las búsquedas que el usuario realiza
comúnmente en internet, por accidente o engaños, incitando a la descarga de
software con códigos maliciosos como: malware, ransomware, spyware u otros, los
cuales, tienen la capacidad de dañar la integridad y el acceso al sistema, generando que afecte
la información.

c. Endpoint: se refiere al termino dispositivo final, estos equipos son usados para
dañar otros sistemas de una organización, mediante una memoria USB o un disco
duro extraíble. Por lo que, es posible infectar una estación de trabajo con un código
malicioso, o también toda una red LAN.

d. Aplicación web: cuando hablamos de un portal web, nos referimos a toda la

plataforma web que usa una organización en el ciberespacio, que tiene un uso
específicamente corporativo, tales como: aplicaciones, intranet, banca por internet,
y páginas web. Por estas razones y debido a la importancia que ha sido la tecnología web esta
última década, es importante que las empresas cuenten con una infraestructura tecnológica
adecuada, para no verse afectada por un ataque informático.

e. LA RED: las grandes organizaciones como el sector educativo, gubernamental y

las grandes corporaciones, poseen múltiples conexiones entre sus sedes. Por lo
tanto, es necesario tomas las medidas adecuadas para fortalecer una red
empresarial de gran capacidad y así evitar la interrupción de la continuidad del negocio.

2.3 Categorías de los ataques en la actualidad

En la actualidad existen cuatro categorías de ataques, el cual detallamos a continuación:

a. Ataques técnicos: No existe contacto directo con las víctimas, el atacante utiliza
medios informáticos para enviar el código malicioso. El ciberdelincuente no
necesariamente envía correos electrónicos, por lo contrario, utiliza el hilo telefónico
para generar confianza y posteriormente enviar e-mails, páginas web o boletines con una
redirección a un sitio web falso. Este tipo de ataque, tiene como objetivo obtener información
sensible de las personas, utilizando la confianza como un factor preponderante en su accionar,
que es altamente exitoso.

b. Ataques al ego: las valoraciones excesivas de uno mismo son utilizadas en

contra de la misma persona que utiliza el ego y la vanidad en su vida diaria. A la
victima siempre se le pondrá a prueba y tratará de probar su inteligencia y eficacia.
También, se buscará que la víctima sienta que está siendo participe de temas
importantes y por lo tanto, recibirá como recompensa un reconocimiento. Generalmente, este
tipo de víctimas, a pesar de que en algún momento no serán reconocidos, no se darán cuenta
que han sido víctimas de un ataque.

Certificado de Especialidad II / Ingeniería Social 1

 c. Ataques a la simpatía: El atacante simula una atmosfera ficticia de una situación
real para que la víctima realice o complete una tarea. El ciberdelincuente apelará a
la empatía (ponerse en la situación del otro), solicitando ayuda. De tal manera que,
en algún momento, la otra persona pueda proporcionar lo que solicita. Generalmente, en el
ámbito laboral se apelará a la suplantación y la empatía de los colaboradores para obtener
un beneficio.

d. Ataques de intimidación: Mediante la suplantación, el ciberdelincuente

reemplazará la identidad de alguien importante de la compañía, inclusive un mando
medio o con poder de decisión. En ese rol, tratará de utilizar su poder para intimidar
e infringir temor a la persona, luego los obligará de algún modo a cooperar. En caso de que
exista resistencia o deseo de no cooperar, usará la intimidación a tal punto de indicar al
usuario que puede perder su empleo o ser multado por cargos legales, entre otros.

2.4 Principales Vectores de ataques de Ingeniería Social

Cuando hablamos de la ingeniería social, desde un punto de vista del ciberdelincuente, se

menciona diversos tipos de vectores o también conocidos como brechas. Entre ellos, se
encuentran:

a. SMiShing, aunque el nombre parezca extraño, la unión de esta palabra proviene

del término SMS y Phishing. Funciona a través de mensajes de textos, enviando
una url de internet. La finalidad del envío es que la víctima pinche el enlace, para
que los ciberdelincuentes roben credenciales, o en su defecto, carguen algún tipo malware en
el dispositivo móvil.

b. Vishing, este término se produce de la unión de dos palabras voice y phishing.

Que significa phishing por teléfono o voz. Este tipo de ataque ha tenido un
aumento considerable en tiempos de la COVID19. Ya que, no implica gastos
considerables en los recursos de los ciberdelincuentes. Este tipo de ataque presenta una gran
ventaja para los atacantes, porque es difícil que localizar el origen de la llamada. Por lo general,
los cibercriminales utilizan números falsificados de otros países.

c. Impersonatio: en esta modalidad, utilizada en Estados Unidos, los delincuentes

virtuales toman la identidad de un policía o agente federal; con el fin de crear un
temor sobre la sociedad y solicitar dinero a cambio de ello.

2.5 Tipos de ataques en la ingeniería social

Certificado de Especialidad II / Ingeniería Social 1

Si exploramos en profundidad la ingeniería social, nos encontraremos con la explotación de
vulnerabilidades. Que, al clasificarlas, obtendríamos dos tipos de engaño: el humano y el
basado en la tecnología. Los cuales detallaremos a continuación.

2.5.1 Engaño Humano

Para ello, se necesita interactuar directamente con el individuo o establecer una relaciona con
la persona que este más afín, se da en un nivel psicológico. El engaño humano, tiene una
clasificación en diversos ataques como:

a. Hunting: En esta acometida, el ciberdelincuente no interactúa con la víctima,

solo se limita a un contacto limitado. Los datos conseguidos son del tipo phishing,
en él se hace pasar como parte de una organización o empresa conocida en el
medio local con gran influencia, logrando conseguir que la víctima ingrese datos a un
sitio web falso.

b. Farming: la exposición prolongada en la red, es usada para que los

ciberdelincuentes, obtengan datos relevantes del objetivo de ataque. Para lo cual,
se insertan en redes de confianza y vulneran con páginas falsas la información de
la víctima, quien, generalmente, no percibe el ataque.

c. Dumpster diving: es la actividad de juntar datos en forma molecular, ya sea en

pequeños fragmentos o desperdicios, se basa en que las personas destruyan su
información personal, para poder recopilarlo. Los ciberataques no solo se
apoyarán en datos de estados de cuenta, correos. También por sus costumbres,
medicinas, tipos de alimentos o regímenes alimenticios, para tener un alcance de cómo piensa
la persona en el ciberespacio y perfilar de mejor manera al objetivo

2.5.2 Engaño basado en la tecnología

Este tipo de engaño como indica el concepto usa la tecnología en todos los niveles como
base de sus operaciones, los más resaltante son:

a. Phishing: es el envío de mail fraudulento o enlace de ingreso falso. Es el engaño

más utilizado y lo detallaremos más adelante, ya que por su naturaleza necesita
mayor explicación.

Certificado de Especialidad II / Ingeniería Social 1

 b. Correo Spam: este tipo de correos poseen publicidad engañosa, en ellos, se
muestra un link falso aparentando ser verdadero, como citas, premios, ruletas,
juegos. La forma de sustraer información se aplica cuando se pincha en el enlace,
dando acceso al atacante para vulnerar el dispositivo.

c. Software: Para este tipo de engaño tecnológico, se usa el software de tipo

Keylogger (aplicación que copiara todos los movimientos del teclado). La
proliferación de este ataque se ha vuelto más reiterativo en la coyuntura actual,
debido a que el teletrabajo obliga a que las personas usen como medio laboral las
tecnologías, sin tener los resguardos necesarios a la hora de bajar softwares de internet.

3. Etapas de ingeniería social

Quién no ha tenido alguna vez un contacto con alguna entidad comercial, ya sea banco,
operadora móvil o retail, o, ha recibido un correo extraño en que se solicite abrir un archivo
adjunto.

¿No has tenido dudas de esa información?, pero, ¿cómo podemos saber que
esa información es verdadera? Estos mensajes, ¿serán parte un ataque de
ingeniería social?

Para poder resolver estas preguntas de manera correcta, debemos saber que cualquier ataque
de ingeniería social consta de etapas para lograr su cometido con éxito. Estas etapas también
son necesarias para encontrar vulnerabilidades, con la ayuda de un vector que permita entrar
al usuario o sistema. Por lo tanto, podemos afirmar que todo ataque tiene un ciclo, el cual,
revisaremos a continuación.

3.1 Interacciones previas al compromiso

Es importante tener en claro que la ingeniería social tiene relación con la congruencia y el
compromiso. Las personas que buscan engañar a otras en un servicio falso o una red
fraudulenta priorizaran el establecimiento de un compromiso de cualquier tipo, sea de vía voz
o escrita. Al obtener sus objetivos, la victima deberá cumplir su compromiso para aseverar la
imagen que tiene de sí mismo. Aquí también es de suma importancia conocer el tipo de
dificultad y la intervención que va a tener la víctima. Para esto, el atacante podrá distinguir
hasta qué nivel la persona atacada se comprometerá a ser partícipe del fraude. Para ello,
elaborará un plan en cada tipo de delito, previendo si este será solo a nivel personal o aun
conjunto de personas.

Certificado de Especialidad II / Ingeniería Social 1

 Si es de manera individual, el correo que se le enviará será elaborado con
mucho más detalle. Sin embargo, si es en forma masiva este método cambiará,
ya que no exigirá detalles personales.

Las interacciones con el individuo no necesariamente son en forma directa, se usan diversos
métodos para elaborar un perfil que se adecua al grado de información-objetivo que se desea
lograr. En contraparte, el compromiso de la empresa para tener una estrategia adecuada
contra la ingeniería social es importante. Para lo cual, convendrá tomar medidas de
sensibilización y compromiso de los colaboradores, desde los más sencillos hasta los más
complejos, siendo los más importantes:

No divulgar información sensible a desconocidos ni tampoco en perfiles digitales,

como las redes sociales.

No confiar en regalos ni ofertas que llegan a través de mensajes de textos o correos de

voz verificar la fuente.

Tomar acciones de ciberseguridad para proteger lo más preciado como “la

información”. Creando escenarios similares para emular el impacto.

Desconfiar de las llamadas telefónicas, desde el uso de tu nombre en forma de

presentación, hasta la solicitud de confirmaciones, hablar poco es una medida
restrictiva.

3.2 Recogida de información

Aquí el atacante recabará información de toda índole para ello se preguntará ¿qué medios
existen en la actualidad?

Por lo tanto, usará programas de tipo open source como: OSINT (open-source intelligence).
Que es el método por el cual el ciberdelincuente extrae datos de fuentes abiertas públicas
para el uso de sus labores de espionaje.

independientemente de cómo se obtiene la información se necesita un concepto claro de lo

que se busca. A primera vista parece sencillo; sin embargo, hay que tener valores de la utilidad
de la información. Para ello, el método de recopilación de la información que escoja el
atacante determinara el nivel de ataque que se aplicara, entre los más comunes tenemos:

Recollections urbana Eavesdrooping

Piggybacking y tailgating Shoulder surfing

Certificado de Especialidad II / Ingeniería Social 1

 Office snooping Baiting

Quid pro quo

Cada uno de los mencionados, son métodos de procesos más intuitivos. Sin embargo, existen
procedimientos donde actúan las interacciones humanas, para ello utilizaran las características
innatas en los seres humanos como:

AA

La cordialidad, especialmente con extraños.

AA

Parecer inteligente y bien formado.

AA

La gente no miente por mentir.

AA

Si elogias a la gente acostumbra a hablar más.

AA

Preocuparte por alguien genera amabilidad habitualmente como

AA

repuesta.
Si elogias a la gente acostumbra a hablar más.

Además de lo descrito el atacante lograra sus objetivos basando en cualidades como:

Debe ser natural, Cualquier incomodidad o nerviosismo le haría perder credibilidad.

Estar formado en el campo en el que debe actuar.

No ser avaricioso al querer extraer bastante información, porque sabe que puede perder
todo tipo de conexión.

Certificado de Especialidad II / Ingeniería Social 1

 3.3 Explotación de la información

Cualquier atacante que aprovechándose de su astucia y habilidades informáticas recopila la

información, comete fraude o ingresa al sistema informático, tiene la definición de
ciberdelincuente. También, se pueden clasificar en función de sus actividades y de los
objetivos que explotan, algunos de los más reconocidos son:

Hacker: son “piratas informáticos” profesionales, motivados por un contrato de una

persona u organización para vulnerar un sistema por un beneficio económico.

Probadores de penetración: personas que solo usan sus capacidades excepcionales para
romper un nivel de seguridad a fin de encontrar una vulnerabilidad para explotar.

Espías: personas que han sido asignadas para recopilar información específica en el
marco de una operación de inteligencia.

Ladrones de identidad: personas que usan la suplantación para acceder a niveles de

servicios restringido.

Empleados descontentos: Personal de la organización que los motiva la venganza y el

resentimiento.

Estafadores: Maestros en influir y engañar a las personas para que hagan todos lo que
se les dice.

Sin embargo, existen otros tipos de ciberdelincuentes que explotan la información, los cuales
son:

a. Corredores de información: se tratan de compañías de gran valor por su información, ya

que recopilan datos, proporcionando servicios de ingeniería a organizaciones del gobierno.
Estas empresas son de importancia para el ingeniero social ya que poseen un alto valor
comercial, usando herramientas como: ChoisePoint, Docusearch, Lexinexis.

b. Reclutadores de ejecutivos: son profesionales encargados de hacer selección de personal

para empresas, usando diversos recursos o herramientas para encontrar a las personas
adecuadas.

Asimismo, plantearemos algunos ejemplos donde los ciberdelincuentes se aprovechan de la

deficiencia de controles en las herramientas tecnologías para engañar a las víctimas.

Mantener los accesos con disponibilidad de entrada: en estos casos los atacantes utilizan
un camuflaje que les permite ingresa a los sistemas informáticos, accediendo a la
información de servicios.

Divulgar nombres de usuario y sus respectivas contraseñas vía telefónica.

Certificado de Especialidad II / Ingeniería Social 1

 Insertar una unidad flash USB cargado con malware: en estos casos se apela a la
curiosidad de la víctima quien instala este dispositivo en su equipo, activando el código
malicioso.

Abrir un archivo adjunto de un correo electrónico: en estos caso se apela a los deseos
innatos de las personas, ya sea curiosidad, deseo sexual, ambición.

Exponer secretos comerciales en una discusión con un colaborador ficticio

3.4 Post Explotación

Una vez cometido el ataque el ciberdelincuente, este visualizará el perfil más sutil y tratará en
forma suave difuminar la relación protegiéndose de cualquier vinculación con el lanzamiento
primigenio. Para ello utilizara el siguiente orden:

a. Clausura: este es un mensaje de sutil de despedida manteniendo el decoro y

respeto inicial. El ciberdelincuente agradecerá la relación, no sin antes ofrecer ayuda
para una solicitud más adelante.

b. Desvanecimiento: en esta etapa el ciberdelincuente debe ir diluyendo en forma

sutil los vínculos ya establecidos del sistema atacado, inicialmente descenderá de nivel
el código malicioso y luego desaparecerá.

c. Eliminación de rastro: la finalidad de cualquier vector de ataque es la sutileza, con

ello, lograremos no dejar vestigios del código malicioso la interacción en un nivel no
visible a la víctima sin rastro o vestigio no habrá prueba del ataque.

4. Roles de la Ingeniera Social

4.1 Usuario final

Al hablar de las historias de hacker más famosos, no podemos dejar de mencionar

a Kevin Mitnick, considerado unos de los primeros hackers con mayor influencia en
el mundo. Quien indico que el factor determinante de la seguridad de las redes no
son las técnicas de hardware y software que se pueden implementar en ellas. Por el contrario,
es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y
hacerlas cumplir” (Fuente: https://elusuariofinal.wordpress.com/tag/ingenieria-social/)

Tomando como referencia lo dicho por Mitnick, podemos decir que no está alejado de la
realidad, pues, vemos empresas que invierten miles de dólares en componentes de seguridad

Certificado de Especialidad II / Ingeniería Social 1

informática y no concientizan al usuario final, que con un simple click puede traer abajo lo
invertido en años.

Los ciberdelincuentes aprovechan que todo usuario final tiene: curiosidad, atracción, miedo y
empatía en el ciberespacio; generando de la ingeniería social un arte evolutivo a la par con
los avances tecnológicos.

4.2 Mesa de ayuda

La mesa de ayuda son un punto único de contacto entre los usuarios de la

organización. Su finalidad es resolver las necesidades de estos respecto al uso de
recursos tecnológicos, conservando los estándares o normas de la organización. Sin embargo,
al ser un punto único de comunicación, es una ventaja considerable para los
ciberdelincuentes, con su suplantación establecen comunicación con los usuarios finales,
aprovechando el exceso de confianza que se establece con estos, para solicitar claves. Para
luego, cometer actos ilícitos con la información brindada.

4.3 Cargo de alto nivel

Los altos ejecutivos o quienes ocupan un cargo de nivel superior están expuestos al ataque
de tipo whaling. Este método es utilizado para simular un cargo ejecutivo y atacar de forma
directa a sus pares (altos ejecutivos) con la finalidad de sustraer dinero, obtener información
de carácter confidencial, acceder a sistemas internos o cualquier fin delictivo. Este tipo de
amenaza también es llamada como CEO fraud. Utiliza el phishing como fórmula principal para
inducir a las personas al engaño.

4.4 Explotación de la información / Post explotación

El ciberdelincuente luego de crear una conexión con su objetivo, obtiene una relación de plena
confianza, el usuario final es manipulado al antojo del delincuente virtual. La razón de esto, es
que en ese momento en particular no representa un riesgo para él, por el contrario, la víctima
confía en él.

Generada la confianza necesaria, la víctima revela nombres de usuario, passwords, acceso a

información confidencial, pruebas de instalación de software, entre otros. Y como última
instancia, el atacante utiliza la suplantación de identidad para cometer los delitos.

Certificado de Especialidad II / Ingeniería Social 1

 5. Técnicas de la ingeniería social

Existen diversas técnicas, como: la navegación engañosa, acceso remoto, interceptación de

comunicación, entre otros. Sin embargo, una de las principales técnicas de los
ciberdelincuentes es la utilización del convencimiento, con ello, se aplica el análisis de los
escenarios y las coyunturas actuales para realizar un vector de ataque. Por otro lado, los
mecanismos de seguridad en las organizaciones deberán considerar todas las técnicas para
el control de los vectores, ya que estos van actualizándose cada día.

5.1 Navegación engañosa

¿Qué sucedería si un vector de ataque se produce en la empresa? ¿Qué

pasaría si esa información cae en manos de terceros?, ¿las empresas perderían
ventajas competitivas? En respuesta, se podrían cometer delitos con esa
información, estaría develando datos sensibles de los clientes

En el caso de que estas situaciones ocurrieran, la actividad de la empresa se vería perjudicada.

El costo de recuperación seria alto en el tiempo, provocando que se debiliten respaldo y
credibilidad. Por ello, las organizaciones deberán tomar decisiones con respecto a la
continuidad del negocio y deberán invertir en controles de seguridad para mitigar el riesgo,
logrando una ventaja competitiva en cuanto al resto. Asimismo, deberá concientizar a los
colaboradores para un actuar correcto en el uso de las redes.

En el caso de navegación engañosa para lograr los objetivos, los ataques vendrán por medio
de la red, el más conocido es el pishing que, mediante un correo engañoso permite el ingreso
del ciberdelincuente en forma sutil. La instalación del código malicioso se origina con
frecuencia cuando se utiliza el BYOD (Bring Your own Device o uso de dispositivos personales),
esta tendencia permite llevar a las organizaciones dispositivos externos, sin un control,
haciéndolas difícil de monitorear.

5.2 Acceso remoto / Acceso directo

Este tipo de ataque generalmente son por office snooping, es decir, cuando los usuarios se
levantan de su zona de trabajo o peor aun cuando se retiran del trabajo. Los atacantes pueden
acceder mediante un software de tipo keylogger o mediante un USB con código malicioso,
de forma remota o directa, afectando a varias estaciones de trabajo, apropiándose de la
información sensible de la organización. Asimismo, el DNS-BASED PHISING, también
conocido como pharming, usa la modificación del sistema host o el sistema de dominio de la

Certificado de Especialidad II / Ingeniería Social 1

organización, primero lo vulnera y la desvía devolviendo una dirección falsa, la persona no se
dará cuenta hasta el final de la operación de ataque.

El ransonware es uno de los ataques más activos en estos últimos años. Porque, no solo se
está logrando quitar la información, si no que ha evolucionado encriptando el código y así,
obtienen un beneficio económico para liberarlo, este tipo de malware ha crecido
exponencialmente en tiempos de la COVID 19.

5.3 Interceptación de comunicación

El emisor de correo malicioso simula ser la organización haciendo uso del engaño, mediante
este, hará creer a la víctima que se encuentra en la página correcta sin observar que el link
cambia en unas solas letras. Para ello, previamente habrá interceptado la conexión para
volverla permanente.

Los phishers o estafadores a menudo realizan un seguimiento vía internet, a las principales
organizaciones comerciales, para conocer todos sus sitios web públicos. Luego utilizan
técnicas de “typosquatting”, donde buscan un error tipográfico por el usuario para redirigirlo
a otro sitio web similar, pero falso.

Por último, se ha descubierto una nueva modalidad, llamada IDN HOMOGRAPH que
enmascara una página real con una página ficticia, logrando duplicar la información del
usuario.

Certificado de Especialidad II / Ingeniería Social 1

Ideas clave

Ingeniería Social

Vectores de Roles Técnicas

Introducción Etapas
ataque

Usuario Navegacion
Estado actual Motivos Interacciones final engañosa

Mesa de
Terminologia Ranking Recogida Acceso remoto
ayuda

Elementos Categorias Explotacion Cargos Interceptacion

Post
Tipos explotacion

Conclusiones

En la actualidad las organizaciones ponen más énfasis en la operatividad y comunicación en

los negocios. En el desarrollo de los contenidos, destacamos que los métodos y técnicas de
ataques de phishing utilizan el desconocimiento como fuente principal. Las debilidades o
llamadas también vulnerabilidades se encuentran en cualquier comunicación o sistema
informático. Originándose por malas configuraciones o controles no implementados. Algunas
de ellas, no son detectadas a tiempo y en otras ocasiones están expuestas mientras se trabaja
en la solución. Este espacio es aprovechado por los ciberdelincuentes para desarrollar ataques
como hunting, farming, dumpster diving, phishing, correo spam.

Por todo lo visto anteriormente, la operación de ataques de ingeniera social se ha sofisticado

con el pasar de los tiempos, apuntando el ataque a victimas puntuales y generando que la
suplantación de identidad sea cada vez más compleja de detectar. Aunado a ello, el ritmo de
vida acelerado que se tiene ocasiona una falta de atención del usuario en las aplicaciones que
utiliza en el ciberespacio.

Por otro lado, debemos considerar que la concientización y educación siempre será la mejor
defensa, porque si bien los controles de seguridad previenen la mayoría de los ataques,
todavía existen algunos que son dañinos e indetectables. Sin embargo, estas medidas pueden

Certificado de Especialidad II / Ingeniería Social 1

ser realmente costosas y generadoras de un consumo de tiempo considerable, son las más
efectivas en la lucha con la ciberdelincuencia.

Bibliografía

✓ Christopher Hadnagy (2011). Ingeniería Social. El Arte del Hacking Personal. España:
Anaya Multimedia.

Certificado de Especialidad II / Ingeniería Social 1