Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting
Contenido del curso
Ejemplos de Ataques de Ingeniería Social: Carnada y Phishing
Dejar un USB con llaves en un estacionamiento puede parecer un gesto inocente, pero en realidad es una de las técnicas de ingeniería social más efectivas que existen. Comprender cómo funcionan estos ataques es fundamental para proteger sistemas y organizaciones de amenazas que explotan la naturaleza humana.
¿Cómo funciona el ataque de carnada con dispositivos USB?
El ataque de carnada (baiting) se basa en una premisa simple: las personas quieren ayudar. Un atacante carga un USB con código malicioso y lo replica en múltiples unidades, entre diez y catorce dispositivos, que luego distribuye en áreas estratégicas del objetivo [0:32].
Los lugares ideales para colocar estas carnadas incluyen:
Una técnica que potencia la efectividad del ataque es añadir un llavero con llaves falsas al USB [1:09]. Estas llaves no abren nada, pero generan un efecto psicológico poderoso: cuando alguien encuentra unas llaves en el piso, su instinto natural lo lleva a recogerlas porque asume que otra persona las perdió.
¿Por qué las llaves aumentan la probabilidad de éxito?
La persona que recoge el llavero lo guarda, entra a su área de trabajo y comienza a preguntar si alguien perdió unas llaves. Al notar el USB adjunto, piensa que conectándolo a su computadora podrá identificar al dueño [1:40]. En ese momento preciso, al insertar el dispositivo y hacer clic, el código malicioso se ejecuta y el atacante obtiene acceso al sistema.
Existe una herramienta especializada para este tipo de ejercicios llamada Rubber Ducky [2:06]. A simple vista luce como un USB inofensivo, pero en su interior cuenta con un espacio diseñado para alojar una tarjeta microSD donde se cargan distintos payloads, cada uno con una función específica. Esta herramienta es ampliamente utilizada en ejercicios de ingeniería social profesional.
¿Qué hace al phishing un ataque tan efectivo?
El ataque de phishing comparte con la carnada una característica clave: su efectividad es cercana al 100 % [2:33]. Sin importar cuántas capacitaciones se realicen o cuántas advertencias se comuniquen sobre no hacer clic en enlaces desconocidos, las personas siguen cayendo.
La razón es que un buen ejercicio de phishing incorpora varios de los principios de ingeniería social dentro de un solo mensaje [2:52]:
Cuando un correo de phishing combina al menos tres de estos principios, la probabilidad de que alguien haga clic aumenta drásticamente.
¿Cuál es el vector más común del phishing?
El correo electrónico sigue siendo el canal principal para ejecutar ataques de phishing [3:17]. Su alcance masivo y la facilidad para personalizar mensajes lo convierten en el medio preferido por los atacantes. Basta con diseñar un correo que apele a la psicología del destinatario para comprometer la seguridad de toda una organización.
Estos dos tipos de ataques demuestran que la vulnerabilidad más grande en cualquier sistema de seguridad no es tecnológica, sino humana. La bondad, la curiosidad y el deseo de ayudar son precisamente los rasgos que los atacantes explotan. Si quieres profundizar en más técnicas de ingeniería social, comparte tu experiencia o reflexiones sobre estos ataques.
Juan Camilo Cortes
Estudiante
christian rojas
Estudiante
Kevin Daniel Fondevila Ricardo
Estudiante
Alejandro Rico García
Estudiante
Luis Enrique Vesga Morales
Estudiantechristian rojas
Estudiante
Walter Antonio Sandoval Aguilar
Estudiante
Juan Pablo Sánchez G
Estudiante
Felipe Bernardo González Barranco
Estudiante
Misael Jafet Perez Carcache
Estudiante
Luis Steeven Torres Cueva
Estudiante
Horacio rivera castro
Estudiante
MARIA TERESA PANIAGUA RIVERA
EstudianteNELSON FABIAN FERRO CAMELO
Estudiante
Maria Luisa Alvarez
Estudiante
Daniel Alfredo García Serna
Estudiante
Saúl Noé Rojo Beltrán
EstudianteJuan Pablo Sánchez G
Estudiante
Rolando Jose Lugo Palomino
Estudiante
Hecot Pulido
EstudianteAury Curbelo
Profesor
Jhon Maldonado
Estudiante
Jafet Brito
Estudiante
JulianFranchesco rp
Estudiante
jhonheriberto.fuentes
Estudiante
MARIANGEL UZCATEGUI GARCIA
Estudiante
Feliz Triana Benavides
Estudiante
Marco Castillo B.
EstudianteDeveriamos de crear un portal en github donde podamos practicar con la escritura y formato de la tecnica de Phishing, seria solo texto, nada de codigo y asi entre nosotros nos damos damos advices, que piensa comunidad de este proyecto??
La única manera de probar la efectividad de tus textos a la hora de poner en práctica el phishing es en la vida real.
Por más buenos que veamos los textos, siempre hay que testear con el objetivo final
Una usb con el nombre de alguien que sacaste en internet de la empresa
Jajaja el USB tirado en el estacionamiento bien de película.
Vamos saliendo de la casa después de ver esa película, de lo mal que le fue a la persona que tomo el USB del estacionamiento y como fue hackeada... Y caminando por la calle vemos un USB tirado y pensamos "Que bien me ahorré 5 USD" y caemos en la trampa, ya sea por la necesidad de ahorrar o por curiosidad... Por eso es importante lo que dice la profesora Aury, en la situación muchas veces se nos olvida todo lo aprendido de ciberseguridad y nos dejamos llevar por el emocionalismo. Así que no subestimes el USB tirado en el estacionamiento, que ya te veo utilizándolo..
Sí, totalmente. Pero no todas las personas conocen la típica escena del USB. Que nosotros lo veamos obvio, no significa que sea obvio para toda la población.
Gracias a este desconocimiento, mucho de estos ataques son efectivos.
Saludos
Cuando se lanza esta clase de carnada por usb . ¿Que tan posible es que un anti virus detecte el código malicioso? ¿Qué solución podemos tener para evitar esa detección?
Compañero el antivirus no lo detecta debido a que el computador asume que estas conectando un teclado y no un usb, es la gracia del dispositivo.
Por eso nunca pongo usb en mi computador están llenos de virus!
Lo malo es que tirar a la basura un rubber ducky para hacer un ataque no se que tan factible sea economicamente hablando. Si hablamos de un hacker queriendo ingresar a un banco que al entrar obtendra un beneficio mayor desde el lado malicioso si.. La cuestion es cuantos dolares estas dispuesto a tirar...
si me encuentro un USB rubber ducky y borro todo lo que contenga en el en un cafeinternet aun podrian seguir activos los scripts con los que venia?
La cuestión es que no te daría tiempo de formatear la USB, porque la infección es instantánea apenas la conectas te infectas . Y si lo reseteas le quitas la gracia de la curiosidad
wow que facil es poder atacar o entrar a los sistemas
El truco del USB es muy antigua y aun continua siendo curiosa...
El ataque de "Carnada o Baiting" me parece ingenioso. Y el truco de las llaves de gancho es buenísimo.
📚 CLASE: EJEMPLOS DE ATAQUES DE INGENIERÍA SOCIAL
━━━━━━━━━━━━━━━━━━
🎯 IDEA PRINCIPAL
La mejor forma de comprender la ingeniería social es observar cómo se manifiesta en situaciones reales.
Los ataques pueden parecer diferentes en apariencia, pero casi todos explotan los mismos principios psicológicos: confianza, autoridad, curiosidad, urgencia o miedo.
Importa porque:
👉 reconocer ejemplos reales entrena la capacidad de detectar patrones antes de convertirse en víctima.
━━━━━━━━━━━━━━━━━━
⚡ RESUMEN ULTRA RÁPIDO
• La ingeniería social aparece en llamadas, correos, mensajes, redes sociales y entornos físicos.
• Los ataques exitosos suelen parecer situaciones normales.
• La manipulación psicológica siempre está presente.
• Los atacantes aprovechan emociones para acelerar decisiones.
• Identificar patrones es más útil que memorizar casos específicos.
━━━━━━━━━━━━━━━━━━
🔑 LO VERDADERAMENTE IMPORTANTE
• Un mismo objetivo puede alcanzarse mediante múltiples técnicas.
• Los atacantes adaptan sus historias según la víctima.
• La confianza suele construirse antes de solicitar algo importante.
• La urgencia es uno de los elementos más utilizados.
• Los ataques personalizados suelen ser más efectivos.
• Los detalles obtenidos previamente aumentan la credibilidad.
• Las víctimas rara vez perciben el ataque mientras ocurre.
━━━━━━━━━━━━━━━━━━
🧠 CONCEPTOS QUE DEBO ENTENDER
Phishing:
Mensajes fraudulentos diseñados para obtener información o inducir acciones.
━━━━━━━━━━━━━━━━━━
Pretexting:
Uso de una historia fabricada para justificar una solicitud.
━━━━━━━━━━━━━━━━━━
Suplantación de identidad:
Pretender ser una persona u organización legítima.
━━━━━━━━━━━━━━━━━━
Manipulación emocional:
Uso deliberado de emociones para influir en decisiones.
━━━━━━━━━━━━━━━━━━
Ataque híbrido:
Combinación de múltiples técnicas o canales para aumentar la efectividad.
━━━━━━━━━━━━━━━━━━
🧩 MODELO MENTAL
Información previa
↓
Creación de contexto creíble
↓
Generación de confianza
↓
Activación emocional
↓
Solicitud específica
↓
Acción de la víctima
━━━━━━━━━━━━━━━━━━
Ejemplo general:
"Soy alguien de confianza"
↓
"Necesito que hagas esto rápido"
↓
"No hay tiempo para verificar"
↓
Error de seguridad
━━━━━━━━━━━━━━━━━━
Conclusión:
👉 la mayoría de ataques no intentan obligarte, intentan convencerte.
━━━━━━━━━━━━━━━━━━
🚀 ACCIONES INMEDIATAS
• Analiza intentos de fraude que hayas recibido durante el último año.
• Identifica qué emoción intentaban activar.
• Pregunta siempre:
"¿Qué quieren que haga exactamente?"
• Antes de actuar, verifica identidad y contexto.
• Desarrolla el hábito de desconfiar de solicitudes inesperadas.
• Evalúa si la situación genera presión artificial para actuar rápidamente.
━━━━━━━━━━━━━━━━━━
💼 APLICACIÓN PROFESIONAL
• En ciberseguridad, ayuda a reconocer señales tempranas de ataque.
• En empresas, fortalece la formación basada en casos reales.
• En atención al cliente, mejora la validación de identidades.
• En recursos humanos, protege procesos internos sensibles.
• En trabajo remoto, reduce riesgos de fraude por comunicación digital.
• En gestión de riesgos, permite anticipar escenarios comunes de ataque.
━━━━━━━━━━━━━━━━━━
🔥 HACKS Y RECOMENDACIONES REALES
• Cuando un caso parece único, normalmente pertenece a un patrón conocido.
• La historia utilizada por el atacante es menos importante que la emoción que intenta provocar.
• Los ejemplos reales son valiosos porque revelan comportamientos repetitivos.
• La urgencia suele aparecer en casi todos los ataques exitosos.
• La validación independiente rompe gran parte de las estrategias de manipulación.
• Los atacantes buscan decisiones rápidas, no decisiones informadas.
• Cuanto más emocional sea una solicitud, más importante es detenerse a analizar.
━━━━━━━━━━━━━━━━━━
🧠 INSIGHT ESTRATÉGICO
Principiante:
Memoriza ejemplos específicos de ataques.
Profesional:
Aprende a identificar los mecanismos psicológicos presentes en cualquier ataque.
La diferencia es enorme.
👉 los ejemplos cambian constantemente.
Los principios psicológicos permanecen iguales.
Por eso los profesionales no intentan aprender cada nuevo fraude.
Aprenden a reconocer los patrones humanos que hacen posible cualquier fraude.
━━━━━━━━━━━━━━━━━━
📝 REFLEXIÓN FINAL
Los ejemplos de ingeniería social son valiosos porque muestran cómo la teoría se convierte en realidad.
Detrás de cada caso existe una misma lógica:
comprender a una persona, generar confianza y provocar una acción.
Cuando aprendes a reconocer ese patrón, comienzas a ver ataques donde antes solo veías conversaciones, mensajes o solicitudes aparentemente normales.
Yo solo tengo una duda, como es que se ejecuta el archivo? como tiene que estar hecho para que con el simple hecho de insertar la usb entre el virus? Es algo que yo no entiendo. Si son tan amables de explicarme o redirigirme en donde leer o aprender sobre eso se los agradeceria
La razon es que la usb actua como si fuera un teclado, y lo que le cargas son funciones que harian un teclado, como por ejemplo escribir un codigo abriendo una terminal powershell.
Con respecto al Rubber Ducky tengo una pregunta se que al conectarlo inmediatamente copia toda nuestra información, pero, puede seguir haciéndolo incluso después de haberlo desconectado? Es decir, si tengo la sospecha de en algún momento haber conectado un Rubber Ducky a una computadora, cual seria la acción correcta a seguir?
Depende de que scripts lleve dentro el dispositivo. Si sospechas que tienes un Rubber Ducky hay protocolos para obtener los datos del payload, puedes buscarlos en internet.
Mi mejor recomendación es revisar la documentación del script que estas utilizando- Te recomiendo varias páginas;
2- Duck Toolkit- https://ducktoolkit.com/
En esta clase se aborda la ingeniería social, específicamente ejemplos de ataques como el de carnada y phishing. Se explica cómo el ataque de carnada utiliza dispositivos USB infectados que se dejan en lugares estratégicos, esperando que alguien los conecte a su computadora, permitiendo así el acceso al sistema. Por otro lado, el phishing consiste en engañar a las personas para que hagan clic en enlaces fraudulentos, aprovechando principios de urgencia y personalización en los mensajes. Ambos ataques son muy efectivos y se deben conocer para protegerse adecuadamente.
A dia de hoy si le pones en la USB crypto wallet, es tambien muy probable que la utilicen.
para seguir con el curso primero hay que hacer la practica de la usb
Acerca del Phishing comparto el link de un ejercicio SEGURO practico JIGSAW desarrollado por Google para identificar los elementos que indican que un correo es falso
El tip de las llaves es tan genuino suele pasar que entre mas intentamos ayudar no medimos limites hasta donde es seguro para nosotros como individuo.
Piensa que toda USB tirada en el piso es un USB Killer, ya sea para que te infecte o te rompa el pC, o sea para que te rompan los datos y la privacidad.
Si los hackers saben crear código malicioso, saben todo sobre fundamentos de programación, y por lo tanto saben construir programas y dentro de estos programas maliciosos, entonces ¿los ingenieros de cibersegiridad también deben saber fundamentos de programación? Por supuesto, ¡a perfeccionarse en programación se a dicho!
