Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..

Aspectos interesantes sobre la Ingeniera Social

Domnguez Chvez, Jorge
Departamento de Informtica
Departamento de Postgrado
Universidad Politcnica Territorial del estado Aragua Federico Brito Figueroa
La Victoria, Aragua, Venezuela
jodocha@upta.edu.ve

ResumenLos ciberdelincuentes han utilizado el

Las redes sociales son suministro continua

de personal, familiar, financiera y
profesional, (39 %) y los terminales mviles
mal asegurados (12 %).

El afn de lucro es la razn ms frecuente de

los ataques de ingeniera social, seguida del
deseo a acceder a informacin confidencial
de la persona y/o empresa (46 %), la
bsqueda de ventajas competitivas (40 %) y
los actos de venganza (14 %).

Los nuevos trabajadores o colaboradores son

los ms vulnerables a las tcnicas de
ingeniera social.

Slo el 34 % de las personas y/o empresas

han capacitadas y/o concienciadas sobre
polticas de seguridad para evitar caer en los
ataques de ingeniera social.

phishing y las redes sociales para obtener informacin de

las personas y de las empresas. Los empleados recin
contratados son los objetivos ms buscados.
Los costos de estos ataques son elevados, cada ataque
vara segn la persona y/o empresa. Los costos
involucran: desprestigio para la persona, inquietud sobre
bienes y familiares, interrupcin de la actividad
empresarial, gastos de los clientes, prdida de ingresos y
el detrimento de la imagen personal y/o de la empresa.
Presentamos algunas sugerencias para resolver este
problema.

I. INTRODUCCIN
Segn estudios realizados por diversas empresas y
consultores de seguridad informtica y en seguridad
de Internet, el 50% de las empresas son y han sido
vctimas de la ingeniera social. Los delincuentes
han utilizado el phishing y las redes sociales para
obtener informacin de las personas y/o empresas.
Los nuevos empleados, y aquellos que no tienen
an la pertinencia de estar en una empresa, con
frecuencia son los objetivos ms solicitados por los
ciberdelincuentes.
Estos ataques representan costos elevados, tanto
en lo econmico como en el prestigio de personas
y/o de las empresas afectadas, cada ataque vara en
un rango de 5,000 a 100,000 dlares segn datos de
encuestas, como en lo social. Los ataques
involucraran: interrupcin de la actividad
empresarial, gastos de los clientes, prdida de
ingresos y el deterioro de la imagen de la personal
y/o de la empresa.
Otros resultados de este estudio:

El telfono y los correos electrnicos buscan

engaar y obtener la confianza del
destinatario, representan la fuente ms
comn de la ingeniera social (47 %).

Su empresa o usted tienen servicios de seguridad

en su red informtica, en su edificio, casa u oficina
con un sistema de acceso a tecnologa de ltima
generacin. Han invertido en tecnologa. Pero un
ataque de ingeniera social podra pasar por alto
todas esas defensas. Debe recordar que el humano
es el eslabn ms dbil en aspectos de seguridad
informtica.
Digamos que dos inspectores de incendios
aparecen en su oficina, muestran sus credenciales y
piden un recorrido por su oficina, legalmente est
obligado a darles acceso para hacer su trabajo.
Hacen muchas preguntas, toman lecturas elctricas
en varias toma corriente, examinan el cableado
debajo de los escritorios. A fondo, no es as? El
problema es que en este caso son realmente
consultores de seguridad que hacen ingeniera social
a travs de una "prueba de penetracin" y el
acaparamiento de las tarjetas de acceso, la
instalacin de registradores de pulsaciones, y en

Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..

general, salir con la mayor cantidad de informacin

privada de su negocio, ya que pueden tener en sus
manos.

Recuperar la contrasea

IRC u otros chats

Los ingenieros sociales o ciberdelincuentes se

aprovechan de la conducta humana para realizar
estafas, no se preocupan por un sistema de tarjetas.
Es caminar y con confianza pedirle a alguien que
les ayude a entrar. Y Qu del firewall? No va a
significar mucho si los usuarios son engaados para
que haga clic en un enlace malicioso que piensan
vino de un amigo de Facebook.

Telfonos

Carta y fax

Podramos entrar en particularidades de cada caso

expuesto o conocido, lo fundamental es comprender
que no hay tecnologa capaz de protegernos
contra la Ingeniera Social, como tampoco hay
usuarios ni expertos que estn a salvo de esta forma
de ataque. La Ingeniera Social no pasa de moda, se
perfecciona y slo tiene a nuestra imaginacin
como lmite.
II.

QU ES LA INGENIERA SOCIAL?

La ingeniera social es esencialmente el arte de

obtener acceso a edificios, a sistemas o a datos
(archivos, programas y fotografas) mediante la
explotacin de la psicologa humana, en lugar de
romper o quebrar su tecnologa. Por ejemplo, en
lugar de tratar de encontrar una vulnerabilidad de
software, un ingeniero social puede llamar a un
empleado y hacerse pasar por una persona de
soporte de Tecnologa de Informacin o un amigo o
un cliente, tratando de engaar al empleado para
que divulgue su contrasea.
En los aos 90, Kevin Mitnick populariz el
trmino "ingeniera social", a pesar de que la idea y
muchas de las tcnicas mencionadas han existido
por siempre y ha habido estafadores de cualquier
tipo.
Tcnicas de ingeniera social
Existen tres (3) tipos de tcnicas segn el nivel de
interaccin del ingeniero social:
Tcnicas pasivas

Observacin

Tcnicas no presenciales

Tcnicas presenciales no agresivas

Buscando en la basura.

Mirando por encima del hombro.

Seguimiento de personas y vehculos.

Vigilancia de Edificios.

Induccin.

Entrada en Hospitales.

Acreditaciones.

Agendas y telfonos mviles.

Desinformacin.

Mtodos utilizados por los atacantes

Son varios los mtodos que un delincuente utiliza
para conseguir informacin o que se le facilite un
acceso a un sistema restringido. Lo normal es que el
atacante utilice una mezcla de los mtodos
existentes.
Mtodos agresivos

Suplantacin de personalidad.

Chantaje o extorsin.

Despersonalizacin.

Presin psicolgica.

Autoridad falsa
Tcnica muy usada que se basa en intentar
convencer a la victima de que el atacante est en
una posicin en la que esa informacin le es
necesaria hacindose pasar por un superior. Esta
tcnica puede ser usada en empresas muy grandes,
donde lo ms normal es que un empleado no
conozca a todos sus superiores, con lo que un
atacante puede hacerse pasar por uno de ellos y
solicitar la informacin que necesita.

Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..
III.

MI PERSONA Y/O MI EMPRESA ESTN RIESGO?

La ingeniera social ha demostrado ser una

manera muy exitosa en la que un criminal "ingresa"
una organizacin. Una vez que un ingeniero social
tiene la contrasea de un empleado de confianza,
puede simplemente entrar y curiosear por los datos
sensibles. Otro intento sera la estafa a alguien a
travs de una tarjeta de acceso o cdigo con el fin
de llegar fsicamente dentro de una instalacin, ya
sea para acceder a los datos, robar los activos, o
incluso daar a las personas.
Ejemplo de una prueba de penetracin. Los
consultores de seguridad informtica utilizan los
acontecimientos actuales, como la informacin
pblica disponible en las redes sociales. Con una
camisa Cisco de 4 dlares comprada en una tienda
de segunda mano preparan su entrada ilegal. La
camisa ayuda a convencer a la recepcin y a otros
empleados que es un empleado Cisco en una visita
de soporte tcnico. Una vez dentro, es capaz de dar
a sus otros miembros de su equipo una entrada
ilegal. Tambin logra conectar varios USB con
malware e irrumpir la red de la empresa, todo a la
vista del resto de los dems empleados.
Qu se siente al robar la identidad o una
propiedad de una persona? Con demasiada
frecuencia las personas asumen que no tienen nada
digno de robar.
"Hay muchas personas que se miran a s mismos
y/o a las empresas para las que trabajan y piensan,
Por qu alguien quiere algo de m? Yo no tengo
dinero ni nada que alguien quiera", el atacante
asume "Si bien es posible que no tenga nada, pero s
puedo asumir su identidad, puede pagar mis cuentas
o puedo cometer delitos en su nombre.
Una persona debe entender que no importa quin
o qu sea o a quin representa, debe entender que
tiene un valor implcito para un criminal.
Los delincuentes toman semanas y meses para
conocer un lugar, incluso antes de tocar la puerta o
hacer una llamada telefnica. Su preparacin
incluira la bsqueda de una lista de telfonos de
una empresa, su organigrama, sus empleados o la
lista de las amistades de una persona en sitios de
redes sociales como LinkedIn o Facebook.

En la prueba de penetracin anterior y aplicando

las reglas anteriores a un ejecutivo de alto valor, se
demuestra lo fcil que sera robarle. Podemos
utilizar una bsqueda bsica en Internet para
encontrar una direccin de correo electrnico del
ejecutivo. A partir de ah, todo es una bola de nieve.
Ya sea que irrumpir en edificios o en firewalls de
ltima generacin, el objetivo es siempre el mismo:
extraer informacin mediante cualquier medio que
sea necesario.
Si buscamos la direccin de un correo electrnico
en lnea, seramos capaces de encontrar un nmero
de telfono ya que la persona estaba buscando
boletos para un concierto, o en el registro para
asistir a un congreso, escribi su nmero de
telfono para ser contactado.
Por ejemplo, si el nmero de telfono es de su
oficina, el intruso puede llamar fingiendo ser un
publicista o colega. Tambin, podemos obtener su
nmero de telfono celular personal, su direccin, y,
finalmente, su informacin financiera. El punto es
que con poco de informacin, la ingeniera social
puede crear un perfil entero sobre un objetivo.
Piense un momento, el criminal puede saber la
escuela de sus hijos, sus horarios o incluso irrumpir
la seal Bluetooth de su residencia.
Un ingeniero social est listo para atacar cuando
sabe lo que hay que decir, sabe a quin pedir y
ganar su confianza, elementos que se necesitan para
que una persona no autorizada tenga acceso a una
instalacin o datos sensibles.
El objetivo es ganar la confianza de uno o ms de
sus empleados:

En el telfono: un ingeniero social puede

llamar y pretender ser un compaero de
trabajo o una autoridad externa de confianza
(como la aplicacin de la ley o de un
auditor). El objetivo es que la persona se
sienta cmoda con un lenguaje familiar. El
criminal podra aprender la jerga corporativa
para que la persona en el otro extremo crea
que es informacin privilegiada. Otra
tcnica exitosa involucra la grabacin de la
msica de "mantener" una comunicacin,
msica que utiliza cuando las llamadas se

Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..

quedaron esperando en el telfono.

En la oficina: Puede mantener la puerta

para m? dej mi llave o tarjeta de acceso"
Cuntas veces has escuchado esto en tu
edificio? la persona que solicita el favor no
parece sospechosa (tctica muy comn
utilizado por los ingenieros sociales).

En el ejercicio, en el cual el intruso utiliz su

camisa Cisco para entrar en un edificio, tena un
miembro del equipo esperando fuera cerca de la
zona de fumadores donde los empleados a menudo
iban a escapadas. Suponiendo que esta persona era
simplemente un compaero de la oficina del hotel,
los empleados reales lo dejaron entrar por la puerta
trasera sin hacer preguntas. "El cigarrillo es el mejor
amigo de un ingeniero social".
Este tipo de cosas pasa todo el tiempo, de acuerdo
con nuestro intruso. La tctica es la ELA conocida
como girar la rueda. Las personas simplemente no
piden a otros demostrar que tienen permiso para
estar all; incluso en aquellos lugares donde se
requiere identificacin, carnet, insignias, gafetes u
otra prueba para caminar por los pasillos.
"Yo suelo usar alguna fotografa de alta calidad
para imprimir hasta insignias para mirar realmente
como se supone que debo estar en ese ambiente.
Pero a menudo ni siquiera te revisen. Incluso he
llevado una insignia que deca, al lado derecho,
pateame!!! y no fue cuestionada.

En lnea: Las redes sociales han abierto una

nueva puerta entera para estafas de
ingeniera social, de acuerdo con la firma de
seguridad britnica Sophos. Una de las
ltimas estafas implica el planteamiento
penal de Facebook como "amigo". Uno
nunca puede estar seguro de que la persona
que est hablando contigo en Facebook es
en realidad una persona real. Los
delincuentes estn robando contraseas e
irrumpen cuentas hacindose pasar por
amigos para obtener ganancias financieras.

Una de las tcticas populares que utilizan los

estafadores es irrumpir cuentas de Facebook, luego
enviar un mensaje en Facebook diciendo que se ha

quedado atascado en una ciudad extraa y que

necesitan dinero.
"A menudo dicen que fueron robados durante el
viaje y la persona le pregunta al amigo de Facebook
si puede enviarle dinero para ayudarlo a solucionar
su problema".
Una vez que el intruso tenga acceso a la cuenta de
una persona, puede ver quien es su cnyuge es,
donde fueron de vacaciones la ltima vez, el
nombre de la empresa o de los hijos o de los
amigos. Es fcil pretender ser alguien que no eres.
Los ingenieros sociales tambin aprovechan de
los acontecimientos actuales y los das festivos para
atraer a las vctimas. Estafas de compras en lnea,
por lo cual los expertos en seguridad advierten que
en las vacaciones, los ingenieros sociales se
aprovechan de las tendencias de compra de
vacaciones por los resultados de bsqueda
posicionamiento y suplantando enlaces reales a
sitios ficticios. Tambin podran ir tan lejos como
establecer una organizacin de caridad falsa con la
esperanza de ganar dinero en efectivo a travs de
una donacin para Navidad o una ayudar a personas
en una catstrofe.
IV.

POR QU CAEN LAS PERSONAS PARA LAS TCNICAS

DE INGENIERA SOCIAL?

La gente se deja engaar todos los das. Y estn

en desventaja, ya que no han sido advertidos
adecuadamente sobre los ingenieros sociales. El
comportamiento humano es siempre el eslabn ms
dbil de cualquier programa de seguridad. Y quin
puede culparlos? Sin la educacin adecuada, la
mayora de las personas no reconocen los trucos de
un ingeniero social ya que a menudo son muy
sofisticados.
Los ingenieros sociales utilizan una serie de
tcticas psicolgicas en las vctimas inocentes.
Como Bushwood Consultores manifiesta, los
ingenieros sociales exitosos estn seguros y tienen
control de la conversacin. Simplemente actan
como si pertenecieran a una asociacin, a una
empresa, universidad, grupo de amistades, colegas,
etc., ya que su confianza y postura corporal pone a
los dems a gusto.

Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..

Los ingenieros sociales confunden a la gente

segn cuatro (4) principios bsicos:

Proyectan confianza. En lugar de a

escondidas, de manera proactiva se acercan
y llaman la atencin sobre s mismos.

Dan algo. Incluso un pequeo favor crea

confianza y la percepcin de estar en deuda.

Usan el humor. Es entraable y desarmado.

Hacen una peticin y ofrecen una razn. La

psicologa demuestra que las personas
tienden a responder a cualquier solicitud
motivada.

"Las personas a cargo de la seguridad en

conciertos, conferencias, exposiciones ni siquiera
buscan identificaciones, carnets, pases o insignias".
"Por eso, si el intruso es sorprendidos, puede decir
que es un fantico tratando de colarse de nuevo y
echar un vistazo a la estrella y que est trabajando el
caso, ya que parecen como si pertenecieran all."
Los ingenieros sociales utilizan el humor y los
elogios en una conversacin. Incluso pueden dar un
pequeo regalo a un empleado de mantenimiento, al
portero, a una recepcionista, para ganarse un favor
para el futuro. Estas son formas exitosas para ganar
la confianza de una persona, porque "gusto" o por
comodidad y por "sentir la necesidad de
reciprocidad. Ambos son patrones de accin fijos
que los humanos emplean de forma natural en las
circunstancias adecuadas.
Muchas estafas de la ingeniera social en lnea se
estn aprovechando de tanto del miedo como de la
curiosidad humana. Enlaces que preguntan "Ha
visto este video donde aparece usted o su novia o
jefe? Ha visto a alguna artista famosa desnuda? O
saba que fulano es gay? son cosas imposibles de
resistir si no est consciente de que un ingeniero
social le mira a como una presa y busca hacerle caer
en la trampa al hacer clic en tal enlace.
El xito de los ataques de phishing le advierten
que "Su cuenta bancaria se ha violado! Haga clic
aqu para ingresar y verificar su cuenta." O "Usted
no ha pagado por el artculo que recientemente
compr en eBay. Por favor, haga clic aqu para

pagar." Esta estratagema juega con la preocupacin

de una persona sobre el impacto negativo en su
puntuacin de eBay.
Dado que las personas pasan aos desarrollando
puntuacin de votos de eBay o "reputacin", la
persona reacciona rpidamente a este tipo de correo
electrnico. Por supuesto, que le conduce a un sitio
de phishing", segn Soluciones Green Armor,
empresa de software de seguridad informtica.
"Muchas personas utilizan eBay, y los usuarios
suelen pujar das antes de una compra hasta
completarla. As que, es razonable que una persona
piense que l o ella se ha olvidado de una oferta que
hizo una semana antes."
Seuelos recientes de phishing incluso se
aprovechan de la crisis econmica. No es raro
encontrar correos electrnicos falsos que dicen
provenir del Departamento de Recursos Humanos
que dicen: Usted ha sido despedido debido a una
reduccin de personal. Si desea registrarse para un
nuevo trabajo, hgalo aqu", e incluye un enlace
malicioso.
Nadie quiere causar problemas en esta economa,
por lo que cualquier correo electrnico que parece
ser de un empleador probable obtenga una
respuesta. Otra forma de fraude, En un esfuerzo
por reducir costos, estamos enviando los
formularios electrnicos para su declaracin de
impuestos este ao'".
V.
CMO EDUCARME A MI MISMO Y A MIS
EMPLEADOS PARA EVITAR LA INGENIERA SOCIAL?

La conciencia es el nmero uno como medida

defensiva. Nosotros y los empleados debemos estar
conscientes de que existe la ingeniera social y
tambin conscientes de las tcticas ms utilizadas.
Afortunadamente, la conciencia de ingeniera
social se presta a la narracin. Y las historias son
mucho ms fciles de entender y mucho ms
interesante que las explicaciones de fallas tcnicas.
El xito de pasar por un tcnico es un ejemplo de
una historia que transmite el mensaje de una manera
interesante. Pruebe y llame la atencin o haga
carteles humorsticos ya que son recordatorios
eficaces acerca de no asumir que las personas no

Universidad Politcnica Territorial del estado Aragua. Domnguez, J. Aspectos interesantes sobre la..

siempre son quienes dicen que son.

Siempre hay que ser un poco paranoico y
exigente, porque nunca se sabe lo que una persona
quiere de ti. La focalizacin de los empleados "se
inicia con la recepcionista, el vigilante de la puerta
que est observando un estacionamiento. Es por eso
que la formacin tiene que llegar al personal."
Los trucos de ingeniera social estn siempre en
evolucin, y la formacin de la conciencia tiene que
ser mantenida fresca y actualizada. Los sitios de las
redes sociales crecen y evolucionan, as que
tambin lo hacen las estafas que tratan de utilizar
all los ingenieros sociales.
Inicie una campaa para conseguir que usted y los
empleados presten atencin a su comportamiento en
lnea para reconocer como contrarrestar a la
ingeniera social antes de meterse en problemas.
Pero no slo el empleado medio que tiene que ser
consciente de lo que es la ingeniera social. Un
estudio realizado en 2010 encontr que los altos
ejecutivos en realidad son los blancos ms fciles,
por muchas razones, entre ellas una actitud relajada
seguridad y su tendencia a utilizar la ltima
tecnologa, incluso que se ha vetado antes.
El miedo al ridculo es un gran aliciente, aunque
se trata de una tctica a utilizar con gran precaucin.
A nadie le gusta parecer tonto, y una exitosa prueba
de ingeniera social hace que la vctima se sienta
tonta. Esto es en parte la razn porque la narracin
funciona - el lector o el oyente siente empata por la
persona que "pillaron".
Considere este factor s decide disear un ensayo
de penetracin de ingeniera social en su empresa.
Un poco de vergenza pondr a todos en estado de
alerta; cruzar la lnea de la humillacin slo har
que los empleados estn enojados.
VI.

EXISTE HERRAMIENTAS PARA QUE ESTE

PROCESO SEA EFICAZ?

Un nmero de vendedores ofrecen herramientas o

servicios para realizar los ejercicios de ingeniera
social, y/o para generar conciencia en los empleados
a travs de carteles y boletines.

VII.

CONCLUSIONES

Es muy importante capacitarnos y capacitar a

nuestros empleados (empleado y superiores) en
reconocer a los ingenieros sociales. Siempre deben
solicitar una identificacin, y preferentemente tener
un protocolo de trabajo (si se realizar una
actualizacin de software, enviar 24 horas antes un
correo electrnico a todos los empleados avisando
que pasar el tcnico a realizar el trabajo). Tampoco
dar informacin confidencial por mensajera
instantnea ni por telfono, se debe seguir un
protocolo de trabajo. El peor error de las personas
y/o empresas es confiar en que nunca suceder en
ellas.
No suministre informacin personal o corporativa
a una persona no identificada. Evite dar informacin
que pueda comprometer la seguridad de su sistema
y la suya personal. Datos como usuario, contrasea,
fecha de nacimiento, familiares, empresas, tarjetas,
situacin social, salud, costumbres, datos
econmicos, etc. pueden ser utilizados por una
persona inescrupulosa para efectuar acciones
dainas.
REFERENCIAS

[1] GRANGER, Sarah; Social Engineering Fudamentals,

Part I: Hacker Tactics; 2010.
[2] HEARY, Jamey; Top 5 Social Engineering Exploit
Techniques; 2013, pp. 123135.
[3] DOLAN, Aaron; Social Engineering;
http://www.sans.org/reading_room/whitepapers/engineeri
ng/social-engineering_1365
[4] RAMREZ, Jorge; Ingeniera Social, una amenaza
informtica
http://es.scribd.com/doc/19394749/Ingenieria-social-unaamenaza-informatica
[5] MOLIST, Merc; Ingeniera Social: Mentiras en la Red;
http://ww2.grn.es/merce/2002/is.html
Autor
Jorge Domnguez Chvez,
Dr. en Ciencias de la Computacin, IIMAS, UNAM. Mxico.
Especialista en Seguridad Informtica (OWC), University of
Washington, Seattle, WA, USA.
Profesor Universidad Politcnica Territorial del estado Aragua,
Venezuela.
Profesor Visitante, Universidade Federal do Rio Grande do
Sul, Porto Alegre, Brasil.
Tutor designado, Universidad Nacional Autnoma de Mxico.