Ethical Hacking:

La Importancia de Realizar Pen-Tests Utilizando Social Engineering

Geoffrey Feldman, Juan Ocasio, Ryan Perez
Universidad de Puerto Rico, Recinto Rio Piedras
¿Por qué es importante realizar pen-tests en Pasos para realizar un pen-test de ingeniería social
Términos Relevantes
ingeniería social ? 1. Alcance y planificación 3. Intentos de penetración
1. Social engineering o Ingeniería social - práctica En este paso, se En esta etapa, el
La ingeniería social o se encuentra en el centro de casi todos los de obtener información confidencial de un sistema
identificará qué está probador ejecutará
tipos de ataques cibernéticos, con el 98% de los ciberataques mediante el uso de trucos psicológicos para engañar
dentro del alcance todas las pruebas
basados en ella. a usuarios legítimos con el fin de obtener acceso.
y cómo se llevará a identificadas en el paso
En , la prueba de penetración o , es una forma efectiva de validar 2. Ethical hacking – Es una técnica o proceso que cabo la prueba. anterior y documentará
la seguridad de un sistema y encontrar vulnerabilidades antes de se hace desde el punto de vista de un hacker y se todo lo que ocurra.
que sean explotadas. utiliza para buscar las vulnerabilidades de alguna red
o Sistema para mejorarlo.
En particular, la prueba de penetración de ingeniería social se 2. Identificación de vectors 4. Informe
enfoca en examinar si los empleados están siguiendo las políticas 3. Penetration testing- rama de Ethical Hacking en
y prácticas de seguridad de su empresa. Por lo tanto se debería la que se intenta probar de manera sistemática y En esta etapa, el En esta etapa, se
realizar pen testing en ingeniería social, pero, de manera activa una red desplegada con ataques simulados probador identificará presentarán los resultados
adecuada y ética. que se conocen como penetration tests. El propósito todos los métodos de de la prueba y se
de estos es determinar sus vulnerabilidades. proporcionarán
ataques que utilizarán
durante la prueba y recomendaciones para
Métodos comunes de ingeniería social estarán vinculados a mitigar las
ciertos usuarios y vulnerabilidades
Phishing USB drops grupos encontradas.

Método de obtener Ataque en el que el

información confidencial perpetrador deja Reglas que se deben tomar en consideración al realizar pen-testing
mediante solicitud una memoria USB
fraudulenta de un perpetrador (Flash Drive) con la • No hacer nada que pueda hacer que la víctima se sienta vulnerable o discriminada.
que se hace pasar por una esperanza de que la
victima la inserte en el • Mantener un comportamiento profesional y evitar el uso de lenguaje ofensivo y materiales ofensivos o sexualmente
empresa legítima o una persona
USB port de su explícitos.
de confianza mediante email.
computadora.
• Considerar el bienestar de todas las personas involucradas en la examinación y evitar cualquier manipulación
negativa o amenaza, a menos que sea necesario para una prueba específica.
Vishing Tailgating
• Evitar participar en actos inmorales o ilegales, y no publicar vulnerabilidades que puedan causar efectos negativos.
Método de obtener Técnica de obtener • Minimizar los riesgos para la confidencialidad, integridad o disponibilidad de la información de los individuos
información en donde el información confidencial
involucrados, y utilizar prácticas reflexivas y consideradas de social engineering para intensificar las pruebas.
perpetrador utiliza llamadas en el que un perpetrador
telefónicas pretendiendo ser sin autorización persigue Además, dejar una buena impresión después de la prueba.
una persona confiable para a una persona con
autorización para entrar a
convencer a la víctima a
una área restringida. Conclusión
divulgar datos confidenciales.
• Social engineering es un método de ataque peligroso y fundamental para ciberataques hoy en día.
• Pen-tests utilizando social engineering son importantes para mantener la seguridad de los sistemas en las mejores condiciones
Smishing Dumpster diving
posibles.
Método de obtener Método de obtener • Al realizar, estos pen-tests se deben seguir los pasos apropiados para no causar daño innecesarios.
información privada que información que consiste
consiste en el envió de un en buscar en la basura de
SMS solicitando esta data por una persona o empresa. El References
parte del perpetrador, que está objetivo principal es ● Aharoni, M. (n.d.). Social Engineering Code of Ethics. Retrieved from Security Through Education: https://www.social-engineer.org/framework/general-discussion/social-engineering-code-of-ethics/
obtener información ● Allen, J. (2022, noviembre 10). Social Engineering Penetration Testing: Attacks, Methods, & Steps. (J. Firch, Ed.) PurpleSec, 1. Retrieved from https://purplesec.us/social-engineering-penetration-testing/
simulando ser parte de una
confidencial como ● Granger, S. (2001). Social Engineering Fundamentals, Part I : Hacker Tactics. SecurityFocus, 17. Retrieved from
entidad legítima para engañar contraseñas y números de https://www.semanticscholar.org/paper/Social-Engineering-Fundamentals%2C-Part-I%3A-Hacker-Granger/3b26582d9ffe48ce2f6a3790badb50f6939501c7.

a la víctima. tarjetas de crédito.