Tema 3 - Ingeniería Social

1. Introducción 2
1.1. Ingeniería social y recopilación de información 3
2. Técnicas de Ingeniería Social 4
2.1. Junk mail 4
2.2. Phishing 4
2.3. Baiting 5
2.4. Vishing 5
2.5. Smishing 6
2.6. Pretexting 6
3. Herramientas complementarias al uso de la ingeniería social 7
3.1. Ataques de gusanos 7
3.2. Canales de envío de enlaces de malware 7
3.3. Ataques de redes de pares (P2P) 8
3.4. Otras aplicaciones de la ingeniería social por parte de ciberdelincuentes 8
4. Medidas contra el engaño 9
5. Bibliografía 9
1. Introducción
La ingeniería social es un método basado en engaño y persuasión, utilizado para obtener
información significativa o lograr que la víctima realice un determinado acto, como por
ejemplo, ejecutar un archivo que le llegó por e-mail, que revele su contraseña por teléfono
cuando se la solicitan o, por último, que esta persona incide sobre otra para enviar datos hacia
un lugar determinado.

La ingeniería social apunta a explotar el factor humano en la infraestructura de la

organización (considerado por muchos la parte más débil del sistema) y es un método que
puede llevarse a cabo a través de canales tecnológicos (impersonal vía Internet o teléfono) o
bien en persona, cara a cara.

El trabajo de ingeniería social puede estar dirigido a:

● Una organización objetivo.

● Una organización al azar.
● Determinado empleado.
● Un grupo de empleados.
● Un usuario.
● Todo aquel relacionado con éstos.

El contacto es realizado supuestamente por:

● Prestador/a de servicios.
● Conocido, amigo o pariente de alguien.
● Autoridad.

A través de los medios:

● Cara a cara con protagonista: Mediante diálogo.

● De carácter secundario: Como empleado de correo o cadetería.
● E-mail: Todas las formas imaginables, algunas detalladas más adelante.
● Teléfono, impersonal: Diálogo.
● Medios y agentes combinados: por ejemplo, el intruso envía un e-mail de un supuesto
superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos
momentos va a pasar alguien a recoger un dato o determinada información para que se
la tenga preparada.
Con el objetivo final de obtener:

● Información: busca pequeñas pistas o datos para planificar el embate.

● Acciones: busca generar determinadas acciones.

1.1. Ingeniería social y recopilación de información

Aún sin el suficiente conocimiento técnico como para cometer una intrusión a través de la
seguridad de red (firewalls, IDS, control de accesos), un manipulador hábil puede lograr su
ingreso recabando información mediante algunas llamadas telefónicas o e-mails. ¿Cómo?
Obteniendo los datos de un usuario legítimo a través de una previa recolección de
información interna sobre procedimientos, datos concretos (tipos de formularios o códigos) y
nombres.

El intruso informático seguramente va a buscar información utilizando ingeniería social y por

eso es tan importante extremar las precauciones con lo que a información confidencial
respecta, y desconfiar de cualquier suceso o consulta inesperada.

Pero, ¿qué es lo que convierte a un intruso que emplea ingeniería social en semejante
amenaza?

● Éste adopta la identidad que desea o la suplanta.

● Ajusta la retórica o su modo de comunicarse al receptor, a sus sentimientos y a su rol
dentro de la organización formal.
● Genera la trama o excusa que conviene a su propósito.
● Hace interactuar personajes reales y ficticios entre sí.
● Expone a su víctima a trampas, voluntades de ayuda, seducción y preocupación con
tal de obtener cierto dato o una acción precisa.

Ya hemos comprobado en el tema anterior que existe una cantidad ingente de información en
la red a la que puede acudir un intruso para utilizar en tácticas de ingeniería social. La labor
de un profesional de la seguridad informática adquiere entonces mayor importancia, al abrir
los ojos a sus clientes a estás vías y técnicas que puede usar un posible intruso.
2. Técnicas de Ingeniería Social
Hay casi tantos tipos de ataques de ingeniería social como sesgos cognitivos. Vamos a
examinar atentamente los tipos más comunes.

2.1. Junk mail

El spam al correo electrónico o junk mail es uno de los tipos de ingeniería social más
antiguos en Internet y es responsable de prácticamente toda la basura que llega a las bandejas
de entrada. En el mejor de los casos, el spam en el correo electrónico es molesto. En el peor
de los casos, se trata de una estafa para obtener datos personales o credenciales de algún tipo.

Muchos servidores de correo electrónico revisan los mensajes automáticamente en busca de

spam malicioso, pero el proceso no es perfecto y a veces algunos mensajes peligrosos pueden
superar sus filtros.

2.2. Phishing
Análogamente al spam en el correo electrónico, el phishing generalmente se lleva a cabo a
través del correo electrónico, pero siempre parece ser legítimo. El phishing es un tipo de
ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y
están diseñados específicamente para engañar a las víctimas y que revelen sus datos
personales o financieros.
El principal peligro del phishing es el abuso de la confianza del usuario con respecto a la
entidad legítima que está siendo suplantada. Este tipo de ataques están orientados a los
usuarios, en lugar de a las empresas.

2.3. Baiting
Los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden
empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un
dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de
encontrar.

Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad. Si la víctima lo
recoge y lo conecta a su equipo, podría infectar su equipo con malware, y dejarlo vulnerable
y expuesto a posteriores intrusiones.

2.4. Vishing
El vishing, también conocido como voice phishing o phishing por voz, es un tipo sofisticado
de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca
legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo,
personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su
identidad.
2.5. Smishing
El smishing es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS.
Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través
de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. A
menudo, solicitan a las víctimas que revelen información personal que los atacantes pueden
usar para beneficio propio.

Los ataques de smishing suelen transmitir una sensación de urgencia y se aprovechan de la

confianza de las personas en los mensajes de sus smartphones para que actúen rápidamente y
sean víctimas de un ataque.

2.6. Pretexting
El pretexting es un tipo de ataque de ingeniería social en el que los atacantes se hacen pasar
por otra persona para obtener datos personales. Los ataques de pretexting pueden suceder en
Internet o fuera de las redes, y con la existencia de las redes sociales, su eficacia ha
aumentado enormemente.

A menudo, los atacantes investigan mucho para hacerse pasar por personas legítimas. No es
fácil detectar los engaños detrás del pretexting, de modo que lo habitual será que aquellas
empresas que pongan el suficiente interés en la seguridad de sus activos como para contratar
una auditoría de seguridad informática traten también de formar a los empleados en el
conocimiento y las contramedidas frente a estas técnicas.
3. Herramientas complementarias al uso de la ingeniería social
Cuando un posible intruso utiliza técnicas de ingeniería social, puede convencer a un
empleado incauto de que abra archivos infectados o enlaces a sitios infectados y otros
recursos.

3.1. Ataques de gusanos

Un gusano es un tipo de programa malicioso independiente que se puede auto-replicarse y
propagarse a través de redes informáticas, sin intervención humana. Los gusanos casi siempre
causan algún perjuicio a la red, aunque solo sea consumir ancho de banda.

El principal objetivo de los gusanos es propagarse y afectar al mayor número de dispositivos

posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen
posteriormente a través de diferentes medios, como el correo electrónico o programas P2P
entre otros.

La forma en que se apoyan en las técnicas de ingeniería social es seleccionando un tema o un

nombre llamativo con el que camuflar el archivo malicioso.

3.2. Canales de envío de enlaces de malware

Los enlaces a sitios infectados se pueden enviar a través de correo electrónico, ICQ y otros
sistemas de mensajería instantánea; o incluso a través de salas de chat de Internet IRC. Los
virus móviles se suelen enviar por mensaje SMS.

Cualquiera que sea el método de envío, el mensaje generalmente contendrá palabras

llamativas o intrigantes que animan al usuario desprevenido a hacer clic en el enlace. Este
método de penetrar un sistema puede permitir que el malware burle los filtros antivirus del
servidor de correo.
3.3. Ataques de redes de pares (P2P)
Las redes P2P también se usan para distribuir malware. Un gusano o un virus troyano puede
aparecer en la red P2P con un nombre que probablemente llame la atención y convenza a los
usuarios para que descarguen y abran el archivo. Este canal de infección es menos probable
en un entorno corporativo.

3.4. Otras aplicaciones de la ingeniería social por parte de ciberdelincuentes

En algunos casos, los creadores y distribuidores de malware se esfuerzan por reducir las
probabilidades de que las víctimas denuncien una infección. Es posible que las víctimas
respondan a una oferta falsa o un servicio gratuito o una guía que promete:

● Acceso a comunicaciones móviles o Internet gratuita

● La posibilidad de descargar un generador de números de tarjetas de crédito
● Un método para aumentar el saldo de la cuenta en línea de la víctima u otros
beneficios ilegales.

En estos casos, cuando se descubre que la descarga es un virus troyano, la víctima preferirá
evitar revelar sus propias intenciones ilegales. De ahí que probablemente no denuncie la
infección a ninguna fuerza de seguridad.

Un ejemplo de esta técnica consiste en un virus troyano que se enviaba a direcciones de

correo electrónico obtenidas desde un portal de búsqueda de empleo. Las personas que se
habían registrado en el sitio recibieron ofertas de trabajo falsas, que además incluían un virus
troyano. El ataque se dirigió principalmente a direcciones de correo electrónico corporativas
y los cibercriminales sabían que el personal que recibiera el troyano no iba a querer decir a
sus empleadores que se habían infectado mientras buscaban un empleo alternativo.
4. Medidas contra el engaño
Como profesional de seguridad informática, se pueden hacer las siguientes recomendaciones
a los clientes en el informe final de la auditoría:

1. Entrenar a los empleados mediante charlas y ponencias (especialmente a aquellos

que trabajen de cerca con el público, y a aquellos empleados con acceso a la
información más vulnerable) acerca de esta fuga de información. También se
desarrollan políticas para el manejo interno de la información, su clasificación y la no
descentralización de ésta por fuera del protocolo.
2. Llevar a cabo testeos éticos de seguridad (que no tendrán impacto en la
organización, sino que darán una noción de cómo está resguardada ante este tipo de
amenaza) como un intento de intrusión simulado, realizar pruebas anti-baiting y otros
métodos más intrusivos. La finalidad de todo esto es aumentar también el nivel de
seguridad relacionado a accesos físicos.
3. Fomentar en el sistema corporativo los siguientes elementos:
a. Concientización institucional acerca de la ingeniería social.
b. Políticas internas que contemplen la descentralización de datos y el resguardo
de la información.
c. Políticas acerca del buen uso de recursos de comunicación e informáticos, por
parte de todos los empleados.

5. Bibliografía
Hacking Ético, Carlos Tori.

[Link]

Hacking Ético 101, Karina Astudillo B.

[Link]
Dkarina%2Bastudillo%26sortby%3D17%26tn%3Dhacking%2Betico%2B101%2Bhackear&
cm_sp=snippet-_-srp1-_-title1
Ingeniería Social S.A.L., empresa dedicada a la concienciación de las tácticas de ingeniería
social en el ámbito corporativo

[Link]

Blog del antivirus Avast

[Link]

Blog del antivirus Kaspersky

[Link]