Planificación y Ejecución de Ataques de Pretexting

Clase 19 de 27 • Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Contenido del curso

Introducción a la ingeniería social

Principios de la ingeniería social

Tipos de ingeniería social

Ataques de ingeniería social

Elicitación

Pretexting

19
Planificación y Ejecución de Ataques de Pretexting
Viendo ahora

Deepfake

Construyendo el muro humano y contramedidas

Proyecto

27
Creación de Escenarios de Pretexting en Ingeniería Social
06:39 min

Tomar examen

Resumen

Convertirse en otra persona para obtener información confidencial no es ciencia ficción, es una técnica real llamada pretexting. Dominar su planificación marca la diferencia entre un ejercicio profesional y una improvisación sin resultados. A continuación se desglosan las fases, ejemplos y claves prácticas que todo profesional de ciberseguridad necesita conocer.

¿Qué es el pretexting y por qué se considera ingeniería social?

El pretexting es la práctica de presentarse como otra persona con el fin de manipular a un objetivo [0:12]. Funciona exactamente como la actuación: quien ejecuta el ataque crea un personaje completo —nombre, historia, personalidad— y lo interpreta dentro de un escenario diseñado a medida. La analogía es directa: tú eres el actor y la operación es la película [0:32].

Dentro de la ingeniería social, el pretexting se apoya en figuras de autoridad. La persona que asume el rol de atacante suele hacerse pasar por alguien con poder o influencia, lo que facilita que la víctima coopere sin cuestionar [0:55].

¿Es ilegal practicar pretexting?

En Estados Unidos, el pretexting es ilegal para las instituciones financieras reguladas por la ley GLBA (Gramm-Leach-Bliley Act) [1:10]. Esta legislación prohíbe obtener, revelar o intentar acceder a información confidencial de clientes mediante engaño. Las organizaciones cobijadas por la GLBA están obligadas a educar a su personal sobre estas amenazas. Sin embargo, cuando el ejercicio está autorizado —por ejemplo, en una auditoría de seguridad contratada—, es completamente legítimo [1:45].

¿Cuáles son las cuatro fases de la planificación?

El proceso de planificación de un ataque de pretexting se divide en cuatro áreas [2:05]:

Propósito: definir el escenario basándose en la investigación previa del objetivo y determinar qué información se busca obtener.
Preparación y desarrollo: construir la historia, el personaje y el guion completo del ataque.
Práctica: ensayar el escenario hasta dominarlo con naturalidad.
Ejecución: llevar a cabo el ejercicio y documentar los resultados.

¿Cómo se construye el personaje y el guion del pretexting?

Una vez definido el propósito, se pasa a la preparación. Existe una plantilla que ayuda a estructurar todo el escenario [2:30]. Los elementos que se documentan incluyen:

Nombre del escenario de pretexto.
Datos del personaje: nombre, apellido, datos demográficos, antecedentes, apodo, gustos, fecha de nacimiento e incluso detalles como color favorito o perfume preferido [2:50].
Datos del objetivo: quién es la víctima, sus datos demográficos y toda la información recopilada mediante herramientas de OSINT (Open Source Intelligence) [3:15].
El guion: describe de qué se trata el ataque, quiénes son los protagonistas, cómo se va a reaccionar ante distintas situaciones y qué principios de ingeniería social se van a emplear [3:30].

Incorporar la mayor cantidad posible de principios de ingeniería social —se mencionan entre tres y siete— aumenta significativamente la probabilidad de éxito [3:50]. Las metas del ejercicio deben ser claras y medibles; la ganancia nunca debe ser fama o popularidad, ya que eso cruza la línea entre el hacking ético y el malicioso [4:10].

Desarrollar múltiples escenarios (A, B, C) y contemplar distintas víctimas u objetivos es una práctica recomendada para mantener opciones abiertas [4:30].

¿Por qué la práctica es la fase más difícil del pretexting?

Muchos asumen que la ejecución es lo más complejo, pero la fase más desafiante es la práctica [4:50]. El ensayo es donde se perfecciona el personaje. Algunas técnicas recomendadas son:

Practicar frente a un espejo.
Buscar un grupo de trabajo que ayude con los ensayos.
Grabarse en video para analizar microexpresiones, seguridad corporal y dominio de la información [5:10].

Si la práctica es sólida, la ejecución fluye con naturalidad. El éxito se mide con una pregunta directa: ¿se logró la meta? Si la información buscada se obtuvo, el ataque fue exitoso [5:35].

Cuando el pretexting se realiza como servicio profesional contratado, se recomienda usar una cámara oculta para grabar toda la escena y generar un reporte final que identifique las vulnerabilidades del objetivo [5:50].

¿Qué escenarios de pretexting son más efectivos?

Algunos pretextos clásicos que funcionan con alta efectividad [6:10]:

Contratista: entra y sale de la empresa sin generar sospecha porque carece de sentido de pertenencia.
Entidad sin fines de lucro: apela al humanismo y la voluntad de ayudar.
Encuestador o entrevistador: el encuestador opera en espacios públicos; el entrevistador se hace pasar por alguien de recursos humanos o por un candidato.
Envío de sorpresas o regalos: un paquete inesperado abre puertas literales.
Nuevo empleado o técnico de IT: roles que justifican preguntas y acceso.
Auditor: genera respeto inmediato y cierto temor, lo que facilita la cooperación [6:55].
Padre o madre preocupados: especialmente útil en empresas con servicios de guardería.
Anciano que necesita ayuda: activa la empatía y baja las defensas del objetivo [7:20].

Cada uno de estos roles explota un principio distinto de ingeniería social, desde la autoridad hasta la reciprocidad y la urgencia. Comparte en los comentarios tus propios escenarios de pretexting y comienza a llenar la plantilla del guion para poner en práctica lo aprendido.

Comentarios

アルマレボ

student•

Interesante el concepto de OSINT, apenas lo voy descubriendo al mirar el documento para elaborar el proyecto :O comparto un enlace que trae más información https://ciberpatrulla.com/que-es-osint/ ahí mismo pueden encontrar una lista de enlaces de herramientas para buscar, saludos!

Diego Fernando Ramos Aguirre

student•

Excelente aporte, gracias.

Felipe Bernardo González Barranco

student•

Gracias!!

Javier Ramos

student•

Una película que nos muestra el Pretexting en todas sus formas es catch me if you can con Leonardo DiCaprio y Tom Hanks muy buena y vale la pena verla mas de una vez

Juan Camilo Cortes

student•

In some point, SE need some noledge how to act like a movie, do you think a course of acting is value for this carrier?.

Javier Ramos

student•

good question

Walquiria Salinas

student•

En argentina con la pandemia salieron unas ayudas del gobierno para la gente que estaba sin trabajo. Y fue con eso que empezaron los ataques de ingeniera social. A mi hermana (que si tiene trabajo) la llamaron diciendole que tenia asignada la ayuda pero que para eso necesitaban ciertos datos, si ella hubiera querido "aprovechar" esa ayuda hubiera caido en la trampa. Ella por suerte se dio cuenta y corto la llamada, inmediatamente aviso a quienes mas pudo de la nueva modalidad de ataque.

Daniela Maissi

student•

Hola hackers!

Existe algo llamado OSINT "¿qué?" "¿OSINT? y eso qué es?" Pues OSINT significa Open Source Intelligence (Inteligencia de fuentes abiertas) existe desde hace muchos muchos pero muchísimos años pero recién en los 70's 80's y 90's acuñamos el término OSINT. En esos años las fuentes abiertas eran radio, televisión, directorios, algunos organismos y entidades públicas, los basureros (en serio) y cualquier canal que pudiera funcionar para encontrar información sobre una persona. OSINT era utilizado por cuerpos de seguridad, detectives y hackers pero ahora la mejor fuente de OSINT es por supuesto...Adivina.. A ver... ¡Exacto! ¡internet! tenemos también SOCMINT (Social Media Intelligence) que tal como puedes deducir, tiene que ver con la investigación mediante las redes sociales, OSINT en la mayoría de los países se encuentra en situación de alegalidad es decir no es ni legal ni ilegal, pero la divulgación podría ser un delito, úsalo con cuidado :)

Nunca pares de aprender!

Jose Luis Quintero Sanchez

student•

Pretexting = Actuación!. Ahora que se venga el curso complementario de Teatro!, 😁

Marcos Sarmiento Loarte

student•

Ataque de Pretexting: “El Incidente del Contrato de Consultoría”

Nombre del Pretexto: Problemas con la firma del contrato de consultoría.
Nombre del Cliente: Empresa XYZ.
Nombre del Proyecto: Implementación de un nuevo sistema de gestión de inventario.
Nombre del Personaje: Laura Martínez.
Datos demográficos del Personaje: Laura es una mujer de 35 años, con experiencia en consultoría de procesos empresariales. Es amigable, extrovertida y tiene un buen conocimiento de la industria logística.
Antecedentes del Personaje: Laura trabajó en proyectos similares en otras empresas y tiene acceso a información sobre procesos internos y sistemas.
Nombre del Objetivo: Juan Pérez, el gerente de operaciones de la empresa XYZ.
Datos demográficos de Objetivo: Juan es un hombre de 45 años, meticuloso y preocupado por la eficiencia operativa. Tiene acceso a información confidencial sobre el sistema de inventario.
Resultados del OSINT: Laura ha investigado a Juan en redes sociales y ha encontrado que le gusta el golf y que recientemente se unió a un club exclusivo en la ciudad.

Introducción: Laura se presenta como una consultora de procesos de la empresa XYZ y se comunica con Juan Pérez para resolver un problema relacionado con la firma del contrato de consultoría.

Contexto: Laura envía un correo electrónico a Juan Pérez explicando que hay un problema con la firma del contrato de consultoría para el proyecto de implementación del sistema de gestión de inventario. Afirma que necesita verificar algunos detalles antes de proceder y solicita una reunión urgente.

CLOSING: En la reunión, Laura utiliza su encanto y conocimiento de la industria para ganarse la confianza de Juan. Durante la conversación, menciona que ha trabajado en proyectos similares y que está emocionada por colaborar con él. Aprovecha la oportunidad para obtener información sobre el sistema de inventario y los procesos internos de la empresa.

Palabras Claves: pretexting, contrato, consultoría, firma, sistema de inventario, reunión urgente, confianza, proceso empresarial .

Miguel Angel Espinosa Hernandez

student•

que tan legal o ilegal es hacer pretexting en redes sociales con algún perfil falso, justo como el caso que se comento anteriormente

Aury Curbelo

teacher•

Depende de las leyes que apliquen a tu paìs . En algunos lugares es considerado fraude.

Giovanny Ibanez Angarita

student•

Buen día. donde encuentro la plantilla?

Héctor Eduardo López Carballo

student•

Hola!

La encuentras en la sección de recursos debajo de la clase. Te dejo acá el enlace: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fstatic.platzi.com%2Fmedia%2Fpublic%2Fuploads%2Fproyecto-curso-ingenieria-social_ab03dbdd-38bc-47ff-88b3-c935ece855b9.docx&wdOrigin=BROWSELINK

Fernando Castellanos

student•

por ahi del 2019 empece a trabajar en un call center que se encargaba de transferencias de dolares de estados unidos a Latam, yo trabajaba en customer service generando los envios de dinero para las personas latinas que no sabian ingles y no podian interactuar con el cajero

Un dia una senora me habla desde su celular a la linea de servicio al cliente, me dio una historia, era sexoservidora y habia enviado dinero para la operacion de su madre y que necesitaba que se enviara el dinero pero su envio habia sido cancelado, como CS no podia negar su peticion para revisar su caso, pero necesitaba corroborar todos los datos para saber la situacion del envio.

Su respuesta fue que ella no tenia los datos porque no podia conservar documentos de informacion personal pero insistia con la voz quebrada y en lagrimas que de favor autorizara un envio de dinero por 10,000 pesos a una cuenta bancaria, lo cual estaba prohibido para nosotros.

Dude mucho sobre lo que tenia que hacer, muchas cosas no cuadraban al final tuve que disculparme mientras amenazaba con llamar a la policia, tenia la capacidad de generar un envio de esa cantidad? claro que si, pero yo iba a pagar los platos rotos y en capacitancion nos dijeron una frase muy celebre dentro de la empresa para evitar ese tipo de casos:

prefiero que lloren en tu casa a que lloren en la mia

Como exponen en este curso, las personas de CS siempre estan dispuestas a ayudar y son un blanco muy facil para los ataques y viendo este clase me recordo a ese incidente

Armando Aguilar L.

student•

Esto es un buen ejemplo, pero ahora se hace con crypto

Maria del Mar Suarez Solano

student•

Me gustaría saber hasta dónde vamos a llegar con la práctica de este ejercicio, sin meternos en problemas. Somos alumnos de una clase y buscar "atacar" a una empresa o persona, siendo personas que no tenemos el aval de una empresa para hacerlo, nos puede acarrear problemas legales. Si yo le hago ingeniería social a mi empresa, sin estar autorizado, lo más probable es que me meta en un lío. Si lo hago con un desconocido y fallo, me pueden demandar. Eso me preocupa, pues solo somos aprendices.

Aury Curbelo

teacher•

Los ejercicios de ingenieria social son tipicamente , dentro de la seguridad de la informacion, una buena practica. Pero existen reglas de engagement que debes seguir. Por que es una buena practica contar con la autorizacion para llevarlos a cabo.

Esteban Blanco Ortuno

student•

¿Es ilegal el pretexting si se hace por diversión como una broma o por interés científico para aprender, siempre y cuando no se gane dinero con ello y se avise a la victima después?

Omar Daniel Centeno

student•

Este tipo de respuestas son complicadas pues debes de revisar las leyes y normas que aplican para cada país o que maneja una empresa en particular. De manera general el pretexting es ilegal.

Agatha Fleitas

student•

Creo que es muy ilegal

Edwin Perafan Grajales

student•

Es muy de moda las estafas bajo confianza a traves de las RRSS como con FB, donde contactan generalmente a personas adultas, generan vinculo de confianza, logran un acercamiento sentimental y a traves de (hacerse pasar quizas por algun conocido de su infancia) logra tal vinculo que rompe cualquier posición de desconfianza, generando el objetivo que es por lo general el envio de dinero "para una ayuda urgente". historia que le sucedio a mi madre, pero afortunadamente logre identificar e impedir la situación "la transferencia economica"

Edwin Perafan Grajales

student•

El OSINT va mas alla de una herramienta expecifica, si no en el conjunto de habilidades y la metodologia que logra explotar al maximo motores de busqueda (como ejemplo) para lograr el objetivo necesario antes de iniciar un pretexting! Sin duda alguna información de mucho valor en este curso, su contenido y sus conceptos

RUPERTO ALEXANDER GUERRON ARTEAGA

student•

KEVIN ANDRES CORNEJO SURICHAQUI

student•

El pretexting es una técnica de ingeniería social donde un atacante se hace pasar por otra persona, típicamente una figura de autoridad, para obtener información confidencial. Este proceso incluye definir un propósito, preparar una historia convincente, practicar la ejecución y finalmente llevar a cabo el ataque. Aunque puede ser usado éticamente para propósitos educativos, es ilegal en muchos contextos, como en instituciones financieras bajo la ley GLBA. Su éxito depende de una investigación previa y la habilidad del atacante para entrar en el personaje.

Diego Andrés Jaimes

student•

Buenos pretextos

Los buenos pretextos son aquellos escenarios o personajes que ayudan a obtener la información que se requiere:

Ser un contratista
Entidades sin fines de lucro
La entrevista (entrevistador, entrevistado)
Encuestador
Sorpresas
Entrega de una orden
El nuevo empleado
Departamento de sistemas de IT
El auditor
La mamá/papá preocupados
El anciano/a

Francisco Marín

student•

Pretexting = Suplantación de identidad

Adrián Pantoja

student•

muy buena la analogia entre un ingeniero social y un actor, pues en el pretexting vamos desarollando un personaje.

Planificación y Ejecución de Ataques de Pretexting

Introducción a la ingeniería social

Técnicas y Ataques de Ingeniería Social: Pretexting y Deep Fake

Historia y Evolución de la Ingeniería Social

Ingeniería Social: Técnicas de Persuasión y Seguridad Informática

Elementos Clave de la Ingeniería Social y su Efectividad

Ingeniería Social: Impacto Humano en Ciberseguridad

Identificación y prevención de ataques de ingeniería social

Principios de la ingeniería social

Principios de Persuasión en Ingeniería Social

Principios de Ingeniería Social: Reciprocidad, Urgencia y Más

Cualidades del Ingeniero Social: Ético y Malicioso

Tipos de ingeniería social

Ingeniería Social Basada en Humanos: Técnicas y Ejemplos

Ataques de Ingeniería Social Basados en Computadora

Taxonomía de Ataques de Ingeniería Social: Etapas y Estrategias

Taxonomía y Estrategias en Ataques de Ingeniería Social

Ataques de ingeniería social

Ejemplos de Ataques de Ingeniería Social: Carnada y Phishing

Pretexting en Ingeniería Social: Creación de Personajes y Escenarios

Ataques de Ingeniería Social: Vishing, Tailgating y Noticias Falsas

Elicitación

Elicitación: Técnicas de Ingeniería Social y Comunicación

Estrategias para Evitar la Elicitación en Ingeniería Social

Pretexting