Contenido del curso
Hackeo de Twitter 2020: Ingeniería social paso a paso
Manipular personas resulta, en muchos casos, más efectivo que vulnerar sistemas tecnológicos. Eso quedó demostrado en 2020 cuando un grupo de hackers comprometió más de ciento treinta cuentas de alto perfil en Twitter, incluyendo las de Elon Musk, Apple y Bitcoin, utilizando únicamente técnicas de persuasión y engaño dirigidas a empleados de la compañía. Este caso es un ejemplo perfecto de lo que significa la ingeniería social y de por qué incluso profesionales técnicos pueden caer en este tipo de ataques.
¿Qué es la ingeniería social y por qué es tan efectiva?
La ingeniería social se refiere al uso de técnicas de manipulación psicológica para persuadir a una persona y obtener un beneficio de ella. No se trata de explotar una vulnerabilidad en el código o en un servidor, sino de explotar habilidades sociales para engañar a seres humanos [0:04].
En el caso de Twitter, los atacantes no necesitaron romper firewalls ni encontrar errores de software. Bastó con convencer a los empleados adecuados para obtener acceso al panel de control y administración de cuentas, una herramienta interna que permite restaurar contraseñas, bloquear o banear cuentas permanentemente [2:18]. El resultado fue devastador: ciento diez mil dólares en transacciones fraudulentas de Bitcoin y al menos tres arrestos vinculados al incidente [0:56].
La estafa funcionó así: las cuentas comprometidas publicaron tuits prometiendo que si un usuario enviaba cierta cantidad de bitcoins a una dirección específica, recibiría el doble de vuelta. Al provenir de cuentas verificadas y reconocidas, muchas personas cayeron en el engaño [1:18].
¿Cómo lograron los hackers comprometer a empleados de Twitter?
El proceso de ataque siguió una cadena metódica de pasos que demuestra lo sofisticada que puede ser la ingeniería social cuando se planifica con cuidado.
¿Cómo investigaron a las víctimas?
¿Qué técnica usaron para robar las credenciales?
Cuando los empleados introducían sus credenciales en esta página falsa, los atacantes las capturaban en tiempo real. Pero había un obstáculo adicional: el segundo factor de autenticación (2FA). La página de phishing también lo solicitaba, y en cuanto el empleado lo introducía, los hackers lo utilizaban inmediatamente en el portal legítimo, logrando así acceso completo al sistema de administración [4:56].
El propio cofundador de Twitter, Jack Dorsey, reconoció públicamente el incidente afirmando que todos se sentían terribles por lo sucedido [2:48].
¿Cómo protegerte ante ataques de ingeniería social?
La primera línea de defensa es la conciencia: saber que estos ataques existen y entender cómo funcionan ya reduce significativamente el riesgo [5:30]. Además, es fundamental capacitarse de forma constante sobre las nuevas técnicas de ciberseguridad que surgen continuamente.
Otro principio clave es adoptar un enfoque de zero trust, que significa no confiar en nada ni en nadie por defecto [5:48]. Este modelo parte de la premisa de que cualquier solicitud, llamada o mensaje debe ser verificado antes de actuar, sin importar quién parezca ser el remitente.
Si alguna vez has presenciado o vivido un ataque de ingeniería social en tu entorno laboral, comparte tu experiencia en los comentarios. Aprender de casos reales es una de las mejores formas de fortalecer la seguridad colectiva.
Jovanny Delgado
student
Jose Ricardo Dueñas Suarez
student
Luis Rogelio Reyes Hernandez
student
Federico Martinez
studentLuis Fernando Martinez Contreras
studentGermán José Jiménez Doria
student
Hector Wing-Sen León Caro
student
Daniel Alfredo García Serna
studentMaria Janeth Rodas
studentCesar Fabian Lancheros Currea
studentVictoria Cabarique
student
Myriam Rocio Romero Segura
studentRemberto Herrera López
studentjose david Buitrago Cano
student
victor jimenez
student
Marco Castillo B.
studentIngeniería Social: Manipulando la mente humana para obtener información
¿Qué es la ingeniería social?
La ingeniería social es una técnica de manipulación psicológica que los ciberdelincuentes utilizan para engañar a las personas y obtener información confidencial. En lugar de explotar vulnerabilidades técnicas en sistemas informáticos, se aprovechan de las debilidades humanas, como la confianza, la curiosidad o la urgencia.
¿Cómo funciona?
Los atacantes utilizan diferentes métodos para manipular a sus víctimas:
¿Cuáles son los objetivos de la ingeniería social?
¿Cómo protegerse de la ingeniería social?
En resumen, la ingeniería social es una amenaza constante que requiere una vigilancia constante. Al ser conscientes de las tácticas utilizadas por los atacantes y tomando medidas preventivas, podemos protegernos y proteger a nuestras organizaciones de estos ataques.
gracias
En mi empresa tuvimos un ataque de Phishing en el que varios empleados recibimos un email haciéndose pasar por el CEO de la empresa.
En el cual pedían una tarea sencilla que no solicitaba ninguna información por lo cual solo puedo imaginar que aquellos que cayeran eventualmente se les extraeria la informacion eventualmente.
Yo me di cuenta e informe a mis compañeros de trabajo de esto, ya que el correo el nombre de que lo enviaba era el mismo del CEO en la vista previa del correo, el correo de quien lo envió era un grupo de caracteres sin sentido.
Los hackers que atacaron a Twitter utilizaron técnicas de ingeniería social para engañar a empleados y obtener acceso a sus credenciales. A través de manipulación psicológica, lograron persuadir a las personas para que proporcionaran información sensible, lo que les permitió acceder a cuentas administrativas y realizar acciones maliciosas. Este caso resalta la importancia de la seguridad en la protección contra amenazas cibernéticas, donde la educación y la conciencia sobre ingeniería social son cruciales.
En 2022 también se presento un tema de vulnerabilidad en la empresa. bloquearon el directorio activo, y causo traumatismo en la continuidad del negocio. como se tenia un plan de contingencia, se pudo solventar, pero si causo ralentizar la operación.
La secretaria de planeación de mi municipio sufrió un caso de fisching, tomaron el email institucional y empezaron a enviar a los contactos
El phishing es el método mas usado en mi lugar de trabajo para intentar hackearlo, ya sea a través de correos electrónicos, mensajes, etc. Lo que me he dado cuenta es que usan mucho la urgencia, es decir, "tienes que responder en las próximas 24 horas o tu cuenta caducará", como también, usan bastante el falso premio "has ganado una cuenta premium de spotify" o en ciertas ocasiones, "actualiza tus datos de pago". En todas las anteriores llevan a webs falsas que simulaban las originales pero con deficiencias que podían engañarte, pero si le dedicabas unos minutos, podías darte cuenta que eran falsas.
📚 CLASE: Hackeo de Twitter 2020 — Ingeniería social
━━━━━━━━━━━━━━━━━━
🎯 IDEA PRINCIPAL
El hackeo de Twitter en 2020 demostró algo crítico:
Las empresas más grandes del mundo también pueden ser comprometidas mediante manipulación humana.
Los atacantes no “hackearon Twitter” rompiendo infraestructura compleja.
Hackearon personas.
La idea clave:
La ingeniería social puede ser más poderosa que los ataques técnicos avanzados.
━━━━━━━━━━━━━━━━━━
⚡ RESUMEN ULTRA RÁPIDO
• El ataque comprometió cuentas verificadas de alto perfil.
• Los atacantes manipularon empleados internos.
• El acceso interno fue más peligroso que el ataque externo.
• La confianza excesiva y permisos amplios facilitaron el incidente.
• La seguridad humana es tan importante como la tecnológica.
━━━━━━━━━━━━━━━━━━
🔑 LO VERDADERAMENTE IMPORTANTE
• El ataque comenzó con ingeniería social.
Los atacantes engañaron empleados para obtener acceso interno.
No necesitaron vulnerar sistemas extremadamente sofisticados.
• Los accesos internos son extremadamente sensibles.
Una vez dentro:
• pudieron controlar cuentas importantes • publicar mensajes fraudulentos • acceder a herramientas administrativas
• El exceso de privilegios aumentó el impacto.
Muchos sistemas internos tenían más acceso del necesario.
Problema común en empresas:
• demasiados permisos • accesos poco segmentados • controles insuficientes
• Las herramientas internas pueden ser más peligrosas que los sistemas externos.
Si un atacante compromete paneles administrativos:
• el daño escala rápidamente • la propagación es más sencilla • el impacto reputacional explota
• La confianza humana fue el punto débil real.
Los atacantes explotaron:
• confianza • urgencia • comunicación falsa • manipulación psicológica
━━━━━━━━━━━━━━━━━━
🧠 CONCEPTOS QUE DEBO ENTENDER
• Ingeniería social
Manipulación psicológica para obtener acceso o información.
• Privilegios administrativos
Permisos avanzados sobre sistemas críticos.
• Acceso interno
Capacidad de operar herramientas o sistemas corporativos desde dentro.
• Superficie de ataque humana
Riesgos relacionados con comportamiento y decisiones de personas.
• Segmentación de accesos
Separar permisos para limitar daños potenciales.
• Verificación de identidad
Confirmar que quien solicita acceso realmente es quien dice ser.
━━━━━━━━━━━━━━━━━━
🧩 MODELO MENTAL
Atacante → manipula empleado → obtiene acceso interno → escala privilegios → controla sistemas críticos → genera impacto masivo
Modelo defensivo moderno:
Validación estricta → mínimos privilegios → monitoreo continuo → segmentación → detección temprana
Mentalidad profesional:
“El acceso interno también debe tratarse como riesgo.”
━━━━━━━━━━━━━━━━━━
🚀 ACCIONES INMEDIATAS
✅ Reduce privilegios innecesarios.
Pregunta:
“¿Esta persona realmente necesita este acceso?”
✅ Implementa MFA en herramientas internas.
No solo en sistemas públicos.
✅ Verifica solicitudes sensibles por múltiples canales.
Especialmente si implican:
• accesos • cambios críticos • credenciales • información sensible
✅ Monitorea actividades administrativas.
Ejemplos:
• accesos inusuales • acciones masivas • horarios extraños
✅ Capacita equipos contra ingeniería social.
Los ataques psicológicos evolucionan constantemente.
✅ Segmenta herramientas internas críticas.
No todo empleado debe acceder a todo.
━━━━━━━━━━━━━━━━━━
💼 APLICACIÓN PROFESIONAL
En empresas:
• control de accesos internos • gestión de identidades • seguridad operacional • reducción de riesgos humanos
En desarrollo:
• diseño seguro de paneles administrativos • auditoría de acciones críticas • registros de actividad • permisos granulares
En liderazgo:
• protocolos de verificación • cultura preventiva • entrenamiento continuo
En cloud e infraestructura:
• IAM seguro • privilegios temporales • monitoreo de cuentas sensibles
Ventaja profesional real:
Entender riesgos internos te convierte en alguien capaz de diseñar sistemas mucho más resilientes.
━━━━━━━━━━━━━━━━━━
🔥 HACKS Y RECOMENDACIONES REALES
• Los atacantes buscan primero el camino más fácil: las personas.
• Los accesos administrativos deben ser mínimos y monitoreados.
• Nunca confíes únicamente en mensajes internos.
Verifica siempre.
• Las herramientas internas críticas deben tener múltiples controles.
• Menos privilegios = menor impacto potencial.
• El monitoreo administrativo continuo es obligatorio en empresas serias.
• La ingeniería social funciona porque explota comportamiento humano normal.
━━━━━━━━━━━━━━━━━━
🧠 INSIGHT ESTRATÉGICO
Principiantes:
creen que los ataques grandes requieren hacking extremadamente técnico.
Profesionales:
entienden que muchas brechas enormes comienzan con manipulación humana simple.
La diferencia real está en construir sistemas donde:
• los accesos sean limitados
• las acciones críticas sean auditadas
• la identidad se valide constantemente
• ningún usuario tenga poder excesivo
El caso Twitter mostró que una sola debilidad humana puede afectar plataformas globales.
━━━━━━━━━━━━━━━━━━
📝 REFLEXIÓN FINAL
El hackeo de Twitter 2020 dejó una lección poderosa:
La seguridad no se rompe solamente por fallos técnicos.
También se rompe por confianza mal gestionada.
Las organizaciones modernas necesitan proteger:
• sistemas
• accesos
• privilegios
• personas
• procesos internos
La ingeniería social seguirá funcionando mientras las empresas subestimen el factor humano.
Claro Colombia ha sido víctima de ataques de ciberseguridad. En un incidente en 2022, sus servicios se vieron interrumpidos por un ataque cibernético, y en febrero de 2024 se confirmó que fueron víctimas de un ataque de ransomware, que afectó a sus sistemas y llevó a la interrupción de algunos de sus servicios.
En un simulacro de la empresa donde trabajaba, lanzaron un Phishing y varios empleados cayeron
Uno de los empleados tuvo su perfil de Meta comprometido. Dicho perfil estaba vinculado al Business Manager utilizado para la gestión publicitaria, lo que permitió a los atacantes acceder a la cuenta y pautar durante varias horas una suma considerable de dinero en anuncios con ofertas engañosas dirigidas al usuario final.
Se presentó un caso de una persona que rondaba por el centro comercial donde se encuentran las oficinas administrativas de la compañía ofreciendo ciertos beneficios económicos si se ingresaba a cierta página. La persona parecía un promotor de servicios de la compañía. Varias personas cayeron en esa trampa, pero afortunadamente la compañía no sufrió ningún ataque. Algunos colaboradores se percataron del engaño y se notificó a las áreas de seguridad incluyendo seguridad informática.
Un control importante respecto a ingeniería social consiste en hacer pruebas por especialistas a todos los empleados de la compañía para comprobar que no proporciones su información de inicio de sesión a través de links que se envían por correo electrónico.
En la empresa donde trabajo pasó que enviaron un correo interno con phishing pidiendo credenciales para loguearse dentro de la red interna, se alcanzaron a filtrar intrusos, pero el monitoreo fue efectivo en donde pudieron aislar los servidores que fueron atacados y las personas que llenaron la información fueron capacitadas.
Es importante tener una buena base de ingeniería social para poder cuidarse del mundo de los hackear
En una empresa para la que yo hice un trabajo de ciberseguridad, un colaborador por querer instalar un software pirata para diseño y renderización, le cayó un falso antivirus, esta persona creía que ese falso antivirus era un antimalware real y pensaba que estaba protegido, a pesar de que sí tenía una solución real de antimalware, en esta ocasión los cibercriminales se aprovecharon de gente que quiere obtener un buen programa crackeado, sin pagar licencia. Ese falso antivirus pudo haber estado robando información o pudo estar a punto de encriptar la información al estilo ramsomware. Todo esto pasa porque hay gente que se deja llevar por falsas paginas web que los manipulan psicológicamente diciéndoles que suversión de tal programa no tiene ningún problema y que lo descarguen libremente. En fin, el inconveniente fue solucionado.
