Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso

Deepfake

20

Aplicaciones disponibles para crear Deepfake

21

Qué son los Deepfake y sus tipos

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

Aún puedes aprender 1 año a precio de Black Friday

Antes: $199

Currency
$129/año
regístrate

termina en:

3D
7H
31M
13S

¿Por qué funciona la ingeniería social?

4/27
Recursos

Para que la ingeniería social sea efectiva, se necesita tres elementos fundamentales:

  • Todos tienen atención selectiva
  • Todos suelen distraerse con algo
  • La confianza

Las personas son el eslabón más débil, es extremadamente difícil de detectar cuando no existe IDS (Intrusion Detection System) para la falta de sentido de común o ignoracia.

Contribución creada con aportes de: Angie Espinoza

Aportes 39

Preguntas 2

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

RESUMEN:
Para llevar a cabo la ingeniería social, es necesario dos disciplinas en conjunto, como, Ciencia del computo / Psicología Social

El investigador Willi estipulo 3 principios para que la ingeniería social pudiera ser efectiva:
1-Atencion selectiva: ¿Cuanto tiempo puedes poner atención a un tema en particular?
2- Distracción: En el momento que nos distraemos y dejamos de prestarle atención a lo que estamos haciendo, es ahí cuando se convierte en una vulnerabilidad.
3- Confianza: ¿Cuanta confianza das en un principio de haber conocido a alguien?

GORILA INVISIBLE:
En el experimento del gorila invisible, los investigadores notaron que cuando tenemos atención selectiva en un punto en particular nos olvidamos de lo que sucede alrededor. Esto da la entrada a uno de los ataques de la ingeniería social, que es, el ataque de sentido de urgencia, el cual también es uno de los mas explotados por los ingenieros sociales.

¿Porque es efectiva la ingeniería social?
En primer lugar porque se concentran en los aspectos técnicos, a los cuales la mayoría de personas no estamos capacitados.
En segundo lugar porque no se le presta atención a la interacción de la maquina vs persona, aun sabiendo que es el usuario quien puede permitir dar ordenes al equipo y poder revelar datos aun no siendo consciente de hacerlo.
Y por ultimo pero no menos importante, las personas somos el eslabón mas débil.

¿Porque nos cuesta decir no?
En la ingeniería Social hay otro experimento el cual es la prueba de la aceptación social. No nos gusta decir no porqué queremos ser parte del grupo y ser aceptados. Sin embargo esta conducta puede llevarnos a revelar información confidencial, así que debemos de aprender a decir no en ocasiones.
Una estrategia de cuando te hagan una pregunta y tu no sabes que contestar, contesta con otra pregunta, esto te ayudara a estar mucho mas atento a los ataques de ingeniería social.

Para los que se quedaron con ganas de verlo, aquí esta el video del experimento del gorila invisible:
https://www.youtube.com/watch?v=PbVYH8FCLvo

“El eslabón más débil es las personas”, eso aplica casi que para cualquier campo.

Resumen de la Clase
-----------------------------------------------------------------------------
¿Por qué Funciona la Ingenieria Social?

La ingeneria social es la convinacion de dos diciplinas en conjunto: Ciencias de Computo, Psicologia Social

Para que la Ingenieria social se basa en 3 cosas:
1. Tendencia a confiar == ¿Cuánta confianza le brindas a alguien que acabas de conocer?
2. Distraccion == Es el momento en que el que dejamos de prestar atencion cuando se vuelve una vulnerabilidad
3. Atencion selectiva == ¿Cuánto tiempo puedes poner atencion a un tema en particular?

La prueba del gorila invisible: Los investigadores Simons y Chabris colocaron a un grupo de personas a ver un video donde un grupo de personas hacian pases y anotaban canastas en una cancha de basketball y en en medio del video paso un actor disfrazado de gorila antes de iniciar el video se les pidio que contaran los pases de las personas con camisetas blancas, al finalizar el video se les pregunto a las personas cuantos pases habian hecho las personas de camisetas blancas a lo cual la mayoria respondio acertadamente y cuando se les pregunto si habian visto al gorila la mayoria respondio que no lo habian visto.

Video del Gorila Invisible: https://www.youtube.com/watch?v=PbVYH8FCLvo
https://www.youtube.com/watch?v=IGQmdoK_ZfY

El ataque de sentido de urgencia es uno de los ataques mas comunes y se trata de enviar un mensaje a la victima indicandole la urgencia de realizar una o varias acciones especificas para no sufrir las consecuencias negativas del desacato

¿Porque es tan efectiva?
1. El campo de la seguridad de la informacion esta enfocado principalmente en la seguridad tecnica.
2. Casi no se presta atencion a la interaccion maquina persona
3. Las personas son el eslabon mas debil.

• ¿Por qué gastar tanto tiempo atacando la tecnologia si una persona te puede dar acceso?
• Es extremadamente dificil de detectar
• No existe IDS para "falta de sentido comun" o la ignorancia

Importancia
La gente por no querer quedar mal o crear un escandalo, brinda a cualquiera que le solicita “informacion sensible” ahis es donde juega un papel importante la educacion y enseñarle a los empleados a decir no.

Cuando te hagan una pregunta y no sepas que contestar responde con otra pregunta.
**
Datos Duros**
El 80% de los ataques informáticos se deben a errores relacionados con el factor humano y no a temas específicos de tecnologia

¿Por qué funciona la ingeniería social?

Las disciplinas que permiten comprender como funciona son:

  • Ciencias computacionales
  • Psicología social (Ciencias sociales)

Ingredientes para el funcionamiento de la ingeniería social:

  • Los humanos están dispuestos a confiar - Dependiendo de la personalidad se puede aumentar el riesgo o disminuirlo (confiar en todos o no hacerlo)
  • Hay una tendencia a la distracción - En algún momento dejamos de prestar atención a lo que se está haciendo
  • Atención selectiva - Cuanto tiempo se puede atender a un tema en particular con el 100% de la atención
    • Ataque de sentido de urgencia - Al momento de recibir una indicación con la prioridad de “urgente” es probable que no se razone lo suficiente y la atención se enfoque en resolverla sin pensar en las posibles consecuencias

Los principales motivos por los que la ingeniera social es exitosa son:

  • El campo de la seguridad de la información tiene mas inclinación a lo técnico
  • Casi no se presta atención a la interacción humano-maquina, se generan mas esfuerzos en resolver con hardware y software que con los usuarios de los sistemas
  • Las personas son el eslabón mas débil, se busca ahorrar en capacitaciones
  • Es muy difícil de detectar (No existen logs)
  • No existe equipo para detección de intrusos (IDS) para falta de sentido común o ignorancia de las personas
  • Para mucha gente es difícil decir que no debido al social proof

Consejos básicos para evitar la IS

  • Aprender a decir que no
  • Si hacen una pregunta en donde el contexto no es claro es util responder con otra pregunta. e.g: - ¿Dónde vives? - ¿Por qué lo preguntas?

On the anatomy of social engineering attacks-A literature‐based dissection of successful attacks

¿Por que funciona la ingenieria social?

El principio, la efectividad de la ingenieria social se sustenta en 3 propiedades que se asumen inherentes a la gran mayoria de los seres humanos:

• Disposicion a confiar (rapida e injustificadamente) 
• Tendencia a la distraccion
• Atencion selectiva

Un ejemplo notable del potencial presente en estos principios radica en los “ataques de sentido de urgencia”. Tal tactica consiste en generar una situacion en la cual la necesidad de atender una emergencia provoca que el receptor del ataque pase por alto precauciones esenciales que en una situacion regular no pensaria descuidar en absoluto. El atacante provoca la situacion de urgencia antes mencionada para dirigir la atencion del receptor hacia la emergencia simulada. Los correos en los cuales se pide el destinatario cambiar su contraseña urgentemente, indicando que se dispone de una plazo limite para ello, son un ejemplo de la eficacia con la cual es posible implementar estos ataques.

Consejo esencial para evadir cualquier intento de sustraccion de informacion a traves de preguntas que involucren informacion relevante: contestar con otra pregunta.

Ejemplos:

• ¿Por que lo preguntas? 
• ¿Por que es importante? 
• ¿Debo responderlo? 

Buen tip el de responder a una pregunta de la cual no estemos seguros con una pregunta devuelta

Yo vi el gorila y los 16 pases del balon. Lo que me incomodó es que algo cambió, solo que no sabía que era. Asi que al fibal lo que cambió fue el color de la cortina y lo que si se me pasó es un jugador saliendo de escena. 🤨

Es importante prestar atención a las urls.

Principios basicos de ingenieria social

  1. Todos tienen atencion selectiva
  2. Todos suelen distraccion con algo
  3. La confianza

Efectiva debido a que:

  • Solo se capacita al personal tecnico

  • No se presta atencion a la interaccion maquina-persona

  • Los ataques se enfocan en el personal no tecnico

  • Las personas no saben decir “No”

  • Explotación del sentido de urgencia

ingredientes principales: 1) disposición a confiar, 2) distracción, 3) atención selectiva. :)

Muy buen aporte, no había caído en cuenta de eso.

-Quien te alerta de que eres víctima de ingeniería social?:
Algunas claves para no ser víctima de ingeniería social
-Importancia de aprender a decir ‘NO’.
-Responder con preguntas.

Yo me distraje mucho cuando apareció el gorilla y sólo logré contar 10 pases jajaja.

Estoy deacuerdo, las empresas no capacitan al personal no tecnico para detectar estos ataques y esto es aprovechado por los hacker.

https://www.youtube.com/watch?v=_bnnmWYI0lM

si el del gorilla les parecio interesante, este tambien esta curioso.

Es increible como la maestra logra captar tu atencion para que te veas de una pasada todo el curso! Mis respetos a la Dra.

**Ingeniería Social = Piscología social + ciencias del computo. **

Efectividad de la Ingeniería Social

  1. Confianza -> _Casi no se presta atención a la interacción persona maquina _
  2. Atención selectiva -> _Ataque de sentido de urgencia _

Estos dos factores, generan en las relaciones humanas espacios o brechas que facilitan el acceso de terceros a la fuente de información. Y en la medida que estén desarticuladas las habilidades o vulnerabilidades humanas, de las capacidades y mecanismos de protección técnicos, las vulnerabilidades continuaran latentes en los sistemas de información corporativos y personales.

“La mayoría de los ataques van directo a personal no técnico” son la cadena mas vulnerable del eslabón.

Resumen en Notion
https://n9.cl/793n8

Me quedó dando vueltas en la cabeza, el tema de saber decir que NO. No solo es importante en aspectos de ing social, también he escuchado su importancia en el campo de product management, donde un NO a las miles de buenas ideas, permite enfocarte en la pocas que harán la diferencia.

También a nivel profesional tendrás menos estrés al no embarcarte en tareas que no tienen sentido que estés realizando. Que una tarea tenga que hacerse no quiere decir que tengas que hacerla tu.

En lo particular, para mi es muy difícil decir que NO, pero confío que con práctica lo podré hacer más natural en mí.

Les dejo una un quote de Steve Jobs al respecto:
“People think focus means saying yes to the thing you’ve got to focus on. But that’s not what it means at all. It means saying no to the hundred other good ideas that there are. You have to pick carefully. I’m actually as proud of the things we haven’t done as the things I have done. Innovation is saying no to 1,000 things.”

En el recurso que comparte la profesora, vi el gorila porque ya lo esperaba, pero no vi la jugadora de camisa negra que sale de la toma.

Este curso está buenísimo!

jejeje esto me recordo un poco a errores capa 8 😃

Siempre es bueno tener un tema extraño para empesar hablar con desconocidos… asi si te quieren llegar… empiezan a rebuscarsela para mentir e inventar temas y por hay hasta exponen temas personales.

lo que en osint llaman error de capa 8

Mi novia me dijo si la acompañaba al shopping. y dije NO! … aprendí 😃

Me encanta el manejo de la temática de la profesora y su acento.
10/10

por qué no puedo ver los otros comentarios???

yo siempre que me preguntan y no estoy seguro doy mal informacon o respuestas bobas ajajjajajajj

IDS: Intrusion Detection System (Sistema para Detección de Intrusos).

6:03 uno de los ataques mas famosos de ingenieria social fue el sufrido por el Chase Manhathan bank en los 80, contrataron a los mejores expertos en criptografia para generar un sistema de claves seguros, los atacantes lograron engañar a una secretaria haciendose pasar por el jefe y obtubieron acceso al sistema y robaron varios miles de dolares

no sabes como contestar una pregunta? contesta con una pregunta! .

aprende a decir NO! .

exelente clase, muy buena la información brindada.

Me fascina este apartado, ha estado muy acertada con las explicaciones. No somos conscientes de lo que juega contra nosotros mismos nuestros comportamientos ante una determinada situación.

A mi pareser los mayores errores de vulneravilidad suseden por medio de descuidos humanos, bueno a menos que sea un ataque DDos bueno de eso depende la capasidad del servidor xd…