Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso, ¿es ilegal?

Deepfake

20

Qué son los Deepfake y sus tipos

21

Aplicaciones disponibles para crear Deepfake

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

¿Qué son la ingeniería social y las reglas de compromiso?

3/27
Recursos

Aportes 41

Preguntas 2

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

¿Qué es la ingeniería social?


Visentini (2006)

  • Es una disciplina que consiste en sacar datos corporativos a otra persona, sin que ésta se dé cuenta de que está revelando “Información sensible”, y que normalmente no lo haría

Borghello (2009)

  • La ingeniería social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema.

En General

  • Se centra en lograr la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa.

¿Qué puedo hacer con un poco de información?
• Nombre y apellido
• Dirección
• Número de teléfono
• Correo electrónico
• Recibos de luz/agua


- Crear una identidad falsa   |   - Tomar $$$ prestado
- Hackear su correo           |   - Abusar del crédito
electrónico                   |

         Nombre,   | Dirección | Correo       | Teléfono  
         Apellido  |           | electrónico  |

- Crear un perfil falso en    |   -Exponerte a situaciones 
Facebook                      |    embarazosas

Ciclo de vida de la ingeniería social
1.- Investigar
- Reunir información de la víctima.
- Determinar las debilidades de la víctima
- Elegir un vector de ciberataque adecuado
2.- Enganchar
- Atrapar la atención de la víctima
- Vender falsas promesas
- Retener y manipular a la víctima
3.-Actuar
- Mantener la historia
- Extraer información de la victima
- Ejecutar el ciberataque para hacer uso de los datos obtenidos
4.-Salir
- Finalizar interacción con la víctima
- Eliminar todo rastro de malware
- Cubrir pistas y evidencias.
Reglas del compromiso

  • Cuando no es para un fin malicioso o hacer daño.
  • Pruebas de penetración de red / autorizadas.
  • Investi
  • Comunicaciones públicas (cursos, bromas en vivo no ilegales).

Aspectos legales y éticos
Es legal llevar acabo pruebas de ingeniería social?
Como tal en México no hay una ley que prohíba el uso de ataques de ingenieria social, es muy común encontrarse correos de phishing regularmente asociados a información bancaria en el que si eres victima de este tipo de ataque algunos bancos no se hacen responsables en realidad aportan mucho ofreciendo información para prevenir este tipo de “estafas” por eso es importante conocer sobre estos temas.
El articulo 368 del código penal federal
menciona
I.- El apoderamiento o destrucción dolosa de una cosa propia mueble, si ésta se halla por cualquier título legítimo en poder de otra persona y no medie consentimiento; y
II.- El uso o aprovechamiento de energía eléctrica, magnética, electromagnética, de cualquier fluido, o de cualquier medio de transmisión, sin derecho y sin consentimiento de la persona que legalmente pueda disponer de los mismos.

Dada la modalidad y caracteristicas de las conductas, es dificil encontrar los ciberdelincuentes para ser procesados.

Una película que recomiendo y que se basa en la historia de Kevin Mitnick es “The Takedown”, en ella se muestra técnicas de ingeniería social muy interesante.

Resumen:
La ingeniería Social se define como la disciplina que básicamente consiste en extraer datos e información de los seres humanos sin que estos se den cuenta.
La Ingeniería Social se esfuerza por persuadirte y ganarse la confianza de las personas para luego engañar y manipular a la/las personas.

¿Que tanto alcance pueden llegar a tener que una persona sepa información básica de tu vida?
como: nombre y apellido, dirección, numero de teléfono, correo electrónico, recibos de luz/agua.
La Dra. explica que solo con tres de estos pueden crear un perfil falso de la persona.

CICLO DE VIDA DE LA INGENIERÍA SOCIAL:
-Investigar
-Enganchar
-Actuar
-Salir

REGLAS DE COMPROMISO
Deberás asumir las consecuencias de aplicar alguna de estas técnicas

¿CUANDO PODEMOS USAR LA INGIENERIA SOCIAL?
Cuando no es para un fin malicioso

ASPECTOS LEGALES Y ETICOS
¿Es legar llevar a cabo pruebas de Ingeniería social en tu país?
¿Es ético usar la Ingeniería social?

Debo decir que me dio un poco de recelo este tema de la ingeniería social, me emociona y me da curiosidad saber mas del tema para aprender sobre los posibles ataques a los que podría llegar expuesto cualquier persona o entidad, había escuchado anteriormente hablar del tema pero muy superficial, realmente no me imagine que fuera todo esto y eso que es la segunda clase XD

Según un articulo que leí Colombia es el tercer pais con mas ataques de ingeniería social en América Latina.

Cada año, en América Latina y el Caribe los ciberataques provocan pérdidas que alcanzan los US$ 90 mil millones.
Les dejare un link que muestra cuales fueron los ataques de ingeniería social en el 2020 en Latinoamérica
https://www.welivesecurity.com/wp-content/uploads/2021/01/detecciones-paies-america-latina-ataques-ingenieria-social.jpg

Por lo que pude leer los ataque amentaron en un 200% desde la cuarentena, al parecer a los ciberdelincuentes estaban un poco ociosos y con mucho tiempo para ser creativos. hubo muchas empresas que declararon ser atacadas por estos actos maliciosos principalmente las bancarias.
No encontré algún documento que expresara explícitamente que era legar hacer ingeniería social en el país que resido actualmente, aunque dudo que sea una practica que no practiquen grandes empresas

Tengo curiosidad ¿en tu país es legal? cuentame por favor

Aquí pueden ver el aspecto legal sobre los delitos informáticos en Chile

Dejo post sobre ingenieria social publicado por la revista Seguridad en colaboración con la UNAM.

Aspectos legales y éticos en Colombia

En Colombia se puede ver en la página de MinTic (Ministerio de Tecnologías de la Información y las Comunicaciones) esta definición “Ingeniería Social: Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social.” Ademas de esto no existe (o no encontre ) comunicacion clara por parte del gobierno sobre el tema legal de la ingenieria social, lo que si se tienen son leyes que reglamentan, judicializan y demas los delitos informaticos, estas leyes se van puliendo con el pasar de los años ya que por ejemplo en la pagina de la policia nacional de Colombia solo se aclara lo siguiente: "Los delitos informáticos son conductas en que el o los delincuentes se valen de programas informáticos para cometer delitos como implantación de virus, suplantación de sitios web, estafas, violación de derechos de autor, piratería, etc. " es un tema realmente nuevo ya que a partir de la Ley 1273 de 2009, fue que se empezó hablar en Colombia de este tipo de delitos y leyes referentes.

Es decir, alguien que desee hacer ataques debe tener unas habilidades de comunicación muy altas. No sé en Colombia cómo es el tema. En las elecciones de 2014 hubo un escándalo que involucró a una campaña a presidencia con espionaje a sus comunicaciones.

Si saben ingles les recomiendo este capitulo de Darknet diaries, donde hablan sobre una pentester que usa la ingieneria social como su arma principal.
https://darknetdiaries.com/episode/90/

Manipular otras personas para que completen alguna tarea o compartan informacion que pueda beneficiar al ingeniero social o atacante. Este encuentra formas de que la persona atacada haga algo que no haria en una circumstancia normal.

Es importante detallar en el contrato, los acuerdos entre las partes, hasta donde quieres llegar, hasta donde pueden llegar las pruebas de penetración, los más importante que durante el trabajo no sufras cambios en tu infraestructura tecnológica que posteriormente pueda ser aprovechada por quien te evalúa.

Les recomiendo el libro "Vigilancia Permanente " de Edward Snowden, en el se explica come se inicio en la informática y como llevo a cabo el ataque a la NSA

Esta clase me hizo recordar al primer capítulo de Mr Robot. Elliot usa ingeniería social para obtener acceso a la cuenta de el novio de su psicóloga. Lo hizo por no tener nada mejor qué hacer jajaja pero justamente todos el ciclo de vida se ve perfectamente reflejado en ese capítulo (y en otros más).

Les dejo aquí la liga para la Asociación Mexicana de Ciberseguridad

El otro dia leia sobre que se estaba usando IA para imagenes de niños en paginas pornos para no exponer a niños verdaderos e igualemente hacer ingenieria social para agarrar pedofilos

Es interesante con estos contenidos pensar en adelantarse al ataque ya que siempre la policia y “los buenos” corren detras del conejo

Siempre me hace ruido escuchar la palabra ingeniería para definir estas técnicas.

En Colombia ***
La suplantación de identidad está enmarcada como delito por la Ley 1273 del 2009. Y las penas por incurrir en ella van de cuatro a ocho años de cárcel. “

7:27: Muy importante, apunte, cualquier tipo de ejercicio de ingeniería social autorizado o con fines de evaluación debe estar respaldado por un documento debidamente autorizado por la alta gerencia, sin el podrías terminar en la cárcel.

Lectura recomendada: Hoy salió un artículo en el periódico La República, titulado, “Colombia es el tercer país con más ataques de ingeniería social en América Latina.” https://www.larepublica.co/empresas/colombia-es-el-tercer-pais-con-mas-ataques-de-ingenieria-social-en-america-latina-2928973

La ingeniería social…todos deberíamos de identificarlas por lo menos para salvaguardar nuestra información.

¿Que es la ingeniería social?

*Es la disciplina de extraer datos sin que la persona de de cuenta.
*Conducta de conseguir información de una persona cercana a un sistema.

¿Que puedo hacer con la información?

*Identidad falsa
*Hackear corre
*Crear perfiles falsos
*Tomas dinero prestado
*Exponerte a situaciones embarazosas

__Ciclo de vida de la ingeniera social __

-Investigar: Determinar debilidades, reunir información.
-Enganchar: Atrapar la atención, hacer una historia, vender falsas promesas, manipular.
-Actuar: Mantener la historia, extraer información, ejecutar el ciber ataque.
-Salir: Eliminar rastros, cubrir pistar, finalizar interacción con la victima.

¿Cuando puedo utilizar la I.S?

-Para no hacer daño
-Investigación
-Comunicaciones publicas
Pruebas de penetración de red/autorizada

Dato curioso
Según la página “Larepublica”, Colombia es el tercer país con más ataques de ingeniera social.
Comenta el noticiero…
-En el marco del sexto foro de seguridad informática de ESET Latinoamérica se reveló que Colombia es el tercer país en ataques de ingeniería social con un 19% después de Costa Rica y Uruguay, que tuvieron un porcentaje de 21% y 24% respectivamente…

Si es gente de bien, esta mal visto. Si es gente de izquierda, no es que importe mucho.

En España, siempre que se realicen de forma ética y mediante contrato con autorización sí, ya que no tienen un fin malicioso, todo lo contrario comprobar la “seguridad” de una empresa.

En cuanto a los aspectos éticos de la ingeniería social, siempre se puede aprender de algo malo, usar la ingeniería social como una herramienta para proteger al ciudadano o las empresas de ciberdelincuentes es algo necesario hoy en día.

Me parece super importante y muy clara esta definición de lo que es la ingeniería social:

Visentini (2006):

Es una disciplina que consiste en sacar datos corporativos a otra persona, sin que ésta se dé cuenta de que está revelando “Información sensible”, y que normalmente no lo haría.

Colombia es el tercer país con más ataques de ingeniería social en América Latina.

De acuerdo con el estudio de ESET Latinoamérica, al país solo lo superan Costa Rica y Uruguay en lo que concierne a este tipo de fraudes

Natalia Molano Torres - [email protected]

En el marco del sexto foro de seguridad informática de ESET Latinoamérica se reveló que Colombia es el tercer país en ataques de ingeniería social con un 19% después de Costa Rica y Uruguay, que tuvieron un porcentaje de 21% y 24% respectivamente.

Hacerca de las pruebas de penetracion en Red .

las empresas un informe detallado de vulnerabilidades y recomendaciones de mejora, las pruebas de penetración en la red permiten a los departamentos de TI validar los controles de seguridad existentes y cumplir los requisitos asociados al cumplimiento de las normas de seguridad, a la vez que permiten a los gerentes jerarquizar mejor las inversiones en esfuerzos de corrección

Soy muy bueno con la ingeniería social, por ser naturalmente curioso, pero nunca utilizo la información que obtengo para aprovecharme de las personas

A medida que pasa el tiempo la ingeniería social tiende ser más sencilla por factores como tecnología mas avanzada, exposición de datos en las redes y desinformación por parte de usuarios.

1- En Colombia está definida la ley 1273 de 2009, la cual establece sanciones a quienes accedan o manipulen datos o sistemas de informáticos sin contar con previa autorización.

También existe la ley 599 de 2000 que define el Código Penal de mi país, y el cual establece sanciones para acciones de estafa, fraude, abuso de confianza, entre otras.

Teniendo en cuenta las normas mencionadas anteriormente, se podría decir que dependiendo el alcance o consecuencias de las pruebas de ingeniería social a realizarse, se incurrirá en una acción ilegal.

2- Cómo dice la instructora, es importante tener empatía con el objetivo final, para no hacer a otros algo que no queremos que nos hagan a nosotros, evitando incurrir en acciones negativas para otras personas

En Colombia tengo entendido que la ingeniería social, es legal siempre y cuando no afecte la integridad de nadie y sea para fines maliciosos.

Les recomiendo el libro “Hackear al hacker” que, si bien no te dice cómo ser un hacker, te muestra un compendio bastante completo de las técnicas de hackeo que existen. También nombra a expertos en cada área que va mencionando y cómo se iniciaron en sus campos, en que están trabajando y los artículos e investigaciones que han realizado en sus respectivas áreas.
En general te da un panorama bastante amplio de las técnicas de hackeo y cómo evitar algunas de ellas como la ingeniería social, phising, entre otros.

En Argentina, no hay tantas normativas vinculadas con esto. No existen normativas, en algunas áreas puntuales como el sistema financiero.
Si uno tuviera que hacer un <i>ranking</i> de países a nivel mundial, y sus avances en materia de seguridad de la información, Argentina estaría fuera -incluso- de un Top 20.

Voy a reconocer que me encanta como se plantea esta área del conocimiento y este curso. Se habla directamente de manipulación y engaño, no como algo negativo per se, si no que la utilización de este y sus consecuencias son las juzgadas, no las técnicas. Personalmente amo las ciencias sociales y en especial cuando estas sacan a relucir los instintos, sesgos, o características aprendida del ser humano. Creo que este curso no habla del ser humano y sus “defectos” como un taboo, si no como algo que simplemente es, sin juzgarlo. Ahora tendré que comprobar si mis suposiciones son ciertas.

según artículos de la UMAM Mexico la ingeniería social es el conjunto de técnicas empleadas para convencer y persuadir a una victima de ser alguien que en realidad no es y cuyo fin será obtener información que permitirá realizar alguna acción… y normalmente es de carácter ilegal

En mi país si es legal, pero la ética no se utiliza para nada lastimosamente.

excelente! me re enganche con este curso

En 2020 se duplicaron las detecciones de ataques de ingeniería social en Latinoamérica con Perú, Brasil y México como los países que registraron la mayor cantidad de detecciones de ataques.
En marzo del 2020 ESET advirtió sobre el importante crecimiento de las campañas de ingeniería social que intentaban aprovechar el temor provocado por la pandemia como excusa para afectar de distinta manera a los usuarios, y desde el Laboratorio investigación de ESET en América Latina se analizaron varias campañas que se distribuían a través del correo o WhatsApp en las que se hacía creer a las potenciales víctimas que gobiernos y empresas estaban dando ayudas económicas o que algunas marcas estaban realizando regalos.

En cuanto a Perú durante todo el año del 2020, el gobierno repartió diferentes bonos a la población “más vulnerable” que lamentablemente había perdido su trabajo gracias al despido masivo por parte de las empresas, si bien la idea era buena, la ejecución de entrega de bonos(que rondaban alrededor de $165 por familia) fue pésima, ya que se descubrió que varios beneficiarios de dicho bono ya habían “cobrado” sin que ellos se den cuenta, esto debido a que varias familias habían ingresado sus datos(como DNI) en paginas idénticas a https://bono600.gob.pe para verificar si son los afortunados de cobrar dichos bonos. ¡GRAVE ERROR!
Dichos datos de los beneficiarios del bono habían sido recolectados por “ciberdelincuentes” y estos mismos ingresaban ya con los datos a la verdadera pagina para poder ver la fecha y lugar del cobro del bono.

https://www.gob.pe/institucion/midis/noticias/346114-bono-600-para-evitar-estafas-y-robos-no-se-debe-hacer-caso-a-tramitadores-grupos-de-facebook-o-mensajes-de-whatsapp