Este documento describe la ingeniería social y sus diferentes tipos de ataques. Define la ingeniería social como la manipulación psicológica de personas para obtener información. Explica que los ataques pueden ser locales o remotos, e incluyen técnicas como phishing, redes sociales, pretexting e impersonación. También brinda consejos sobre cómo protegerse, como verificar la identidad de quien solicita información y no compartir contraseñas.

1. SEPTIEMBRE 2018
NATALIA ARDILA
INGENIERÍA SOCIAL
Contenido
1. Concepto........................................................................................................................... 1
2. ¿Cómo se utiliza la I.S a los ataques de empresas?............................................................... 2
2.1. Motivadores Psicológicos............................................................................................ 2
2.2. Objetivo del Ataque.................................................................................................... 2
2.3. Contenido.................................................................................................................. 2
2.4. Vector o Medio.......................................................................................................... 3
3. ¿Por qué debería preocuparnos la ingeniería social?............................................................ 3
4. ¿Cómo protegerme? .......................................................................................................... 3
5. Tipos de Ingeniería Social ................................................................................................... 4
5.1. Ataques locales .......................................................................................................... 4
5.1.1. Pretexting / Impersonate..................................................................................... 4
5.1.2. Fallaen controles físicos de seguridad.................................................................. 4
5.1.3. Dumpster Diving................................................................................................. 4
5.1.4. Distracción.......................................................................................................... 4
5.1.5. Baiting................................................................................................................ 4
5.2. Ataques remotos........................................................................................................ 5
5.3.1. Phishing.............................................................................................................. 5
5.3.2. Redes Sociales..................................................................................................... 5
6. Mi experiencia personal ..................................................................................................... 5
7. Bibliografía........................................................................................................................ 6
1. Concepto
La Ingeniería Social es el conjunto de actividades o engaños que los atacantes usan
para obtener información o bienes de las organizaciones a través de la manipulación
de los usuarios legítimos. Es decir, la Ingeniería Social es la ciencia y el arte de
hackear a las personas.

2. Nuestras debilidades naturales como humamos pueden ser explotadas en muchas
ocasiones mucho más fácilmente que las de un software o hardware. La ingeniería
social hace esto, explota nuestras debilidades psicológicas para extraer
información. Aplicar principios sociológicos para solucionar cualquier tipo particular
de problemas, o utilizar la manipulación de las posiciones sociales de los individuos
para intentar cambiar la sociedad; son ambos, conceptos aplicables a la ingeniería
social.
Ahora bien, en el contexto de la seguridad informática, la ingeniería social tiene que
ver con la manipulación psicológica de las personas para extraer información de
ellas.
2. ¿Cómo se utiliza la I.S a los ataques de empresas?
2.1. Motivadores Psicológicos
Los motivadores psicológicos más comunes y efectivos en los ciber ataques son
la urgencia y/o el miedo (46%); la autoridad (43%); y, la costumbre, la curiosidad y
la falsa confianza (11%).
2.2. Objetivo del Ataque
1. Fraude: consiste en robar dinero sin usar la fuerza.
2. Infección: se engaña a las víctimas para que descarguen software malicioso.
3. Robo de credenciales: se les redirige a las víctimas a un sitio web falso, y se
sustraen ahí claves de acceso a diferentes sistemas electrónicos.
2.3. Contenido
Los cibercriminales utilizan varios temas de interés: mediáticos, políticos, de
deportes, de trabajo, etc. Además, cuando desean algo específico de una empresa,
llegan a conocer los gustos e intereses de una persona en particular dentro de la
misma.

3. 2.4. Vector o Medio
Los vectores (es decir, los canales o medios de despliegue) más comunes son el
correo electrónico, la navegación, las redes sociales, las redes inalámbricas, los
dispositivos de almacenamiento, e – incluso – las visitas personales en el sitio de
trabajo.
3. ¿Por qué debería preocuparnos la ingeniería social?
Actualmente, vemos que la Ingeniería Social es la punta de la lanza para los ciber
ataques. Lastimosamente, no se le da la debida importancia y se enfoca la
Seguridad de la Información en las herramientas tecnológicas. Se adquieren
antivirus, firewalls, anti-spam, etc., pero estos productos se deben complementar
con la gestión para los recursos humanos.
4. ¿Cómo protegerme?
Aunque podría decirse que solo con tener sentido común basta, esto solo es cierto
para ataques simples y fáciles de detectar. Ser siempre desconfiado sea tal vez la
única protección, pero no se puede estar tan alerta todo el tiempo.
Algunas medidas que podemos tomar son:
1. Verificar siempre la identidad de alguien que nos solicite información
personal. Por ejemplo, si recibimos una llamada telefónica de un operador
que nos solicita datos personales, podemos pedirle todos sus datos de
empleado, pero la mejor manera de confirmar si es quien dice ser, es
ofrecerle algunos datos ligeramente equivocados para contra-verificar que
realmente es un operador y tiene en sus manos, la información correcta que
dimos a la empresa.
2. No debemos nunca abrir archivos adjuntos ni hacer clic en enlaces de
correos con remitentes desconocidos o sospechosos.
3. Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o
nombres de usuario con nadie vía correo electrónico.
4. No reveles tus contraseñas a nadie, ni tampoco las mantengas a la vista en
una nota en el escritorio ni nada parecido.
5. Cuando trabajamos con información sensible, procuremos estar pendientes
de si alguien está observándonos. Ya sea la pantalla del ordenador en el
trabajo, o hasta la del móvil en la calle. Este es básicamente el mismo consejo
que te da el banco al usar un cajero automático, no permitir que nadie se
acerque lo suficiente como para que pueda ver cuando ingresas tu PIN.
6. No creer cualquier cosa que te diga un extraño por muy "bueno" que parezca.

4. 5. Tipos de Ingeniería Social
5.1. Ataques locales
Son los que el atacante realiza en persona, si necesidad de una conexión de
telecomunicaciones. Entre ellos tenemos los siguientes:
5.1.1. Pretexting / Impersonate
Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como
en los remotos. Un claro ejemplo puede darse cuando el atacante se hace pasar
por un empleado de soporte técnico de la empresa en la cual trabaja la víctima
(impersonate). De esta manera trata de generar empatía para ganar credibilidad,
pero acto seguido presenta algún tipo de excusa o pretexto (pretexting), como
alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere
de su intervención. Así podrá dar instrucciones específicas que terminarán en la
instalación de algún tipo de malware, concretando así su objetivo (tomar el control
del equipo, obtener datos sensibles, etc).
5.1.2. Falla en controles físicos de seguridad
Este es quizás unos de los ataques más usados, ya que existen muchas empresas
con fallas en sus controles físicos. Para graficarlo mejor supongamos que en la
recepción se encuentra un guardia de seguridad o recepcionista. Esta persona
solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir
“la visita”, pero este guardia o recepcionista no solicita el documento físico ni
tampoco llama al empleado que está siendo “visitado”.
5.1.3. Dumpster Diving
Aunque no lo crean, una de las técnicas muy utilizadas es revisar la basura, ya que
muchas (pero muchas) veces se arrojan papeles con información sensible sin
haberlos destruidos previamente. Hablamos de usuarios y contraseñas que fueron
anotadas en algún Postit, números de cuentas, mails impresos, etc. También se
suelen encontrar distintos medios de almacenamiento sin su debida destrucción,
como CD’s, discos duros, etc.
5.1.4. Distracción
Conocida también como Misdirection (desorientar) esta técnica es la piedra
fundamental de la Magia y el Ilusionismo. Es utilizada para llevar la atención de la
víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario
(información valiosa). Gracias a esto el atacante puede, por ejemplo, sacar una foto
de la pantalla o papeles con datos importantes, robar un Token, pendrive o algún
otro dispositivo de almacenamiento.
5.1.5. Baiting
Es una técnica muy efectiva. Generalmente se utilizan pendrives con software
malicioso, los que dejan en el escritorio de la víctima o en el camino que la misma
realice (por ejemplo en el estacionamiento, ascensor, etc). Para asegurarse del éxito

5. en la explotación e estudia a la víctima previamente, detectando así la vulnerabilidad
a ser explotada.
5.2. Ataques remotos
Se concretan por medio de redes de telecomunicaciones, incluida Internet. Los
principales son los siguientes:
5.3.1. Phishing
Esta técnica busca “pescar” víctimas. Para ello se utiliza el envío de correos
electrónicos conteniendo adjuntos con malware o links a páginas falsas (home
banking, tarjeta de crédito, etc.) con el objetivo de tomar control del equipo de la
víctima o buscando establecer una relación con la mismas (jugando con sus
sentimientos. El objetivo final de este tipo de Phishing generalmente es hacerse de
documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos
(piden a la víctima que envíe distintos datos personales y una fotocopia del
documento para “verificar” su identidad)
5.3.2. Redes Sociales
Esta técnica tiene dos grandes objetivos, obtener información de la víctima por una
lado y generar una relación con la misma por otro.
6. Mi experiencia personal
Durante el transcurso de mi vida usando redes sociales me ve visto afectada por la
Ingeniería Social, en muy pocas ocasiones y la mayoría siendo menor de edad pues
no tenía conocimiento de cómo debía cuidar mis datos o mis cuentas en internet.
Muchas veces compartía mi contraseña con personas que no eran de mi entera
confianza o dejaba mi correo personal abierto en algunos computadores ya sean
tiendas de internet o los equipos del colegio, luego sufría de hackeos o perdía el
acceso a mi correo personal el cual conectaba con la mayoría de mis redes sociales.
Con el tiempo aprendí a tener hábitos de seguridad pues considero que aunque
antes era un riesgo hoy en día el peligro es mayor. Así que ahora trato de mantener
una sola clave para todas mis cuentas y cambiarla cada 6 meses. Anclar correos a
mi correo principal por si en algún momento pierdo el acceso. También sincronizo
mi dispositivo móvil para tener total control de si existe actividad en mis redes en

6. caso dado de que no sea yo. No comparto mi contraseña con nadie a menos de que
sea necesario, luego de eso, prefiero volverla a cambiar.
Por el momento no he tenido ciber ataques pues considero que soy mucho más
cuidadosa y estricta con la seguridad de mi información personal.
7. Bibliografía
¿Quées la Ingeniería Social? (2018). Obtenidode GMS seguridadde lainformación:
https://gmsseguridad.com/ing-social-info.html
González,G.(24 de Marzo de 2015). ¿Qué es la Ingeniería Social? Obtenidode Hipertextual :
https://hipertextual.com/2015/03/que-es-la-ingenieria-social
Piscitelli,E.(4de Diciembre de 2015). Ingeniería Social: Cuálesson los tipos deataque . Obtenido
de RedUSERS: http://www.redusers.com/noticias/ingenieria-social-cuales-son-los-tipos-
de-ataque/