El Arte de la Ingeniería Social PDF

Summary

Este documento es un artículo sobre ingeniería social en el ámbito laboral y personal, donde se explora la forma de actuar, los tipos de ataques y su importancia en la seguridad informática. Trata temas como la confidencialidad, integridad y la disponibilidad en la seguridad. Explica las diferentes estrategias de ataque y como prevenirlas.

Full Transcript

1
Universidad Piloto de Colombia. Romero. Ingeniería social.

EL ARTE DE LA INGENIERÍA SOCIAL
Romero, Diego
[email protected]
Universidad Piloto de Colombia

Resumen- Este artículo nos muestra la forma de actuar I. INTRODUCCIÓN
de la ingeniería social en ambientes personales y laborales
dentro del campo de la seguridad de la información, esto En la actualidad y en el campo de la seguridad
con el fin de que el lector pueda llegar a comprender el informática el término de ingeniería social es muy
significado de la ingeniería social, como interviene en la reconocido, pues sin duda alguna son las compañías las
vida de las personas, las diferentes modalidades de ataque, que más resguardan y protegen su información, puesto
la manera de prevenirla, y la importancia que esta rama
que es considerada como la columna vertebral de sus
tiene en el mundo de la seguridad informática. Partiendo
de esta información, se espera que el lector pueda
negocios y se debe conservar su integridad.
establecer una base sólida de conocimientos que Las empresas siempre buscan tomar medidas de
contribuyan a la prevención de este tipo de ataques en los
seguridad que ayuden a gestionar su información, para
sistemas de su interés, bien sean empresariales o
ello se tiene en cuenta tres pilares de suma importancia
simplemente en la vida cotidiana. También se pretende que
en un futuro sea posible incrementar los controles de para la seguridad, tales como: la confidencialidad, la
seguridad a los sistemas de información, mediante integridad, y la disponibilidad. Con el pasar de los días
múltiples campañas de sensibilización en las empresas, la tecnología va avanzando y con ello se asocian los
generando cultura en las personas que contribuyan a la diferentes riesgos de mantener un sistema de
prevención de posibles ataques informáticos. información seguro, herramientas como firewall para
aplicaciones (WAF), sistemas de detección de intrusos
Abstract- This article shows us the way of acting of social (IDS), sistemas de protección de intrusos (IPS), entre
engineering in personal and work environments within the
otras, resultan cada vez más costosas y presentan altos
field of information security, this so that the reader can
come to understand the meaning of social engineering, as
grados de complejidad en su administración, los cuales
it intervenes in the lives of people, the different modes of requieren mano de obra especializada y con
attack, the way to prevent it, and the importance that this experiencia en el manejo de dichas soluciones
branch has in the world of computer security. Based on this tecnológicas. Adicional a esto, tenemos que reconocer
information, it is expected that the reader can establish a que también existe en todas las empresas del mundo un
solid base of knowledge that contributes to the prevention recurso inseguro que almacena información sensible,
of such attacks in the systems of interest, whether they are que es “la mente humana,” y a la cual hoy en día
business or simply in everyday life. It is also intended that todavía no se le ha dado la importancia requerida, por
in the future it will be possible to increase security controls ello muchas compañías no lo consideran importante
to information systems, through multiple awareness
dentro de sus políticas de seguridad de la información,
campaigns in companies, generating culture in people who
contribute to the prevention of possible computer attacks.
y a nivel de conceptos dentro de los términos de
seguridad informática. De todo ello nace una necesidad
Índice de términos- Defensa contra la ingeniería en todos los usuarios que operan sistemas tecnológicos
social, ingeniería social, sistemas de encriptación, técnicas que es tomar conciencia de lo importante de mantener
de ataque. controles que fortalezcan sus mecanismos de
seguridad, antes de que llegue a suceder siniestros en
su información.
 2
Universidad Piloto de Colombia. Romero. Ingeniería social.

De acuerdo con lo anterior, uno de los más para este caso suele implicar “el engaño” a las víctimas
importantes activos de información que se deben para ganar su confianza y que rompan procedimientos
identificar en las organizaciones son las personas, pues normales de seguridad, siendo ellos mismos los que
son estos los que albergan gran cantidad de datos, van abriendo las puertas a los atacantes por su propia
procedimientos, accesos, y controles que pueden actuar voluntad.
como mecanismos de seguridad o de peligro para el
acceso a información. De lo anterior nace un interrogante, ¿será posible hoy
en día presentarse un escenario de caballo de Troya a
Este documento también pretende enseñar al lector las través de las redes sociales?, la respuesta es sí, ya que
diferentes modalidades y manipulaciones a las que un las redes sociales se han convertido en parte
ser humano a través de elementos psicológicos puede fundamental, esencial y tal vez irremplazable para las
verse sometido en el momento de operar un equipo personas, pues se convierte en un espacio donde la
tecnológico y ejecutar ciertas actividades mayoría de usuarios muestran y hacen visible
inconscientemente. Este tipo de acciones hace información sobre gustos, necesidades y hasta
referencia a los más conocidos ataques de ingeniería problemáticas de su vida personal, y es ahí cuando los
social abreviado a partir de ahora en este documento atacantes aprovechan para persuadir y llegar a ellos
como I.S. Cuando escuchamos el término ingeniería tal utilizando publicidades engañosas, tan llamativas a las
vez nos imaginamos personas con cascos, planos, que los usuarios no se pueden resistir, cayendo así en
grandes matemáticos, genios de la computación, la trampa como en aquel entonces de la ciudad de
robótica, astronomía, o ambientales, etc. Sin embargo, Troya.
existe otra clase de ingeniería, una tan sutil que incluso
puede generar grandes cambios y crecer de una manera
III. LA INGENIERÍA SOCIAL EN LAS REDES
más rápida y fuerte que las anteriores, la I.S. Pero ¿por
qué está tan de moda este término?, a ¿qué se debe que SOCIALES
sea tan común hoy en día?, todos estos interrogantes se
discuten durante el desarrollo de este documento, El aumento de múltiples opciones en internet para
desde los orígenes de la ingeniería social, su definición, tener una red social como Facebook, Instagram,
grandes especialistas en el tema, diferentes técnicas de Twitter, entre otras, es directamente proporcional a la
ataque, hasta como defenderse de la I.S. necesidad del ser humano de consumir servicios como
estos, compartir información personal y hacerla
pública es la que aprovechan los ciberdelincuentes para
II. EL AYER Y EL HOY vulnerar las personas y conseguir sus objetivos, que por
lo general no son nada buenos. Los ataques de
La I.S no es un término moderno su existencia es de ingeniería social han ido en aumento día tras día y la
muchos años atrás, desde la creación del ser humano, estrategia que utilizan los ciberdelincuentes supone un
la edad antigua, y la edad moderna, retrocediendo en el gran trabajo de investigación para ellos, lo que los lleva
tiempo tenemos un primer ejemplo de ingeniería social también a ser cada vez más eficientes y obtener
que ocurrió en la ciudad de Troya ubicada hoy en día mejores resultados, la eficiencia de esta modalidad es
en el país de Turquía cuando fue conquistada alrededor por lo siguiente:
del año 1300 a.C. El plan de los griegos en ese entonces
para su conquista incluía un caballo gigante construido 1) Primero recolectan toda la información posible
en madera el cual denominaron los griegos “Caballo de extrayéndola de las redes sociales, para ello se registran
Troya,” y que guardaba en su interior los soldados que en las plataformas creando perfiles falsos ya sea en
acabarían con la ciudad entera, lo que parecía un Facebook, Twitter, LinkedIn, etc.
obsequio resultó ser la trampa y la perdición para la
ciudad de Troya.
2) Consolidan un plan de ataque para transmitir
La Ingeniería social que se manifestó en aquel fiabilidad.
entonces y comparándola con el presente, hoy en día
depende en gran medida de la interacción humana, y
 3
Universidad Piloto de Colombia. Romero. Ingeniería social.

3) Recolectan información particular, entienden su "víctimas" a los cuales poder atacar más adelante, las
comportamiento (temas de interés, amigos, gustos, pretensiones de estas personas podrían ser la
etc.), y ganan su confianza. investigación o la realización de inteligencia a una o a
un grupo de personas, la identificación de familiares y
amigos para posibles acciones criminales, la violación
4) El atacante hace su primer acercamiento (con un
a la privacidad de la información y el posterior robo de
falso perfil) teniendo ya definida la táctica de engaño
datos confidenciales como cuentas bancarias o
que va a utilizar.
contraseñas.

5) Cuando la víctima lo considera “su amigo,” el
IV. ENTENDIENDO LA INGENIERÍA SOCIAL
delincuente se muestra cercano y siempre intentará
sonsacarle aún más información a través de mentiras.
La I.S se puede definir como la práctica de obtener
información confidencial, en la mayoría de los casos
6) Una vez siendo “amigos,” el ciberdelincuente pedirá información de gran valor a través de la manipulación
datos más personales (correo electrónico, dirección, de la mente en las personas, donde los atacantes por
número de teléfono, etc.). medio del engaño intentan obtener información
sensible o privilegios en algún sistema, en definitiva se
7) En este punto, la identidad podría suplantar de una trata de engañar y confundir al usuario de un sistema
manera más rápida y eficiente, o se le enviaría a través informático para que acabe haciendo algo que
de correo electrónico un enlace llamativo que al abrirlo realmente no quiere hacer, cómo ejecutar un software,
ejecutase un troyano que infecta el computador y diera facilitar sus claves de acceso, o acceder a determinados
acceso a las cuentas bancarias de la víctima. servicios. Este tipo de ataque es muy simple, pero a
la vez bastante efectivo, ya que se puede conseguir
información en muy poco tiempo, a comparación de
8) Después de obtener lo que buscaba el atacante borra otras técnicas de hackeo sofisticadas, como un
todo rastro, abandona perfiles y no vuelve a hablar con programa maligno desarrollado para acceder a sistemas
la víctima.. y encriptarlos que lleven a la recolección de datos.

Se puede observar que hoy en día casi todas las Es importante entonces decir que la ingeniería social
personas poseen una cuenta de correo electrónico podría presentarse de dos maneras: una es
registrada en redes sociales, por lo que se convierte en interactuando con máquinas y software y la otra basada
una moda y una necesidad de los seres humanos contar en el ser humano. En la actualidad los ataques de
con estos servicios para su vida cotidiana. En estas ingeniería social utilizan las dos maneras para
redes se puede crear grupos, compartir fotos, potenciar los resultados, esta combinación es letal para
calendario, eventos, videos, comentarios, información una víctima que por lo general en ocasiones no es
personal con sus allegados o amigos. Si nos centramos consciente de que esta siendo atacado por esta técnica
a observar detalladamente todo lo que se publica por.
estas redes sociales nos encontraríamos con
información sensible, como fotos con ubicaciones y/o
lugares frecuentes, direcciones de vivienda o trabajo, Mencionaré algunos ejemplos nada lejanos de la
nombre de la empresa donde trabaja, nombres de realidad, en donde se aplica la ingeniería social en todo
familiares, gustos, y hasta números de celular, siendo su esplendor, invito al lector que coloque mucha
todo esto una gran ayuda para personas atención en estos dos casos muy cercanos a lo que hoy
malintencionadas que busquen investigar acerca de en día se presenta en nuestras vidas profesionales y
nosotros, lo cual le facilita la tarea al ciberdelincuente personales, es a través de ejemplos y enseñanzas que
para obtener información valiosa para su propio se aprende de las cosas, tal vez en un futuro o porque
beneficio o con fines delictivos. Estas personas no en el presente logremos identificar un ataque de esta
tendrían la posibilidad de recopilar información y índole.
almacenarla en una base de datos de posibles
 4
Universidad Piloto de Colombia. Romero. Ingeniería social.

A. Cediendo al engaño que se quiere) que colocan los ciberdelincuentes a sus
víctimas para convencerlos.
Imaginemos que usted es un oficial de seguridad de la
información de una multinacional y recibe una llamada El ataque informático se ve reflejado en dos maneras
a su número fijo de la oficina, en donde le ofrecen un una social y la otra técnica, que es a través del
sorteo de premios por una compra que usted realizó programa maligno, el cual se propagó mediante la
hace poco en un establecimiento de ropa, los premios ejecución del documento PDF, no sin antes abrir las
incluían entradas para un partido de fútbol de su equipo puertas a la misma víctima por medio de la ingeniería
favorito, así como viajes a destinos turísticos en donde social.
se encuentra su destino favorito, al que siempre ha
querido ir y no ha sido posible. Para ello accede a una
B. Víctima de la ingenuidad
serie de preguntas realizadas por el ciberdelincuente en
donde al final le solicitan su dirección de correo
electrónico (allí usted ya cedió), a este correo Ahora imaginemos que nos hacemos pasar por el
electrónico le sería enviado un archivo en formato PDF nuevo supervisor de un supermercado o tienda de
con más información sobre cómo participar en los cadena, (en muchos casos sin ni siquiera teniendo un
sorteos, inclusive durante la llamada el carnet de identificación sino únicamente con una
ciberdelincuente le indica que ya mismo le envía el vestimenta similar a la de un supervisor del mismo
correo y que por favor lo abra para confirmar que el almacén) y llamamos a un empleado (persona que
documento adjunto es legítimo y está completo con su maneja la caja registradora) diciéndole que se va a
información legible, asegurando que el archivo PDF realizar un cambio en las contraseñas para ingresar a la
que le envío es el correcto, usted accede, pero es allí caja de pagos, ya que estas se están bloqueando con
donde viene el ataque, gracias a que usted abrió ese frecuencia, el empleado muy amablemente abre la caja
mensaje y su adjunto allí su equipo se infectó de un y digita la clave en frente del supervisor (allí ya
malware que permitió accesos no autorizados al logramos observar la clave) o simplemente nos da su
sistema. clave de acceso.

La reflexión a este primer caso de I.S es que el ataque La reflexión de este segundo caso es que el ataque de
inicia con una llamada, sin embargo antes de esa I.S inicia de manera presencial y es cara a cara, se
llamada muy probablemente el ciberdelincuente ya observa que con una sola frase se logra conseguir
hubiese tenido información de la víctima, como información como en este caso la clave de la caja, y a
nombre, gustos, empresa donde labora, cargo en la su vez acceso a la misma (dinero, bonos, cheques, etc.)
compañía y todo ello muy posiblemente con una información con gran valor para el supermercado y que
investigación en internet (redes sociales), o con un en otros escenarios nos hubiera costado muchos días,
registro de datos personales durante la compra que semanas, o hasta meses conseguirla de otra manera
realizó en el almacén de ropa días atrás, por lo que es (mediante fuerza bruta, buscando vulnerabilidades en
importante controlar el uso de las redes sociales y el el software, mediante virus sobre el sistema operativo),
tratamiento de datos personales en los diferentes además todo esto y sin haber dejado rastro alguno
ámbitos. Posterior a ello la víctima cede al abrir el físico o lógico (log en el sistema), ya que fueron tan
archivo PDF adjunto del correo electrónico, importante solo unas frases y palabras muy convincentes y
no abrir adjuntos de remitentes desconocidos por más eficaces.
presión que ejerzan sobre nosotros, el que nos pidan
abrir el correo es lo que más desconfianza nos debe C. Aprovechando las redes sociales
crear, y por último sorteos, viajes, recompensas y
demás ofrecimientos tan llamativos no es de confiar
mucho, pues son estos el “anzuelo” (artimaña que se En el ámbito personal también se presentan muchos
utiliza para atraer la atención de alguien y conseguir lo casos de fraude y en gran parte con ayuda de las redes
sociales, algunas noticias falsas y scams relacionados
con muertes de celebridades que causaron polémica y
 5
Universidad Piloto de Colombia. Romero. Ingeniería social.

que buscaban que los usuarios de las redes sociales característica, y fue un gran engaño para los usuarios
siguieran enlaces u opinaran sobre el tema dando clic a de esta red social.
una de las URL falsas, algunas de ellas:
Ejemplos y casos de I.S en la vida real existen muchos
La falsa muerte del cantante Ricardo Arjona en un en el mundo y aquí podría relatar bastantes, lo cual no
accidente aéreo, la noticia generada en el año 2015 se es el caso ni me quedaré realizando discusión de cada
propagó por Facebook y redireccionaba a un enlace uno de ellos, sin embargo, es muy importante que de
que obtuvo en su momento más de 12.000 clics en cada caso se obtenga una reflexión que nos ayude a
menos de dos días, el phishing consistió en abrir un reconocer cuándo estamos siendo víctimas de estos
supuesto video del accidente del artista que en realidad ciberdelincuentes y cómo prevenir este tipo de ataque
era una falsa página de Facebook para iniciar social. Los medios de comunicación en muchos de los
nuevamente sesión y robar credenciales de la víctima, casos son el camino para que los ciberdelincuentes
después de ver el supuesto video que no era cierto se muestren todas sus armas y aprovechen esos canales
debía dar clic en compartir lo cual permitirá que el para llegar a muchos de los usuarios, colocando así a
enlace falso se enviará a otra víctima y la propagación prueba a gran multitud y esperando quienes caen en el
del mismo sería más rápida. engaño por si solos.

D. Reconociendo la ingeniería social a otro nivel

Después de cada ejemplo visto anteriormente nos
preguntamos ¿en qué momento estamos siendo
afectados por la I.S?, para ello puedo decir que
cualquier ayuda o consejo no solicitado debe tratarse
con precaución, especialmente si se trata de hacer clic
en un enlace, abrir un adjunto de correo electrónico o
brindar información sensible, ya que es probable que
se trate de un intento de fraude por ingeniería social.
Decir que reconocer un ataque de ingeniera social es
fácil no es cierto, ya que en muchas ocasiones no nos
damos cuenta de estas amenazas, tal vez sea menos
complejo el darnos cuenta de que convivimos con un
posible engaño y que en algún momento de nuestras
vidas podemos identificarlo y actuar de manera
correctiva. Es de resaltar que cualquier petición de su
Fig. 1. Suplantación, imágenes tan llamativas e impactantes de las que
contraseña o información confidencial sin duda es un
debemos desconfiar y analizar su procedencia..
principio de fraude y posible ataque de ingeniería
social del cual podemos estar siendo víctimas, las
Se logró observar después de la noticia que dos de los organizaciones legítimas nunca piden su contraseña, ya
cuatro países más afectados en nuestra región fueron que esto es algo confidencial e intransferible, además
Argentina y Colombia con el 35% y 32% de los clics es importante comprobar la dirección de correo
totales respectivamente. electrónico del remitente y validar que sea legítima, la
manera más fácil de hacerlo es a través de su dominio
Otro de los engaños fue la famosa opción del botón de correo electrónico, y si nos dirigimos a la parte
“no me gusta” en Facebook, que terminaba técnica existen herramientas que analizan el mensaje
ocasionándole a la víctima un gasto extra al quedar de correo y su cabecera al detalle.
suscrita en servicios de SMS Premium. A fin de
cuentas, en ese entonces Facebook nunca había
anunciado la implementación de esta controversial
 6
Universidad Piloto de Colombia. Romero. Ingeniería social.

Herramientas como messageheader de Google, tarjetas bancarias y/o información de las personas para
messageheader analyzer de Microsoft en donde posteriormente engañar a la víctima.
podemos revisar que los dominios de confianza no sean
suplantaciones de otros, esto a través de campos como:
Vishing: Consiste en obtener información o generar
acciones a través un teléfono móvil o fijo y suele
From: Aquí se muestra de quien viene el mensaje. realizarse en prácticas como suplantar la identidad de
otra persona, es una técnica que al ser combinada con
otras se convierten letales.
Subject: Esto es lo que el remitente coloca como un
tema del contenido del correo electrónico, es decir el
asunto. Smishing: Son los ciberdelincuentes que realizan
phishing a través de mensajes de texto y buscan hacer
caer a la víctima bien sea abriendo un enlace falso, que
Return-Path: La cuenta de correo electrónico para
se comuniquen a un número telefónico para sacar
devolver el correo.
información o respondan a un mensaje de texto
enviado con anterioridad.
Received: Esta cabecera es la más importante y
normalmente es la de más confianza. Muestra una lista
Según el famoso informático estadunidense
de todos los servidores y ordenadores por las que el
reconocido en el campo de la seguridad informática
correo ha viajado para llegar al destinatario.
Kevin Mitnick, los pilares psicológicos y sociales en
que se apoyan estas técnicas sociales son cuatro:
X-Spam-Status: Esto muestra la puntuación de Spam
generada por tu servicio o cliente de correo, importante
1) Las ganas de ayudar, a mi criterio en Colombia
a la hora de reconocer un correo malicioso.
tenemos una ventaja de esta primera técnica y es que el
ciudadano promedio en nuestro país es muy
X-Spam-Level: Esto muestra la puntuación de Spam desconfiado, pensando que siempre tras una ayuda o
normalmente generada por tu servicio o cliente de favor se viene algo a cambio y va el concepto que
correo, entre más alta la puntuación mayor riesgo de tenemos como malicia del pueblo.
ser un spam.
2) El primer movimiento es de confianza hacia el otro,
Message Body: El contenido del correo electrónico como todo acercamiento a un ser humano y ganarse la
escrito por el remitente. confianza del otro es esencial para extraer información
de gran valor que queramos.
X-Mailer: En algunos clientes de correo o plataformas
se puede visualizar desde que cliente de correo se ha 3) A todos nos gusta que nos alaben, la admiración
enviado el mail. hacia otra persona y el ego es gratificante para un ser
humano de allí el sentirse importante, es un camino
V. PRÁCTICAS COMUNES Y ESPECIALISTAS hacia la confianza entre las personas.

EN EL TEMA
4) No nos gusta decir “no,” y esta frase es muy
Phishing: Consiste en enviar correos electrónicos que importante debido a que se debe aprender a decir no
parecen confiables con el objetivo de robar independientemente de a quien se dirijan, puede ser un
información personal y confidencial, se dice que esta superior quien nos este indicando una instrucción que
modalidad de ataque abarca un 77% de los ataques no sea integra o que no este acorde a nuestros valores
sociales reportados. La mayoría de estos casos simulan ,.
ser entidades financieras que buscan actualizar datos de
 7
Universidad Piloto de Colombia. Romero. Ingeniería social.

Estos pilares nos alertan para reconocer cuando web con información valiosa donde aprender los
estamos siendo víctimas de la ingeniería social y la métodos para engañar a las víctimas, uno de estos
manera en que nos está afectando. Este tema de la I.S portales es socialengineer.org, plataforma que
hace reflexión a varios expertos en la materia como los proporciona datos realmente útiles como los
son Kevin Mitnick, Fran Abagnale, Marcus Nohlberg, fundamentos teóricos, el funcionamiento de cada
Markus Huber, entre otros. Recopilando el estado del ataque y ejemplos que aclaran cada uno de los
arte que ha realizado cada uno de ellos es posible conceptos de esta rama.
obtener una visión mucho más precisa, dada la rápida
evolución tecnológica que ha habido durante los
¿Tal vez muchos se pregunten cómo podemos
últimos años.
eliminar la ingeniería social?, para ello solo puedo
decir que no es posible, pero lo que sí podemos hacer
Fran Abagnale por ejemplo fue uno de los hackers más es mitigarla pues siempre estaremos expuestos a esta
famosos con sus múltiples identidades, falsificaciones técnica de ataque y la mejor forma de evitarla es no
de cheques y engañando la mente humana de miles de dejarse engañar, en toda etapa de nuestras vidas nos
personas, todo para obtener información que ayudará a encontraremos con gente de toda índole, en donde
sus grandes estafas, hoy en día es el director de algunos quieren ayudarnos a salir adelante y otros
Abagnale and Associates, compañía financiera de quieren aprovecharse de nuestra humildad para sacar
consultas de fraudes, dentro de sus frases famosas está provecho de cualquier situación. Quiero dejar una frase
la siguiente: “Lo que hacía en mi juventud, es mil veces muy representativa, y tal vez muchos de ustedes la
más fácil, hoy en día la tecnología alimenta al crimen” escucharon a especialistas en seguridad de la
- Frank W. Abagnale ,. información o la han visto en diferentes sitios web,
imágenes y campañas publicitarias, y es que “nuestra
mente es el eslabón más débil de nuestro ser y en algún
También tenemos el ciclo de I.S diseñado y
momento de nuestras vidas fuimos o seremos
mencionado por Kevin Mitnick, quien es uno de los
marionetas”.
hackers, crackers, y phreakers más famosos de la
historia y hoy en día se dedica a la consultoría desde la
óptica particular de la I.S. en uno de sus famosos libros Las técnicas de ataque de la I.S son muy variadas y
del arte, que decía lo siguiente “El ciclo es muy simple, existen diferentes modalidades, pero para este artículo
pero no por ello poco eficaz. Se puede resumir en tomaré las mencionadas en la referencia de la
buscar información, crear confianza y utilizarla” , revista de seguridad de defensa digital, de la. universidad nacional autónoma de México, en donde se
menciona que en general, los ataques de I.S actúan en
dos niveles: el físico y el psicosocial.
Dentro de sus frases famosas y que a mi criterio es
muy importante para concientizar a la alta dirección en
las compañías en donde piensan que el área de TI es El primero describe los recursos y medios a través de
solo gastos e inversiones es: “Una compañía puede los cuales se llevará a cabo el ataque, y el segundo es
gastar cientos de miles de dólares en firewalls, sistemas el método con el que se engañará a la víctima. Para
de encriptación y demás tecnologías de seguridad, pero dejar más claro el tema mencionaré unos ejemplos de
si un atacante engaña a un empleado, todo ese dinero ellos a continuación:
no habrá servido para nada”- Kevin Mitnick.
A. Nivel físico
VI. MÉTODOS DE ATAQUE
Ataque por teléfono: Es la forma más persistente de
La mayoría de los cibercriminales no invierten mucho
I.S, en esta el atacante realiza una llamada telefónica a
tiempo en probar tecnologías complejas para sus
la víctima haciéndose pasar por otra persona, es un
ataques; saben que es más sencillo y menos costoso
modo muy efectivo ya que no se requiere una cara a
utilizar la ingeniería social, incluso existen páginas
 8
Universidad Piloto de Colombia. Romero. Ingeniería social.

cara, por lo tanto, la forma de engaño es más difícil de Cabe resaltar que también existen ataques
descubrir y más fácil para el delincuente. psicológicos que pueden ayudar a que un ataque cara a
cara o de otra modalidad sea exitoso, los más comunes
de acuerdo con la revista de seguridad de la universidad
Shoulder surfing: Esta técnica es una de las más
nacional autónoma de México , son:
antiguas, y se realiza a través de la observación directa,
esto es tratando de ver información confidencial, como
las contraseñas.. B. Nivel psicosocial

Ataque vía internet: Es de los más famosos, ya que Exploit de familiaridad: Táctica en que el atacante
los servicios ofrecidos allí son bastantes y de diferentes aprovecha la confianza que la gente tiene en sus amigos
maneras: vía correo, página web, software p2p, y familiares, haciéndose pasar por cualquiera de ellos.
mensajería instantánea, hoy en día la mayoría de los Un ejemplo claro de esto ocurre cuando un conocido
ataques provienen del método del correo electrónico. llega a una fiesta con uno de sus amigos. En una
situación normal nadie dudaría de que ese individuo
pudiera no ser de confianza. Pero ¿de verdad es de fiar
Dumpster diving o trashing (zambullida en la
alguien a quien jamás hemos tratado?.
basura), consiste en buscar información relevante en la
basura, como: agendas telefónicas, organigramas,
agendas de trabajo, unidades de almacenamiento (CD, Crear una situación hostil: El ser humano siempre
USB, etc.), entre muchas otras, para los procura alejarse de aquellos que parecen estar locos o
administradores de TI, en donde por alguna razón enojados, o en todo caso, salir de su camino lo antes
escribieron claves de acceso a sistemas de información posible. Crear una situación hostil justo antes de un
o bases de datos se recomienda no arrojar estos papeles punto de control en el que hay vigilantes, provoca el
de apuntes a la papelera de basura. ,. suficiente estrés para no revisar al intruso o responder
sus preguntas.
Ataque vía SMS: Ataque que aprovecha las
aplicaciones de los celulares. El intruso envía un Conseguir empleo en el mismo lugar: Cuando la
mensaje SMS a la víctima haciéndola creer que el recompensa lo amerita, estar cerca de la víctima puede
mensaje es parte de una promoción o un servicio, ser una buena estrategia para obtener toda la
luego, si la persona lo responde puede revelar información necesaria. Muchas pequeñas y medianas
información personal, ser víctima de robo o dar pie a empresas no realizan una revisión meticulosa de los
una estafa más elaborada. antecedentes de un nuevo solicitante, por lo que
obtener un empleo donde la víctima labora puede
resultar fácil.
Office snooping: Esta técnica aprovecha la ausencia de
la persona responsable de la oficina para husmear en su
PC o documentos. De allí la importancia de generar el Leer el lenguaje corporal: Un ingeniero social
bloqueo de la sesión al momento de retirarnos de experimentado puede hacer uso y responder al lenguaje
nuestros PC. Es importante dar este tipo de corporal. El lenguaje corporal puede generar, con
capacitación al personal de operadores en las centrales pequeños, detalles una mejor conexión con la otra
de monitoreo. persona. Respirar al mismo tiempo, corresponder
sonrisas, ser amigable, son algunas de las acciones más
efectivas. Si la víctima parece nerviosa, es bueno
Ataque cara a cara: El método más eficiente, pero a
reconfortar. Si está reconfortada, ¡al ataque!.
la vez el más difícil de realizar. El atacante requiere
tener una gran habilidad social y extensos
conocimientos para poder manejar adecuadamente Explotar la sexualidad: Técnica casi infalible. Las
cualquier situación que se le presente, de allí es donde mujeres que juegan con los deseos sexuales de los
surge la palabra arte de la I.S. hombres poseen una gran capacidad de manipulación,
ya que el hombre baja sus defensas y su percepción.
 9
Universidad Piloto de Colombia. Romero. Ingeniería social.

Probablemente suene asombroso, pero es aprovechar la VIII. CONCLUSIONES
biología a favor. Esta técnica suele ser utilizada en la
mayor parte por las mujeres ya que al vestirse La seguridad de la información abarca muchos
llamativas y ser el centro de atención de un hombre la campos y muchas áreas de estudio, por ello no solo es
distracción es mayor y todo juega a favor del atacante tecnología o herramientas de software lo que ayudan a
para cumplir sus objetivos. controlar vulnerabilidades o tipos de malware que
intente atacar contra un computador o cualquier
hardware de la compañía, lo más vital y que muchas
VII. DEFENSA CONTRA LA INGENIERÍA
veces no tomamos con la importancia que se merece,
SOCIAL es que toda organización debe reforzar a su personal en
la concientización de temas en seguridad de la
La forma de defenderse contra estos tipos de ataques información, esto a través de charlas, capacitaciones,
de I.S es capacitando y formando a las personas en sus actividades de seguridad, los cuales adopten sólidos
casas, universidades, y aquellas que laboran en las conocimientos y esten capacitados para manejar y
diferentes compañías, para prevenir riesgos que se solucionar posibles situaciones donde se presenten
puedan ocasionar sobre los sistemas informáticos, con casos de ingeniera social, con esto ayudamos a
ello se toman medidas preventivas sobre la prevenir y mitigar riesgos sobre los diferentes ataques
información y no se corren riesgos de pérdida parcial o que puedan presentarse.
total de la misma. Algunos mecanismos válidos para
este tipo de defensa son los mencionados en la revista
de seguridad de la universidad nacional autónoma de Es importante resaltar que la mente humana, así como
México así: puede ser la más grande tumba de secretos, también
puede ser la mayor ventana abierta de información
sensible, importante y relevante para una compañía o
1) Nunca divulgar información sensible con para su vida misma, brindando así todo aquello que
desconocidos o en lugares públicos (como redes conlleve a lograr los oscuros objetivos de un atacante,
sociales, anuncios, páginas web, etc.) es por ello que debemos de ser cuidadosos a la hora de
interactuar con personas desconocidas y de brindar
2) Si se sospecha que alguien intenta realizar un información relevante para los demás.
engaño, hay que exigir se identifique y tratar de revertir
la situación intentando obtener la mayor cantidad de REFERENCIAS
información del sospechoso y sin alertarlo.
Base de conocimiento, entender una cabecera de correo.
Sitio web. [Online]. Disponible:
3) Implementar un conjunto de políticas de https://clouding.io/kb/entender-una-cabecera-de-correo/
seguridad en la organización que minimice las acciones
de riesgo, y comunicarlas a todos los funcionarios de la Ingeniería social, hackeando a personas. Sitio web.
compañía. [Online]. Disponible: https://csirt.utpl.edu.ec/ingenieria-
social-hackeando-personas
Aspectos profesionales: Protección de Datos, Cloud
4) Efectuar controles de seguridad física para Computing y Sistemas de Gestión. Sitio web. [Online].
reducir el peligro inherente a las personas. Disponible:http://www.aspectosprofesionales.info/2014/01/
ingenieria-social-hackeando-personas.html
5) Realizar rutinariamente auditorías y pen test Cómo funciona la ingeniera social. [Online]. Disponible:
usando I.S para detectar huecos de seguridad de esta https://mrhouston.net/blog/como-funciona-la-ingenieria-
naturaleza. social/
Escrito por Edgar Jair Sandoval Castellanos “Ingeniería
6) Llevar a cabo programas de concientización Social: Corrompiendo la mente humana” revista seguridad,
sobre la seguridad de la información. defensa digital | 1 251 478, 1 251 477 | revista bimestral.
Volumen 10. 04/05/2011. México.
 10
Universidad Piloto de Colombia. Romero. Ingeniería social.

Ingeniera social, hackear al ser humano. Sitio web.
[Online].Disponible:
https://www.seguridadenamerica.com.mx/noticias/articulos
/18940/ingenierIa-social-hackear-al-ser-humano-
Ingeniera social. Sitio web. [Online]. Disponible:
http://www.social-engineer.org/
K-oox seguridad informática. Sitio web. [Online].
Disponible: http://k-oox.blogspot.com/2016/05/ingenieria-
social-la-amenaza-invisible.html
Mitnick, K. John Wiley & Sons. El arte de la decepción.
México D. F. (2002).
Profa. Gabriela Cruz Montalvo. Sitio web. [Online].
Disponible:
https://docentegabrielacruz.wordpress.com/aplicacion-de-
la-seguridad-informatica/unidad-1-aplica-estandares-de-
proteccion-de-la-informacion/r-a-1-1-determina-riesgos-de-
seguridad-informatica-con-base-en-las-caracteristicas-del-
equipo-y-las-necesidades-del-usuario/
Welivesecurity eset, ingeniera social: los usuarios como
víctimas de la falta de atención. Sitio web. [Online].
Disponible:https://www.welivesecurity.com/la-
es/2014/05/01/ingenieria-social-los-usuarios-como-
victimas-de-la-falta-de-atencion/
Welivesecurity eset, las 5 historias de ingeniera social
más ridículas de los últimos tiempos. Sitio web. [Online].
Disponible: https://www.welivesecurity.com/la-
es/2015/12/01/historias-de-ingenieria-social-ridiculas/

Autor
Diego Alexander Romero Rubio, nacido el 17 de
septiembre de 1986 en el municipio de Nocaima,
Cundinamarca. Egresado de ingeniería de sistemas de
la Corporación Unificada Nacional (CUN), certificado
en ITIL fundamentos v3, especialista tecnológico en
seguridad de redes, cursó y aprobó los módulos I y II
de CCNA y en la actualidad está cursando la
especialización de seguridad informática en la
Universidad Piloto de Colombia.