Ingeniería •Es un tipo ataque, en su mayoría informático o telefónico,

Social hacia un usuario, con la intención de recolectar información

personal y/o confidencial mediante el engaño.
 Métodos y técnicas de la ingeniería social

Internet: Un caso frecuente es el ya Correo postal: Este es el caso menos

mencionado correo electrónico en el cual frecuente. Se trata de usar una carta en la cual
se da una suplantación de identidad para el delincuente espera una respuesta con datos
que facilitemos datos vía Internet. personales vía correo postal, o por otras vías.
Suele funcionar como entrada a otra vía, ya
sea Internet, telefónico o SMS.

Telefónico: En este caso, se trata de una

llamada telefónica en la cual se podrían Buceo en basura: Es una técnica muy
hacer pasar por una empresa privada específica. Normalmente se utiliza cuando el
(banco, compañía de Internet, etc) o por un delincuente conoce bien al objetivo y lo que
organismo público (policía, Hacienda, etc). puede extraer de este de la basura que
desecha.

SMS: Usan la misma técnica que vía En persona: Sin duda, la más complicada de
Internet, pero de forma más directa, siendo todas. Esta técnica la podríamos catalogar
algo más rudimentario. prácticamente como una práctica de espionaje.
 PRINCIPIOS BÁSICOS DE LA INGENIERÍA SOCIAL

Reciprocidad: Los humanos somos por Consistencia: Somos animales de costumbres.

naturaleza recíprocos con nuestros actos. Si Si hemos dado nuestra palabra (y la acción no
alguien nos ofrece algo, tendemos a ofrecerle nos va a ocasionar un grave trastorno),
también algo nosotros. Si alguien nos trata mal, tendemos más a cumplir que a no hacerlo. El
estaremos más susceptibles a pagarle con la caso de ingeniería social más habitual utilizando
misma moneda. Un «instinto» social muy arraigado este principio es aquel en el que un miembro del
en nuestra naturaleza, y por ende, fácilmente equipo técnico de un servicio (o de una
manipulable.
empresa) le pide que realice X labores
habituales
Urgencia: Un clásico entre los
clásicos. ¡Aproveche esta oferta! ¡Hasta fin de
existencias! ¡Durante los próximos cinco Confianza: Nuestras escasas defensas bajan
minutos…! Es uno de los mantras habituales de las cuando nuestro interlocutor nos cae bien o está
ventas, en este caso extrapolado al cibercrimen. alineado con nuestros intereses.
PRINCIPIOS BÁSICOS DE LA INGENIERÍA SOCIAL

Autoridad: Si el becario le pide las credenciales

de acceso de un servicio, seguramente lo mire
con desconfianza.

Validación social: Como seres sociales que

somos, buscamos la aprobación del colectivo.
Por tanto, si en un email alguien nos pide
específicamente que hagamos algo raro, es
posible que nos lo pensemos.
IPOS DE ATAQUES DE INGENIERIA SOCIA
Phishing •Es uno de los ataques de ingeniería social más comunes. Se
trata de la suplantación de la identidad mediante el envío
de correos electrónicos masivos que, aunque parecen ser
de una entidad en la que la víctima confía, buscan engañarla
para obtener información sensible, al pedirle que verifique
sus datos privados.
Spear •Funciona de una manera muy similar al phishing regular, pero
la principal diferencia radica en que este ataque va dirigido a
phishing una organización en concreto. Esta estafa sirve para robar
información sensible de corporaciones y empieza por la
identificación e investigación de los trabajadores para
entender su comportamiento.
 •Es un tipo de estafa que se realiza vía telefónica. Para
Vishing hacerlo, el hacker manipula a su víctima hasta hacerle ceder
su información personal, como números de tarjetas o claves,
utilizando un discurso que apele a emociones fuertes como el
miedo o la empatía.
Smishing

•Es un fraude que se lleva a cabo a través

de mensajes de texto o apps de
mensajería como Whatsapp. Usualmente,
los mensajes contienen enlaces a sitios web
fraudulentos, con el objetivo
de instalar malware en el teléfono celular
o solicitar datos personales.
SIM Swapping •Una modalidad de estafa en la que
los hackers suplantan la identidad de su víctima
para obtener un duplicado de su tarjeta SIM
y acceder a todo tipo de información, como
cuentas bancarias.
Baiting

Consiste en atraer a las personas apelando

a su curiosidad, mediante descargas de
contenido atractivo (como música o
vídeos) o descuentos especiales. Al dar
clic en este tipo de anuncios, el usuario no
solo está entregando el acceso a su
computadora, datos personales y contactos
al ciberdelincuente, sino que también puede
perder dinero al hacer compras que nunca
llegarán.
Scareware

•Ocurre cuando las personas

son bombardeadas
con amenazas y alarmas
falsas. Una de las más
comunes son los avisos en
internet, en los que
“informan” que
el equipo está infectado
con un virus y se debe
instalar algún programa
para proteger la información
personal de posibles espías
cibernéticos.
Pretexting

•Esta técnica de ingeniería

social se ejecuta
comúnmente a través de
la generación de
confianza entre la persona
y los hackers, quienes
se hacen pasar por un
jefe, compañero de
trabajo o conocido que
tiene una historia
convincente para obtener
información confidencial.
Quid Pro Quo

•En este tipo de estafas,

las personas
entregan información
sensible a cambio de
algo adicional, como un
servicio técnico. Muchas
veces, quienes son
víctimas de este tipo de
ataque son engañadas por
consultas gratis en línea o
“expertos” que ofrecen
servicios sin costo alguno.
Tailgaiting

•Esta es un ciberdelito en la
que el hacker ingresa al lugar físico
de trabajo usando una identidad
falsa, para luego acceder y robar
información directamente de las
computadoras.
Hacker
•Son personas o grupos que
obtienen acceso no
autorizado a sitios web
explotando vulnerabilidades
existentes. En un sentido
positivo, los hackers son
profesionales de la
informática que descubren
los puntos débiles de las
aplicaciones informáticas y
ayudan a resolverlos. En un
contexto amplio, los hackers
son tecnófilos que disfrutan
encontrando soluciones a
tareas complejas.
White-hat
Hackers

•El grupo de white-hat hackers

(análogo al white-hat SEO) utiliza
sus amplios conocimientos en el
campo de la tecnología informática
sólo de acuerdo con las leyes
aplicables y de acuerdo con sus
propias reglas establecidas, a las
que a menudo se hace referencia
como la ética del hacker. Los
miembros de este grupo a menudo
trabajan para agencias de seguridad
o secciones de seguridad de TI de
las empresas
Black-hat Hackers

•Este grupo sería análogo al

black hat SEO. Por lo general, actúan
con intención delictiva. Están
involucrados en el robo de datos, la
manipulación o el daño deliberado de
webs. De este modo, las grandes
empresas se convierten de vez en cuando
en blanco del robo de datos, como eBay.
DDoS (Distributed Denial of Service
Attack) es un método popular de ataque
en la escena del sombrero negro, por el
cual incluso un servidor grande puede ser
paralizado.
Gray-hat Hackers

•Un buen ejemplo de esto es el grupo

Anonymous que atacó el servicio de
pago PayPal en 2010, para protestar por
el hecho de que PayPal no reenviara los
pagos a WikiLeaks. El mismo grupo
decidió en noviembre de 2015 luchar
contra el Estado islámico de manera
online. Anonymous en sí mismo no
tiene una estructura fija. Los miembros
de este grupo de hackers colaboran de
forma descentralizada.
Cracke
r
•Persona que utiliza todo su
conocimiento en informática para
romper algún sistema de seguridad,
bien sea con fines lucrativos, en
señal de protesta, desafío o incluso
para realizar espionaje industrial.
•Las características principales de un
cracker, además de que uno bueno
puede contar con unos amplios
conocimientos de seguridad
informática, es que conocen bien el
ámbito en el que se mueven, es
decir, pueden saltarse la seguridad
de un programa informático, alterar
su funcionalidad
 Clases de Cracker
Crackers de sistemas
Piratas
Son los que pueden alterar el contenido de
determinado software Los que con sus conocimientos rompen los
sistemas de protección y licencias de los
Ciberpunks diferentes softwares.

Especializados en alterar páginas webs o

sistemas informatizados. Phreakers
Especialistas en atacar sistemas telefónicos,
rastrear llamadas o realizar llamadas sin gasto
Crackers de criptografía alguno.
Dedicados a la ruptura de la criptografía.
Insiders

Son crackers que trabajan dentro de una empresa

a la que atacan desde dentro.
¿Hay diferencia entre hackers y crackers?

La principal diferencia es que el cracker

daña sistemas y ordenadores,
intentando siempre hacer el máximo
daño posible. Actualmente hay
bastantes malentendidos porque los
hackers son considerados los
auténticos piratas informáticos capaces
de acabar con cualquier sistema de
seguridad, entrar en determinado
sistema aprovechándose de una
vulnerabilidad y robar información
entre muchos otros fines. Pero los
crackers son los que tienen la
capacidad de introducirse en los
sistemas de manera ilegal, así como
crear virus, robar información secreta,
etc., aunque esto no quita que haya
hackers que puedan hacerlo.
Lamme
r
•Persona que carece de habilidades
técnicas o sociabilidad, considerada un
inexperto en una materia, actividad
específica o dentro de una comunidad,
a pesar de llevar suficiente tiempo para
aprender sobre la materia, actividad o
adaptarse a la comunidad que le
considera un lammer.
 Características
de los lammer

• La principal característica que los define es el

desconocimiento de programación o
ingeniería.
• Es capaz de invadir en sistemas, usarlos sin
autorización, decodificar información
confidencial, forzar programas, robar
información, etc. Empleando los
conocimientos de hackers o crackers.
• Suelen ser los más improductivos al dedicarse
de lleno a esto, administrar canales de charla
y a piratear juegos y programas nuevos.
• Los lammers solo destruyen o alteran
sistemas para presumir o para intimidar a
profesionales y empresas, sin conocer las
consecuencias legales de sus actos.