Ingeniería Social: Técnicas de Persuasión y Seguridad Informática

Clase 3 de 27 • Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting

Resumen

La disciplina que consiste en extraer datos sin que la víctima se percate y lograr la confianza para luego engañarlas y manipularlas para el beneficio propio de quien la implementa, se le conoce como ingeniería social.

¿Qué se puede hacer al saber nombres, dirección, número de teléfono y correo?

La ingeniería social se usa cuando su fin no es malicioso ni para hacer daño. Por eso las reglas de compromiso se deben hacer en entornos controlados como pruebas de penetración de red o autorizadas, cuando se realizan investigaciones y en comunicaciones públicas.

Cuando se realiza la búsqueda de la información entre más ataques hay, mayor información se obtiene. El objetivo final de la ingeniería social es llegar a los sistemas de información, prueba este quiz para que detectes cuándo te están engañando.

OSINT significa Open Source Intelligence y es muy útil cuando se reúne información.

Lecturas recomendadas

Darknet Diaries

Contribución creada con aportes de: Angie Espinoza

Oscar Jaramillo

student•

Una película que recomiendo y que se basa en la historia de Kevin Mitnick es “The Takedown”, en ella se muestra técnicas de ingeniería social muy interesante.

Tania Michelle Rubí Rojas

student•

Gracias por las recomendaciones uwu

Felipe Bernardo González Barranco

student•

No me he visto ninguna, gracias!!

Malena Coquis

student•

Debo decir que me dio un poco de recelo este tema de la ingeniería social, me emociona y me da curiosidad saber mas del tema para aprender sobre los posibles ataques a los que podría llegar expuesto cualquier persona o entidad, había escuchado anteriormente hablar del tema pero muy superficial, realmente no me imagine que fuera todo esto y eso que es la segunda clase XD

William Ruiz

student•

Diego Fernando Ramos Aguirre

student•

Aspectos legales y éticos en Colombia

En Colombia se puede ver en la página de MinTic (Ministerio de Tecnologías de la Información y las Comunicaciones) esta definición "Ingeniería Social: Método utilizado por los atacantes para engañar a los usuarios informáticos, para que realicen una acción que normalmente producirá consecuencias negativas, como la descarga de malware o la divulgación de información personal. Los ataques de phishing con frecuencia aprovechan las tácticas de ingeniería social." Ademas de esto no existe (o no encontre ) comunicacion clara por parte del gobierno sobre el tema legal de la ingenieria social, lo que si se tienen son leyes que reglamentan, judicializan y demas los delitos informaticos, estas leyes se van puliendo con el pasar de los años ya que por ejemplo en la pagina de la policia nacional de Colombia solo se aclara lo siguiente: "Los delitos informáticos son conductas en que el o los delincuentes se valen de programas informáticos para cometer delitos como implantación de virus, suplantación de sitios web, estafas, violación de derechos de autor, piratería, etc. " es un tema realmente nuevo ya que a partir de la Ley 1273 de 2009, fue que se empezó hablar en Colombia de este tipo de delitos y leyes referentes.

Sergio Nicolas Bautista Franco

student•

Buen dato.

Pablo Lopera

student•

Buen aporte.

Oscar Jaramillo

student•

Juan Christopher

student•

Muy buen aporte.

William Ruiz

student•

gracias por tu aporte

Yordy Anyerson Andrade Rodriguez

student•

Según un articulo que leí Colombia es el tercer pais con mas ataques de ingeniería social en América Latina.

Ciro Edgardo Camey Valdez

student•

Tienes la fuente, estoy curioso en estos casos..

Samuel Múnera Echeverri

student•

puedes encontrar el dato en la pagina del noticiero "Larepublica"

Abhay Rojas

student•

Aquí pueden ver el aspecto legal sobre los delitos informáticos en Chile

Joaquin Alfonzo

student•

En México encontré lo siguiente en el aspecto legal:

CAPITULO III BIS

Robo de Identidad

Artículo 389 Ter.- Comete el delito de robo de identidad el que adquiera por cualquier medio, información personal y financiera, con la intención de suplantar la identidad de un tercero, con el fin de cometer conductas ofensivas,obtener recursos monetarios o beneficios financieros a su favor,o cometer cualquier otro delito.

El delito de robo de identidad se castigará con pena de nueve años de prisión y de setecientos días multa,independientemente de las sanciones administrativas o penales que puedan corresponder a la conducta realizada.

Se puede leer más acerca de en aquí

Juan Christopher

student•

Buenisimo aporte.

Luis Ruiz Ramos

student•

Es decir, alguien que desee hacer ataques debe tener unas habilidades de comunicación muy altas. No sé en Colombia cómo es el tema. En las elecciones de 2014 hubo un escándalo que involucró a una campaña a presidencia con espionaje a sus comunicaciones.

José Iván Ballín González

student•

Les recomiendo el libro "Hackear al hacker" que, si bien no te dice cómo ser un hacker, te muestra un compendio bastante completo de las técnicas de hackeo que existen. También nombra a expertos en cada área que va mencionando y cómo se iniciaron en sus campos, en que están trabajando y los artículos e investigaciones que han realizado en sus respectivas áreas. En general te da un panorama bastante amplio de las técnicas de hackeo y cómo evitar algunas de ellas como la ingeniería social, phising, entre otros.

Daniela Maissi

student•

Hola hackers! 😁

La ingeniería social es todo un arte! El arte del engaño por supuesto, es mala la ingeniería social? No, los psicólogos, personal sanitario que trabaja en ambulancias, trabajadores sociales, vendedores y personal de atención al cliente aplican la ingeniería social a diario. No existe una legislación que regule cómo se utiliza la ingeniería social recordemos que como dice la profe, todos los humanos tenemos un poco de ingenieros sociales y de hecho es el nombre que en el mundo de la seguridad informática decidimos darle a este tipo de habilidad.

La ingeniería social como el Hacking, es un martillo: Puedes construir pero también destruir, puedes usar la ingeniería social por ejemplo, para lograr venderle a una persona un artículo que no necesita, si es ético o no, es discutible. Hay una delgada línea entre la ética y la ingeniería social que a lo largo de tu camino aprenderás.

Nunca pares de aprender! 😁

Carlos Chavez Arteaga

student•

que buen ejemplo!

Juan Christopher

student•

Me gusta tu analogia.

Shary Llanos

student•

Lectura recomendada: Hoy salió un artículo en el periódico La República, titulado, "Colombia es el tercer país con más ataques de ingeniería social en América Latina." https://www.larepublica.co/empresas/colombia-es-el-tercer-pais-con-mas-ataques-de-ingenieria-social-en-america-latina-2928973

Angel Francisco Flores Ayala

student•

De acuerdo a lo que investigué en México no existen leyes que prohíban la practica de la ingeniería social como tal, sin embargo los resultados relacionados a su practica como el robo de identidad si son ilegales, pero solo en algunos estados.

Propuesta para castigar el robo de identidad en México

Braulio Lechuga Pérez

student•

Buena.

Pablo Matias Fernandez Maza

student•

Uno sin darse cuenta puede ser víctima de la "ingeniería social" brindando información de más en las redes sociales. Facilitándole al atacante la primer tarea que es la Investigación. Aquí aparece mucho la astucia y perspicacia del autor. Y no sólo tiene que ser exclusivamente un ataque a una empresa / organización, puede aplicarse a personas. Por ejemplo aquí en mi país (Argentina), una mujer hacia varios meses venía ventilando información personal desde que se casó con su pareja, la cuestión es que pasado el tiempo de la luna de miel, festejos, etc. publicó que se mudaba a una casa más grande al faltarle espacio por muebles y demás cosas que habían recibido como obsequio en su casorio; hasta habían brindado de información de cuándo vendría el camión de mudanza a buscar sus pertenencias, etc. Ese día llegó el camión antes de lo previsto, subieron sus propiedades y se fueron. A las pocas horas llegó el verdadero camión.

Resulta que los atacantes al ver todo esto, alquilaron un camión y robaron todas las pertenencias de esta pareja recién casada. Y tuvieron todo fácil, ya que los recién casados habían compartido donde vivían, qué día se mudarían, que horario venía el camión etc.

MORALEJA: "Ten cuidado con lo que subes y compartes a redes sociales. No todos los que ven tu información son amigos / buenas personas."

Francisco Javier Cervantes Candelario

student•

Una herramienta OSINT podría ser MALTEGO

Walquiria Salinas

student•

El otro dia leia sobre que se estaba usando IA para imagenes de niños en paginas pornos para no exponer a niños verdaderos e igualemente hacer ingenieria social para agarrar pedofilos

Walquiria Salinas

student•

El ingeniero social trabaja solo?

Juan Gabriel Mogollón Martínez

student•

Yo pensaria que dependiendo del fin y el objetivo

Jorge Francisco Vuelvas Lomeli

student•

1. Ingeniería Social: Definición y Contexto

¿Qué es?
- Técnica de manipulación psicológica.
- Objetivo: Obtener información confidencial o acceso no autorizado.
Ejemplos en la Vida Real:
- La Guerra de Troya (el Caballo de Troya como engaño).
- La historia de Adán y Eva (serpiente persuadiendo a Eva).
Métodos Comunes:
- Baiting: Trampas con promesas de recompensas.
- Pretexting: Crear un falso escenario para obtener información.

2. Reglas de Compromiso en Ciberseguridad

Definición:
- Conjunto de directrices para pruebas de seguridad ética.
- Establecen lo que está permitido y lo que no en una evaluación de seguridad.
Importancia:
- Protegen tanto al evaluador como a la organización objetivo.
- Aseguran que las pruebas se realicen de manera ética y legal.
Aspectos Clave:
- Consentimiento: Acuerdo claro entre las partes involucradas.
- Alcance: Definición precisa de lo que se evaluará.
- Confidencialidad: Protección de la información descubierta.
- Estrategia: Métodos y herramientas a utilizar.

3. Relación entre Ingeniería Social y Reglas de Compromiso

Uso de la Ingeniería Social en Pruebas de Seguridad:
- Debe estar claramente definido en las reglas de compromiso.
- Solo se realiza bajo consentimiento y dentro del alcance acordado.
Ejemplo Práctico:
- Pruebas de phishing autorizadas para evaluar la conciencia de seguridad de los empleados.

4. Conclusión y Recomendaciones

Conciencia y Educación:
- Importante educar a los usuarios sobre las tácticas de ingeniería social.
- Fomentar una cultura de seguridad dentro de las organizaciones.
Evaluación Ética y Responsable:
- Seguir las reglas de compromiso garantiza pruebas responsables y efectivas.

Elías González

student•

actualmente estoy en la universidad llevando ingeniero en informática pero me estoy tirando más a la ciberseguridad

Gustavo Adolfo Llano Grisales

student•

1- En Colombia está definida la ley 1273 de 2009, la cual establece sanciones a quienes accedan o manipulen datos o sistemas de informáticos sin contar con previa autorización.

También existe la ley 599 de 2000 que define el Código Penal de mi país, y el cual establece sanciones para acciones de estafa, fraude, abuso de confianza, entre otras.

Teniendo en cuenta las normas mencionadas anteriormente, se podría decir que dependiendo el alcance o consecuencias de las pruebas de ingeniería social a realizarse, se incurrirá en una acción ilegal.

2- Cómo dice la instructora, es importante tener empatía con el objetivo final, para no hacer a otros algo que no queremos que nos hagan a nosotros, evitando incurrir en acciones negativas para otras personas

Lukas Schmauk

student•

Voy a reconocer que me encanta como se plantea esta área del conocimiento y este curso. Se habla directamente de manipulación y engaño, no como algo negativo per se, si no que la utilización de este y sus consecuencias son las juzgadas, no las técnicas. Personalmente amo las ciencias sociales y en especial cuando estas sacan a relucir los instintos, sesgos, o características aprendida del ser humano. Creo que este curso no habla del ser humano y sus "defectos" como un taboo, si no como algo que simplemente es, sin juzgarlo. Ahora tendré que comprobar si mis suposiciones son ciertas.