

UNIVERSIDAD DON BOSCO

VICERRECTORIA DE ESTUDIOS DE POSTGRADO

TRABAJO DE GRADUACION

INGENIERIA SOCIAL, EL ELEMENTO HUMANO DE LA SEGURIDAD;

CONTRAMEDIDAS Y PLANES DE ACCION PARA FORTALECER LA SEGURIDAD
EN LAS ORGANIZACIONES.

PARA OPTAR AL GRADO DE

MAESTRO EN SEGURIDAD Y GESTION DE RIESGOS INFORMATICOS.

ASESOR

MG. JOSE GUTIERREZ

PRESENTADO POR:

LIC. MAURICIO E. CASTRO

Antiguo Cuscatlán, La Libertad, El Salvador, Centroamérica.

Enero 2016
 Ingeniería Social, El Elemento Humano de la Seguridad.
Contramedidas y Planes De Acción Para Fortalecer La
Seguridad En Las Organizaciones.
Mauricio Castro,
[email protected]
planes de acción van orientados a la elaboración de políticas y
Resumen—En el presente artículo se hace un estudio y análisis de procedimientos, así como al entrenamiento de las personas en
las técnicas de ataque que hacen uso de la Ingeniería Social. Aun donde todos son parte fundamental en la cadena de la
cuando la seguridad de la información cuenta con mucha seguridad en la organización.
tecnología para su protección, los sistemas siguen siendo
vulnerables a los ingenieros sociales. Se presenta la metodología
con la cual proceden los cibercriminales con el objetivo de
vulnerar la seguridad de una empresa y así robar información II. ESTADO DEL ARTE
sensible. Finalmente se muestran diferentes estrategias y medidas El termino Ingeniería Social es relativamente nuevo y sus
preventivas para combatir los ataques de Ingeniería Social,
orígenes se trazan a inicios del año 2000. Antes de esa
fortalecer la seguridad y elevar el nivel de defensa del eslabón
más débil en la cadena de seguridad, el ser humano. coyuntura el término era poco conocido, sin mucha relevancia,
y los estudios realizados eran mayormente en la lectura del
Términos Índices—Amenaza, Dumpster Diving, Ingeniería lenguaje corporal, en el arte de descifrar las actitudes de un
Social, Ingeniería Social Inversa, Ingeniero social, Phising, ladrón, sus gestos, el mensaje que proyectaba con su cuerpo.
Shoulder Surfing, Programa de Seguridad, Vulnerabilidad. La difusión y uso del conocimiento en esta materia era poca,
la información por la red era limitada, viajaba más lenta, y el
interés por profundizar en esta área bastante escaza. Pocos
I. INTRODUCCIÓN autores encontramos que estudian los vínculos entre el arte del

L A Ingeniería Sociales la adquisición de información acerca engaño y los ataques a los sistemas informáticos. La
de sistemas informáticos a través de medios que no comprensión de las debilidades y riesgos inherentes en los
seres humanos que crean y manipulan los sistemas no era
involucran herramientas tecnológicas avanzadas. Esta técnica
primordial. En ese entonces las tecnologías estaban al alza, sin
no requiere herramientas de punta, puede ser usada por
embargo, sistemas y tecnologías como las redes sociales y
personas con conocimientos técnicos moderados o bajos, y su dispositivos móviles no tenían la inmensa difusión que tienen
uso es relativamente barato en el tema de costos [1]. Una ahora en nuestra vida cotidiana. Esta primera ola de
organización puede adquirir toda la tecnología en seguridad transformación digital trajo consigo la introducción de
que su presupuesto pueda costear, puede entrenar y capacitar internet, pero 15 años después las cosas han cambiado. Una
a su personal en el uso de esta tecnología para resguardar la segunda ola ha traído la movilidad, las redes sociales son la
información sensible. El personal puede elaborar políticas de principal manera, así como la favorita, de conectarse a la red y
seguridad y seguir todas las buenas prácticas de los expertos. con las personas para compartir nuestra información, sea estos
Puede también contratar guardias altamente entrenados para la puntos de vista políticos, religiosos, personales, fotos
seguridad física de las instalaciones. Sin embargo la empresa familiares, ubicación personal, hacer mercadeo, etc.
aun tiene una vulnerabilidad residual. La seguridad a menudo Hay más dispositivos móviles que seres humanos en el planeta
es simplemente una ilusión, una ilusión a menudo empeorada en este momento, se estima que hay más de 13,400 millones
cuando la credulidad, la inocencia o la ignorancia entran en dispositivos conectados a internet, una cifra que equivale a
juego. Bruce Schneier, consultor de seguridad afirma que “La más de dos veces el número de la población mundial y la
seguridad no es un producto, es un proceso” [2]. La seguridad tendencia es un incremente del 283% para el año 2020 [27].
no es un problema tecnológico, es un problema humano y de Con el incremento de tecnología, potencia y capacidades en
gestión. manos de millones de usuarios, los riesgos también han
incrementado exponencialmente.
El presente trabajo está organizado de la siguiente manera,
Actualmente el tema de la Ingeniería Social está siendo
primero se muestra la metodología que los ingenieros sociales
investigado con más profundidad cada día. Este trabajo se
usan para perpetuar un ataque junto con sus cuatro filosofías
basa en las investigaciones más sobresalientes y de más peso
básicas [3], luego se describe las técnicas más comunes de que hasta este momento se han realizado. La primera
Ingeniería Social en uso. Se realiza un estudio sobre la investigación es por Kevin Mitnik, famoso consultor
conciencia de la seguridad de la información en dos empresas estadounidense y experto en seguridad informática,
salvadoreñas y se presenta su análisis. Finalmente se presentan primeramente conocido como un hacker y por sus problemas
las contramedidas, con el objetivo de elaborar una estrategia con la ley, pero luego como un consultor de seguridad que
de prevención y el fortalecimiento de la seguridad de las utilizo su conocimiento y habilidades para entrenar y enseñar a
organizaciones, de la información y de los usuarios. Los organizaciones y gobiernos en el tema de la seguridad de la
información. El libro titulado <El Arte del Engaño> de Kevin actualmente se han llevado pruebas de concepto y estudios en
Mitnik es quizá el más citado en todas las investigaciones este campo. En la figura 2 se muestra un esquema genérico del
posteriores realizadas sobre el tema de la Ingeniería Social. ciclo de ataque, y procesos se ejecutan dentro de un bot en la
Aun cuando este trabajo se realizó en el 2002 sus aportes tiene Ingeniería Social Automatizada.
una gran vigencia ya que la tecnología cambia rápidamente,
pero los patrones humanos, sus vulnerabilidades y su manera Como principales autores de este nuevo concepto están
(ilógica muchas veces) de actuar se mantienen. Innumerables Markus Huber con su tesis de máster en Computer Science
trabajos se han fundamentado en esta investigación, [29] y el equipo francés EURECOM con su trabajo
agregándole el ingrediente particular y la orientación deseada titulado “HoneyBot” [30]. Ambos estudios desarrollaron
según la época y las necesidades propias. Por eso se ha software tipo bots para mantener conversaciones e
considerado muy importante incluir este material como interacciones automatizadas en Facebook, con altos índices de
referencia en esta investigación. respuesta y muy bajos porcentaje de detección.

Un segundo estudio realizado en el área de Ingeniería

Social es la tesis doctoral del Dr. Marcus Nohlberg, PhD en
ciencias de la computación en la universidad de Skövde,
Suecia en 2007. Marcus Nohlberg, autor de la figura 1,
diferenció en su tesis doctoral hasta seis disciplinas
diferentes: sociología, psicología, economía y gestión,
seguridad, derecho y educación. En este trabajo se tratan las
aéreas de psicología, gestión del riesgo y la seguridad y
educación del usuario. Esta tesis, una de las más completas y
consultadas también se basó primordialmente en los trabajos
de Kevin Mitnik en su libro El Arte del Engaño.

Fig. 2. Muestra el ciclo de ataque del un bot en la I.S.A

III. DESCRIPCIÓN DE LA PROBLEMÁTICA

Los controles técnicos estrictos parecen no ser una solución

viable a los problemas asociados con los seres humanos y la
seguridad. De hecho, muchos usuarios saben que su
comportamiento no es compatible con las políticas de
seguridad actuales en lasorganizaciones y en su lugar
Fig. 1. Aéreas de investigación y tópicos conectados al elemento humano de
la seguridad en la I.S. [28]
encuentran justificaciones en el comportamiento similar de sus
compañeros de trabajo, piensan “todos lo hacen”, y en la
Ingeniería Social Automatizada creencia de que los reglamentos internos de la organización no
son realistas.En un estudio llevado a cabo por inspectores del
La Ingeniería Social Automatizada es una evolución de la Departamento del Tesoro de los Estados Unidos, un tercio de
Ingeniería Social, basada en la automatización de los los empleados del Servicio de Impuestos Internos (IRS)
componentes presentes. Estos componentes suelen ser el divulgó sus nombres de usuario y contraseñas a los auditores
medio y el atacante. Además, conlleva un cambio de filosofía que llamaron fingiendo ser técnicos de soporte [31].
a la hora de diseñar el pretexto. La diferencia entre una
herramienta que automatiza la faena y una prueba de concepto La problemática podemos resumirla en la siguiente frase:
de la Ingeniería Social Automatizada es la independencia que "No importa toda la tecnología que se tenga - no hay
esta segunda toma a la hora de realizar el ataque, gracias a la tecnología que pueda proteger contra los seres humanos". La
presencia de elementos psico-sociales incorporados a su lógica firma de seguridad Gartner Inc. expreso lo siguiente referente
de control. El concepto está muy enlazado con la inteligencia al problema de los riesgos involucrados con los seres
artificial, dada la necesidad de mutar con nueva información y humanos: “Los individuos malintencionados siempre han
sabido que la mejor manera de burlar cualquier sistema de C. Ejecución.
seguridad es manipular un objetivo humano dándoles lo que
El objetivo ahora puede ser manipulado por el agresor “de
quieren - lo que llamamos Ingeniería Social. Esto sigue siendo
confianza” para revelar la información (por ejemplo,
la mayor amenaza de seguridad a las empresas” [28].
contraseñas) o realizar una acción (por ejemplo, crear una
cuenta) que normalmente no ocurriría. Esta acción podría ser
Es evidente que hay grandes riesgos asociados con los seres
el final del ataque o el comienzo de la siguiente etapa.
humanos y la seguridad, y sobre todo en lo que respecta a los
ataques dirigidos a las vulnerabilidades humanas. En el mundo D. Explotación.
de la seguridad de la información, se sabe relativamente poco
sobre qué es lo que hace que un ataque de Ingeniería Social Una vez que la víctima ha completado la tarea solicitada por
tenga éxito, como se puede medir, y lo más importante que es el ingeniero social, el ciclo ha sido completado.
cómo prevenirlo. Si no se conoce la envergadura del riesgo, no
se puede juzgar con objetividad si una política o medida
aumenta realmente la seguridad o si solo es un mero V. MOTIVACIONES DEL LOS ATAQUES DE INGENIERÍA
formalismo. Si queremos proteger un sistema debemos saber y SOCIAL.
comprender contra que debemos protegerlo. De esta manera, Según un estudio patrocinado por la empresa de seguridad
si se ignoran los ataques realizados hacia los seres humanos, CheckPoint la principal motivación de los ataques de
se está asegurando que contra estos ataques se está totalmente Ingeniería Social es la obtención de un beneficio económico
vulnerable. La seguridad de la información se debe abordar de [5]. Motivaciones para ataques de Ingeniería Social varían
una manera holística. Este trabajo se enfoca en el elemento ligeramente en los diferentes países.
humano de la seguridad, abordando la técnica de ataque
llamada Ingeniería Social. A. Motivaciones económicas: existe una variedad de razones
por las que alguien justifique un ataque para obtener ganancias
económicas. Sin embargo todas son ilegales e infringen la ley.
IV. METODOLOGÍAS DE LA INGENIERÍA SOCIAL Un ejemplo típico de esta motivación es el robo de tipo
Existe un patrón común que un ingeniero social sigue para hormiga que se hace a los bancos [12].
llevar a cabo un ataque. Según un estudio llevado a cabo por la B. Intereses propios: un individuo puede, por ejemplo, querer
empresa consultora Gartner, todo cibercriminal sigue una serie acceder y/o modificar la información que se asocia a un
de pasos comunes que son reconocibles y prevenibles [4]. Este familiar, amigo o incluso un vecino. Por ejemplo modificar el
patrón común es una metodología de cuatro fases: 1-recopilar balance de la tarjeta de crédito o borrar el historial de
información, 2-desarrollar una relación, 3-ejecución y 4- esquelas.
explotación [4]. En la figura 3 vemos el esquema del patrón de
C. Venganza: por razones muy particulares y específicas de
ataque según Kevin Mitnik
una persona, esta puede elegir una víctima como un amigo, un
A. Recopilar Información. vecino, un compañero de trabajo o una organización, con el
simple propósito de satisfacer la necesidad emocional de la
En esta fase el atacante puede usar un sin número de técnicas venganza.
para recopilar información de su víctima o de alguna persona
clave en la ejecución del ataque. Alguna información útil D. Presiones Externas: una persona puede estar recibiendo la
incluye, pero no está limitada a: lista de teléfonos, lista de presión de los amigos, la familia ogrupos del crimen
contactos, lista de correos electrónicos, fechas de cumpleaños, organizado por razones tales como el beneficio económico, el
el organigrama de alguna organización. interés personal, interés político y/o espionaje industrial.En los
últimos años se conocieron tres incidentes a gran escala:
B. Desarrollar una relación de confianza con la víctima. Stuxnet, Duqu y Flame –poderosos códigos maliciosos
El atacante busca explotar la vulnerabilidad psicológica de dirigidos contra plantas industriales ubicadas en Oriente
la buena disposición o la “buena voluntad” de las personas Medio y Europa– cuyos objetivos apuntaron al saboteo y al
para mantener y desarrollar una buena relación con las robo de información [13].
víctimas. Cuando el ingeniero social logra situarse en una La tendencia muestra que los atacantes continuarán utilizando
posición de “confianza” luego puede usarla para explotar esta Ingeniería Social para obtener información valiosa de los
vulnerabilidad. demás. Estos utilizan cuatro filosofías:

1. Actúan con fianza y llaman la atención en lugar de

esconderse y parecer sospechoso [7].Dan algo a la
víctima, para generar reciprocidad y confianza [8].
2. Usan el humor como herramienta para que las
personas no estén a la defensiva [9].
3. Solicitan y luego proporcionan unas respuestas que
suenan legítimas [10]
Fig. 3. Muestra del patrón de ataque de cuatro pasos dela Ingeniería Social
7 de cada 10 personas caen ante un esquema similar al C. Reciprocidad.
expuesto [11].
Podemos cumplir automáticamente con una solicitud,
cuando se nos ha dado o prometido algo de valor con
anterioridad. El regalo puede ser un elemento de material, o
consejo, o ayuda. Cuando alguien ha hecho algo para usted, se
siente una inclinación a corresponder automáticamente debido
a esta vulnerabilidad psicológica. Esta fuerte tendencia a
corresponder existe incluso en situaciones en que la persona
recibe un regalo que no ha pedido. Una de las maneras más
eficaces para influir en la gente para que nos haga un "favor"
Fig. 4. Principales motivaciones para los ataques de Ingeniería (que cumpla con una solicitud) es dando algún regalo o ayuda
Social. [14]. El cuadro muestra que la principal razón sigue que establece una línea de obligación o reciprocidad
siendo el lucro económico.
subyacente.
Los miembros de una secta religiosa Hare Krishna eran muy
VI. VULNERABILIDADES PSICOLÓGICAS EXPLOTADAS POR eficaces para influir en la gente mediante el principio de la
EL INGENIERO SOCIAL. reciprocidad. Para influenciar a que la gente diera donaciones
para su causa, estos daban un libro o una flor como regalo. Si
el receptor trataba de devolver el regalo, el dador se negaba
La manipulación ha sido estudiada por los científicos diciendo: "Es nuestro regalo para ti". Este principio de
sociales durante al menos cincuenta años. En este trabajo se comportamiento de la reciprocidad fue utilizado por la secta
estudió en las investigaciones del científico social Robert B. para aumentar sustancialmente las donaciones [23].
Cialdini, en su libro <YES, 50 Maneras Probadas para ser
Persuasivo>, en el cual se evidencian seis "tendencias básicas Un claro ejemplos de un ataque usando la reciprocidad es:
de la naturaleza humana" que están involucrados en un intento un empleado recibe una llamada de una persona que se
de manipular y obtener con éxito la acción deseada ante una identifica a sí mismo como del departamento de TI. La
solicitud hecha por un ingeniero social. persona que llama, explica que algunas computadoras de la
compañía han sido infectadas con un virus nuevo no
Estas seis tendencias son en las que los ingenieros sociales reconocido por el software antivirus que puede destruir todos
se basan (consciente o inconscientemente) en sus intentos de los archivos en un ordenador, y se ofrece a indicar la persona
manipular a sus víctimas para robar información y penetrar en (victima) a una serie de pasos para evitarproblemas. Después
los sistemas de seguridad que a ellos les interesa. de esto, la persona que llama pide a la víctima que pruebe una
nueva utilidad de software que acaba de ser actualizado
A. Autoridad. recientemente para permitir a los usuarios cambiar las
La gente tiene una tendencia a cumplir cuando una solicitud contraseñas. El empleado que recibe la llamada, es decir la
es hecha por una persona con autoridad. Una persona puede víctima, es reacio a rechazar la ayuda, porque la persona que
estar convencido de cumplir con una solicitud si él o ella cree llama, el ingeniero social,
que el solicitante es una persona con autoridad dentro de la ha proporcionado ayuda que supuestamente protege al usuario
organización o una persona que esté autorizado para hacer tal de un virus. Él empleado en este caso es reciproco cediendo a
petición. la petición de lapersona que llama, exponiendo la seguridad de
la organización.
Un ejemplo de ataque explotando esta vulnerabilidad se da
cuando un ingeniero social intenta encubrirse a sí mismo bajo
el manto de la autoridad al afirmar que él es parte del D. Consistencia.
departamento de TI, o que es un ejecutivo o trabaja para un La gente tiene la tendencia a realizar una acción después de
ejecutivo de la empresa. haber hecho un compromiso público o después de haber
avalado algo por una causa. Una vez que hemos prometido
B. Simpatía. públicamente que vamos a hacer algo, no queremos parecer
poco fiables o indeseables y tenderemos a seguir adelante con
La gente tiene la tendencia a cumplir con las solicitudes
cuando la persona que ha solicitado ha sido capaz de el fin de ser coherentes con nuestra declaración o promesa.
establecerse como simpático, o que tienen intereses similares,
El siguiente es un ejemplo de un ataque a esta
creencias y actitudes como las de su víctima.
vulnerabilidad: El atacante contacta a un empleado nuevo
relativamente y le asesora de recordar cumplir con ciertas
Ejemplos de ataques usando la simpatía es cuandoa través
políticas y procedimientos de seguridad como condición para
de la conversación, el atacante logra inferir una afición o
interés de la víctima, y alega un interés y entusiasmo por la que se le permita utilizar los sistemas de información de la
misma afición. También el atacante puede presumir ser del compañía. Después de discutir algunas prácticas de seguridad,
la persona que llama pide al usuario su contraseña "para
mismo pueblo o la escuela, o tener metas similares. El
verificar el cumplimiento" con la política en la elección de una
ingeniero social también intentará imitar los comportamientos
contraseña difícil de adivinar. Una vez que el usuario revela su
de su objetivo para crear la apariencia de similitud.
contraseña, la persona que llama hace una recomendación para entradas gratis para alguna película de estreno. Un empleado
construir contraseñas futuras de tal manera que el atacante será desprevenido se registra en el sitio, y se le pide que
capaz de adivinar. La víctima cumple en este caso debido a su proporcione su dirección de correo electrónico de la empresa y
acuerdo previo de cumplir con las políticas de la compañía y que elija una contraseña. Muchas personas, motivadas por la
bajo el supuesto de que la persona que llama no está más que conveniencia, tienen la tendencia a utilizar la misma
verificando su cumplimiento. contraseña o una similar sobre cada sistema informático que
utilizan, sea esta su cuenta personal de correo, su clave para
ingresar a su computadora en la empresa, o su clave para su
E. Validación Social.
cuenta de banco. Aprovechándose de esto, el atacante intenta
La gente tiene la tendencia a hacer cosas que otros parecen comprometer los sistemas del trabajo de la víctima y equipos
estar haciendo. La acción de los demás es aceptada como la domésticos con el nombre de usuario y contraseña que se han
validación de que el comportamiento en cuestión es la acción introducido durante el proceso de registro en el sitio Web.
correcta y apropiada. El Dr. Cialdini en su libro <YES, 50
Maneras Probadas para ser Persuasivo> dice que hay un efecto
del tipo “magnetic middle” en el cual las personas siguen las
actitudes que el promedio de las personas en general siguen.
Es una tendencia natural del ser humano a hacer lo que la
mayoría de personas están haciendo, aun cuando su acción no
desea deseable. En este sentido, las personas tratan de estar
alineados con la norma del comportamiento medio, es decir
buscando una validación social [24.]

Para ejemplificar un ataque de este tipo daremos el

siguiente ejemplo: una persona llama y dice que está llevando Fig. 5. Amenazas más dañinas para una organización. El cuadro muestra la
a cabo una encuesta y brinda algunos nombres de otras importancia del Gobierno de Seguridad de TI en el tema de Ingeniería Social
personas en el departamento sobre los cuales dice ya han [15].
cooperado con él en la encuesta. La víctima, creyendo que la
cooperación de los demás valida la autenticidad de la
solicitud, se compromete a participar. La persona que llama y VII. TÉCNICAS DE ATAQUE DE LA INGENIERÍA SOCIAL
luego hace una serie de preguntas, entre las que se encuentran
preguntas disfrazadas con el objetivo de seducir y engañar a Las técnicas empleadas durante un ataque de Ingeniería
la víctima para que revele su nombre de usuario y contraseña Social en gran medida dependen de la fuerza, destreza y
de equipo. De hecho, se han realizado experimentos en donde, habilidad de la persona que los ejecuta. Aquí mencionamos las
mediante “encuestas” las personas entregan información técnicas más usadas, como se muestra en la figura 6, las cuales
sensible de la organización exponiendo su seguridad, y un no involucran grandes conocimientos técnicos ni costos
ejemplo de ello fue la realizada por Info Security Europe, en
económicos, esto las convierte muy atractivas y para practicar
donde 155 empleados fueron entrevistados para probarlo. La
aun cuando el atacante sea novato y no cuente con mucha
encuesta fue realizada por los organizadores de una feria de
expertise [6].
seguridad de la información en una búsqueda para averiguar
que tanto los trabajadores tienen conciencia de la seguridad y A. Shoulder Surfing.
de la importancia de la información de la empresa
almacenada en sus computadoras [25]. Esta técnica consiste en obtener información de una pantalla
por estar físicamente cerca de ella y tener acceso a la lectura
F. Escasez. de la información digitada en la pantalla. La forma más
Las personas tienen la tendencia a realizar una acción o habitual en que esta técnica es puesta en práctica es durante el
cumplir con una solicitud cuando creen que el objeto buscado uso de los cajeros automáticos o bien cuando un usuario
es escaso y otros están compitiendo por él, o que sólo está despistado digital su contraseña sin cuidado de las personas
disponible para un corto periodo de tiempo. El Concepto de alrededor. Por ética y buena costumbre las personas deben
escasez como herramienta de persuasión se basa en el hecho observar en otra dirección cuando alguien cercano está
que las oportunidades nos parecen más valiosas cuando su ingresando sus credenciales personales en su teléfono, tablet,
disponibilidad es limitada. La idea de una pérdida potencial laptop o computadora.
juega un papel muy importante en nuestra toma de decisiones.
De hecho la gente parece más motivada por la idea de perder * Contramedidas: esté siempre consiente de las personas a su
algo que por la idea de ganar algo (aversión al riesgo). A alrededor y que es lo que hacen. Los lugares más comunes
medida que las oportunidades se vuelven menos disponibles, para estas prácticas son las filas en los cajeros automáticos, en
perdemos libertades. Y el ser humano odia perder las la oficina al ingresar las credenciales en los sistemas y lugares
libertades que tiene [26]. públicos al momento de hacer uso de teléfonos inteligentes.
Ejemplo de ataque: Un atacante envía mensajes de correo Siempre hay que estar prevenido al momento de realizar
electrónico afirmando que las primeras 500 personas que se transacciones en aeropuertos, estaciones de tren, restaurantes,
registren en el “nuevo sitio web” de la empresa van a ganar cafés y cualquier área pública.
 Se recomienda no realizar transacciones que involucre ataque generalmente se ejecuta mediante el envío masivo de
información sensible de la organización si no se está libre del correos electrónicos para “pescar” el mayor número de
riesgo de sufrir shoulder surfing. También es recomendable víctimas posibles y atraerlas al sitio web fraudulento. En
solicitar una pantalla protectora de privacidad para la ocasiones, el simple hecho de accesar a un sitio web elaborado
computador móvil asignada por la empresa. por el atacante, compromete la seguridad del equipo y la red
desde donde ha ingresado la víctima.
B. Dumpster Diving.
*Contramedidas: Se recomienda verificar cuidadosamente
Es el acto de colectar y realizar un análisis de los
cualquier correo electrónico sospechoso solicitando
documentos y otros materiales que son desechados en los
información. Hay que revisar todos los vínculos embebidos en
cestos de basura de una organización para encontrar
el mensaje y nunca (nunca) enviar información personal. Al
información sensible. Con esta información el atacante se
momento de recibir un correo solicitando confirmar alguna
documenta de la manera de trabajar en la compañía, de su
cuenta de usuarios o credenciales, es necesario llamar a la
manera de proceder y de datos importantes por lo tanto tendrá
institución en cuestión informando de lo sucedido. Ninguna
más éxito al momento de perpetuar un engaño. Cuando una
institución financiera o bancaria, por práctica general, solicita
persona suele tener mucho conocimiento de una compañía, es
información personal por medio de correo electrónico. Ante
muy probable que el personal de esta asuma que es un
cualquier duda en correos electrónicos recibidos siempre
empleado legítimo, desconfiando menos para entregar
llamar al personal de TI de la organización.
información o realizar una acción solicitada por el atacante.
Información aparentemente sencilla como, listas de números
de teléfonos, calendarios, estados de tarjetas de crédito,
recibos o estructura organizativa, pueden facilitarle el ataque a
un ingeniero social. Esta información se complementa con la
información que las personas voluntariamente comparten en
las redes sociales, ya sea personal o corporativa.

*Contramedidas: Las buenas prácticas de seguridad dictan

tener una política para la destrucción del material físico y
digital. De esta manera toda la papelería con información
sensible debe ser destruida en un triturador de papel. En el
ámbito digital, todo dispositivo que contenga (o haya
contenido) información sensible corporativa debe seguir el
Fig. 7. Número de entidades legitimas que han sido blanco de ataques de
procedimiento llamado “whipping” para evitar que phishing, en el periodo de 2009 – 2014 [32].
posteriormente alguien intente hacer una restauración de
información contenida en el. Con este procedimiento se
garantiza un borrador definitivo de información actual y D. El usuario “importante”.
antigua. Más adelante en la sección de políticas de seguridad Al fingir ser una persona importante de la organización con
se habla más al respecto. una necesidad urgente un Ingeniero Social puede ejercer
presión para que el personal de TI revele información sensible,
por ejemplo: el tipo de software usado para sesiones remotas,
pasos para configurarlo, IP de conexiones y credenciales para
el acceso. El usuario “importante “siempre apela al miedo o
las consecuencias que podría tener el empleado, es decir la
víctima, sino acata o colabora con la solicitud hecha de
información o acción.

*Contramedidas: Para contrarrestar este tipo de ataque la

organización debe tener muy claras y difundidas sus políticas
de revelación de información. De esta manera los empleados
pueden actuar de manera segura, sin miedo a futuras
Fig. 6. Mapa mental de las técnicas más comunes de ataques de la Ingeniería
consecuencias contra sus trabajos. Si un empleado tiene claro
Social el tipo de información que está autorizado a revelar y a
quienes, tendrá menos probabilidades de ser intimidado por
C. Phishing. algún usuario “importante”. Es necesario el apoyo total de la
Se refiere al hacerse pasar por una entidad de confianza, es alta dirección, pues se necesita su respaldo para proceder
decir usurpar su identidad y hacer uso de esta confianza para acorde con las políticas establecidas y para que incluso, un
adquirir información o manipular a alguien para ejecutar una verdadero usuario importante, siga los canales oficiales y
acción. Una práctica común es construir una página web falsa respete las políticas y procedimientos para la solicitud de
idéntica a la de una institución bancaria por ejemplo, con el información.
propósito de capturar credenciales de los usuarios. Este tipo de
E. Ingeniería Social Inversa. H. Lenguaje corporal.
Consiste en crear un problema para una víctima y ofrecer Con esta técnica el ingeniero social comunica sus falsas
ayuda a la víctima para resolver el mismo problema. De esta intenciones no solo verbalmente sino con su cuerpo. Una de
manera el atacante establece la confianza entre las partes, que las habilidades para desenmascarar a los ingenieros sociales es
se utiliza luego para explotar a la víctima para obtener la desarrollar la habilidad de leer el lenguaje corporal para
información sensible que el ingeniero social tiene como diferenciar el natural del sospechoso, el congruente del
objetivo. incongruente con el mensaje verbal que se está recibiendo.

*Contramedidas: para este tipo de ataques es fundamental *Contramedidas: la lectura del lenguaje del cuerpo es algo
tener siempre presentes las buenas prácticas de seguridad que se alcanza con los anos y después de mucha practica y
fundamentales de no revelar información sensible a personas observación, sin embargo para combatir este tipo de ataques
no autorizadas. Si un empleado es completamente consiente de será necesario tener usuarios informados en temas de
las políticas de seguridad, siempre estará atengo ante cualquier seguridad y comprometidos a seguir los buenos hábitos y
solicitud maliciosa de información. Aquí juega un papel prácticas para garantizar la seguridad de la organización. Un
fundamental el entrenamiento y concientización en temas de programa detallado de entrenamiento sobre la seguridad de la
seguridad a los usuarios, lo cual abordaremos más adelante. información será siempre la mejor contramedida para evitar
este tipo de ataques.
F. Baiting.
I. Piggybacks Rides oTailgating.
Es la táctica de dejar un medio de almacenamiento (por
ejemplo, una memoria USB) dentro de una organización con Esta técnica consiste en situarse cerca de una puerta de
un malware dentro del dispositivo (por ejemplo, un troyano o acceso a un edificio o campus y fingir ser un empleado
keylogger). El software malicioso se ejecuta automáticamente legítimo. El ingeniero social aprovecha la oportunidad de que
cuando se inserta en un ordenador. Generalmente en este tipo un empleado abra la puerta para seguirlo y así sobrepasar las
de ataque se explota la vulnerabilidad psicológica humana de medidas de seguridad. Una práctica común es presentarse en
la curiosidad [6]. Este tipo de ataque es en muchos aspectos un día lluvioso con una caja pesada a la par de la puerta de
similar a los ataques de phishing. Sin embargo, lo que los acceso, para solicitar a un empleado, aprovechándose de la
distingue de otros tipos de técnicas es la promesa de un buena voluntad de las personas diciendo: ¿me abrirías la
artículo o bien que los hackers utilizan para atraer a las puerta por favor? No puedo alcanzar mi tarjeta de acceso en
víctimas. Existe un ataque de prueba documentado de este este momento. La mayoría de las personas caen en esta
tipo, en donde Steve Stasiukonis infecto docenas de memorias trampa.Pero esto también este ataque podría tomar la forma de
USB y las disperso en el paqueo de una organización. Muchos alguien pidiendo prestado un teléfono o computadora portátil
de los empleados insertaron estas USB en sus computadoras y para llevar a cabo una acción simple cuando en realidad están
así el atacante tuvo acceso a los sistemas [33]. instalando algún tipo de software malicioso.

*Contramedidas: Para combatir este tipo de ataques será *Contramedidas: Deber ser un hábito de todos los empleados
necesario tener usuarios informados en temas de seguridad y solicitar la identificación “aun en días lluviosos”. Si la persona
comprometidos a seguir los buenos hábitos y prácticas para olvido su carnet, existen otros medios para verificar la
garantizar la seguridad de la organización. Un programa identidad de la persona y sus privilegios de acceso, estos
detallado de entrenamiento sobre la seguridad de la pueden ser llamar consultando a su área o gerencia, a su jefe
información será siempre la mejor contramedida para evitar inmediato al departamento de RRHH, ante cualquier duda
este tipo de ataques. siempre será necesario consultar. Para combatir este tipo de
ataques será necesario tener usuarios informados en temas de
G. Generar una situación de hostilidad.
seguridad y comprometidos a seguir los buenos hábitos y
El humano tiende a cuestionar menos cuando una persona prácticas para garantizar la seguridad de la organización
que está enojada. Los ingenieros sociales suelen fingir, por
ejemplo, estar en una conversación telefónica acalorada para
minimizar la probabilidad de ser cuestionados al momento de J. Vishing.
pasar por algún punto de seguridad física. Es una práctica criminal fraudulenta en donde se hace uso
del Protocolo Voz sobre IP (VoIP) y la Ingeniería Social para
*Contramedidas: Para combatir este tipo de ataques será engañar personas y obtener información delicada como puede
necesario tener usuarios informados en temas de seguridad y ser información financiera o información útil para el robo de
comprometidos a seguir los buenos hábitos y prácticas para identidad. Es un delito similar al phising, pero a diferencia de
garantizar la seguridad de la organización. Un programa éste, no ofrece un link para que la víctima se dirija a él, sino
detallado de entrenamiento sobre la seguridad de la que le ofrece un número de teléfono al cual comunicarse. El
información será siempre la mejor contramedida para evitar término es una combinación de dos palabras en inglés "voice"
este tipo de ataques. (voz) y phishing.
*Contramedidas: la mejor forma de prevenir el vishing es por
medio del sentido común y el cuidado de nuestra información *Contramedidas: Para combatir este tipo de ataques será
personal. Por ello al recibir llamadas de una supuesta entidad necesario tener usuarios informados en temas de seguridad y
bancaria, hay que cerciorarse de la legitimidad de la misma comprometidos a seguir los buenos hábitos y prácticas para
antes de ofrecer información personal. Cuando existe garantizar la seguridad de la organización. Un programa
necesidad de comunicarse con una institución bancaria o detallado de entrenamiento sobre la seguridad de la
financiera, hay que hacerlo directamente a los números información será siempre la mejor contramedida para evitar
oficiales ofrecidos por ellos, y no por otros que se reciban por este tipo de ataques.
otros medios como mensaje de texto.
K. Social Networking. M. Pretexting.
Las redes sociales son un “paraíso” para los Ingenieros Es el equivalente humano de phishing, donde alguien se
Sociales. Esta es la plataforma ideal para concretar el primer hace pasar por una figura de autoridad o alguien de su
paso de la metodología del ataque: recopilar información de la confianza para obtener acceso a información. Puede tomar la
víctima. Hoy en día, y puesto que las redes sociales son una forma de un miembro de soporte de TI falso con la necesidad
tecnología nueva, hay poca cultura de la seguridad y poca de hacer el mantenimiento a un equipo, o un falso investigador
educación sobre los peligros que estas involucran. En la para realizar una auditoría en la empresa. Alguien podría
mayoría de las redes sociales, los usuarios incautos muestran hacerse pasar por compañeros de trabajo, la policía, las
información como: nombres completos, dirección de autoridades fiscales u otras personas aparentemente legítimas
residencia, lugar de trabajo, sus bagaje académico, su lista de con el fin de tener acceso a su computadora y a la
amigos, sus vínculos familiares, sus preferencias políticas, su información.
ideología, su religión, sus gustos, incluso el lugar en donde se
encuentran en ese momento comiendo o bebiendo. La figura 8 *Contramedidas:para combatir este tipo de ataques es
muestra el incremento de uso en el tiempo. necesario que los empleados siempre sigan los buenos hábitos
y políticas de seguridad que dictan verificar la identidad de
cualquier persona que solicita acceso a los equipos, sistemas o
*Contramedidas: Para combatir los ataques que se generen a
información de la organización. Un programa detallado de
partir de las redes sociales o haciendo uso de la información
entrenamiento sobre la seguridad de la información será
contenida en ellas será necesario tener usuarios informados en
siempre la mejor contramedida para evitar este tipo de
temas de seguridad y comprometidos a seguir los buenos
ataques.
hábitos y prácticas para garantizar la seguridad personal y de
la organización. Un programa detallado de entrenamiento
sobre la seguridad de la información será siempre la mejor N. Quid Pro Quo.
contramedida para evitar este tipo de ataques.
Esta frase significa “algo por algo” y en seguridad de la
información es un tipo de ataque que consiste en una solicitud
L. Persuasión: de información a cambio de alguna compensación. Podría ser
una camiseta gratis o acceso a un juego o servicio en línea a
Esta técnica consiste en tener la capacidad o habilidad para
cambio de sus credenciales de acceso, o por ejemplo un
convencer a una persona mediante razones o argumentos,
“investigador” que pide la contraseña como parte de una
argumentos e ingeniosos para que piense de una determinada
encuesta a cambio de $ 100. Si suena demasiado bueno para
manera o haga cierta cosa.Es el proceso de guiar a la gente
ser verdad, probablemente es un ataque de quid pro quo.
hacia la adopción de una idea, actitud, o la acción mediante
significados racionales y simbólicos (aunque no siempre *Contramedidas: Para combatir este tipo de ataques será
lógicos). Es una estrategia de resolución de los problemas que necesario tener usuarios informados en temas de seguridad y
confía en "peticiones" más que en la coacción. Un Ingeniero comprometidos a seguir los buenos hábitos y prácticas de
social es un experto en laretórica. Como dijo Aristóteles: seguridad. Un programa de entrenamiento sobre la seguridad
"la retórica es el arte de descubrir, en cada caso en particular, de la información será siempre la mejor contramedida para
los medios adecuados para la persuasión". evitar este tipo de ataques.

Fig. 8. Incremento del uso de las redes sociales en el tiempo.

 VIII. ESTUDIO Y ANÁLISIS DE VULNERABILIDAD A los temas de seguridad, que ponen hoy por hoy en peligro las
EMPRESAS SALVADOREÑAS. actividades y existencia de la organización.

*La pregunta #1 buscaba medir el nivel de conocimiento de

A. Metodología. las personas encuestadas sobre la manera apropiada de
Para realizar este estudio, se decidió llevar a cabo la defenderse de ataques de Ingeniería Social, así como medir el
recopilación de información por medio de dos herramientas: la conocimiento de sobre tratan este tipo de ataques. Decía:
encuesta y la entrevista personal. La encuesta consistió en 10 ¿Cual opción considera usted como la más efectiva contra los
preguntas básicas sobre la conciencia del usuario en la ataques de Ingeniería Social?
seguridad de la información en sus organizaciones. Las
preguntas estaban orientadas a determinar si el usuario es
consciente de los peligros y riesgos, y que tanto interés existe
de parte de el para aprender y educarse en el tema. Aquí
tratamos de confirmar la hipótesis del trabajo en la cual se
establece que el ser humano es el eslabón más débil de la
cadena de seguridad de una organización. La parte de
entrevistas se realizo con algunas de las personas encuestadas
para profundizar más sobre su percepción sobre la seguridad
de la información, y para conocer que tan acertadas eran las
respuestas proporcionadas en las encuestas. Por ejemplo,
algunas personas que respondieron que si conocían la manera
de hacer una transacción electrónica segura, después de la
entrevista era evidente que tenían poco o ningún conocimiento
del asunto. Fig. 9. Más del 50% de los encuestados ignoran la manera
correcta de defenderse contra los ataques de Ingeniería Social.

B. Descripción de empresas. En esta pregunta se observa que en general los encuestados

Siguiendo una convenio de privacidad con las empresas en tienen una buena idea de cuál es la mejor opción, sin embargo
estudio, no se revelan los nombres reales de las empresas en el resto que representa un 57% no tiene idea de cuál es la
estudio, pero si su actividad y giro del negocio, el cual es lo manera adecuada para abordar dichos ataques. Este elevado
fundamental para comprender el ámbito en que se porcentaje es preocupante pues evidencia una gigantesca
desarrollaron las encuestas así como para la interpretación de brecha de seguridad, y una gran oportunidad para los
sus resultados. ingenieros sociales de penetrar la seguridad de estas empresas.
La primera organización en estudio es una empresa del sector
eléctrico dedicada a la generación de energía la cual *La pregunta #2 buscaba conocer la percepción de los
llamaremos Empresa Térmica S.A. La segunda organización empleados sobre la probabilidad de ser víctima de espionaje
es una empresa del sector de servicios dedicada a los juegos de industrial en su empresa, algo que revela el nivel de
azar que llamaremos Bingo S.A. importancia que estos le dan a las posibles políticas de
seguridad que tengan en sus organizaciones, esta decía: ¿Qué
porcentaje de probabilidad considera usted que su
C. Tipo de empleados. organización puede ser víctima de espionaje industrial?
Durante el estudio de ambas organizaciones se decidió
estudiar a los empleados que tuvieran contacto frecuente con
personas externas a la organización. Se decidió dejar de lado
personas con conocimientos técnicos de TI, ya que estos
tienen ya un poco de conocimiento de las generalidades en
temas de seguridad de la información, no así el empleado
regular como el recepcionista, la cajera o un oficinista.
Para el caso de la Empresa Térmica S.A. se eligieron
oficinistas regulares, recepcionista, encargado de la biblioteca
y personal de servicio. Para el caso de la empresa Bingo S.A.
se eligieron mayormente cajeras, las cuales tienen a su cargo
el manejo del efectivo y las transacciones comerciales
producto de sus actividades de los juegos de azar.

D. Resultados y Análisis.
Para los efectos de análisis mostraremos únicamente las Fig. 10. Solamente el 29% de los empleados en estudio consideran
preguntas más relevantes que muestran un panorama amplio una alta probabilidad de espionaje industrial en su organización.
de la realidad en la conciencia del usuario sobre los riesgos y
 Los resultados confirman la manera relajada con que los
empleados toman el espionaje industrial, tomando como lema
el dicho que dice “los accidentes les ocurren a otras personas”.
Aquí se evidencia que menos del 71% de los encuestados
considera que su organización podría sufrir espionaje
industrial, lo que significa que al no percibir o conocer la
magnitud del daño potencial, estas personas no toman en serio
cualquier medida de prevención que sus organizaciones
posiblemente estén difundiendo. Cuando un empleado cree
que no puede ser víctima de ataque no fomenta los
procedimientos de seguridad y no se da a la tarea de
informarse.

*La pregunta #4 buscaba conocer nivel de interés y la

interacción de los usuarios con noticias o material educativo Fig. 12. Solamente un 22% combinado de los empleados
en seguridad de información. Decía: ¿Con que frecuencia lee responsabilidad de la seguridad como propia.
usted artículos o noticias relacionados a ciberamenazas o
temas de seguridad de la información? Esta pregunta arrojó un dato importante, 78% de los
empleados encuestados no consideran la seguridad de la
información como su responsabilidad. Estas personas creen
que alguien más está a cargo y son los únicos responsables de
cuidar ese activo de la organización, lo cual represente una
gigantesca brecha de seguridad que solo puede ser combatida
mediante una entrenamiento, una capacitación en temas de
seguridad. El objetivo primordial aquí, es que todos los
empleados lleguen a la comprensión de que todas las personas
en la organización son responsables de la seguridad de la
información, desde los guardias de seguridad, operadores de
sistema, hasta la alta gerencia, y que resguardarla es parte
primordial de sus actividades de trabajo.

*La pregunta #7 nos permitía conocer la permisividad de

los privilegios que se le otorgan actualmente al usuario en las
Fig. 11. El correo electrónico parece ser uno de los medios organizaciones en estudio, en este caso particular privilegios
estratégicos para refrescar constantemente los temas del
entrenamiento en seguridad. de instalación de software. ¿En algún momento usted ha
instalado algún software gratuito (de libre uso) en su
Claramente se ve el poco interés de informase por parte de computadora personal o de trabajo?
los usuarios. Solamente el 13% de los usuarios afirman leer
contenido educativo en seguridad una vez a la semana.
Mientras que un 32% te una poca o nula frecuencia de
contacto con material educativo. Este porcentaje es
suficientemente algo como para que un ingeniero social se las
ingenie y burle todas las medidas de seguridad tecnológicas
que tenga la organización. Basta 1 tan solo empleado, 1 tan
solo clic en un vínculo malicioso para que un ciberatacante
logre su objetivo. Llama la atención que más del 50% afirma
leer el material sobre seguridad que recibe en su correo
electrónico, lo que significa que este medio puede ser
estratégico para mantener un entrenamiento de seguimiento en Fig. 13. Los resultados muestran que los empleados tienen
temas de seguridad de la información, algo que complemente privilegios de instalación inadecuados en sus equipos.
al entrenamiento base que se debe diseñar.
El análisis de estos resultados se complementó con las
*La pregunta #5 estaba orientada a comprender si el usuario entrevistas en persona en donde se evidencio que la mayoría
era capaz de determinar si tiene responsabilidad en la de las personas ha instalado software que no está autorizado
seguridad de la información que maneja. Expresaba: ¿Quién por el departamento de TI en sus organizaciones. Aquí es
considera usted que es el principal responsable de la seguridad necesario establecer la responsabilidad que tienen las personas
de los activos del negocio, incluyendo la información en su de cumplir con las políticas de seguridad, así como establecer
computadora? políticas fuertes desde el departamento de TI para minimizar
los riesgos que provengan de la instalación de software de
dudosa procedencia.
 *Las preguntas #8, #9 y #10 buscaban investigar si el contra la Ingeniería Social. Monitorear constantemente los
usuario se sentía capaz de realizar acciones online seguras, sistemas de seguridad de la empresa y la realización de
como comprar en un sitio web, navegar e interactuar en redes pruebas internas basadas en la Ingeniería Social revelará los
sociales de manera segura. puntos vulnerables de una empresa [19]. Cuando ya se han
identificado las vulnerabilidades, una organización entonces
puede evaluar adecuadamente cómo se implementará una
solución integral.

El entrenamiento en temas de seguridad puede ser reforzado

haciendo cambios de roles para tener una dinámica mas
interactiva para afianzar lo que han aprendido. También puede
utilizarse el entrenamiento de tipo cascada para transmitir la
información a todos los niveles.
Fig. 14. Resultados de preguntas 8, 9 10.

A. Creación de un Programa de Entrenamiento y

Este análisis se complemento con las entrevistas en persona.
Concientización en Seguridad Informática a Empleados.
Finalmente se evidencio que, aun cuando un buen número de
personas consideraba que sus hábitos de navegación eran
seguras, realmente desconocían muchas de las buenas Elaborar un panfleto sobre las políticas o dirigir a los
prácticas o de los elementos que definen si una acción es empleados a una página web de la intranet de la empresa no es
segura o insegura. El problema con este grupo de personas es en sí un programa de seguridad y concientización y no reduce
que, confiadamente realizan transacciones en línea y tienen un ningún riesgo. La organización no solo debe asegurarse de
uso habitual en redes sociales, creyendo que son conocedores desarrollar y elaborar políticas y reglas, plasmadas en
de los hábitos de seguridad que los protegen. Y cuando una documentos, sino también hacer un esfuerzo por hacer que los
persona cree estar seguro y no lo está, es cuando más fácil se empleados que manejan la información corporativa, sigan y se
le hace la tarea al ingeniero social para atacar y conseguir el interesen por las políticas. Así mismo, es importante que se
acceso que desea. comunique la intención y propósito detrás de cada política de
seguridad, para que las personas no las sobrepasen por alguna
conveniencia personal. La ignorancia será siempre la excusa
IX. PLANES DE ACCIÓN CONTRA LOS ATAQUES DE de cualquier empleado, y la principal vulnerabilidad que
INGENIERÍA SOCIAL explotará el ingeniero social. El objetivo de todo programa de
seguridad es exhortar e influenciar a los empleados a cambiar
su actitud y comportamiento para hacer su parte en la
Existen medidas de prevención a todos los tipos de ataque protección de la información de la organización. Una manera
que la Ingeniería Social utiliza. El primer paso es comprender de hacerlo es explicando como el programa producirá
y la conciencia del riesgo entre los encargados de la seguridad beneficios no solo a la organización sino también de manera
de la información. Sin embargo el mero hecho de comprender personal, ya que toda compañía tiene información de cada
no garantiza la seguridad ya que las estadísticas muestran que empleado, al proteger este tipo de información los empleados
la mayoría de los profesionales en seguridad de la información están protegiéndose a sí mismos.
conocen y tienen conciencia de los riesgos.
El programa de entrenamiento debe tener un apoyo
En una organización, mantener y mejorar un programa de substancial de la alta gerencia, necesita llegar a cada empleado
educación en temas de seguridad para los empleados es un que tenga acceso a información sensible o a los sistemas
factor clave [16]. Además del entrenamiento en temas de informáticos de la empresa, debe de dársele seguimiento, debe
seguridad, los empleados siempre deben seguir ser revisado y actualizado constantemente sobre nuevas
procedimientos adecuados en cuanto a la divulgación de amenazas y vulnerabilidades.
información [17].Los empleados deben ser entrenados para
cuestionar cuando alguien está haciendo una petición de *Objetivos.
información y no deben dudar en pedir una identificación o
La directriz básica que debe tenerse en cuenta durante el
credencial. Los empleados debe tratar la información en su
desarrollo de un entrenamiento de seguridad de la información
organización como su fuera propia y asegurarse de informar a
y el programa de concientización es que el programa tiene que
un supervisor cuando una solicitud de información parece
centrarse en crear en todos los empleados la conciencia de que
fuera de lo normal [18], es necesario crean conciencia de la su organización podría estar bajo ataque en cualquier
importancia de la seguridad de la información en la momento. Deben aprender que cada empleado desempeña un
organización. papel en la defensa contra cualquier intento de ganar acceso a
los sistemas informáticos o de robar datos confidenciales.
El Monitoreo y las pruebas continuas son formas Puesto que la seguridad de información involucra tecnología,
adicionales para que las organizaciones puedan luchar en es muy fácil que los empleados consideren que el problema
está siendo controlado por firewalls u otros dispositivos *Estructura del entrenamiento.
tecnológicos como se mostró anteriormente el análisis hecho a
dos empresas salvadoreñas [***]. Así que, uno de los Un programa básico de capacitación en el tema de
principales objetivos del programa de seguridad debe ser seguridad de la información debe ser desarrollado de tal
concientizar a los empleados de que ellos son en realidad la manera que requiera que todos los empleados deban asistir.
primera línea de defensa necesaria para la protección en Los nuevos empleados deben ser obligados a asistir a la
general de una organización. El programa de seguridad debe capacitación como parte de su inducción inicial. Se
tener un supremo objetivo, más allá de elaborar e impartir recomienda que no seproporcione a ningún empleado, sin
reglas. La persona encargada debe tener en cuenta la fuerte distinción alguna, acceso a los equipos y sistemas de
tentación de los empleados, que algunas veces estando bajo información hasta que haya asistido y comprendidolas reglas y
estrés, tratan de sobre pasar las políticas de seguridad para políticas de seguridad básica.
entregar a tiempo sus responsabilidades.
Para las primeras sesiones del entrenamiento se
La organización puede contar como exitoso su programa, si recomiendan charlas cortas enfocadas primeramente en captar
al finalizar el entrenamiento cada una de las personas la atención de los asistentes para que mensajes cortos sean
involucradas están convencidas y motivadas por una simple recordados. Aunque la naturaleza del material es que sea
noción: que la seguridad de la información es parte de su abundante, se recomienda fomentar la concientización y la
trabajo. motivación en conjunto con mensajes cortos y esenciales en
lugar de jornadas largas de medio día, que dejan a los
*Establecimiento del programa de entrenamiento y participantes del curso atiborrados con demasiada información
concientización. que no podrán recordar.

La persona responsable de diseñar el programa de seguridad El énfasis de estas sesiones debe ser la de transmitir una
de la información tiene que reconocer que esto no existe una apreciación del daño potencial hacia la empresa y los
estructura única para todos los proyectos. Por el contrario, la empleados individualmente, a menos que todos los empleados
formación tiene que ser desarrollada para satisfacer las sigan los buenos hábitos de trabajo de seguridad. Más
necesidades específicas de los diferentes grupos dentro de la importante que el aprendizaje sobre prácticas específicas de
empresa. Como mínimo, la mayoría de las empresas necesitan seguridad es el motivo que lleva a los empleados a aceptar la
programas de formación adaptados a estos grupos distintos responsabilidad personal en la seguridad de la información. En
dentro de la organización: los gerentes; personal de TI; situaciones en las que algunos empleados no puedan asistir
usuarios de computadoras; personal no técnico; auxiliares fácilmente a sesiones de entrenamiento, la empresa debe
administrativos; recepcionistas; y guardias de seguridad. considerar otras formas de instrucción y entrenamiento, tales
como videos, capacitación basada en software, cursos en línea,
Puesto que el personal de seguridad de una empresa o materiales escritos.
normalmente no se espera que sea competente en el área de
informática, excepto quizá de una manera muy limitada, no Después de la sesiones iníciales de charlas cortas, sesiones
suelen ser considerados en el diseño de los entrenamientos de más largas deben ser diseñadas para educar a los empleados
este tipo. Sin embargo, los ingenieros sociales pueden engañar acerca de vulnerabilidades específicas y técnicas de ataque
a los guardias de seguridad u otras personas para ganar acceso con respecto a su cargo o posición en la empresa. Charlas de
a un edificio u oficina, o en la ejecución de una acción que da actualización se deben llevar a cabo al menos una vez al año.
lugar a una intrusión informática. Aunque este tipo de La naturaleza de las amenazas y los métodos utilizados para
empleados no necesitan un entrenamiento a fondo sobre las explotar las vulnerabilidades de las personas es siempre
técnicas de Ingeniería Social, como el resto de empleados que cambiante, por lo que el contenido del programa debe
están en contacto con los sistemas, no deben ser pasados por mantenerse al día. Por otra parte, la conciencia y el estado de
alto en el establecimiento del programa. alerta de las personas disminuye con el tiempo, por esta razón
las capacitaciones y entrenamientos deben repetirse a
Los mejoresprogramas de capacitación en seguridad de la intervalos razonables para reforzar los principios de seguridad.
información deben informar y captar la atención y el
entusiasmo de los alumnos.El objetivo debe ser hacer del Los empleados que cambien de posiciones dentro de la
programa de seguridad de la formación una experiencia organización para un trabajo que implique el acceso a sistemas
atractiva e interactiva. Las técnicas pueden incluir una de información o información sensible deben, por supuesto,
demostración de métodos de Ingeniería Social a través de deberán completar un programa de entrenamiento de
juegos de roles; revisar periódicamente noticias en los medios seguridad adaptado a sus nuevas responsabilidades. Por
de comunicación de ataques recientes a otras organizaciones ejemplo, si técnico en sistemas se convierte en un
menos afortunadas y discutir las formas en que podrían haber administrador de sistemas, o una recepcionista se convierte en
evitado la pérdida; o bien mostrar un video de seguridad que un auxiliar administrativo, se requiere una nueva formación
sea entretenido y educativo al mismo tiempo. adaptada a estas nuevas posiciones.
*Contenido del curso de entrenamiento  Política de uso del correo electrónico, incluyendo las
buenas prácticas para salvaguardarse de ataques de
Casi cualquier ataque de Ingeniería Social podría ser código malicioso incluyendo todo tipo de malware.
frustrado si los empleados siguieran estos dos pasos  Requerimientos para la seguridad física como el uso de
fundamentales: credenciales para los empleados.
 Cómo determinar la clasificación de la información, y las
 Verificar la identidad de la persona que hacer la solicitud políticas de seguridad adecuadas para proteger la
de información. ¿Es la persona solicitante quien dice ser? información sensible.
 Verificar si la persona tiene autorización. ¿está esta  La eliminación adecuada de documentos sensibles y
persona autorizada para hacer esta solicitud? medios informáticos que contienen, o que tuvieron en
cualquier momento del pasado, materiales e información
Un programa de entrenamiento y concientización en seguridad confidenciales.
de la información que aborda las vulnerabilidades humanas y
la Ingeniería Social debería tener como mínimo lo siguiente: *Pruebas

 Una descripción de cómo los ciberdelincuentes usan la La organización luego necesitará probar a los empleados
Ingeniería Social para engañar a las personas. sobre el aprendizaje de la información presentada en el
 Los métodos usados por los ingenieros sociales para entrenamiento del programa de seguridad, y esto se debe hacer
conseguir sus objetivos. antes de permitir cualquier acceso alos sistemas informáticos.
 Como reconocer un posible ataque de Ingeniería Social. Será necesario analizar los resultados de las pruebas para
 El procedimiento para manejar una solicitud de determinar las áreas del programa que necesitarán ser
información sospechosa. fortalecidas.
 EL lugar correcto para reportar intentos de ataques de
Se puede considerar la posibilidad de otorgar un certificado
Ingeniería Social o ataques realizados.
acreditativo de la realización del programa de seguridad de la
 La importancia de no dejarse manipular ante una solicitud información como una recompensa al empleado, con el
sospechosa, aun cuando esta venga de alguien que alegue objetivo de mantenerlo motivado. Se recomienda que al
tener una posición importante en la compañía. completar el programa se pida a cada empleado a firmar un
 El hecho de no confiar implícitamente en los demás sin acuerdo para cumplir con las políticas de seguridad y las
antes hacer las verificaciones correspondientes, aun buenas prácticas que se enseñan en el. Las investigaciones
cuando el impulso natural del ser humano es dar siempre el sugieren que una persona que hace el compromiso de firmar
beneficio de la duda. un acuerdo de este tipo es más probable que haga un esfuerzo
 La importancia de verificar la identidad y autoridad de una extra por cumplir con los procedimientos.
persona solicitando información o realizar una acción.
 Procedimientos para proteger información sensible, *Seguimientoal programa de entrenamiento.
incluyendo la familiaridad con el sistema de clasificación
de información La mayoría de las personas son conscientes de que el
 La ubicación de las políticas de seguridad y los aprendizaje, incluso sobre asuntos importantes, tiende a
procedimientos de la compañía, y su importancia en la desvanecerse con el tiempo a menos que sea reforzado
protección de la información y los sistemas de la periódicamente. Debido a la importancia de mantener a los
organización. empleados al día sobre el tema de la defensa contra los ataques
de Ingeniería Social, es necesario actualizar el programa y
 Un resumen de las políticas de seguridad más importantes,
darle un seguimiento regularmente.
y la explicación de su propósito. Por ejemplo como diseñar
un password difícil de adivinar.
Uno de los métodos para mantener la seguridad en el
 El deber de cada empleado de cumplir con las políticas de
pensamiento de los empleados es hacer la seguridad de la
seguridad, y las consecuencias de no cumplirlas.
información una responsabilidad de trabajo específico para
cada persona en la empresa. De lo contrario, existe una fuerte
Puesto que la Ingeniería Social involucra cierto grado de tendencia a sentir que la seguridad "no es mi trabajo", como se
interacción humana, un atacante usara un sin número de demuestro en el estudio hecho a empresas salvadoreñas
maneras y tecnologías para alcanzar su objetivo. Por esta anteriormente.
razón, un programa bien diseñado de entrenamiento y
concientización incluirá y cubrirá los siguientes temas:

 Políticas de seguridad relacionadas con los passwords de

computadoras y mensajes de voz en el teléfono.
 Procedimiento correcto para revelar información sensible
o material confidencial de la organización.
* Niveles de Entrenamiento informativos de la empresa. Se mencionan algunos tipos de
entrenamientos sugeridos según el rol del personal dentro de la
Esta es una propuesta para seccionar los tipos de organización.
entrenamientos por niveles según el tipo de personas al cual va
dirigido. Aun que este es un modelo de estructura, lo  Helpdesk: un técnico de soporte debe estar altamente
importante es hacer un análisis en la organización para entrenado para frustrar cualquier intento de ataque de
tropicalizarlo según las necesidades. En algunas Ingeniería Social. Generalmente los técnicos de soporte
organizaciones más maduras se necesitaran quizá, un modelo siempre están recibiendo solicitudes y requerimientos por
más granular, en otras este modelo básico bastará. email, mensajes instantáneos, por teléfono o en persona y
un ingeniero social podría persuadir al técnico de soporte
1-Alto: Este nivel de entrenamiento representa el tipo de para hacerle creer que es un usuario legítimo que
personas que están esperando ataques de Ingeniería Social y/o necesita alguna clase de ayuda. La tarea principal de un
tienen los privilegios de hacer cambios significativos para técnico de soporte es –ayudar- y eso es exactamente lo
volver la red inutilizable. A este nivel, es donde se concentra que está buscando un ingeniero social, una persona con
la mayor cantidad de información sensible para poder hacer la voluntad de ayudar. Los técnicos de soporte deben de
grandes ataques, es por eso que este grupo de personas debe ser entrenados para ser lo suficientemente amables y a la
ser la más altamente entrenada para generar estrategias y vez actuar con prudencia y escepticismo, actuar con buen
tácticas a seguir para garantizar la seguridad de los activos de juicio antes de actuar y ayudar a un usuario. El técnico
la empresa. Un ejemplo de estos usuarios son los técnicos de debe de hacerse preguntas pertinentes sobre si el usuario
soporte de TI ya que ellos se dedican a dar soporte y ayudar es realmente legítimo y si a la vez, necesito los
todos los días a los usuarios finales y poseen una cantidad de privilegios y tipo de ayuda que solicita.
privilegios de red que típicamente incluyen agregar o remover
usuarios en el controlador de dominio así como cambiar y  Administrador de T.I.: Un administrador de TI puede que
restablecer sus contraseñas [21]. no reciba muchas llamadas de soporte, pero aun así es
uno de los principales objetivos de ataques pues es quien
2-Medio: Este nivel representa personas quien podría tener posee los privilegios para controlar la red.Si existe una
contacto con el público en general. Este grupo de personas persona a la cual un ingeniero social le gustaría influir
pueden no tener autoridad o privilegios para hacer cambios en para que corra comandos, envié y transfiera información
la red, pero si pueden correr comandos en una consola o por la red es precisamente un Administrador de T.I. Esta
trasladarse a una máquina y hacer un sin número de cosas es la razón por la que esta persona debe tener un gran
desde ahí. El entrenamiento en este caso debe ir enfocado en entrenamiento para detectar y evitar ataques de
solicitar siempre la identidad de las personas y confirmar la Ingeniería Social. Los administradores de red suelen
autenticidad antes de dar cualquier información o hacer estar másconscientes de los tipos de ataques a nivel
cualquier favor [21]. técnico pues ellos entienden lo complejo y destructivo
que un comando puede ser. Sin embargo ellos aún son
3-Bajo: Este grupo involucra a personas que tienen poco o vulnerables cuando los ataques tienen que ver con
ningún acceso a la red. Aquí hablamos del personal de técnicas como “solicitar o simplemente pedir”
seguridad y porteros. El entrenamiento en este nivel debe información mediante una llamada telefónica.
incluir una explicación de todas las tácticas de la Ingeniería
Social, y en alguna situación podría enfatizarse en no dejar  Recepcionista: Una recepcionista es un término muy
ingresar a la organización a personas no autorizadas después amplio cuando se trata de responsabilidades y un plan de
de las horas laborales, así como evitar hacer favores a entrenamiento deberá que ser hecho a la medida para
cualquier persona por ninguna circunstancia. En este nivel se adaptarse a su trabajo. Una recepcionista está en la puerta
pueden obviar algunas tácticas que pueden no ser aplicables a principal de una empresa y contesta llamadas durante
este grupo de usuarios [21]. todo el día, así quedebería ser entrenada más
ampliamente en tácticas las tácticas de persuasión y las
Una empresa deberá desarrollar un plan de entrenamiento tácticas telefónicas que usan los ingenieros sociales. En
en temas de seguridad que se ajuste a sus necesidades el caso de una secretaria personal de un director general
particulares pues no existen dos organizaciones idénticas. Para que hace un montón de trabajo en línea y mensajes de
los empleados que trabajan en aéreas que no son usualmente correo electrónico, probablemente debería ser capacitado
atacadas, una estrategia baja-media puede ser suficiente, sin más en las tácticas de Ingeniería Social en línea, así
embargo es necesario no olvidar reforzar y darle continuidad como en las técnicas mediante llamadas telefónicas en la
al entrenamiento que se les proporciona. que alguien necesita un favor, porque el director general
les dijo que podían llamar a la secretaria para que le
Una buena estrategia de entrenamiento en temas de proporcionara información. Dependiendo de la función
Ingeniería Social puede rápidamente desvanecerse o durar de trabajo, una cantidad moderada de entrenamiento
poco tiempo si no se le da la continuidad necesaria, por debería ser suficiente para una recepcionista.
ejemplo, una buena práctica es enviar correos cortos o postear
en muros donde todos los empleados puedan ver los boletines
 Tele trabajador: el entrenamiento de este tipo de usuario B. Elaboración de Políticas de Seguridad Corporativas
debe ser de mediano a alto, simplemente porque su red
interna de trabajo en casa es más simple, y eso la hace En esta parte del trabajo se aborda la parte de la
más vulnerable de atacar y así comprometer la red de la elaboración de políticas específicas destinadas a minimizar
empresa remotamente. A la vez, le da más probabilidades el riesgo de una empresa con respecto a los ataques de
al atacante de mantenerse anónimo pues no existen Ingeniería Social. Las políticas abordan los ataques que se
equipos de seguridad robustos en este extremo de la red.
no basan estrictamente en la explotación de
vulnerabilidades técnicas, sino más bien en el uso de algún
tipo de pretexto o artimaña para engañar a un empleado de
 Departamento de Recursos Humanos:R.R. H.H.
confianza que provee información o realiza una acción que
administra toda la información personal de los
empleados de una empresa. Aun cuando no todos los da acceso al atacante información sensible o a los sistemas
empleados están interesados en proteger activamente la informáticos de la empresa y la red.
información empresarial si deberían estar interesados en
proteger su propia información personal para evitar su 1. ¿Qué hay en una Política de Seguridad?
robo. El ejemplo que proyecte R.R.H.H. en el cuido de la
Las políticas de seguridad son instrucciones claras que
información personal puede influir grandemente en los
proporcionan las pautas de comportamiento de los empleados
empleados a que hagan lo mismo con la información
para la protección de la información, y son un elemento
empresarial. Cuando el personal de este departamento se
fundamental en el desarrollo de controles eficaces para
ponga en contacto con otros departamentos dentro y
contrarrestar las potenciales amenazas de seguridad. Estas
fuera de la empresa, debe seguir procedimientos claros y
políticas son aún más significativas cuando tratan de prevenir
definidos para garantizar que la información se está
y detectar ataques de Ingeniería Social.
enviando a la persona correcta y deben existir maneras
de verificar la identidad de la persona solicitante. Los
Los controles de seguridad efectivos se implementan
empleados de R.R.H.H. deben ser altamente entrenados
mediante la capacitación de los empleados con las políticas y
para abordar a las personas que llaman solicitando
procedimientos bien documentados. Sin embargo, es
información personal como sueldos, descuentos en
importante señalar que las políticas de seguridad, incluso si se
planillas, referencias personales, cargos, etc., quienes
siguen religiosamente por todos los empleados, no están
dicen representar a instituciones financieras, bancos u
garantizadas para prevenir todos los ataques de Ingeniería
otras organizaciones para gestionar algún producto
Social. Más bien, el objetivo razonable es siempre para mitigar
oservicio al empleado.
el riesgo a un nivel aceptable. Las políticas expuestas a
continuación no son estrictamente diseñadas solamente para
 Departamento de I+D: Aun cuando este departamento
ataques de Ingeniería Social, pero todas tratan la mayoría de
no está en contacto directo con las personas fuera de la
las técnicas usadas en un ataque de Ingeniería Social.
organización, no contesta llamadas telefónicas o una gran
cantidad de correos, con un objetivo importante para los
ingenieros sociales para llevar a cabo espionaje industrial 2. ¿Cómo Usar las Políticas?
a la organización. Este departamento debe tener
tecnología de seguridad informática y al menos tener un Cada organización encargada de elaborar sus políticas de
entrenamiento moderado para conocer las prácticas de seguridad debe comprender que estas son únicas, y su
engaño que existen con el objetivo de sobrepasar las elaboración dependerá de su ambiente, sector, requerimientos
medidas de seguridad e ingresar a los servidores. legales, cultura organizacional, sistemas informáticos usados y
objetivos estratégicos particulares.
 Ejecutivos y Directores de Empresas: Los ejecutivos
pueden variar mucho, unos necesitaran más La rigurosidad de las políticas dependerá del tamaño de la
entrenamiento que otros. Algunos ejecutivos organización. Por ejemplo, en una empresa donde hay pocos
simplemente no querrán ser molestados con este tema. empleados, con una sola sucursal, y donde se conocen unos a
Sin embargo es importante saber transmitir la idea que otros, no deben de preocuparse tanto sobre la posibilidad de
los ataques de Ingeniería Social involucran a toda la que un atacante llame para hacerse pasar por uno de sus
empresa y pueden tocar sus intereses directos. empleados. Así mismo, una organización con una cultura
Generalmente un entrenamiento moderado es suficiente relajada podrá adoptar solamente aquellas políticas que
para los directos y ejecutivos, esto puede variar depende requiera para cumplir con sus objetivos estratégicos.
del rol que este tenga dentro de la organización.
Aquí solo presentamos un sub-set de políticas, enfocadas y
consideradas fundamentales para el área de TI.
 3. Clasificación de Datos. daría lugar a un acceso no autorizado a los sistemas
Una política de clasificación de datos es fundamental para informáticos corporativos.
proteger los activos de información de una organización, y
establece categorías por las que debe regirse la divulgación de Un acuerdo de confidencialidad debe ser firmado antes de
información sensible. Esta política proporciona un marco de que la información interna pueda ser revelada a terceros,
referencia para la protección de la información corporativa al como a los proveedores, contratistas, empresas asociadas,
hacer a todos los empleados conscientes del nivel de etc. La información interna generalmente incluye cualquier
sensibilidad de cada categoría de información. La información cosa usada para la actividad empresarial diaria que no debe
debe separarse en niveles de clasificación en función de su ser revelada al público, como gráficos corporativos de
sensibilidad y confidencialidad. Para empresas medianas a organización, números de acceso telefónico de red,
grandes, estas 4 clasificaciones, que se mencionan a nombres internos del sistema, procedimientos de acceso
continuación, cumplen apropiadamente los requerimientos, remoto, códigos de centros de costo, etc.
para luego usarse en las políticas:
 Publica: esta es la información que se ha diseñado
 Confidencial: esta categoría de información es la más específicamente para el público en general. Este tipo de
sensible. La información confidencial es para uso información se puede distribuir libremente a cualquier
solamente dentro de la organización. En la mayoría de los persona, como comunicados de prensa, información de
casos, sólo debe ser compartida con un número muy contacto de servicio al cliente, o folletos de productos. Hay
limitado de personas con una necesidad absoluta para que tener en cuenta que cualquier información no
conocerla. La naturaleza de la información confidencial es designada como pública debería ser tratada como
tal que cualquier revelación no autorizada podría afectar información sensible.
gravemente a la organización, sus accionistas, sus socios
de negocios, y/o sus clientes. Para los efectos de las políticas mencionadas a continuación,
una persona no verificada es alguien a quien el empleado no
Ejemplos de información confidencial generalmente conoce personalmente o que sepa que es un empleado activo o
caen en una de estas categorías: información referente a con los privilegios de acceso a la información, o alguien que
secretos de negocio, patentes, códigos fuentes, no ha sido avalado por un tercero de confianza. Una persona
especificaciones técnicas y de funcionamiento de equipos de confianza es una persona se conoce cara a cara o un
clave o información sobre productos que pueda ser usado empleado de la compañía, un cliente o un consultor de la
como una ventaja competitiva por la competencia. empresa con los privilegios adecuados para tener acceso a la
Información sobre estrategias de mercadeo y finanzas no información. Una persona de confianza también puede ser un
reveladas al público, así como cualquier otro tipo de empleado de una empresa que tiene una relación ya
información que sea vital para la operación del negocio, establecida, con su empresa.
como su planeación estratégica.
4. Procedimientos de Verificación y Autorización.
 Privada: esta categoría cubre la información de carácter
personal que se destina para uso exclusivo dentro de la
Los ingenieros sociales suelen utilizar tácticas engañosas
organización. Cualquier divulgación no autorizada de esta
para acceder u obtener información confidencial de la empresa
clase de información podría afectar seriamente a los
haciéndose pasar por empleados legítimos, contratistas,
empleados o la empresa si fuese obtenida por personas no
proveedores o socios de negocios.Para mantener la seguridad
autorizadas (especialmente los ingenieros sociales).
de la información eficaz, un empleado que reciba un
requerimiento de realizar una acción o proporcionar
Ejemplos de información privada incluyenel historial
información sensible debe identificar a la persona que llama y
clínico de los empleados, beneficios en las pólizas de
verificar sus privilegios antes de conceder una solicitud.
salud, información de cuentas bancarias, historial de
sueldo, o cualquier otra información que identifique al
 Requerimiento de una persona de confianza: la condición
personal y que no es de conocimiento público.
para proveer información a este tipo de persona es que la
organización mantiene como empleado activo a la persona
 Interna: esta categoría de información se puede
que realiza la solicitud de información, o que la persona
proporcionar gratuitamente a todas las personas empleadas
tiene una relación con la organización. Luego, es necesario
por la organización. Por lo general, no se espera que la
verificar que la persona solicitante tenga una necesidad
divulgación no autorizada de información interna para
real de saber la información y si tiene los privilegios
causar daños graves a la empresa, sus accionistas, sus
adecuados para conocerla.
socios, sus clientes o sus empleados. Sin embargo, las
personas expertas en técnicas de Ingeniería Social pueden
usar esta información para hacerse pasar por un empleado,
contratista o proveedor autorizado para engañar incautos
personal que proporcione información más sensible que
 Requerimiento de una persona no verificada: cuando 5. Políticas de Tecnología de la Información.
exista una solicitud de una persona no verificada, es
necesario hacer una verificación razonable para conocer El departamento de tecnología de la información de
si esta persona tiene privilegios para solicitar esta cualquier empresa tiene una necesidad muy especial por las
información o acción. Esto se realiza mediante tres pasos políticas de seguridad que le ayudan a proteger los activos de
o casos: información de la organización. En este trabajo se mencionan
solo algunos ejemplos de políticas divididas en cuatro aéreas:
-Paso uno, verificar que la persona sea quien afirma ser: General, Help Desk, Administradores y Operadores de
será necesario tener tecnologías como caller’s ID para Equipos.
poder identificar a la persona que llama. Para verificar la
autenticidad de la llamada se puede devolver la llamada  Generales.
hacia el número oficial de la lista de contactos de la
organización. Validar a una persona a través de un 1-Politica de información de contacto para Staff de TI:
tercero es una buena práctica, aunque siempre en estos números de teléfono y direcciones de correo electrónico no
casos hay que tener constancia que la tercer persona está deberán ser reveladas a ninguna persona excepto ante un
activa en la empresa, y una manera de hacerlo es requerimiento oficial.
consultarlo con su jefe o supervisor inmediato.
Para la comunicación por correo electrónico, será Propósito: se busca que esta información no sea explotada
necesario solicitar que el mensaje venga firmado por un ingeniero social. Al revelar solo información como
electrónicamente. En el caso de solicitudes en persona un número general o un correo electrónico genérico se
siempre debe de verificarse las credenciales físicas de la bloquea al ingeniero social para que contacte directamente
persona solicitante. a personal de TI.

-Paso dos, determinar si la persona es un empleado 2-Politica de soporte técnico: todos los requerimientos de
activo o una persona con una relación de confianza con soporte técnico deben ser referidos al grupo que se encarga
la organización: antes de revelar cualquier información de este tipo de solicitudes.
será necesario verificar si la persona está autorizada para
recibir y conocer este tipo de información. Esto se puede Propósito:Los ingenieros sociales pueden intentar dirigir
hacer indagando en el departamento o con el supervisor sus ataquesa personal de TI que no manejan habitualmente
de la persona solicitante. En los sistemas electrónicos, problemas de soporte técnico, y que pueden no estar al
una base de datos con la información de privilegios será tanto de los procedimientos de seguridad al atender estas
una gran herramienta para conocer quien tiene acceso y solicitudes.
que información de la compañía. Para verificar si la
persona es un empleado activo y a que área pertenece  Help Desk.
será necesario utilizar un sistema de RRHH para
activamente, realizar la verificación de manera eficaz. 3-Politica de procedimiento para soporte remoto:el
personal de soporte técnico no deben divulgar datos o
-Paso tres: determinar si la persona tiene la autorización instrucciones en materia de acceso remoto, incluidos los
para recibir la información, o de solicitar una acción: puntos de acceso a la red externa o números de acceso
Una vez se ha verificado la autenticidad de la persona es telefónico, a menos que elsolicitantehaya sido: a) un
necesario saber si está autorizado para tener acceso a la empleado verificado y con autorización de recibir esa
información solicitante, por ejemplo, si un empleado del información, b) una persona verificada para conectarse a la
área de mercadeo solicita información financiera de red remota como un usuario externo. A menos que la
empresa, esto ya debería levantar sospecha y la única persona sea conocida en persona, se deberá seguir los tres
manera de verificarlo seria mediante el sistema pasos de verificación detallados anteriormente.
informático que tenga usuarios y privilegios.
Una empresa puede proporcionar un acceso fácil a la Propósito: El personal de soporte técnico es a menudo un
información de autorización mediante la publicación de objetivo primordial para un ingeniero social, pues la
listas que determinen que empleados tienen derecho a naturaleza de su trabajo es ayudar a los usuarios con
que información. Estas listas pueden ser organizadas en problemas relacionados con los sistemas informáticos, y
términos de posiciones, departamentos, grupos de debido a que por lo general ellos tienen privilegios
trabajo, y las responsabilidades de los empleados o elevados del sistema. Todo el personal de soporte técnico
alguna combinación de estas. Tendrá que ser mantenida debe estar capacitado para actuar como un firewall humano
en la línea y actualizada y proporcionar un acceso rápido para evitar la divulgación no autorizada de información
a la información de autorización. que pueda ayudar apersonas no autorizadasa tener acceso
arecursos de la empresa.
 verificación por escrita, física o digital, de que el
4-Politica de restauración de passwords: el password de una requerimiento proviene de una persona autorizada.
cuenta de usuario podrá ser restaurada solamente por solicitud Propósito: el propósito de esta política es prevenir que un
del usuario de la cuenta. atacante solicite de manera fraudulenta la deshabilitación de
una cuenta para luego, llamar al usuario de la cuenta
Propósito: La táctica más común de los ingenieros sociales es bloqueado tratando de “solucionar” el problema. Cuando un
lograr que una cuenta de otra persona sea reseteada. En este usuario percibe que quien llama tiene ya conocimiento de su
caso el atacante finge que el usuario ha perdido u olvidado el problema técnico estará más propenso a dar información como
password. Para reducir el riesgo de este tipo de ataques, todo su usuario y password en el proceso de resolución de
el personal de TI debe llamar y contactar directamente al problemas.
usuario que solicita un restablecimiento de password, antes de
ejecutar cualquier acción. El número de teléfono al que 9-Política para deshabilitar puertos de red y dispositivos:
contacta debe ser tomado de la lista oficial provista por la ningún empleado deberá deshabilitar ningún tipo de equipo de
organización y no ser provisto por el solicitante. red o puerto solicitado por alguna persona no verificada de
afirme ser de soporte técnico.
5-Política de cambio de privilegios de acceso:todas las
solicitudes para elevarlos privilegiosde un usuarioo delos Propósito: el propósito de esta política es prevenir que un
derechos de accesodeben de ser aprobadospor escritopor el atacante detenga el servicio de un equipo de red o un puerto
jefedeltitular de la cuenta. Cuando los cambios se hayan especifico, para luego, llamar a algún usuario con problemas
realizado se debe informar por medio del correo electrónico de red para “solucionar” el problema. Cuando un usuario
corporativo oficial al jefe solicitante. percibe que quien llama tiene ya conocimiento de su problema
técnico estará más propenso a dar información como su
Propósito: una vez un atacante ha comprometido una cuenta usuario y password en el proceso de resolución de problemas.
de usuario el siguiente paso será elevar los privilegios de esta
cuenta para para tener más control sobre el sistema
informático vulnerado. Si el atacante tiene conocimiento del 10-Política de acceso a la red inalámbrica: ningún empleado
proceso de autorización puede engañar y perpetrar solicitud debe revelar los procedimientos o pasos para acceder a la red y
falsa mediante correo electrónico, fax o llamada telefónica. s inalámbricos a ninguna persona que no esté autorizada.

6-Politica para autorización y creación de nueva cuenta:la Propósito: Siempre se debe de verificar que la persona
solicitud de creación de una nueva cuenta para un nuevo solicitante sea una persona autorizada para conectarse a la red,
empleado contratista debe ser hecha por escrito y firmada por antes de conceder las credenciales y pasos para conectarse.
el jefe de la persona a quien se creara la cuenta, o en su
defecto por medio de un correo electrónico firmado  Administración de equipos.
digitalmente. Este requerimiento también debe ser confirmado
enviando un correo por medio del correo institucional al jefe 11-Politica para cambio general de derechos de acceso: las
peticionario. solicitudes para cambiar los derechos de acceso globales
asociados con un perfil o usuario de trabajo debe ser aprobado
Propósito: Debido a que los passwords y otra información útil por el personal asignado para la responsabilidad de gestionar
es usada para vulnerar los sistemas y tener acceso no los derechos de acceso en la red corporativa.
autorizado, son los objetivos más comunes de los atacantes. Po
esta razón las precauciones que deben tomarse deben ser Propósito: el personal autorizado para cambiar privilegios
especiales. La intención de esta política es prevenir que un determinará antes de realizarlos si los cambios pudieran
intruso suplante a un empleado o jefe legítimo para solicitar afectar la seguridad de la información. Si fuera así, el
creación de nuevas cuentas. solicitante asumirá la responsabilidad y se harán los cambios
solicitados.
7-Politica para la entrega de nuevos passwords: Los nuevos
passwords deben ser administrados como información 12-Política para solicitud de acceso remoto: todo acceso
confidencial, y entregados por medios seguros incluidos en remoto será concedido solamente a aquellos empleados que
persona, contra firma de entrega, o servicio de encomienda demuestren que tiene una necesidad de acceder a los sistemas
cuando el usuario se encuentre en otra sede. y red corporativa desde fuera de ella.

Propósito: El correo interno de la compañía puede ser Propósito: cuando se limitan las personas que pueden acceder
utilizado aunque siempre será preferible que los documentos remotamente a aquellas que tiene una explicita necesidad de
para la entrega de passwords se hagan en sobres seguros que conectarse desde afuera de la organización, se reduce también
cubra la totalidad del contenido del mismo. el riesgo y la administración de los usuarios con estos
privilegios. Entre menos personas existan con privilegios de
8-Politica para la deshabilitación de una cuenta: Antes de acceso, menos objetivos de ataque tendrá un ingeniero social.
deshabilitar la cuenta de un usuario, se debe solicitar una
13-Política para restauración de passwords de cuentas
privilegiadas: una solicitud de restauración de una contraseña 17-Politica para información interna de sistemas:el equipo de
de una cuenta privilegiada debe ser aprobada por el TI nunca debe revelar cualquier información que tenga que ver
administrador del sistema o administrador responsable del con los sistemas informáticos o relacionados con dispositivos
equipo en cual existe la cuenta. La nueva contraseña se debe sin identificar primero al solicitante.
enviar a través del correo interno de la empresa o entregarse
en persona. Propósito: los intrusos informáticos suelen contactar a los
operadores de equipos de cómputo para para obtener
Propósito: las cuentas de administrador tienen acceso a todos información valiosa como procedimientos de acceso a
los recursos del sistema y a archivos almacenados en la sistemas, acceso remoto, ip’s públicas para VNP’s, los cuales
computadora. Naturalmente, estas cuentas merecen la mayor son información substancia para un atacante.
protección posible.
18-Política para revelación de passwords: los usuarios del
14-Política de soporte remoto:ninguna personal de soporte equipo de cómputo y sistemas nunca deben revelar sus
técnico remoto puede dar ninguna información de acceso passwords, sin el consentimiento del gerente de tecnología de
remoto o permitirle tener acceso a cualquier sistema de la la información.
compañía o dispositivos relacionados sin la verificación de
identidad y autorización de realizar tales servicios. Si se Propósito: en términos generales, al revelar cualquier
requiere tener acceso remoto por soporte de hardware o password a otras personas está estrictamente prohibido. Esta
software, la contraseña dela cuenta usada por el técnico de política reconoce que en algunas ocasiones existe la necesidad
soporte se debe cambiar inmediatamente después de que los de revelarlas a terceras personas cuando sea necesario, pero
servicios del técnico se han completado. esta excepción debe ser aprobada por el gerente de TI.

Propósito: los atacantes se pueden hacer pasar por técnicos de 19-Política de medios electrónicos: Todos los medios
soporte remoto para ganar acceso a la red corporativa. Por lo electrónicos que contengan información privada deben estar
tanto, es esencial que la identidad del técnico de soporte se resguardados físicamente en un lugar seguro.
verifique además de su autorización para realizar cualquier
trabajo en el sistema. Además, el acceso en el sistema se debe Propósito: el propósito de esta política es resguardar y evitar el
cerrar una vez que el trabajo se haya realizado. robo de medios electrónicos que contengan información
sensible de la organización.
 Operación de Equipos.
20-Política de backup: el personal operativo debe guardar los
15-Politica para ingresar comandos o correr programas:el dispositivos y/o medias de backup en una locación segura de
personal operativo de los equipos de cómputo no deberá la empresa o fuera de ella.
ingresar ni correr ningún comando cuando alguien lo solicite y
esta persona no sea verificada. Si surge una necesidad de que Propósito: Los medios de backup son objetivos de los intrusos
la persona no verificada necesita correr un comando, este informáticos. Un atacante no perderá tiempo tratando de burlar
deberá ser aprobado por el supervisor o jefe de área. un sistema de seguridad o la red cuando el eslabón más débil
pueden ser los dispositivos o medias de back que no están
Propósito: los empleados operadores de computadoras son asegurados físicamente. Cuando un medio de backup es
objetivos muy comunes para los ingenieros sociales, puesto robado, toda la información contenida está comprometida.
que sus cargos tienen cuentas con privilegios elevados, y estos Una buena práctica es cifrar la información contenida en los
esperan que estos empleados tengan menos conocimientos y medios de backup.
experiencia sobre procedimientos de seguridad en
comparación con los empleados de TI. X. CONCLUSIONES
Los ataques de Ingeniería Social están siendo usados más
16-Política para trabajadores con cuentas de privilegios frecuentemente pues cada vez más y más la tecnología
elevados: los empleados con cuentas especiales de privilegios aplicada a los sistemas se vuelve más robusta. La cadena de
elevados no deberán proveer asistencia e información a
seguridad se rompe siempre por el eslabón más débil y los
ninguna persona no verificada. En particular esto se refiere a
ingenieros sociales están atacando al ser humano con el
no proveer ayuda en el ámbito computacional, accesos a bases
de datos de la organización, bajar software, o revelar nombres objetivo de llegar a los sistemas de las organizaciones de una
del personal de TI que tengan privilegios de acceso remoto. manera más fácil. Una vez el atacante puede identificar una
víctima y la engaña, la red y los sistemas están comprometidos
Propósito: los ingenieros sociales siempre tienen como y el atacante puede usar muchas herramientas tecnológicas
objetivos a empleados que tengan cuentas con privilegios para robar y hacer daño a la organización. Actualmente la
elevados. La intención de esta política es dirigir al personal de manera más eficaz de usar la Ingeniería Social es
TI todas las llamadas que puedan representar ataques de combinándola con tecnología, pues una vez ingresando a la
ingenieros sociales para que sean manejadas segura y red o sistema por un error humano, la tecnología se encarga de
exitosamente. hacer el resto para él atacante. Muchos casos famosos de
pérdida de información comenzaron con un ataque de Deber ser un hábito de todos los
Ingeniería Social, como el caso de SONY [22], y es por esta Piggybacks empleados solicitar la identificación en
razón que el primer paso para fortalecer la seguridad en esta Rides/Tailgating cualquier circunstancia. Seguir siempre
área es estar consciente del peligro que esto involucra, las políticas de verificación de usuarios.
Programa de entrenamiento sobre la
mediante una evaluación de vulnerabilidad en el tema de
seguridad de la información para
Ingeniería Social en la organización. Luego será necesario
Vishing identificar llamadas sospechosas. Seguir
elaborar un plan de educación en seguridad informática e siempre las políticas de verificación de
Ingeniería Social para cada uno de los grupos de interés de la usuarios.
empresa, que como hemos visto en este estudio es única para Tener usuarios informados en temas de
cada organización. Luego, la elaboración de las políticas es seguridad y comprometidos a seguir los
fundamental para que cada empleado en sepa la manera de Social Networking buenos hábitos y prácticas de
actuar, de una manera coherente y coordinada ante cada comportamiento en las redes sociales
situación, reduciendo la incertidumbre y ambigüedad. El para garantizar la seguridad personal y de
compromiso de todos los elementos de una organización, la la organización.
Para detener este tipo de ataque es
continua capacitación y mejora del programa de educación es
Persuasión necesario un programa de entrenamiento
la única herramienta conocida para evitar el engaño, las tretas sobre la seguridad de la información, y
y el timo las personas para la obtención de información de políticas claras sobre cómo responder
manera ilícita. La seguridad de la información es tarea de ante actos sospechosos.
todos, desde el guardia de seguridad hasta el CEO de la Programa de educación y entrenamiento
organización. Pretexting. a empleados en temas de seguridad y
políticas claras sobre relevación de
Cuadro de Resumen de Ataques y Contramedidas información.
Empleados comprometidos con la
ATAQUE CONTRAMEDIDA Quid Pro Quo política de seguridad y revelación de
Mirar y estar consciente de las personas a información. Un programa de
Shoulder Surfing su alrededor, y no permita que vean su entrenamiento será siempre la mejor
pin o password. medida preventiva.
Destruir el material físico sensible en
Dumpster Diving
trituradora. Destruir el material digital
haciendo un “wiping” a las particiones y
volúmenes.
Verificar la autenticidad del remitente.
Phishing No contestar información personal a este
tipo de correos. Reportarlo al Staff de TI.
Tener claras y definidas las políticas de
El usuario importante
revelación de información. Difundir y
poner en práctica dicha política.
Tener claras y definidas las políticas de
revelación de información. Si un
Ingeniería Social empleado es completamente consiente de
Inversa las políticas de seguridad, siempre estará
atengo ante cualquier solicitud maliciosa
de información.
Tener usuarios informados en temas de
Baiting seguridad y comprometidos a seguir los
buenos hábitos y prácticas para
garantizar la seguridad de la
organización.
Programa detallado de entrenamiento
Generar una situación sobre la seguridad de la información será
de hostilidad siempre la mejor contramedida para
evitar este tipo de ataques.
Para detener este tipo de ataque es
necesario un programa de entrenamiento
Lenguaje corporal. sobre la seguridad de la información, y
políticas claras sobre cómo responder
ante actos sospechosos.
 REFERENCIAS http://www.theregister.co.uk/2003/04/18/office_workers_give_away_pa
sswords/
[1] Kristian Beckers, Leanid Krautsevich, Artsiom Yautsiukhin, “Analysis [26] Pau Navarro (2012“Herramientas de Persuación y Escasez”. Web
of Social Engineering Threats with Attack Graphs”. Pisa, Italy. The Oficial egolandseduccion.com. Fecha de consulta 07 de Diciembre de
Ruhr Institute for Software Technology – University of Duisburg-Ess, 2015, URL: http://www.egolandseduccion.com/herramienta-de-
2013. influencia-y-persuasion-escasez/
[2] Kevin Mitnick, William L. Simon, “El eslabón mas débil de la [27] Steffen Sorrell (2015) “The Internet of Things”. URL:
seguridad”. USA. El Arte del Engaño. 2002 http://www.juniperresearch.com/researchstore/key-vertical-
[3] Devin Luco, “The Art of Social Engineering”, Seattle, USA. ASA Risk markets/internet-of-things/consumer-industrial-public-services.
Consultants, 2013. [28] Marcus Nohlberg (2008) “Securing Information Assets: Understanding,
[4] Malcom Allen, “Social Engineering: A Means To Violate A Computer Measuring and Protecting against Social Engineering Attacks”,
System”, , USA. SANS Institute InfoSec Reading Room2007. Stockholm, Suecia. Stockholm University.
[5] “The risk of social engineering on information security: a survey of it [29] Markus Huber, Stewart Kowalski, Marcus Nohlberg and Simon
professionals”, Dimensional Research &CheckPoint, California, USA. Tjoa,“Towards Automating Social Engineering Using Social
2011. Networking Sites”, AT-1040 Vienna, Austria 2009.
[6] Kristian Beckers, Leanid Krautsevich, Artsiom Yautsiukhin, “Analysis [30] Tobias Lauinger, Veikko Pankakoski, Davide Balzarotti, Engin Kirda.
of Social Engineering Threats with Attack Graphs”. Pisa, Italy. The Honeybot, Your Man in the Middle for Automated Social Engineering.
Ruhr Institute for Software Technology – University of Duisburg-Ess, EURECOM, Sophia-Antipolis, France, 2010
2013. [31] NBC News (2005). Auditors Find IRS Workers Prone to Hackers. Web
[7] Goodchild, Joan. “Social Engineering: The Basics.” CSO oficial de Noticias NBC, Fecha de consulta 29 de Diciembre de 2015
Security and Risk. 20 Dec 2012. Web. Apr. 2013. URL: http://www.nbcnews.com/id/7213173/ns/business-
[8] Goodchild, n. pag.
[9] Goodchild, n. pag. personal_finance/t/auditors-find-irs-workers-prone-
[10] Goodchild, n. pag. hackers/#.VoNVoLbhBdg,
[11] “The anatomy of an enterprise social cyber attack, The Zero FOX [32] Estadísticas de objetivos de phishing, por sitio web de estadísticas
Platform”, USA. 2013. Stadisticas y Estudios (2015), Web Oficial de The Statistic Portal, Fecha
[12] Miguel Ángel Justo (2013), “Delitos informáticos: la tecnología puesta de consulta 30 de Diciembre de 2015, URL:
al servicio del crimen“, Web Oficial de Infojus Noticias. Fecha de http://www.statista.com/statistics/266156/number-of-brands-hijacked-
consulta 12 de agosto de 2015 by-phishing-attacks.
URL:http://infojusnoticias.gov.ar/nacionales/delitos-informaticos-la- [33] Steve Stasiukonis, Social Engineering, the USB Way (2006). Web
tecnologia-puesta-al-servicio-del-crimen-2010.html Oficial Dark Reading Web Bussiness, Fecha de consulta 30 de
[13] Camilo Pérez García (2013), “Espionaje industrial: una realidad diciembre de 2015 URL:
incómoda”, Web Oficial de Colombia Digital. Fecha de consulta 12 de http://web.archive.org/web/20060713134051/http://www.darkreading.co
agosto de 2015 URL:http://colombiadigital.net/actualidad/articulos- m/document.asp?doc_id=95556&WT.svl=column1_1
informativos/item/4852-espionaje-industrial-una-realidad-
incomoda.html
[14] “The risk of social engineering on information security: a survey of it
professionals”, California, USA. 2011.
[15] “Underestimating social engineering in it security governance”, Web
Oficial de Consultia. Fecha de consulta 12 de agosto de 2015 URL:
http://www.consultia.co/underestimating-social-engineering-in-it-
security-governance/
[16] Devin Luco, “The Art of Social Engineering”, Seattle, USA. ASA Risk
Consultants, 2013.
[17] Olavsrud, Thor (2010). “9 Best Defenses AgainstSocial Engineering
Attacks.” Web Oficial de eSecurity Planet. Oct2010. Fecha de consulta
12 de agosto de 2015 URL:
http://www.esecurityplanet.com/views/article.php/3908881/9-Best-
Defenses-AgainstSocial-Engineering-Attacks.htm
[18] Olavsrud, Thor (2010). “9 Best Defenses AgainstSocial Engineering
Attacks.” Web Oficial de eSecurity Planet. Oct 2010. Fecha de consulta
12 de agosto de 2015 URL:
http://www.esecurityplanet.com/views/article.php/3908881/9-Best-
Defenses-AgainstSocial-Engineering-Attacks.htm
[19] IT Business Edge (2012). “Five Ways to Protect Your
Organization Against Social Engineering.” Web Oficial IT
Business Edge. 2012. Web. 6 Apr 2013.Fecha de consulta 12 de
agosto de 2015 URL:
http://www.itbusinessedge.com/slideshows/show.aspx?c=81193.
[20] “The risk of social engineering on information security: a survey of it Mauricio Castro: Realizó estudios de
professionals”, California, USA. 2011. Gerencia Informática en la Universidad Dr.
[21] Jared, Kee “Social Engineering: Manipulating the Source”, SANS José Matías Delgado del 2002-2006. Graduado
Institute InfoSec Reading Room, USA. 2008. de Lic. En Admón. De Empresas con Énfasis
[22] Kenneth C. Laudan, Carol Guercio Traver, “Caso Sony, pagina 278”, en Computación de la Universidad
“E-Commerce”, NY, USA. New York University. 2013. Tecnológica de El Salvador (UTEC) en 2013.
[23] Digger For Truth (2013) “10 Reasons why I feel the Hare Krishnas are
a Cult” Web Oficial:
Actualmente cursa estudios de Maestría en
https://diggerfortruth.wordpress.com/2013/03/16/10-reasons-why-i-feel- Seguridad y Gestión de Riesgos Informáticos
the-hare-krishnas-are-a-cult. Fecha de consulta 1 de Diciembre de 2015, en la Universidad don Bosco (UDB). Posee dos certificaciones
URL: Microsoft MCP y MCDST y sus intereses de investigación
[24] Robert Cialdini, “YES, 50 ways to persuade people”, Pag. 27. USA incluyen la Ingeniería Social y gestión de riesgos y respaldo de
Cialdini 2009. datos. Actualmente es el encargado de elaborar boletines
[25] John Leyden (2003) “Users Give away passwords for a cheap pen”. Web informativos y educacionales para el programa de educación a
Oficial del Diario Online The Register. Fecha de consulta 07 de usuarios en LaGeo en temas de seguridad, en donde trabaja a
Diciembre de 2015, URL:
tiempo completo en el área de seguridad de la información.