Grado en Criminología

Facultad de Derecho
Albacete

Tema 6
Ingeniería Social

Ciberseguridad
e Informática Forense
Módulo: Delitos en la Red
José Pascual Molina Massó
Contenidos
6.1. Introducción
6.2. ¿Qué es la Ingeniería Social?
6.3. Tipos de ataques
6.4. Medidas para protegernos

Ingeniería Social 2/27

6.1 Introducción
◼ Cuando se habla de ciberdelincuencia, la gran
mayoría de usuarios piensa en complejos códigos
maliciosos creados para atacar a una gran empresa o
institución.
◼ La ciberdelincuencia no opera generalmente de esta
manera, porque requiere de una inversión de
tiempo, recursos humanos y económicos muy
elevados.
◼ La mayoría se centran en atacar al mayor número de
víctimas, con la menor inversión posible. Para
conseguirlo, una de las técnicas preferidas por los
ciberdelincuentes es: la Ingeniería Social.
Ingeniería Social 3/27
Introducción
◼ La premisa básica es que es más fácil manejar a las
personas que a las máquinas.

Ingeniería Social 4/27

6.2. ¿Qué es la Ingeniería Social?
◼ Es la práctica o técnicas usadas con el objetivo de
engañar/manipular a un usuario para conseguir que:
 Revele algún tipo de información, normalmente de carácter
personal o confidencial.
 O lleve a cabo algún tipo de acción, como la ejecución de
un archivo o la visita de un enlace web.
◼ Este arte del engaño, además de aspectos técnicos,
incluye una componente psicológica (psicohacking)
para ganar la confianza del usuario y que haga lo que
le pide el ciberdelincuente.

Ingeniería Social 5/27

¿Qué es la Ingeniería Social?
◼ A través de esta técnica, los ciberdelincuentes suelen
buscar obtener la siguiente información:
 Contraseñas de acceso (credenciales) a equipos
informáticos y servicios, p.ej. redes sociales, webmail, etc.
 Información financiera, como el número de una tarjeta de
crédito, cuenta bancaria, etc.
 Información y datos de proveedores y clientes.

 Información sobre productos y servicios, etc.

◼ La obtención de credenciales podría ser utilizada

para suplantarnos, y en muchas ocasiones instalar
software malicioso, sin que el usuario sea
consciente.
Ingeniería Social 6/27
¿Qué es la Ingeniería Social?
◼ La ejecución de software malicioso podría brindar a
los ciberdelincuentes:
 Acceso a otras credenciales o información que
encontrarán en nuestro ordenador.
 El control sobre nuestros equipos y aplicaciones que
pondrán a trabajar a su servicio (botnets y redes zombi).
 Poder secuestrar nuestros datos y pedir un rescate
(ransomware).

Ingeniería Social 7/27

¿Qué es la Ingeniería Social?
◼ La ingeniería social es algo que va más
allá de la ciberseguridad y que seguirá
siendo usada por los ciberdelincuentes
durante años ya que es una técnica que
funciona realmente bien con los
usuarios.
◼ Las amenazas siguen siendo las
mismas que hace 10 años o más,
pero van evolucionando a medida
que lo hace la tecnología.

Ingeniería Social 8/27

¿Por qué funciona?
◼ Podemos pensar que la gente es lo suficientemente
inteligente como para no caer en este tipo de
engaños.
◼ Pero existen condicionantes que hacen que todos
podamos fallar y caer en ellos.
◼ Por ejemplo, aunque con un objetivo legítimo, los
comerciales también tratan de convencernos para
comprar productos que puede
que ni siquiera necesitemos,
y los compramos.

Ingeniería Social 9/27

Principios básicos Ingeniería Social
◼ Respeto a la autoridad, de una empresa o del
Estado.
◼ Voluntad de ayudar, sobre todo en entornos
laborales donde el ciberdelincuente puede suplantar
a un compañero.
◼ Temor a perder un servicio.
◼ Respeto social, miedo a no ser socialmente
aceptados o perder la reputación (p.ej. sextorsión).
◼ Productos gratis a cambio de información privada.
◼ No nos gusta decir “No” (el “bienqueda”).
◼ A todos nos gusta que nos alaben.
Ingeniería Social 10/27
6.3. Tipos de ataques
◼ Los ataques de ingeniería social se pueden dividir en
dos tipos dependiendo del número de interacciones
que requieran por parte del ciberdelincuente.
◼ Hunting (caza):
 Este tipo de ataques buscan afectar al mayor número de
usuarios realizando, únicamente, una comunicación.
Ejemplo de ello son las campañas de phishing.
◼ Farming (cultivo):
 Los ciberdelincuentes realizan varias comunicaciones con
las víctimas hasta conseguir su objetivo u obtener la mayor
cantidad de información posible, como en los casos de
extorsión y suplantación.

Ingeniería Social 11/27

¿Dónde obtienen la información?

◼ Tanto en campañas masivas, como en ataques más

personalizados. La principal fuente suele ser
Internet, a través de motores de búsqueda, redes
sociales y servicios “underground”.
◼ Una búsqueda de uno mismo en esos mismos
motores (egosurfing) nos puede dar una idea de lo
que pueden llegar a saber de nosotros.
◼ También pueden obtener información mediante:
 Shoulder surfing: Observando lo que escribe o tiene en
pantalla el usuario (“mirar por encima del hombro”).
 Dumpster diving: Husmear en la basura para obtener
documentos con información personal o financiera.
Ingeniería Social 12/27
¿A quién suelen suplantar?
◼ Una autoridad del Estado
 El atacante se hace pasar por la Policía o la Agencia
Tributaria para solicitar datos personales, el pago de multas
ficticias, etc.
◼ Una empresa de servicios
 El atacante se hace pasar por operador de Internet o
empresa de transportes para pedirle datos de conexión, el
pago de un paquete, etc.
◼ Un empleado de la empresa o colaboradora
 El atacante dice ser el sustituto de un empleado que se
encuentra enfermo o de vacaciones para obtener datos.
◼ Una empresa de encuestas
Ingeniería Social 13/27
Tipos de ataques
◼ Phishing
 Busca “pescar” personas a través de un correo electrónico
en el que se hacen pasar por una persona o empresa de
confianza (banco, telefonía, energía, etc.) y con la
apariencia de comunicación oficial.
 El correo suele incluir archivos adjuntos infectados o links a
páginas plagiadas o fraudulentas.
 Al seguir sus instrucciones acabamos enviándoles nuestras
credenciales, datos bancarios, etc., o infectando nuestro
equipo con malware.

Ingeniería Social 14/27

Tipos de ataques
◼ Cómo detectar que el correo es fraudulento
 La dirección del remitente es sospechosa.
 Contiene errores en logos o imágenes copiadas.

 Contiene errores ortográficos.

 Contiene errores de expresión, como en una mala

traducción.
 Si llegamos a pinchar en el enlace, debemos
comprobar que se trata de una web real y
segura (https y certificado correcto).
 Pero, sobre todo, si nos piden datos confidenciales.
Tu banco nunca te pedirá por email tu contraseña, clave o
coordenadas de banca electrónica, PIN de tarjeta, etc.

Ingeniería Social 15/27

¿A quién suelen suplantar?

Ingeniería Social 16/27

Tipos de ataques
◼ Https y certificado correcto

Ingeniería Social 17/27

Tipos de ataques
◼ Email spoofing (suplantación)
 Es cuando alguien nos envía un correo donde el campo
FROM del remitente es falso, de forma que podrían decirte
que el correo te lo ha enviado una persona, empresa o
entidad bancaria conocida, pero que realmente no son
ellos los que realizan este envío.
 La suplantación de identidad es posible debido a que el
protocolo SMTP (Simple Mail Transfer Protocol), el principal
protocolo utilizado para el envío de los correos
electrónicos, no incluye un mecanismo de autenticación.
 Es muy utilizado para llevar a cabo ataques mediante
técnicas de phishing.

Ingeniería Social 18/27

Tipos de ataques
◼ Whaling
 Es el phishing dirigido a “peces gordos”.
◼ Smishing
 Otra variante del phishing pero que se difunde a través de
mensajes SMS, en los que se pide llamar a un número de
tarificación especial o seguir un enlace a una web falsa.
 El mismo ataque también se puede realizar a través de
mensajería instantánea (WhatsApp, Facebook Messenger).
◼ Vishing
 Llamadas telefónicas en las que el atacante se hace pasar
por una organización/persona de confianza, por ejemplo
recreando la voz automatizada de las entidades bancarias.

Ingeniería Social 19/27

Tipos de ataques
◼ Spam con adjuntos o enlaces maliciosos
 Son correos electrónicos con publicidad engañosa que
también pueden contener adjuntos que instalan software
malicioso, o llevar enlaces a sitios fraudulentos que pueden
comprometer nuestro equipo.
 Un equipo infectado puede ser utilizado para, por ejemplo,
enviar a su vez enormes cantidades de spam.
◼ Scam (estafa)
 Los mensajes de este tipo aparentemente son spam, pero
están pensados y creados específicamente para estafarte.
Un ejemplo es la estafa nigeriana, que promete compartir
una herencia a cambio de adelantar dinero.

Ingeniería Social 20/27

Tipos de ataques
◼ Webs maliciosas
 Que ofrecen una publicidad engañosa sobre un premio o
servicio gratis que para obtenerlo es necesario registrarse.
 A menudo usamos las mismas credenciales para
registrarnos en distintos sitios, por lo que posiblemente les
estemos dando las de nuestro correo o red social.
 Un caso muy común son las páginas de descargas de
software y contenidos.
◼ Pop-ups
 Ventanas emergentes que piden instalar software o
complementos en el ordenador, pero que realmente
esconden software malicioso. Es mejor bloquearlas.

Ingeniería Social 21/27

Tipos de ataques
◼ Redes sociales
 Con el auge de las redes sociales, los ciberdelincuentes han
visto en ellas un entorno donde obtener gran cantidad de
información que nosotros, los usuarios, compartimos unos
con otros.
 Suelen emplear anuncios y páginas de fans con chollos u
oportunidades únicas que finalmente dirigen a los
internautas a webs maliciosas.

Ingeniería Social 22/27

Tipos de ataques
◼ Pendrives
 La infección de nuestros equipos y dispositivos también
puede realizarse a través de acciones tan sencillas e
“inocentes” como insertar un pendrive USB.
 Existen numerosos casos en los que se han distribuido por
ciberdelincuentes en lugares estratégicos para poder
introducir malware en equipos y redes concretas. Es lo que
se llama baiting (poner un cebo), usar un cebo con
software malicioso a la espera de que sea el propio usuario
quien infecte su equipo.

Ingeniería Social 23/27

6.4. Medidas para protegernos
◼ El refuerzo de la ciberseguridad ha de pasar por:
 Concienciación de los empleados: en relación con las
amenazas y los riesgos relevantes para la organización.
 Formación en materia de seguridad: para fortalecer las
capacidades de prevención, defensa, detección, análisis y
respuesta a los ciberataques.
 Desarrollo de políticas y documentos internos de
seguridad: para empleados de la organización y terceros
que pudieran resultar afectados, como proveedores,
clientes, etc.

Ingeniería Social 24/27

Medidas para protegernos
◼ Recomendaciones básicas:
 No dar nuestras credenciales a nadie. Ningún banco, ni
ninguna empresa con la que se tenga un contrato llamará
directamente para pedir datos confidenciales.
 No instalar en los equipos programas de origen
desconocido.
 Tener instalado un antivirus con la característica
antiphishing para correo electrónico y navegación web.
 Mantenerse al día de las amenazas en ciberseguridad y de
las vulnerabilidades que van apareciendo suscribiéndonos a
algún servicio de alerta, como por ejemplo el boletín del
INCIBE.

Ingeniería Social 25/27

Medidas para protegernos
◼ Recomendaciones para una navegación segura:
 Antes de usar nuestras credenciales, o introducir datos
personales o bancarios en una web, comprobar que la URL
(dirección) es correcta y que el contenido no resulta
sospechoso.
 Fíjate en que la conexión sea segura (https, el candado) y
verificar el certificado web de la página (que corresponda
con el sitio que queremos visitar).
 Accede directamente a la URL de la web y no a través de
enlaces desde otras páginas web, pero con cuidado de no
cometer errores al escribir la dirección (typosquatting).

Ingeniería Social 26/27

Medidas para protegernos
◼ Recomendaciones para el correo electrónico:
 Comprobar que la dirección del remitente del mensaje es
legítima, y en caso contrario no leerlos ni acceder a sus
enlaces.
 Desconfiar de los correos genéricos que no están dirigidos a
tu nombre.
 Desconfiar de los enlaces que indican una dirección y al
acceder a ellos abren una web con una URL distinta.

Ingeniería Social 27/27