PROYECTO DE CAPACITACIÓN, ASESORAMIENTO,

CONCIENTIZACIÓN Y CULTURA DE NAVEGACIÓN SEGURA

WEB – CYBERTES

Nombres y Apellidos del Estudiante:

Tnlgo. Sergio Alfonso Bermúdez Andrade

Nombre del Taller:

Proyecto de Vinculación
Ingeniería Social: Comprendiendo y Mitigando las Amenazas

Intensivo 2024
 INTRODUCCIÓN

La ingeniería social, es un fenómeno cada vez más señalado en el ámbito de la

ciberseguridad, no involucra la manipulación de códigos o algoritmos, sino la psicología
humana. Se trata de un arte sutil que apunta a obtener información confidencial o
realizar acciones no autorizadas a través de la manipulación de las personas. Este
enfoque, aunque éticamente es cuestionable y, en muchos casos, es ilegal, destacando la
importancia de la concientización y la educación en materia de seguridad.

En esta introducción, exploraremos las técnicas fundamentales de ingeniería

social, desde el phishing y la suplantación de identidad hasta los ataques de pretextos y
la explotación de redes sociales. Además, proporcionaremos estrategias clave para
prevenir y mitigar los riesgos asociados con esta práctica, destacando la importancia de
la capacitación, la implementación de políticas de seguridad efectivas y el uso de
medidas tecnológicas para salvaguardar la integridad de la información.

Al comprender la naturaleza de la ingeniería social y adoptar medidas

preventivas, las organizaciones y los individuos pueden fortalecer sus defensas contra
estas tácticas manipuladoras. La conciencia y la vigilancia son esenciales en la lucha
contra este desafío en evolución constante. ¡Acompáñanos en este viaje para explorar
las claves de la ingeniería social y aprender a protegernos contra sus astucias!

"La mejor defensa contra la ingeniería social es la conciencia, la educación y una

sana dosis de desconfianza."
 DESARROLLO

I. Definiciones:
A. Definición de Ingeniería Social:
La ingeniería social es una táctica empleada por individuos malintencionados para
manipular a las personas y obtener información confidencial o inducir a realizar
acciones no deseadas. A diferencia de los ataques tradicionales que se centran en
vulnerabilidades tecnológicas, la ingeniería social explora la debilidad humana,
aprovechando la confianza, la credulidad y la tendencia a responder a estímulos
emocionales. Este enfoque subyacente en la psicología convierte a la ingeniería social
en una amenaza sigilosa, capaz de sortear incluso las defensas tecnológicas más
avanzadas.
Los perpetradores de ingeniería social utilizan diversas tácticas, como el phishing,
donde engañan a las personas a través de correos electrónicos fraudulentos o sitios web
falsos; la suplantación de identidad, donde se hacen pasar por individuos de confianza; y
los ataques de pretexto, donde se crean situaciones creíbles para obtener acceso a
información confidencial. En esencia, la ingeniería social se vale de la manipulación
psicológica para explotar la naturaleza humana y obtener acceso a datos sensibles.

B. Importancia en la Seguridad Informática:

La mayoría de los incidentes de seguridad comienzan con algún grado de ingeniería
social. Los ataques exitosos a menudo involucran a individuos que, sin saberlo, revelan
información confidencial o realizan acciones perjudiciales debido a la manipulación
psicológica. La concientización sobre la ingeniería social se vuelve crucial, ya que, a
través de la educación y el entrenamiento, las personas pueden aprender a reconocer y
resistir estos ataques.
Además, la importancia de la ingeniería social se intensifica en un mundo donde la
interconexión digital es omnipresente. Con la proliferación de redes sociales y la
facilidad de acceso a información personal en línea, los atacantes encuentran un terreno
fértil para sus tácticas. La comprensión de la ingeniería social se convierte, por lo tanto,
en una piedra angular para fortalecer la seguridad global, destacando la necesidad de un
enfoque holístico que aborde tanto las amenazas técnicas como las psicológicas.
II. Técnicas Comunes de Ingeniería Social:
A. Phishing:
El phishing es una técnica de ingeniería social que implica engañar a individuos para
obtener información confidencial, como contraseñas o detalles financieros. A menudo,
los atacantes utilizan correos electrónicos, mensajes instantáneos o sitios web falsos que
se asemejan a plataformas legítimas para inducir a las víctimas a divulgar información
personal. Esta táctica se basa en la apariencia de autenticidad y la manipulación
psicológica para lograr sus objetivos maliciosos.

Sitios Web de Phishing:

Los sitios web de phishing representan una forma astuta y peligrosa de ingeniería social,
diseñada para engañar a usuarios desprevenidos y obtener información confidencial.
Este tipo de ataque se basa en la creación de réplicas fraudulentas de sitios web
legítimos, con el propósito de capturar datos sensibles, como nombres de usuario,
contraseñas o información financiera.

Características de los Sitios Web de Phishing:

Autenticidad Engañosa: Los sitios web de phishing se esfuerzan por replicar la
apariencia y el formato de plataformas legítimas, desde instituciones bancarias hasta
servicios de correo electrónico. Utilizan logotipos, colores y diseños similares para
engañar a los usuarios.

URLs Maliciosas: Aunque la URL del sitio de phishing puede parecer auténtica a
primera vista, un examen más detenido revelará pequeñas discrepancias o caracteres
adicionales diseñados para confundir a los usuarios.
Solicitudes de Información Sensible: Una vez que los usuarios acceden al sitio de
phishing, se les insta a proporcionar información sensible. Esto puede incluir datos
bancarios, números de tarjetas de crédito, contraseñas u otra información personal.

Ataques de Redirección: Los atacantes a menudo utilizan técnicas de redirección para

llevar a los usuarios desde sitios web legítimos hacia las páginas de phishing. Esto
 puede lograrse a través de enlaces en correos electrónicos
fraudulentos o anuncios maliciosos.

B. Suplantación de Identidad
La suplantación de identidad, también conocida como "pharming" o "spoofing", es una
táctica de ingeniería social que implica hacerse pasar por otra persona o entidad para
engañar a individuos y obtener información confidencial. Este método se centra en la
manipulación de la confianza, aprovechando la creencia de que la entidad suplantada es
legítima y confiable. Aquí exploraremos las características de la suplantación de
identidad, sus formas comunes y las estrategias para protegerse contra esta amenaza.

C. Ataques de Pretexto
Los ataques de pretexto son una forma de ingeniería social en la que los atacantes
utilizan una excusa aparentemente legítima para obtener acceso a información
confidencial o realizar acciones no autorizadas. Este enfoque implica la creación de una
narrativa plausible que persuada a la víctima a realizar acciones que, bajo circunstancias
normales, no llevaría a cabo.

Características de los Ataques de Pretexto:

Creación de Escenarios Credibles: Los atacantes desarrollan escenarios convincentes,
como la necesidad de realizar actualizaciones de software, verificación de cuentas o
resolución de problemas, para engañar a la víctima.

Utilización de Información Pública: Los atacantes a menudo emplean información

pública sobre la víctima, como eventos actuales o proyectos en los que estén
involucrados, para hacer que el pretexto sea aún más persuasivo.

Presión para la Acción Rápida: Los atacantes pueden imponer una sensación de
urgencia, instando a la víctima a tomar medidas rápidas sin cuestionar la autenticidad
del escenario presentado.
III. Psicología detrás de la Ingeniería Social:
A. Principios de Persuasión:
La ingeniería social se basa en principios de persuasión que explotan la psicología
humana para lograr objetivos maliciosos. Examinemos cada uno de los principios
mencionados:

1. Reciprocidad:
La reciprocidad es un principio psicológico fundamental que establece la tendencia
humana a devolver favores. En el contexto de la ingeniería social, los atacantes explotan
este principio al realizar pequeños favores o actos amigables para luego solicitar
información confidencial.
Ejemplo:
Imagina recibir un correo electrónico que aparentemente proviene de un conocido que te
pide realizar una pequeña acción, como completar una encuesta rápida en línea.
Después de realizar ese favor aparentemente inofensivo, el atacante podría utilizar la
reciprocidad para solicitar información más sensible, confiando en que estás más
inclinado a cooperar después del primer gesto amable.

2. Compromiso:
El principio del compromiso implica obtener un "sí" inicial o pequeño compromiso que
luego se utiliza como base para solicitar compromisos más grandes. Este principio se
basa en la tendencia humana a ser coherentes con nuestras acciones y decisiones
anteriores.
Ejemplo:
Un atacante podría comenzar con una solicitud aparentemente inofensiva, como pedir a
un empleado que complete una breve encuesta sobre seguridad en la empresa. Después
de obtener el compromiso inicial, podrían avanzar solicitando información más
detallada, aprovechando la coherencia humana para obtener respuestas más extensas.

3. Prueba Social:
 La prueba social se refiere a la tendencia de las personas a
seguir el comportamiento de la mayoría, asumiendo que, si otros lo hacen, debe ser lo
correcto. En la ingeniería social, los atacantes utilizan esta predisposición para
influenciar a las personas a seguir determinadas acciones.

Ejemplo:
Imagina recibir un correo electrónico que indica que la mayoría de los empleados ya
han actualizado sus contraseñas como parte de una nueva política de seguridad. Al
destacar el comportamiento de la mayoría, el atacante espera persuadir al destinatario a
seguir el mismo patrón, induciéndolo a revelar información sensible bajo la falsa
premisa de conformidad con la política.

IV Mitigación y Prevención:
A. Concientización y Entrenamiento del Personal:
La concientización y el entrenamiento del personal son componentes cruciales en la
defensa contra las amenazas de ingeniería social. Estos esfuerzos buscan educar a los
empleados sobre los riesgos asociados con la manipulación psicológica y brindarles las
herramientas necesarias para reconocer y resistir ataques potenciales.

Capacitación Continua: Reconoce que la ingeniería social evoluciona constantemente

y proporciona sesiones de actualización periódicas para mantener a los empleados
informados sobre nuevas amenazas y tácticas.

Fomento de la Colaboración: Promueve una cultura organizacional que fomente la

colaboración y la comunicación abierta, alentando a los empleados a compartir
información sobre posibles amenazas de ingeniería social.

B. Políticas de Seguridad:
La elaboración de políticas de seguridad específicas para abordar la ingeniería social es
esencial para fortalecer las defensas de una organización. Estas políticas deben
establecer directrices claras y protocolos de seguridad que protejan a la organización
contra las tácticas de manipulación psicológica utilizadas por los atacantes.
 Implementación de Herramientas de Detección:
Establecer el uso de tecnologías de detección de phishing y otras amenazas de
ingeniería social para identificar y bloquear posibles ataques.

Gestión de Contraseñas: Definir pautas claras sobre la creación y gestión segura de

contraseñas, alentando el uso de autenticación de dos factores (2FA) cuando sea posible.

V Preguntas y Respuestas
A. Invitar a la audiencia a hacer preguntas y compartir experiencias

VII Conclusión
A. Resumen de Puntos Clave
En el transcurso de esta conversación, hemos explorado a fondo el complejo mundo de
la ingeniería social, una amenaza insidiosa que se vale de la manipulación psicológica
para obtener información confidencial. Hemos destacado tres principios fundamentales
de persuasión utilizados en la ingeniería social: reciprocidad, compromiso y prueba
social. Estos principios subrayan la importancia de comprender la psicología humana
para fortalecer nuestras defensas contra esta forma de ataque.
B. Importancia de la Vigilancia Constante
En un mundo donde la información es un activo valioso, la vigilancia constante se
convierte en un escudo protector esencial. Al mantenernos alerta y proactivos, podemos
mitigar los riesgos asociados con la ingeniería social y construir una defensa robusta
contra esta amenaza en constante evolución.

BIBLIOGRAFÍA

Avast, «Phishing,» [En línea]. Available: https://www.avast.com/es-es/cphishing.

[Último acceso: 22 09 2019].

Pandasecurity, «Vishing,» Available:

https://www.pandasecurity.com/es/security-info/phishing/. [Último acceso: 22 09 2019].
C. S. Vanrell, Estudio de las Técnicas de la Ingeniería Social usadas en ataques de
Ciberseguridad y Análisis SS. 2. Banco Bilbao Vizcaya Argentaria, «'Phishing',
'vishing', 'smishing', ¿qué son y cómo protegerse de estas amenazas?» Available:
https://www.bbva.com/es/phishing-vishing-smishing-que-son-y-comoprotegerse-de-
estas-amenazas/ . [Último acceso: 22 09 2019].

N. Labs, «Nuestra información personal y el Dumpster Diving: Un tesoro en la basura».

Available: https://blog.nivel4.com/noticias/nuestrainformacion-personal-y-el-dumpster-
diving-un-tesoro-en-la-basura/.

Malwarebytes Corporation, 2006. Available: https://es.malwarebytes.com/malware/.

[Último acceso: 22 09 2019].

C. blog, «Anatomía del ataque de ingeniería social y cómo prevenirlo» Available:

https://ciberseguridad.blog/anatomia-del-ataque-de-ingenieriasocial-y-como-
prevenirlo/.. [Último acceso: 22 09 2019].

iso27000.es, «El portal de ISO 27001 en Español». Available: http://www.iso27000.es/.

[Último acceso: 22 09 2019].

Security Through Education, «Pretexting» Available:

https://www.socialengineer.org/framework/influencing-others/pretexting/. [Último
acceso: 22 09 2019].

http://bibliotecadigital.econ.uba.ar/download/tpos/1502-1753_MussoGV.pdf

Huerta, D. (2010). Ingeniería social. Revista de Derecho Informático.

https://platzi.com/clases/2238-ingenieria-social/36802-antecedentes-de-la-ingenieria-
social/