Introducción a la ingeniería social

1

Lo que aprenderás sobre ingeniería social

2

Antecedentes de la ingeniería social

3

¿Qué son la ingeniería social y las reglas de compromiso?

4

¿Por qué funciona la ingeniería social?

5

Datos de la ingeniería social

6

Metas de la ingeniería social

Principios de la ingeniería social

7

Principios de la ingeniería social según Kevin Mitnick y Robert Cialdini

8

Principios de la ingeniería social a detalle

9

Perfil del ingeniero(a) social

Tipos de ingeniería social

10

Tipos de ingeniería social: basada en humanos

11

Tipos de ingeniería social: basada en computadoras

12

Taxonomía de la ingeniería social: marco de ataque

13

Taxonomía de los ataques

Ataques de ingeniería social

14

Ejemplos de ataques de la ingeniería social: Baiting y Phishing

15

Ejemplos de ataques de ingeniería social: Pretexting, Sextortion, Dumpster Diving, Quid Pro Quo

16

Ejemplos de ataques de ingeniería social: Vishing, Fake News, Tailgating, Piggybacking

Elicitación

17

¿Qué es la elicitación y por qué es tan exitosa?

18

Estrategias y respuestas a la elicitación

Pretexting

19

Qué es el pretexting y cuál es su proceso, ¿es ilegal?

Deepfake

20

Qué son los Deepfake y sus tipos

21

Aplicaciones disponibles para crear Deepfake

22

Relación del Deepfake, la ingeniería social y cómo detectarlos

23

Herramientas de detección de Deepfake

24

Retos de los procesos de investigación forense en Deepfake

Construyendo el muro humano y contramedidas

25

Medidas de prevención, protección y cómo crear una cultura de seguridad

26

Cómo protegerse y recomendaciones

Proyecto

27

Creando un escenario de pretexting

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Metas de la ingeniería social

6/27
Recursos

Aportes 46

Preguntas 1

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

Metas de la ingeniería social


Motvios:

  • Curiosidad
  • Venganza
  • Beneficio personal o económico
  • Diversión
  • Desafío
  • Mucho más

Metas de ingeniería social:
-> Las personas son engañadas para que revelen información confidencial como datos bancarios, contraseñas, etc.

-> Está información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.

  • Acceso a información
  • Autorización
  • Confianza
  • Dinero
  • Reputación
  • Cometer fraude
  • Espionaje industrial
  • Robo de identidad
  • Irrumpir en los sistemas/redes

Personal vulnerable a ataques de ingeniería social en una empresa
1.- Recepcionistas
2.- Vendedores
3.- Personal de nómina
4.- Recursos humanos
5.- Personal de finanzas
6.- Administración de oficinas

Posiciones atractivas para un ingeniero social

  • Departamento de recursos humanos.
    Información de empleados:
    • Estado actual: trabajando, de vacaciones, enfermo, de momento trabajando en un proyecto fuera de la empresa, etc.
    • Departamento del empleado.
    • Nombre de los colegas
    • Superiores (si el ingeniero social quiere tomar la identidad de uno de ellos en un ataque)
    • Condición laboral
    • Información sobre el contrato y salario de un empleado
  • Gerenciales
  • “Newbies”
  • “Temporeros”
  • “Freelancers”
  • Help Desk
    Responsabilidades:
    • Cuentas de usuarios (Creación, eliminación activación, desactivación)
    • Cambiar contraseñas
    • Instalar software (por razones de seguridad los empleados no deben tener permiso para hacer esto)
    • Ofrecer ayuda
      Cómo escoger un buen objetivo
      Una persona que:
  • Trabaje en áreas donde tenga mucho contacto con el público
  • Sea empleada en una compaía asociada con el objetivo
  • Sea familiar/amigo del objetivo
  • Cuente con amplia presencia en redes sociales
  • Que exhiba la característica de ser muy sociable

Abraham ​Maslow
Formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas (parte inferior de la pirámide), los seres humanos desarrollan necesidades y deseos más elevados (parte superior de la pirámide).

Los empleados insatisfechos pueden ser un gran atractivo para el ingeniero social, ya que la falta de motivación puede ser una puerta abierta a cualquier sistema.

RECOMENDACION para llamadas fraudulentas, siempre que te marquen del banco para decirte que tienes un cargo “sospechoso” o que no has pagado o cualquier otro motivo, nunca des información por muy mínima que sea, lo que tienes que haces es colgar y luego tu mismo marcar al numero del banco (así te aseguras de estar hablando con el banco) y entonces aclarar el asunto.

Si, hace como tres años caí en esta trampa, con un correo que me enviaron, supuestamente del Banco, y pues proporcioné información muy relevante.

Sería interesante articular no sólo la teoría de las necesidades de Maslow, sino también las de Maxneef. Esta teoría podría brindar una visión complementaria sobre las necesidades humanas, y de esa forma poder prevenir posibles exploits

Esta es la sexta clase y los términos de Aury me generan conflictos éticos. Hay que atacar a alguien para poder hacer lo que se quiera, se sacrifica a alguien para eso. 😦

Cuando me han llamado, e indentifico que es alguna llamada donde pretenden informacion personal, mis respuesta son, dame el dni, o nombre que te figure en el sistema y yo te lo valido, en caso contrario no doy informacion…

Al ingresar al mundo de las criptomonedas puedo ver con más frecuencia cómo utizan diversos medios con el objetivo de obtener información acerca de nuestras inversiones y plataformas que utilizamos.

llevo alrededor de 3 years sin subir foto de mi cara en facebook y para llevarlo mas al extremo con preferencia no dejarme captar por alguna camara no subir adsolutamente nada de informacion personal a mis redes y siempree me decian mis amigos y familiares que no era muy sosial y que a ese paso no podria obtener sitas con chicas o algo por el estilo simplemente por no mostrar mi cara, mi respuesta siempre era que simplemente no queria porque haci me sentia bien y asta que conosi la ingenieria sosial me di cuenta que almenos cuento con un poco de ventaja a las vulneravilidades jaja asta el dia de ahora conformo un perfil sano de proyectos en linkendn y madure un poco hacerca de ser muy disconfiado de todo el internet a un haci creo que debemos guardar protencion con nuestros datos en la Red.

Hace tiempo me quisieron extorcionar con una agencia de viajes, pero desde el inicio supe que era un fraude porque el tipo tenía mucha prisa porque realizara el pago de la super promoción, a lo que mencionaba del sentido de urgencia.

Las personas sociables son las mas vulnerables… a las personas les gusta hablar y contar todo jajajaj

Quede impresionado de el como algunos Black Hats piensan, como es aplicable a las personas que tienen ese don de ayudar a los demás, impresionante como se convierten automáticamente en un eslabón débil.

  • Hace un par de años, en Argentina, estaba de moda al parecer un ataque de ingeniería social que te llamaban supuestamente del banco porque ganaste un descuento en un seguro. Al final, no sabían de qué banco eras, sino sólo ciertos números de la cuenta o tarjeta. Trataban de que se los complete. NI siquiera sabían mi nombre. Esto es un claro indicio de un ataque de ingeniería social. También es sabido que hay empresas que compran u obtienen listados de números de teléfonos (sea de forma legal o ilegal) y se encargan de tratar de estafar a las personas. Por ej. un conocido me contó que trabajó por una semana en una empresa que supuestamente vendía seguros, pero de lo que se trataba era de que tenían muy pocos datos de la persona, por ej, su teléfono y principio de tarjeta de crédito, y lo que tenían que hacer es decir un speech de tal modo de que la persona revele información y datos de tarjeta para cobrarle el seguro; ante silencios o respuestas dudosas daba el aval del servicio a menos que explícitamente la persona del otro lado del teléfono dijera que no quería el seguro. Si le llegaba a dar el número de tarjeta por completo, ya se le adjuntaba el seguro, y luego para la persona era difícil de darlo de baja (burocracia, incomunicación, etc.).

  • También en argentina se hacían los secuestros virtuales: estudiaban a una flia, y cuando los hijos no estaban, llamaban a los padres simulando que tenían secuestrado al hijo y arreglar un rescate. Le pasó a mi compañera de la facu: simularon ser la policía y que llamaba el comisario para decirle que el hermano de ella estabe en la comisaría; se escuchan gritos supuestamente del hermano que la llamaba por su primer nombre,pero a ella nadie todos la llaman por su segundo nombre, eso la hizo sospechar. Justo cuando estaba ocurriendo eso, el hermano entró por la puerta, ya que había salido temprano de la escuela.

  • El cuento del tío: envían un mensaje a una abuelita a su teléfono diciendo que es el nieto/sobrino etc, y que cambió de número, y la estafan de alguna manera, la manipulan para que le deposite plata etc…

  • También en Argentina: te llamaban supuestamente de parte del gobierno por tema de salario familiar o ayuda económica social, e intentaban sacarte datos para robarte dinero de la cuenta dedicada a eso. O bien te pedían que deposites x cantidad de dinero para “activar” la cuenta y poder recibir la ayuda.

  • Mi novia una vez en 2019 estaba averiguando por cursos para hacer online, y en una web que encontró, consult+o por tel, pero para pagar no pasaban CBU para que yo les transfiera, o un link de pago seguro a Mercadopago, sino que me pedían mi numero de tarjeta de DEBITO y el código del reverso. Claramente les dije que cómo me van a pedir eso, y se hacían los desentendidos, tratando de parecer como algo inofensivo. Le dije a mi novia que era sospechoso que no quieran darme otra forma de pago, y dejamos esa plataforma o academia, no recuerdo que era. (cuidado con las plataformas de educación online truchas)

Casi caiga en un ataque a traves de un correo electronico para cambiar mi contraseña de una pagina conocida para recibir dinero y hacer compras, menos mal me di cuenta que no era de la pagina verdadera y no realize el cambio de contrasela pero es la unica vez que estuve muy cerca de caer en el engaño

Todas están diseñadas en profesiones para servir

Me han intentado engañar por llamada telefónica y por correo electrónico, siempre utilizando el sentido de la urgencia. Por suerte nunca he caído. Sin embargo, en caso de que las técnicas fuesen frente a frente, creo que cumplo con el perfil para ser la víctima perfecta :( Extremadamente sociable y con ganas de ayudar a los demás. ¡Menos mal, antes de que eso suceda, estoy tomando este curso! ¡Está increíblee! Mil gracias.

Finalmente se cruzan varios tipos de propósitos. El estafador, el ladrón, el extorsionista, el que suplanta identidad para cometer delitos sexuales, el espía industrial, el bromista, etc. Así que todos somos susceptibles de caer.

Hace algunos años viví un caso donde un atacante buscaba información de personas con cargos directivos, esta persona hacia algo asi como una cadena de contactos y de cada uno sacaba un poco más de información se ganó la confianza y logró estafar a varios colegas

He tenido experiencias donde me marcan supuestamente del banco pero el mayor fallo que tuvieron era ir directo por mi cuenta y me pidieron mis accesos jejej me di cuenta de eso y pues ya solo colgué, en otra ocasión me dijeron que tenia un cargo no reconocido y querían los 16 dígitos de mi tarjeta, ese fue un poco mas sutil pero por suerte del banco del que según me marcaban ya no lo tenia dentro de mis cuentas activas así que no di información y luego yo marque.

Es una clase excelente se puede aprender conceptos muy diversos y aplicables a muchas situaciones.

Hace poco me llamaron de un banco y me preguntaron el nombre e hicieron preguntas a lo que conste de manera afirmativa, finalmente terminaron la llamada y al dia siguiente me llegó un cobro de un seguro de vida.
Al momento de hacer le reclamo me mostraron la grabacion y allí habian usado una de mis respuestas afirmativas en edicion para responder que si habia aceptado comprar mi seguro.

FALTO personal aseo o conserje son susceptibles a la ingeniería social, si usted quiere conoce la empresa, ubiquemos al personal del aseo , ellos saben donde están ubicados , de nomina, tesoreos etc.

Personalmente, hasta ahora no he sido víctima de trampas de ingeniería social, pero si conozco personas cercanas que lo han sido. Han sufrido mucho por este tipo de ataques, ya que han tenido como consecuencias pérdidas económicas y repercusión en la salud.

El motivo fue la falta de información y aprovecharse de que eran personas que confiaban en “supuestos profesionales” que eran ciberdelincuentes en realidad.

Estoy totalmente de acuerdo, los principales objetivos siempre van a ser aquellas personas que, además de ser sociables y abiertas a hablar e interactuar más con lo demás, cuenta con información muy sensible de todas las personas con las que tratan (clientes, personal, proveedores, etc.).

Si han intentado, con el tema de información del banco. La verdad estaba muy confiada, pero de repente una me pregunta no me cuadro y he colgado. A mi mami le paso con que le llamaron que su sobrino querido le ha pasado algo y que debía enviar dinero y ella ya lo estaba buscando para girarlo y pues llego mi hermana y llamo al sobrino y estaba bien.

Que buena clase 10/10 sobre todo quienes son más vulnerables a ataques de ingeniería social

La pirámide de Maslow, o jerarquía de las necesidades humanas, es una teoría psicológica propuesta por Abraham Maslow en su obra Una teoría sobre la motivación humana (en inglés, A Theory of Human Motivation) de 1943, que posteriormente amplió. Obtuvo una importante notoriedad, no solo en el campo de la psicología sino en el ámbito empresarial, del marketing y la publicidad.1​ Maslow formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas (parte inferior de la pirámide), los seres humanos desarrollan necesidades y deseos más elevados (parte superior de la pirámide). 2​

Cuando estaba en la prepa un amigo y yo hacíamos phishing para obtener contraseñas de bancanet, en aquel tiempo la seguridad era super básica, podíamos ver los saldos de nuestros profesores. Fue muy divertido y de mucho aprendizaje, ahora definitivamente es más complejo, pero lo que veo es que la mente sigue siendo fácil de engañar.

me han pasado y siempre me pregunte como tratar de evitarlo para poder así ayudar a los que me rodean en caso de que suceda

Aun no he pasado por ningún ataque se Ingeniería social. Si he sido un poco precavido.

muy bueno el curso

Mysterio se la aplicó a Spiderman (?

FUI VICTIMA COMPRANDO UNA FIGURA DE COLECCIÓN EN LINEA, PEDÍ REFERENCIAS EN UN GRUPO Y RECIBÍ MUCHAS RECOMENDACIONES, PUES RESULTA QUE TODAS LAS CUENTAS QUE RECOMENDARON TAMBIÉN ERAN FRAUDULENTAS CON LO CUAL DEPOSITE Y NO RECIBÍ EL PRODUCTO.

SI COMPRAN EN GRUPOS PIDAN APOYO DE ADMINISTRADORES.

En relación a alguno de los ataques de Ingeniería Social de relevancia pública destaca el Fraude o Ataque del CEO como la modalidad de ciberataque que consiste en la suplantación de identidad del CEO de la empresa o un responsable con capacidad de realizar pagos.

De interés leer algunos de los artículos aparecidos en la prensa española:

https://www.lavanguardia.com/local/valencia/20190930/47719655163/juan-garlos-galindo-estafa-emt-ceo-grezzi.html

https://elpais.com/politica/2019/09/27/actualidad/1569591711_014709.html

Un cordial saludo a [email protected]

Hoy en día por tema regulatorio en México los bancos solicitan tu ubicación al iniciar la sesión en la banca móvil, esto cayó como anillo al dedo a los delincuentes, dado que muchas “llamadas del centro de monitoreo y prevención de fraudes” han sido lanzadas a usuarios de diversas bancas móviles. El motivo es muy simple y te dicen “hemos detectado que se han realizado operaciones no reconocidas en diversos puntos del país” a lo que una persona nerviosa o temerosa podría caer en la trampa fácilmente. Hace dos meses me llamaron de un conocido banco en México siguiendo este modus operandi y la verdad me dio curiosidad saber como lo hacen (dado a que hoy día se tiene un token móvil ligado a tu dispositivo para poder realizar transferencias, si es que lo tienes activo). La cuestión es muy simple:

  • Te contactan del centro de monitoreo y prevención de fraudes

  • Te comentan que han detectado diversos movimientos sospechosos en muchas partes del país, inclusive te dicen que tienen la información de la ubicación y el dispositivo como número de teléfono y modelo

  • Acto seguido proceden a realizar la sección de “confirmar tus datos” para poder corroborar que tu no has realizado estos movimientos (hasta este punto solo están recolectando información)

  • Posteriormente te preguntan si tienes el token móvil activo, si no lo tienes activo te comentan que por cuestiones de seguridad debes activarlo y que ellos te ayudan a hacerlo (obviamente esto es un fraude ya que todos los bancos indican que es una operación personal que solo debe ser ejecutada por ti). Si lo tienes activo te dicen que debes bajar una aplicación que te ayudará a asegurar que no hayas sido vulnerado, obviamente para tener el token en su poder.

  • Una vez que tienen esta información te dicen que debes esperar al rededor de 1 hora y que posiblemente notes que algunos mensajes estarán llegando a tu celular, pero que no te preocupes están revisando tu cuenta para prevenir ataques futuros.

  • Al final cuando accedes a tu banca todo tu dinero ha sido robado.

Nunca he sido víctima de los ataques de ingeniería social porque siempre he desconfiando de todo lo que me envían 😅

Tristemente si recuerdo haber sido victima de estos ataques, precisamente a través del ejemplo que dio la Dra. Curbelo. Un enlace a una página de almacenamiento en linea que con urgencia me pedia volver a iniciar sesión antes de que mi cuenta se cerrara por inactividad 😦

Con organizaciones he trabajado es para ayudar a que los adultos mayores no sean victimas de personas que les hacen fraude a través de teléfono, ya que los manipulan diciendo, en muchos de los caso, que los nietos están envueltos en accidentes y que se encuentran en el hospital, y que la única manera de admitirlos es obteniendo un numero de Tarjeta de crédito. La mayoría de victimas fueron personas con una gran huella en redes sociales.

Cada cierto tiempo llaman del banco preguntando si ya me llego la nueva tarjeta, les digo que si y no saben que decir jejejeje.

Personalmente no he sido victima de ingeniería social, pero si conozco varios casos muy cercanos de personas que han sido víctimas de estos actos delictivos.

Que buena manera de entender la ingeniería social con ejemplos cotidianos

Importante tener claros los objetivos de los ataques

soltar un nombre.

ORO = información de empleados.

Los sociópatas se van a identificar con las actitudes para hacer un ataque de ingeniería social

Este curso cada vez se vuelve mucho más interesante