Contenido del curso
Pretexting en Ingeniería Social: Creación de Personajes y Escenarios
Al momento de crear un Pretexting es cuando se crea la historia. Debes buscar mucho más a profundidad a la víctima, entender sus motivaciones, miedo y debilidades. Debe aplicarse más de tres principios para cumplir con el objetivo, estimular la confianza y explotarlo.
Sextorsión
Chantajear a la víctima para que envíe dinero, o de otra manera divulgara imágenes o videos comprometedores. Este tipo de ataque se peude hacer aun sin tener dicho material. El miedo y la verguenza muchas veces van a ocacionar que la victima intente pagar lo más pornto posible. La siguiente es una email real que estuvo circulando hace un tiempo.
¡Saludos!
Este correo electrónico no tiene buenas noticias para usted. ¡Es un recordatorio de sus actos sucios! El dispositivo que utiliza para acceder a Internet está infectado con un software espía desde hace alrededor de 4 meses. Llevo mucho tiempo vigilando sus actividades en Internet.
Cómo es esto posible: Hace aproximadamente medio año se produjo una enorme filtración de datos personales (principalmente contraseñas y datos de acceso), que también afectó a su proveedor de correo electrónico (spmt.upct.es).
Los hackers profesionales utilizaron esos datos para acceder a los sistemas operativos de las víctimas potenciales (incluido usted), instalando loaders especiales que permiten instalar absolutamente cualquier cosa en los dispositivos infectados.
Me gustaría señalar que las empresas antivirus llevan mucho tiempo luchando para hacer frente a este tipo de software espía, ya que los códigos de los troyanos se actualizan continuamente e impiden que los antivirus hagan su trabajo.
De esta forma, todos esos datos personales quedaron disponibles en el mercado negro y yo los compré para instalar mi programa espía y empezar a revisar la información personal de la gente, con la esperanza de encontrar algo interesante. Algunas personas tienen un montón de documentos aburridos, otras, juegos básicos, otras juegan al casino… Utilicé todos esos dispositivos para hacer minería de criptomoneda.
Sin embargo, al final me topé con algo realmente especial al comprobar sus datos personales Parece que le gusta mucho ver vídeos pervertidos (es fácil confirmarlo comprobando el registro de actividad de sus reproductores multimedia y el historial del navegador). Llevo tiempo filtrando los vídeos más impactantes con los que se masturba, y grabándolo a través de la cámara y el micrófono de su dispositivo.
Como resultado, he generado algunos vídeos cortos donde sale dándose placer (de maneras realmente impresionantes a veces), y en la parte inferior de la pantalla aparece el vídeo que estaba viendo en ese momento. He conseguido crear una colección realmente buena en los últimos meses
¿Qué cree que pasaría si compartiera esos vídeos con sus colegas, familiares y amigos? Teniendo en cuenta la “peculiaridad” de los vídeos que suele ver, la opinión que tienen de usted cambiaría para siempre. Supongo que incluso podría tener problemas con la ley debido a ciertos vídeos de esa colección…
Pero no me interesa en absoluto meterle en ese tipo de problemas. Solo quiero que me dé algo de dinero, ya que he invertido una importante cantidad de tiempo y esfuerzo en hacer todo esto. Este es el trato: ¡el equivalente a $700 (USD) en bitcoins será suficiente! ¡Si quiere pagar más, no dude en hacerlo!
Mi monedero de BTC para la transacción es: 1FH*******************************3A
Comprar bitcoins y enviarlos a mi cartera no es nada complicado. Basándome en los registros, sé que no es tonto y sabe cómo utilizar Internet. La verdad, no se me ocurre en qué otro sitio se pueden encontrar este tipo de vídeos (con usted masturbándose). 😉
En cuanto reciba una notificación de su transacción, borraré inmediatamente sus vídeos pervertidos junto con el vídeo porno que estaba viendo en ese momento. Después, me olvidaré por completo de usted (tranquilo, no es el único así). Por cierto, no tiene ni idea de la cantidad de gente que se masturba con porno en todo el mundo.
¡¡¡Aunque no ven esos vídeos tan pervertidos y desagradables que le gustan a usted!!! Pero, como ya he dicho, ¡no debe preocuparse!
Aquí tiene las sencillas pautas que debe seguir para acabar con todo esto de la forma más sencilla: # Tiene 48 horas para completar la transacción en bitcoins. Si después de 48 horas no recibo su dinero, subiré su vídeo a sus recursos en línea y lo enviaré a toda su lista de contactos. Sus parientes, colegas y amigos más cercanos recibirán un correo electrónico o un SMS de mi parte. Debe hacer todo lo que le pido en el plazo indicado, ¡no esperaré más! # El temporizador se iniciará automáticamente justo después de abrir este correo electrónico. Tenga en cuenta que, aunque el correo electrónico lo abra otra persona, el temporizador se iniciará igualmente. # No tiene sentido responder a este correo. He generado la dirección del remitente (simplemente he utilizado una dirección aleatoria de Internet). Lo único que debe hacer es pagar. # Intentar localizarme es una mala idea, ya que utilizo nodos y un sistema blockchain para realizar las transacciones de bitcoin. # Reinstalar el Sistema Operativo tampoco le servirá de nada. Aunque queme su dispositivo, no se solucionará el problema. Todos los archivos ya han sido encriptados y guardados en sitios web de alojamiento de archivos remotos. # Una vez que la transacción se haya completado, no hace falta que me lo notifique. Podré verlo por mí mismo, ya que vigilo toda su actividad en Internet.
Por favor, tenga en cuenta lo más importante: Una vez que complete la transacción, eliminaré mi virus troyano de su dispositivo, así como todos los vídeos humillantes, de los recursos remotos en línea. Después, podrá olvidarse de mí y de esta desagradable situación. ¡Esa es la mejor solución para este problema!
Un último consejo: ¡cambie todos los datos de acceso a todos sus servicios de Internet, ya que puede que no sea el único que tenga acceso a sus cuentas!
Sea sensato. ¡Buena suerte!
Shoulder surfing
Espiar físicamente a las víctimas para conseguir información personal. Puede ser desde seguirlo, hasta revisar sus dispositivos electrónicos.
Dumpster Diving
Explorar la basura con el objetivo de buscar información valiosa. Esta técnica es muy usual de verse en películas y series de televisión, pero no deja de ser una técnica real.
Quid Pro Quo “Una cosa por otra”
Contribución creada con aportes de: Angie Espinoza
Miguel Angel Reyes Moreno
Estudiante
Patricio Sánchez Fernández
Estudiante
Jafet Brito
Estudiante
Javier Ramos
Estudiante
christian rojas
EstudiantePatricio Sánchez Fernández
Estudiante
Juan Camilo Cortes
Estudiantechristian rojas
Estudiante
Kevin Daniel Fondevila Ricardo
Estudiante
Felipe Bernardo González Barranco
Estudiante
Sergio Brito Vazquez
Estudiante
Guido Enzo Boccaletti
EstudianteGuido Enzo Boccaletti
Estudiante
Maria Luisa Alvarez
Estudiante
Christian Rene Fiorentino
Estudiante
JUAN DAVID CORRALES AGUILAR
Estudiante
María Gil Monterrey
Estudiante
MARIA TERESA PANIAGUA RIVERA
Estudiante
MARIANGEL UZCATEGUI GARCIA
Estudiante
Daniel Alfredo García Serna
Estudiante
Claudio Sam
Estudiante
Maria Cristina Sanchez Cordova
Estudiante
Jonathan Leon Badillo
Estudiante
ch4run r
Estudiante
Jose Luis Ramos Bernal
EstudianteJesus Fernando Martinez Gallegos
Estudiante
Alexander Torres
EstudianteEste curso me está volviendo muy paranoico y precavido. Me encanta.
A punto de tomar la píldora de Matrix...
Al principio asi te sientes, pero poco a pcoo se va esa sensacion, al final te sientes seguro. Siempre alerta.
La delgada linea entre lo correcto y lo ilegal, como dicen en los shows televisivos, No intenten esto en casa, su ip los delatara, su computadora los delatara.
Totalmente, en cada aspecto de nuestras vidas estamos al borde de lo legal o ilegal y todo dependerá de nuestras creencias y conocimientos en caer o no.
Saludos
Muy cierto...
Que Buena clase.
Sí, muy muy buena.
Entras a una empresa y vez en la computadora del recepcionista que no tiene activado el Windows. El hacker se puede hacer pasar por un tecnico de Micrsoft para un phising
Quid pro quo = tu me das yo te doy
Excelente la profesora, todo muy caro!
Claro*
Montar un buen "pretexto" para realizar un ataque es lo que hace que el ataque tenga credibilidad, tiene que tener al menos tres elementos de ingeniería social para que funcione correctamente.
*No es recomendable en ataques de ingeniería social éticos no es recomendable utilizar la técnica de "sextorsion", ya que es muy cruel e incluso ilegal.
"...tenia hasta USB cargados con sorpresitas..." :-) Excelente!!!!
Compañeros/as
Hace un par de días entré a un correo antiguo que dejé de usar precisamente por los diversos correos spam que recibía.
Aquí les quiero mostrar un ejemplo real de cómo estas personas maliciosas tratan de suplantar la identidad de entidades para lugrarse.
Hay diversos errorres en los que nos podemos fijar para no caer en estas trampas, se los dejo de tarea para que analicen la imagen y los puedan compartir en los comentarios
Hola Compañero,
al correo de mi hermana tambien le llego un correo igual al tuyo pero este venia "Estados Unidos" una se pone nerviosa con ese tipo de correos pero leyendo y revisando de donde venia me fije que era completamente FALSO.
solo era para que entrara al link.
Supongo que más del 80% porciento de personas te dieron información personal que si le hubieras preguntado de manera directa no la dan pero con tal de llevarse un producto gratis
Que perspectiva tan amplia, muy bueno el curso.
📚 CLASE: EJEMPLOS DE ATAQUES DE INGENIERÍA SOCIAL (PRETEXTING)
━━━━━━━━━━━━━━━━━━
🎯 IDEA PRINCIPAL
El pretexting es una técnica de ingeniería social donde el atacante crea una historia falsa creíble para justificar una solicitud de información o una acción.
No se trata de pedir directamente datos.
Se trata de construir un contexto suficientemente convincente para que la víctima no dude.
Importa porque:
👉 la mayoría de ataques exitosos no parecen ataques, parecen historias normales bien construidas.
━━━━━━━━━━━━━━━━━━
⚡ RESUMEN ULTRA RÁPIDO
• El pretexting usa historias falsas para justificar solicitudes.
• El atacante crea identidad, contexto y propósito creíble.
• La víctima coopera porque la situación parece legítima.
• La información se obtiene de forma progresiva.
• La confianza es el objetivo principal antes de la solicitud.
━━━━━━━━━━━━━━━━━━
🔑 LO VERDADERAMENTE IMPORTANTE
• El atacante no empieza pidiendo información sensible.
• Primero establece un escenario creíble.
• La historia suele incluir urgencia o autoridad.
• La víctima baja la guardia cuando el contexto parece lógico.
• La coherencia narrativa es más importante que la verdad.
• Los detalles pequeños aumentan la credibilidad.
• La interacción suele parecer parte de un proceso normal.
━━━━━━━━━━━━━━━━━━
🧠 CONCEPTOS QUE DEBO ENTENDER
Pretexting:
Creación de una identidad o historia falsa para manipular a una persona.
━━━━━━━━━━━━━━━━━━
Contexto fabricado:
Escenario inventado que da sentido a la solicitud del atacante.
━━━━━━━━━━━━━━━━━━
Construcción de credibilidad:
Proceso de generar confianza mediante detalles consistentes.
━━━━━━━━━━━━━━━━━━
Elicitation:
Obtención gradual de información durante la conversación.
━━━━━━━━━━━━━━━━━━
Validación implícita:
Cuando la víctima asume que la historia es real sin verificarla.
━━━━━━━━━━━━━━━━━━
🧩 MODELO MENTAL
Creación de historia
↓
Presentación del contexto
↓
Generación de confianza
↓
Normalización de la solicitud
↓
Entrega de información
↓
Explotación del objetivo
━━━━━━━━━━━━━━━━━━
Otra forma de verlo:
Historia creíble
↓
Baja sospecha
↓
Cooperación natural
↓
Divulgación progresiva
↓
Compromiso de seguridad
━━━━━━━━━━━━━━━━━━
Conclusión:
👉 el pretexting funciona porque convierte un ataque en una interacción aparentemente normal.
━━━━━━━━━━━━━━━━━━
🚀 ACCIONES INMEDIATAS
• Analiza solicitudes que recibes en trabajo o vida diaria.
• Pregunta siempre:
“¿Esta historia tiene sentido completo o solo parece convincente?”
• Verifica identidades antes de compartir información sensible.
• Desconfía de explicaciones demasiado detalladas sin necesidad.
• Evita responder bajo presión emocional o urgencia.
• Practica pausar antes de validar cualquier solicitud inusual.
━━━━━━━━━━━━━━━━━━
💼 APLICACIÓN PROFESIONAL
• En ciberseguridad, ayuda a detectar ataques narrativos sofisticados.
• En empresas, mejora procesos de validación de solicitudes internas.
• En atención al cliente, reduce riesgos de suplantación.
• En recursos humanos, protege información sensible de empleados.
• En trabajo remoto, evita fraudes por comunicación simulada.
• En auditoría, permite identificar debilidades en procesos humanos.
━━━━━━━━━━━━━━━━━━
🔥 HACKS Y RECOMENDACIONES REALES
• Si la historia es demasiado perfecta, sospecha.
• Los atacantes suelen anticipar preguntas y respuestas.
• La consistencia del relato genera falsa sensación de seguridad.
• Cuantos más detalles innecesarios, más probable es que sea un pretexto.
• La urgencia suele introducirse hacia el final del relato.
• Una historia bien construida puede reemplazar cualquier credencial.
• La mejor defensa contra el pretexting es la verificación externa.
━━━━━━━━━━━━━━━━━━
🧠 INSIGHT ESTRATÉGICO
Principiante:
Evalúa si la información solicitada es sensible.
Profesional:
Evalúa si el contexto completo de la solicitud es legítimo.
La diferencia es crítica.
👉 el pretexting no ataca lo que pides, ataca cómo te lo piden.
El peligro no está en el dato.
Está en la historia que lo rodea.
━━━━━━━━━━━━━━━━━━
📝 REFLEXIÓN FINAL
El pretexting demuestra que la realidad percibida puede ser más importante que la realidad real.
Cuando una historia es suficientemente convincente, las personas dejan de cuestionar y comienzan a cooperar.
Por eso, en seguridad, la pregunta clave no es qué te piden.
Es por qué tiene sentido que te lo estén pidiendo.
Como saber si el enlace que tiene este pdf, tiene o no un virus?:
como saberlo ?
Muy buena clase 👌, me hace ser más precavida.
si te están haciendo una sextorcion puedes apoyarte en esta pagina web que ellos a tra vez del hash del archivo pueden eliminarlo de internet
lo de la basura yo lo conocia como trashing
Un clasico ejemplo de pretexting seria el extraterrestre de la serie American Dad
excelente
Que Buena información.
