Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso

Deepfake

20

Qué son los Deepfake y sus tipos

21

Aplicaciones disponibles para crear Deepfake

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

Crea una cuenta o inicia sesión

¡Continúa aprendiendo sin ningún costo! Únete y comienza a potenciar tu carrera

¿Qué son la ingeniería social y las reglas de compromiso?

3/27
Recursos

La disciplina que consiste en extraer datos sin que la víctima se percate y lograr la confianza para luego engañarlas y manipularlas para el beneficio propio de quien la implementa, se le conoce como ingeniería social.

¿Qué se puede hacer al saber nombres, dirección, número de teléfono y correo?

datos.png

La ingeniería social se usa cuando su fin no es malicioso ni para hacer daño. Por eso las reglas de compromiso se deben hacer en entornos controlados como pruebas de penetración de red o autorizadas, cuando se realizan investigaciones y en comunicaciones públicas.

Cuando se realiza la búsqueda de la información entre más ataques hay, mayor información se obtiene. El objetivo final de la ingeniería social es llegar a los sistemas de información, prueba este quiz para que detectes cuándo te están engañando.

OSINT significa Open Source Intelligence y es muy útil cuando se reúne información.

Lecturas recomendadas

Darknet Diaries

Contribución creada con aportes de: Angie Espinoza

Aportes 85

Preguntas 6

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Una película que recomiendo y que se basa en la historia de Kevin Mitnick es “The Takedown”, en ella se muestra técnicas de ingeniería social muy interesante.

Debo decir que me dio un poco de recelo este tema de la ingeniería social, me emociona y me da curiosidad saber mas del tema para aprender sobre los posibles ataques a los que podría llegar expuesto cualquier persona o entidad, había escuchado anteriormente hablar del tema pero muy superficial, realmente no me imagine que fuera todo esto y eso que es la segunda clase XD

Aspectos legales y éticos en Colombia

En Colombia se puede ver en la página de MinTic (Ministerio de Tecnologías de la Información y las Comunicaciones) esta definición “Ingeniería Social: Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social.” Ademas de esto no existe (o no encontre ) comunicacion clara por parte del gobierno sobre el tema legal de la ingenieria social, lo que si se tienen son leyes que reglamentan, judicializan y demas los delitos informaticos, estas leyes se van puliendo con el pasar de los años ya que por ejemplo en la pagina de la policia nacional de Colombia solo se aclara lo siguiente: "Los delitos informáticos son conductas en que el o los delincuentes se valen de programas informáticos para cometer delitos como implantación de virus, suplantación de sitios web, estafas, violación de derechos de autor, piratería, etc. " es un tema realmente nuevo ya que a partir de la Ley 1273 de 2009, fue que se empezó hablar en Colombia de este tipo de delitos y leyes referentes.

Según un articulo que leí Colombia es el tercer pais con mas ataques de ingeniería social en América Latina.

Aquí pueden ver el aspecto legal sobre los delitos informáticos en Chile

Es decir, alguien que desee hacer ataques debe tener unas habilidades de comunicación muy altas. No sé en Colombia cómo es el tema. En las elecciones de 2014 hubo un escándalo que involucró a una campaña a presidencia con espionaje a sus comunicaciones.

Lectura recomendada: Hoy salió un artículo en el periódico La República, titulado, “Colombia es el tercer país con más ataques de ingeniería social en América Latina.” https://www.larepublica.co/empresas/colombia-es-el-tercer-pais-con-mas-ataques-de-ingenieria-social-en-america-latina-2928973

En México encontré lo siguiente en el aspecto legal:

CAPITULO III BIS

Robo de Identidad

Artículo 389 Ter.- Comete el delito de robo de identidad el que adquiera por cualquier medio, información personal y financiera, con la intención de suplantar la identidad de un tercero, con el fin de cometer conductas ofensivas,obtener recursos monetarios o beneficios financieros a su favor,o cometer cualquier otro delito.

El delito de robo de identidad se castigará con pena de nueve años de prisión y de setecientos días multa,independientemente de las sanciones administrativas o penales que puedan corresponder a la conducta realizada.

Se puede leer más acerca de en aquí

Les recomiendo el libro “Hackear al hacker” que, si bien no te dice cómo ser un hacker, te muestra un compendio bastante completo de las técnicas de hackeo que existen. También nombra a expertos en cada área que va mencionando y cómo se iniciaron en sus campos, en que están trabajando y los artículos e investigaciones que han realizado en sus respectivas áreas.
En general te da un panorama bastante amplio de las técnicas de hackeo y cómo evitar algunas de ellas como la ingeniería social, phising, entre otros.

De acuerdo a lo que investigué en México no existen leyes que prohíban la practica de la ingeniería social como tal, sin embargo los resultados relacionados a su practica como el robo de identidad si son ilegales, pero solo en algunos estados.

Hola hackers! 😁 La ingeniería social es todo un arte! El arte del engaño por supuesto, es mala la ingeniería social? No, los psicólogos, personal sanitario que trabaja en ambulancias, trabajadores sociales, vendedores y personal de atención al cliente aplican la ingeniería social a diario. No existe una legislación que regule cómo se utiliza la ingeniería social recordemos que como dice la profe, todos los humanos tenemos un poco de ingenieros sociales y de hecho es el nombre que en el mundo de la seguridad informática decidimos darle a este tipo de habilidad. La ingeniería social como el Hacking, es un martillo: Puedes construir pero también destruir, puedes usar la ingeniería social por ejemplo, para lograr venderle a una persona un artículo que no necesita, si es ético o no, es discutible. Hay una delgada línea entre la ética y la ingeniería social que a lo largo de tu camino aprenderás. Nunca pares de aprender! 😁

Una herramienta OSINT podría ser MALTEGO

El otro dia leia sobre que se estaba usando IA para imagenes de niños en paginas pornos para no exponer a niños verdaderos e igualemente hacer ingenieria social para agarrar pedofilos

### 1. **Ingeniería Social: Definición y Contexto** * **¿Qué es?** * Técnica de manipulación psicológica. * Objetivo: Obtener información confidencial o acceso no autorizado. * **Ejemplos en la Vida Real:** * La Guerra de Troya (el Caballo de Troya como engaño). * La historia de Adán y Eva (serpiente persuadiendo a Eva). * **Métodos Comunes:** * **Baiting:** Trampas con promesas de recompensas. * **Pretexting:** Crear un falso escenario para obtener información. ### 2. **Reglas de Compromiso en Ciberseguridad** * **Definición:** * Conjunto de directrices para pruebas de seguridad ética. * Establecen lo que está permitido y lo que no en una evaluación de seguridad. * **Importancia:** * Protegen tanto al evaluador como a la organización objetivo. * Aseguran que las pruebas se realicen de manera ética y legal. * **Aspectos Clave:** * **Consentimiento:** Acuerdo claro entre las partes involucradas. * **Alcance:** Definición precisa de lo que se evaluará. * **Confidencialidad:** Protección de la información descubierta. * **Estrategia:** Métodos y herramientas a utilizar. ### 3. **Relación entre Ingeniería Social y Reglas de Compromiso** * **Uso de la Ingeniería Social en Pruebas de Seguridad:** * Debe estar claramente definido en las reglas de compromiso. * Solo se realiza bajo consentimiento y dentro del alcance acordado. * **Ejemplo Práctico:** * Pruebas de phishing autorizadas para evaluar la conciencia de seguridad de los empleados. ### 4. **Conclusión y Recomendaciones** * **Conciencia y Educación:** * Importante educar a los usuarios sobre las tácticas de ingeniería social. * Fomentar una cultura de seguridad dentro de las organizaciones. * **Evaluación Ética y Responsable:** * Seguir las reglas de compromiso garantiza pruebas responsables y efectivas.
Uno sin darse cuenta puede ser víctima de la **"ingeniería social"** brindando información de más en las redes sociales. Facilitándole al atacante la primer tarea que es la Investigación. Aquí aparece mucho la astucia y perspicacia del autor. Y no sólo tiene que ser exclusivamente un ataque a una empresa / organización, puede aplicarse a personas. Por ejemplo aquí en mi país (Argentina), una mujer hacia varios meses venía ventilando información personal desde que se casó con su pareja, la cuestión es que pasado el tiempo de la luna de miel, festejos, etc. publicó que se mudaba a una casa más grande al faltarle espacio por muebles y demás cosas que habían recibido como obsequio en su casorio; hasta habían brindado de información de cuándo vendría el camión de mudanza a buscar sus pertenencias, etc. Ese día llegó el camión antes de lo previsto, subieron sus propiedades y se fueron. A las pocas horas llegó el verdadero camión. Resulta que los atacantes al ver todo esto, alquilaron un camión y robaron todas las pertenencias de esta pareja recién casada. Y tuvieron todo fácil, ya que los recién casados habían compartido donde vivían, qué día se mudarían, que horario venía el camión etc. *MORALEJA: "Ten cuidado con lo que subes y compartes a redes sociales. No todos los que ven tu información son amigos / buenas personas."*
actualmente estoy en la universidad llevando ingeniero en informática pero me estoy tirando más a la ciberseguridad

1- En Colombia está definida la ley 1273 de 2009, la cual establece sanciones a quienes accedan o manipulen datos o sistemas de informáticos sin contar con previa autorización.

También existe la ley 599 de 2000 que define el Código Penal de mi país, y el cual establece sanciones para acciones de estafa, fraude, abuso de confianza, entre otras.

Teniendo en cuenta las normas mencionadas anteriormente, se podría decir que dependiendo el alcance o consecuencias de las pruebas de ingeniería social a realizarse, se incurrirá en una acción ilegal.

2- Cómo dice la instructora, es importante tener empatía con el objetivo final, para no hacer a otros algo que no queremos que nos hagan a nosotros, evitando incurrir en acciones negativas para otras personas

Voy a reconocer que me encanta como se plantea esta área del conocimiento y este curso. Se habla directamente de manipulación y engaño, no como algo negativo per se, si no que la utilización de este y sus consecuencias son las juzgadas, no las técnicas. Personalmente amo las ciencias sociales y en especial cuando estas sacan a relucir los instintos, sesgos, o características aprendida del ser humano. Creo que este curso no habla del ser humano y sus “defectos” como un taboo, si no como algo que simplemente es, sin juzgarlo. Ahora tendré que comprobar si mis suposiciones son ciertas.

Es interesante con estos contenidos pensar en adelantarse al ataque ya que siempre la policia y “los buenos” corren detras del conejo

Manipular otras personas para que completen alguna tarea o compartan informacion que pueda beneficiar al ingeniero social o atacante. Este encuentra formas de que la persona atacada haga algo que no haria en una circumstancia normal.

Es importante detallar en el contrato, los acuerdos entre las partes, hasta donde quieres llegar, hasta donde pueden llegar las pruebas de penetración, los más importante que durante el trabajo no sufras cambios en tu infraestructura tecnológica que posteriormente pueda ser aprovechada por quien te evalúa.

La ingenieria social es muy usado por la politica en mi pais
Recomendado ver lie to me, si bien tiene mucho grado de invención de Hollywood toca temas muy cercanos al comportamiento humano, base de la ingeniería social.
### **¿QUÉ ES LA INGENIERÍA SOCIAL?** La **ingeniería social** es la disciplina que consiste en extraer datos e información de los seres humanos sin que ellos se den cuenta. Con técnicas de ingeniería social bien ejecutadas, la persona no se da cuenta de que está proveyendo información sensible y comprometedora de la organización a la que pertenece. #### **Definiciones de ingeniería social** 1. **Acción o conducta social**: Es una conducta que busca conseguir información de personas sobre un sistema, generalmente un sistema informático, con el objetivo final de acceder a sistemas de información. 2. **Manipulación y confianza**: Se centra en lograr que las personas confíen en ti para que puedas manipularlas y obtener información. ### **Uso de información obtenida** #### **Información sensible** ¿Qué se puede hacer con datos como nombre, apellido, dirección, número de teléfono, correo electrónico, recibos de agua o pagos de tarjetas de crédito? * Crear una identidad falsa. * Crear un correo falso o hackear el existente. * Crear un perfil falso en redes sociales. * Tomar dinero prestado o usar el crédito de la persona. * Exponer a la persona a situaciones embarazosas. ### **CICLO DE VIDA DE LA INGENIERÍA SOCIAL** #### **1. Búsqueda de información** * **Objetivo**: Determinar las debilidades del objetivo (emocionales o corporativas). * **Métodos**: Investigar hobbies, lugares frecuentados, personas relacionadas, etc. * **Herramientas**: Utilizar herramientas **OSINT (Open Source Intelligence)** para obtener la mayor cantidad posible de información. #### **2. Enganchar** * **Proceso**: Aplicar técnicas de persuasión, simpatía y elocución para crear una historia convincente y retener a la víctima. * **Tácticas**: Vender falsas promesas y mantener la manipulación. #### **3. Actuar** * **Ejecución**: Implementar el ataque planificado para extraer información. * **Variabilidad**: Diseñar múltiples ataques para aumentar la efectividad. * **Información**: Cuantos más ataques se ejecuten, más información se puede obtener. #### **4. Salida** * **Finalización**: Terminar la relación con la víctima y eliminar todos los rastros. * **Limpieza**: Cubrir pistas y limpiar toda evidencia si se utilizó algún malware. ### **LEGALIDAD Y ÉTICA EN LA INGENIERÍA SOCIAL (rules of engagement)** #### **Escenarios legales para la ingeniería social** 1. **Pruebas de penetración de red**: * **Contrato**: Acuerdo legal entre un experto en ciberseguridad y una compañía. * **Componentes**: La ingeniería social es válida para extraer información de sistemas a través de seres humanos. 2. **Investigación continua**: * **Disciplina en crecimiento**: La ingeniería social se estudia y evoluciona constantemente. 3. **Comunicaciones públicas**: * **Ejemplos**: Programas de televisión o radio donde se hacen bromas telefónicas. #### **Aspectos éticos** * **Empatía**: Tener empatía con el objetivo final y discutirlo con el contratante. * **Discusión ética**: Importancia de analizar los aspectos éticos antes de realizar una prueba.
Aqui comparto el osint framework <https://osintframework.com/> para que puedan cacharrear e indagar sobre sus muchas funcionalidades. Saludos
En Perú, la legalidad de la ingeniería social depende del contexto y la intención. Realizar ataques de ingeniería social con fines maliciosos es ilegal. Sin embargo, se permite en escenarios legales como pruebas de penetración, siempre con el consentimiento de la organización involucrada, y bajo un marco ético. Es recomendable informarse sobre las leyes locales y contar con un contrato que especifique los términos de la actividad para evitar implicaciones legales.
La ingeniería social es la disciplina que consiste en manipular a personas para obtener información sensible sin que estas se percaten. Utiliza técnicas de persuasión y confianza para extraer datos como nombres, direcciones y correos electrónicos, que pueden ser utilizados maliciosamente. Es fundamental entender la psicología del objetivo y realizar una investigación previa para identificar debilidades. En contextos éticos, como pruebas de penetración, la ingeniería social puede ser legal y útil para fortalecer la seguridad de organizaciones.
La ingeniería social se puede aplicar en campañas de prevención de enfermedades humanas, ya que estas campañas a menudo buscan influir en el comportamiento de las personas para promover hábitos saludables y la adopción de medidas preventivas. Por ejemplo, se pueden utilizar principios de persuasión y empatía para motivar a las personas a vacunarse o a seguir pautas sanitarias. En este contexto, los atacantes también podrían utilizar técnicas de ingeniería social para difundir información falsa, dificultando los esfuerzos de prevención.
segun la pelicula que vi de kevin mitnik, sus ataques tenían gran éxito sobre todo por su ingeniería social.
Considero que al ser la ingeniería social, una técnica pasiva, esta no tipifica ningún delito, siempre y cuando lo anterior no vulnere el derecho a la intimidad, en colombia tenemos la ley 1581 de 2012 "Ley de protección de datos personales"

En Venezuela, como en muchos otros países, la legalidad de llevar a cabo pruebas de ingeniería social dependerá de varios factores, incluyendo las leyes y regulaciones locales, así como el contexto específico en el que se lleven a cabo dichas pruebas.

La ingeniería social, que implica manipular a las personas para obtener información confidencial o acceso no autorizado a sistemas, puede considerarse una actividad ilícita si se lleva a cabo sin el consentimiento explícito de las partes involucradas y si viola las leyes de privacidad y protección de datos.

Es legal bajo las regla mensionadas
***<u>En Peru es legal llevar acabo pruebas de ingeniería social?</u>*** En general, las pruebas de ingeniería social son legales en Perú siempre y cuando se realicen con el consentimiento explícito de las autoridades de la empresa. Es sumamente importante que, al contratar un PenTest o una auditoría de seguridad que incluya pruebas de ingeniería social, se firme un contrato detallando el alcance del trabajo a realizar y la autorización para llevar a cabo todas las pruebas y tareas necesarias. Además, es esencial incluir cláusulas de confidencialidad en el contrato. Estas medidas buscan garantizar que las pruebas se realicen de manera ética y legal, respetando la privacidad y los derechos de las personas involucradas. No existe informacion detallada sobre el tema el CPP( Constitucion Politica del Peru) ni en otro libro legal.
**La ingeniería social en sí misma no es ilegal en México, pero su uso para cometer delitos o violar los derechos humanos podría ser considerado como ilegal y ser penalizado por la ley**. segun google
Me parece que el ingeniero social debe tener bases de neurociencia y psicología.
Colombia es el tercer país con mas ataques de ingeniería Social en América Latina, Les dejo este articulo para que lo revisen <https://www.larepublica.co/empresas/colombia-es-el-tercer-pais-con-mas-ataques-de-ingenieria-social-en-america-latina-2928973>
La legalidad de las pruebas de ingeniería social en Colombia depende de varios factores, como el contexto en el que se realizan, el objetivo de la prueba y los métodos utilizados. **En algunos casos, las pruebas de ingeniería social pueden estar sujetas a regulaciones específicas.** Por ejemplo, las empresas que operan en Colombia pueden estar obligadas a cumplir con la Ley de Protección de Datos Personales. Esta ley establece requisitos para la recolección y el uso de datos personales, incluidos los datos obtenidos a través de pruebas de ingeniería social.

pense que decia ciberdelincuente no hacker, tenia entendido que un hacker es todo aquel que crea una shorcut para realizar una actividad, osea un benefactor social.

Muchas gracias

En Honduras no es legal.

En colombia la ingenieria social no esta como tal ilegal, pero a concepto global si se percibe como el uso para generar cosa negativas, sin embargo para consientizar pienso que estaría bien aplicarla.

sí, las pruebas de ingeniería social son legales en Panamá. Sin embargo, hay algunas condiciones que deben cumplirse para que sean legales

si estas no se cumplen pueden a ver demandas

En Colombia la ingeniería social es legal para efectos de pruebas de ET. Las empresas contratas expertos con el fin de hacer pruebas para validar la exposición y que tan fuertes son sus sistemas a nivel de ciberseguridad. Las diferentes pruebas que conozco que son realizadas son de caja blanca, caja gris y caja negra.
La ingeniería social para efectos delictivos es ilegal.

Investigar: Elegir víctima
Enganchar: Persuasión, manipulación
Actuar, aplicar técnicas, extraer información
Salir: Borras rastros, finalizar interacción

parece tan obvio y fácil, sin embargo la diferencia radica en la metodología, en que es un proceso y lleva un sistema para poder hacerse, de tal manera que al efectuarlo la víctima no lo percibe.

la ingenieria social en Republica Dominicana es legal siempre y cuando no sea para hacer fechorias ciberneticas de lo contrario es totalmente penable con muchos años de carcel

La ingeniería social en sí misma no es ilegal en México, pero su uso para cometer delitos o violar los derechos humanos podría ser considerado como ilegal y ser penalizado por la ley.

Interesantes definiciones de todos en la seccion de comentarios. aprendes aun mas sobre que es la ing social.

Es una habilidad que la llevamos desde pequeños, como dijo la profe, nada mas que ahora somos concientes dentro de este curso que existe. la ing social es el nombre dentro de la seguridad informatica

No existe una regulacion en si. ya que creo que si existiera en algun pais estariamos “controlados” por un gobierno, atentando sobre la libertad de expresion de cada uno de nosotros. ya que la utilzamos en todo momento.

Si existen regulaciones a el “como” la utilizariamos por ej:
-Robo de identidad = Artículo 139 ter: Será reprimido con prisión de seis meses a dos años el que suplantare o se apoderare de la identidad de una persona humana sin su consentimiento, a través del uso de su nombre, apellido, foto o imagen, o cualquier otra característica que indefectiblemente la identifique como tal. (en Arg)

En mi pais Guatemala esta mal vista estas practicas, el banco Industrial creo varios post en sus paginas avisando de estos “fraudes” / ataques ya que por alli del 2017 en otro caso externo hubo un caso de esto, asi que. En resumen Guatemala esta mal visto este termino 😦

En México, me parece, que solo está penado el hecho de la suplantación de identidad.🤔

En mi país, Ecuador, mientras no se lo hagas a ningún político para sacar sus trapos sucios, es legal, no hay condena, pero es porque no es un delito tipificado por la ley, cuando de personas naturales o jurídicas privadas se refiere, por otro lado, si es a una persona afín al gobierno es un crimen, de hasta 6 años son las pruebas más duras.

es legal la ingenieria social aca en Argentina

La película Bervely Hills Cop es una muy buena película donde podemos observar varias técnicas de ingeniería social. ese detective Axel Foley representaba un excelente ingeniero social.

Me esta gustando mucho este curso !

Exelente curso y la vision que le dan es muy apropiada para la profesion.
Gracias.

En mi país legalmente no esta bien estructurada, aún tiene fallas, pero los que mas utilizan son las instituciones o bancos que convocan a que prueban aplicar ingeniería social u otros ataques, previo contrato para no tener problemas legales luego. Esto pasa en Bolivia.

El propósito de la IS es llegar a las fuentes de información.

Debe tenerse claro que el propósito NO es nocivo o malintencionado. Por el contrario, lo que busca es que sea en un contexto controlado, para identificar brechas de manera preventiva y disminuir riesgos propios y para terceros.

Es fundamental identificar la naturaleza de la información y los datos personales susceptibles de vulneración, para medir y dimensionar el riesgo que pretende mitigarse.

¿Cómo así?

  • El nombre, la dirección, el correo electrónico y el rango salarial. Además de identificable, te hacen punto vulnerable.

Con esta información pueden suplantar tu identidad financiera, laboral, académica o social. Por ejemplo:

  • creación de identidad falsa
  • creación de perfil falso en redes sociales
  • creación de correo electrónico falso
  • vulneración y acceso indebido a los perfiles, redes sociales reales, y correos electrónicos
  • prestamos de dinero no autorizados por suplantación de identidad

¿Qué diferencia el Hacker ético del hacker malicioso?

-La intención de uso de la información extraída.

  • El marco de legalidad de las actuaciones.
    -La voluntad entre las partes (acuerdo) para investigar y acceder a la información haciendo uso de tácticas no convencionales (humanas y tecnológicas)

  1. Legalidad y ética de la ingeniería social

Respecto la pregunta de @Aurly Curbelo sobre la legalidad de la ingeniería social en Colombia, lo que está tipificado en el código penal es la lesividad y el perjuicio de las penetración de red no autorizadas, o el uso indebido de la información.

Se han establecido de manera preventiva mecanismos como la responsabilidad demostrada y la ley de habeas data, para salvaguardar o tutelar la información como derecho. Pero posturas legales **claras sobre la ingeniería social ** no conozco

Concuerdo en que los criterios técnicos, las normas ISO y otros referentes de seguridad informática son avances que pueden apalancar las regulaciones, el impacto y la efectividad de estas.

Pensaría que mas que tipificarlas, regularlas o sancionarlas, es comprender el contexto en el que se dan, el grado de lesividad y los bienes jurídicos sobre los que recae el perjuicio. Además de posturas éticas y de cumplimiento contundentes para el ejercicio de la Ingeniería Social.

En colombia, en aspectos legales esto esta tipificado como sustracción de información personal

Comparto mi resumen :
La ingeniería social existe aunque algunos lo nieguen, lo que si es seguro es que puede ser peligrosos, porque su objetivo es poder obtener información de las personas sin que ellas se den cuenta de ello.

Igualmente no se necesita muchos datos para hacer daño a un objetivo solo con lo básico se pude hacer mucho daño tales como:

  • Nombre.
  • Teléfono
  • Dirección de correo electronico
  • Dirección,
  • Recibo de luz o agua.

Por ejemplo se pueden crear una cuenta falsa de Facebook o pedir un préstamo a tu nombre.

Para llevar un ataque de ingeniería Social hay un ciclo de vida que se cumple:

  1. Investigar: Conocer muy bien a la victima para poder llegar a formar un lazo de amistad.
  2. Enganchar: Gracias a la investigación previa ahora se necesita obtener la confianza de la persona, esto puede ser por medio de falsas promesas y técnicas de manipulación.
  3. Actuar:Obtener la información deseada o bien instalar el software malisioso para la extracción de la misma.
  4. Salir: sin dejar ningún rastro y la comunicación de la victima se borran todas las pistas.

La ingeniería social puede usarse de manera legal pero bajo unos términos como por ejemplo:

  • Una auditoría de una empresa
  • Cuando se hace una investigación sin ningún mal.
  • Comuinicaciónes publicas.

Por último conocer las reglas escenciales del país para saber si se ha cometido alguna ilegalidad.

En México
No hay leyes como tal que prohiban la ingeniería social, sin embargo si hay leyes para quienes roben/usurpen/suplanten una identidad. Pero no aplica en todos los estados, tan solo 16/32 tienen leyes para estos casos y dependiendo del estado es la sanción.
En los últimos años la policía cibernética de México ha tenido avances para intentar detener el aumento de estos casos pero la realidad es que México esta muy atrasado en este tema, los mexicanos somos muy vulnerables a la ingeniería social y a sus aplicaciones):

Una ves me hisieron ingenieria social nunca supe bien quien era el objetivo pero me re diverti haciendola poner de la vena a la flaca… a mas IQ mas entretenido, diablo con biblia es el doble de peligroso 😃

Colombia es el tercer país con más ataques de ingeniería social en América Latina.

De acuerdo con el estudio de ESET Latinoamérica, al país solo lo superan Costa Rica y Uruguay en lo que concierne a este tipo de fraudes

Natalia Molano Torres - [email protected]

En el marco del sexto foro de seguridad informática de ESET Latinoamérica se reveló que Colombia es el tercer país en ataques de ingeniería social con un 19% después de Costa Rica y Uruguay, que tuvieron un porcentaje de 21% y 24% respectivamente.

la verdad en la ciudad donde yo vivio la gente y las personas y muchas empresas no comprenden el peligro al cual estan sometidos y muchas personas caen en trampas de ingeniería social extremadamente básicas, estoy en un lugar donde todos necesitan esta ayuda pero a nadie le importa por que apenas usan el celular

Recomiendo ver la serie de mr. robot, claro ejemplo de como por medio de la ingeniería social se puede obtener mucha información y vulnerar sistemas.

Les recomiendo el libro "Vigilancia Permanente " de Edward Snowden, en el se explica come se inicio en la informática y como llevo a cabo el ataque a la NSA

Esta clase me hizo recordar al primer capítulo de Mr Robot. Elliot usa ingeniería social para obtener acceso a la cuenta de el novio de su psicóloga. Lo hizo por no tener nada mejor qué hacer jajaja pero justamente todos el ciclo de vida se ve perfectamente reflejado en ese capítulo (y en otros más).

Les dejo aquí la liga para la Asociación Mexicana de Ciberseguridad

Siempre me hace ruido escuchar la palabra ingeniería para definir estas técnicas.

En Colombia ***
La suplantación de identidad está enmarcada como delito por la Ley 1273 del 2009. Y las penas por incurrir en ella van de cuatro a ocho años de cárcel. “

7:27: Muy importante, apunte, cualquier tipo de ejercicio de ingeniería social autorizado o con fines de evaluación debe estar respaldado por un documento debidamente autorizado por la alta gerencia, sin el podrías terminar en la cárcel.

La ingeniería social…todos deberíamos de identificarlas por lo menos para salvaguardar nuestra información.

¿Que es la ingeniería social?

*Es la disciplina de extraer datos sin que la persona de de cuenta.
*Conducta de conseguir información de una persona cercana a un sistema.

¿Que puedo hacer con la información?

*Identidad falsa
*Hackear corre
*Crear perfiles falsos
*Tomas dinero prestado
*Exponerte a situaciones embarazosas

__Ciclo de vida de la ingeniera social __

-Investigar: Determinar debilidades, reunir información.
-Enganchar: Atrapar la atención, hacer una historia, vender falsas promesas, manipular.
-Actuar: Mantener la historia, extraer información, ejecutar el ciber ataque.
-Salir: Eliminar rastros, cubrir pistar, finalizar interacción con la victima.

¿Cuando puedo utilizar la I.S?

-Para no hacer daño
-Investigación
-Comunicaciones publicas
Pruebas de penetración de red/autorizada

Dato curioso
Según la página “Larepublica”, Colombia es el tercer país con más ataques de ingeniera social.
Comenta el noticiero…
-En el marco del sexto foro de seguridad informática de ESET Latinoamérica se reveló que Colombia es el tercer país en ataques de ingeniería social con un 19% después de Costa Rica y Uruguay, que tuvieron un porcentaje de 21% y 24% respectivamente…

Si es gente de bien, esta mal visto. Si es gente de izquierda, no es que importe mucho.

En España, siempre que se realicen de forma ética y mediante contrato con autorización sí, ya que no tienen un fin malicioso, todo lo contrario comprobar la “seguridad” de una empresa.

En cuanto a los aspectos éticos de la ingeniería social, siempre se puede aprender de algo malo, usar la ingeniería social como una herramienta para proteger al ciudadano o las empresas de ciberdelincuentes es algo necesario hoy en día.

Me parece super importante y muy clara esta definición de lo que es la ingeniería social:

Visentini (2006):

Es una disciplina que consiste en sacar datos corporativos a otra persona, sin que ésta se dé cuenta de que está revelando “Información sensible”, y que normalmente no lo haría.

Hacerca de las pruebas de penetracion en Red .

las empresas un informe detallado de vulnerabilidades y recomendaciones de mejora, las pruebas de penetración en la red permiten a los departamentos de TI validar los controles de seguridad existentes y cumplir los requisitos asociados al cumplimiento de las normas de seguridad, a la vez que permiten a los gerentes jerarquizar mejor las inversiones en esfuerzos de corrección

Soy muy bueno con la ingeniería social, por ser naturalmente curioso, pero nunca utilizo la información que obtengo para aprovecharme de las personas

A medida que pasa el tiempo la ingeniería social tiende ser más sencilla por factores como tecnología mas avanzada, exposición de datos en las redes y desinformación por parte de usuarios.

En Colombia tengo entendido que la ingeniería social, es legal siempre y cuando no afecte la integridad de nadie y sea para fines maliciosos.

En Argentina, no hay tantas normativas vinculadas con esto. No existen normativas, en algunas áreas puntuales como el sistema financiero.
Si uno tuviera que hacer un <i>ranking</i> de países a nivel mundial, y sus avances en materia de seguridad de la información, Argentina estaría fuera -incluso- de un Top 20.

según artículos de la UMAM Mexico la ingeniería social es el conjunto de técnicas empleadas para convencer y persuadir a una victima de ser alguien que en realidad no es y cuyo fin será obtener información que permitirá realizar alguna acción… y normalmente es de carácter ilegal

En mi país si es legal, pero la ética no se utiliza para nada lastimosamente.

excelente! me re enganche con este curso

En 2020 se duplicaron las detecciones de ataques de ingeniería social en Latinoamérica con Perú, Brasil y México como los países que registraron la mayor cantidad de detecciones de ataques.
En marzo del 2020 ESET advirtió sobre el importante crecimiento de las campañas de ingeniería social que intentaban aprovechar el temor provocado por la pandemia como excusa para afectar de distinta manera a los usuarios, y desde el Laboratorio investigación de ESET en América Latina se analizaron varias campañas que se distribuían a través del correo o WhatsApp en las que se hacía creer a las potenciales víctimas que gobiernos y empresas estaban dando ayudas económicas o que algunas marcas estaban realizando regalos.

En cuanto a Perú durante todo el año del 2020, el gobierno repartió diferentes bonos a la población “más vulnerable” que lamentablemente había perdido su trabajo gracias al despido masivo por parte de las empresas, si bien la idea era buena, la ejecución de entrega de bonos(que rondaban alrededor de $165 por familia) fue pésima, ya que se descubrió que varios beneficiarios de dicho bono ya habían “cobrado” sin que ellos se den cuenta, esto debido a que varias familias habían ingresado sus datos(como DNI) en paginas idénticas a https://bono600.gob.pe para verificar si son los afortunados de cobrar dichos bonos. ¡GRAVE ERROR!
Dichos datos de los beneficiarios del bono habían sido recolectados por “ciberdelincuentes” y estos mismos ingresaban ya con los datos a la verdadera pagina para poder ver la fecha y lugar del cobro del bono.

https://www.gob.pe/institucion/midis/noticias/346114-bono-600-para-evitar-estafas-y-robos-no-se-debe-hacer-caso-a-tramitadores-grupos-de-facebook-o-mensajes-de-whatsapp