Ingeniería Social: Técnicas de Manipulación en Ciberseguridad

Clase 15 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Resumen

¿Qué es la ingeniería social?

La ingeniería social se refiere a un conjunto de métodos y tácticas que los ciberdelincuentes emplean para manipular psicólogicamente a sus víctimas y cometer delitos, principalmente a través de herramientas tecnológicas e Internet. La manipulación psicológica es una bandera crucial para estos delincuentes, donde utilizan tendencias o intereses específicos para engañar y atacar a las personas.

¿Cómo operan los ciberdelincuentes en la ingeniería social?

Los ciberdelincuentes operan siguiendo un ciclo de vida bien definido que se compone de varias etapas:

Investigación y reconocimiento: Se realiza un recolecto exhaustivo de información sobre la víctima para perfilarla y definir la estrategia de ataque.
Enganche: Se establece un primer contacto con la víctima, a menudo utilizando incentivos atractivos como promesas de ganancias fáciles en criptomonedas.
Ejecución del ataque: Una vez captada la atención de la víctima, se emplean técnicas de ingeniería social para obtener información delicada, como datos personales o financieros.
Eliminación de huellas: Tras cometer el delito, los ciberdelincuentes borran toda evidencia de la interacción, cerrando así el ciclo del ciberataque.

Ejemplos de ataques de ingeniería social

Para entender mejor estos ataques, observamos algunos casos prácticos:

¿Cómo se utiliza la tecnología en un ataque de phising?

Un ejemplo es el uso de correos electrónicos falsificados desde cuentas vulneradas para enviar masivamente información a potenciales víctimas. Estos correos suelen incluir mensajes persuasivos, como ofertas de inversión en dólares con enlaces directos a plataformas de comunicación.

¿Qué es el cripto blackmail y su impacto?

El cripto blackmail o chantaje criptográfico es una táctica donde, tras reunir información de la víctima, se envía un correo mostrando una contraseña antigua como prueba de acceso a información sensible. La víctima, presa de pánico, suele ser instigada a pagar en Bitcoin para evitar la exposición de su información personal.

¿Cuáles son los controles cibernéticos efectivos?

Hay varias estrategias defensivas que pueden protegerte contra la ingeniería social:

Validación de origen: Siempre verifica la procedencia de correos y mensajes, sobre todo si parecen sospechosos o dudosos.
Doble factor de autenticación: Incrementa la seguridad de tus cuentas añadiendo un paso adicional en el inicio de sesión, como recibir un token por SMS, correo alterno o aplicaciones de autenticación.
Cultura en ciberseguridad: Impulsar la formación en ciberseguridad y aplicar el sentido común contribuyen a detectar y evitar ataques. Un mantra clave es que "no todo lo que brilla es oro".

¿Cómo protegerse y fomentar la cultura de seguridad?

Un aspecto crucial a reiterar es la necesidad de una cultura de ciberseguridad robusta. Es esencial educarse continuamente sobre las amenazas y cómo reconocerlas. Evaluar la racionalidad de ofertas y mantener una actitud crítica hacia comunicaciones desconocidas ayudará a prevenir ser víctima de estos engaños. Además, entender que, en inversiones, las ganancias extraordinarias en poco tiempo suelen ser falsedades.

Te invitamos a compartir tus experiencias o si alguna vez has enfrentado estos ataques, para así enriquecernos colectivamente en el manejo de posibles incidentes. ¡Nos vemos en la próxima lección sobre phishing!

Joan Sebastian Roa Alvarado

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Mauricio Arturo Gomez Carvajal

student•

Hola! Tengo una cuenta de hotmail y efecto en el primer semestre de 2024 me llegaban correos como el que expones donde decía que sabían el passwod de mi correo, al principio me sorprendió el tema (como asi....), lo volví a leer detalladamente y me di cuenta que era un cripto blackmail (en su momento no sabia como se llamaba este tipo de ataque), pero me di cuenta por el tipo de redacción que tenia y fuera de eso la contraseña que el decía que me habian descubierto, nunca la he manejado, por lo anterior me di cuanta. La accion que tomaba para estos correos que me llegaban era no abrirlos, los borraba inmediatamente. Lo de la contraseña que me colocaban que habían descubierto, ninguna coincidía, esto tambien lo hacen para despistar al usuario ya que en su momento lo ponen a dudar si alguna vez utilizo esta contraseña y por eso caen en este tipo de trampa y comienza la extorsión.

Jonathan Christopher Bertoni Montecinos

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

David Hernandez

student•

buen aporte, es bastante agradable de ver y complementa la visto en clase.

Jefferson Pacheco Suárez

student•

La ingeniería social está muy ligada al phishing y al vishing, aunque ciertamente no solo se reduce a ello. Digamos que la ingeniería social está más relacionada al contenido de la estrategia y las demás al método utilizado.

Mi caso una vez recibí un correo de la Fiscalía solicitándome comparecer para una investigación, cuando abrí el correo me di cuenta que él remitente no era un correo oficial y tenía algunos errores ortográficos. Así que hice caso omiso y ahora estoy preso.

je, je, es broma, pero lo que sí es cierto es que se saben armar un buen escenario en donde el carácter de urgencia y el miedo son indispensables.

Fernel Barbosa Hernandez

student•

JAJAJAJA te llamo desde la prision... Es cierto estos ciberdelicuentes se cotean de cualquier situacion para sacar provecho de ello, pero como te diste cuenta esas señales minimas nos da entener que nos quieren robar, sean minimas pero nos salva el bolsillo.

David Felipe Toro Cuervo

student•

Una vez fui victima de un ataque de ingenieria social y realmente el trabajo que realizan para validar tu desconocimiento es muy fuerte, y usan esto para crear una confianza entre "usuario y cliente" y completar así su cometido, desafortunadamente yo me di cuenta tarde, pero esa experiencia me motivo para mejorar mi cultura de ciberseguridad. La reflexión del final es clara desconfiemos siempre de todas las transacciones e interacciones que tenemos con personas desconocidas y mas aun si esto sucede en un ambiente virtual.

Alejandro Barraza Montaño

student•

Interesante tu testimonio, si no es mucha imprudencia esto te afecto laboral o personalmente hablando?

Jairo Edison Castro

student•

Un día me llego un SMS indicando que estaban intentando comprar criptomonedas por un valor x desde mi aplicacion bancaria, que si no era yo que ingresara al LINK del mensaje. Hice click en el enlace, yo ya estaba prevenido porque habia escuchhado de esta modalidad, el link me llevo a una pagina casi identica en la presentacion a la de mi entidad bancaria , pero con una diferencia casi imperceptible y era que en direccion de la WEB donde lo diriga el link habia un cero antes del nombre de la pagina. En esta pagina le indicaban que era necesario ingresar usuario y contraseña para validar que no era yo el que realizaba la transaccion. Innmediatamente capture el recorte de la pagina y del mensaje que me habia llegado y me dirigi a la estacion de policia para hacer la denuncia, pero desafortunadamente me dijeron que no estaba la persona que recibia las denuncias por delitos informaticos que si podia regresar en la jornada de la tarde a las 3 pm. Yo creo que por eso los ciberdelincuentes la tienen tan facil, por que la justicia no esta preparada para hacerles frente.

John Fredy Ramirez Bedoya

student•

Ingeniería Social: Consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio. Engañan a los usuarios para obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con Malware y otros virus que ponen en riesgo la información.

Algunos de los ciberataques más comunes con el uso de esta técnica son:

Phishing: La víctima recibe un correo electrónico procedente de una fuente aparentemente confiable. Es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la víctima actúe rápido, sin sentarse a analizar la veracidad del mensaje.
Spear phishing: Aquí los ciberdelincuentes se dirigen a empresas y personas específicas como gerentes, grandes empresarios o personas públicas.
Vishing: Es de la línea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las víctimas.
Scareware: Es un Malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El Scareware aparece principalmente en ventanas emergentes en las que se comunica cómo se puede eliminar un virus informático que aparentemente existe en el dispositivo.

Medidas para prevenir ataques con ingeniería social

Tener cuidado con la información personal que se comparte.
Ajustar la configuración del correo electrónico para evitar recibir correos que son spam.
Tener una lista con los correos electrónicos legítimos de personas y organizaciones con las que se tiene relación.
Desconfiar y dudar de los correos electrónicos y mensajes de texto en los que ofrecen una gran recompensa por una pequeña inversión.
Si hay duda de la veracidad de un mensaje o el remitente es desconocido, verificar la información con una búsqueda rápida en internet o llamando a la entidad que supuestamente se está contactando.
Tener políticas de seguridad estrictas para minimizar los riesgos y las posibilidades de ser atacadas, por ejemplo, política de contraseñas seguras.
Fortalecer cuentas con doble o múltiple factor de autenticidad (2FA o MFA).

Ingeniería social, ciberataques más comunes y cómo prevenirlos https://www.piranirisk.com/es/blog/ingenieria-social-ciberataques-y-prevencion?hs_amp=true&utm_term=&utm_campaign=Matriz+de+Riesgos+-+General+-+Julio+2022&utm_source=adwords&utm_medium=ppc&hsa_acc=9508207643&hsa_cam=17802451156&hsa_grp=138377008319&hsa_ad=611541611264&hsa_src=g&hsa_tgt=dsa-19959388920&hsa_kw=&hsa_mt=&hsa_net=adwords&hsa_ver=3&gad=1&gclid=Cj0KCQjwj_ajBhCqARIsAA37s0wfhp9p9HSH62ci-j-7InIsLStekJUsQGjtdaUXRYRnjGs3dAAfUpoaAlLoEALw_wcB

Diego Fernando Ramos Aguirre

student•

Ciber-Controles

Validación de origen: Descartar correos o contactos de dudosa procedencia.
2FA o MFA: Fortalecer cuentas con doble o múltiple factor de autenticación ya que agrega un factor mas (independiente de usuario o contraseña) recibiendo un token por ejemplo de una aplicación como google autenticator.
Cultura en Ciberseguridad: Utilizar el sentido común y tener claro que "no todo lo que brilla es oro".

Javier Ramos

student•

El ciclo de vida

Jose Reynoso

student•

Me parece muy interesante este curso y los conceptos base, ya que muchos usuarios / empresas cuando les llegan una clase de estos correos maliciosos como el de "FELICIDADES, Te has ganado un iphone" hacen todo lo que el atacante dice, gracias por la informacion!

Cristian Ovalle

student•

¿Qué controloes deberían implementrase para filtrar el correo que llega a la organización? ¿Existe algún programa que pueda detectar amenazas y así bloquee el correo y los usuarios ni siquiera tienen interacción con las amenazas?

Diego Ademir Duarte Santana

Team Platzi•

soy de los que recomienda llevar el email como SaaS, por ejemplo, OFF365. Una vez lo tengas puedes utilizar la capa de seguridad del mismo Exchange Online y agregarle otra capa de análisis con Symantec, por ejemplo. Es similar a un gateway que te analiza el email y puede bloquearlo o marcarlo.

alexis omar quintero gonzalez

student•

yo como tal no he sido victima de ingenieria social pero a mi novia le mandaron un mail que pedian creo que eran 1000 dolares en btc y si no los pagaba iban a publicar sus fotos intimas. parecia un mail generico y estaba redactado con un español muy basico. acto seguido se fue al trash can

Fernando Arcila

company_admin•

Me gusta saber el detalle de este contenido.

Dilan Bocanegra

student•

Gracias profe por explicar muy bien la ing social.

Laprovittera Carlos

student•

El factor que se utiliza en este método, es el convencimiento, reforzado con material creado adrede para ser más creíble, y hasta utilizando la ignorancia de la víctima. Aprenderemos a través de esta unidad, varias técnicas que tendremos que tener en cuenta para no precipitarse y entregar nuestros datos importantes en bandeja, tanto por querer “ayudar”, “cooperar” y “colaborar”. Nadie dice que sea malo, pero una de las mejores contramedidas para no ser víctima de este tipo de técnica, es ESTAR ATENTOS. Infosecurity Europe llevo a cabo una encuesta a trabajadores de oficinas en Londres, donde en un artículo publicado por ZDNet el 20 de abril de 2004, el estudio descubrió que las tres cuartas partes de los trabajadores encuestados están dispuestos a revelar su contraseña de acceso a la red a cambio de una barra de chocolate. Esto demuestra lo fácil que es acceder a las redes sin tocar una sola pieza. Al final del día, no importa cuánto de encriptación y tecnología de seguridad se haya puesto en práctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslabón más débil, el factor humano. No importa la tecnología utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptación, si los empleados están dispuestos a dar acceso a los sistemas a cualquier persona que lo solicite.

¿Qué es la ingeniería social? Es una técnica para disponer y obtener acceso a información vital, privilegiada y confidencial y/o recursos que podrían servir para un ataque diferente. Su mayor éxito se basa en la parte humana, a través del uso de factores como engaños, persuasión e influencia. Suelen ser utilizados desde cualquier parte (local, remota), y con cualquier tecnología de uso (teléfono, celular, email, papel, etc). Puede estar dirigido a: • Una organización objetivo • A un determinado empleado/a • A un determinado grupo de personas • A un usuario en general • Todo aquel que se encuentre relacionado con éstos. El contacto realizado es hecho supuestamente por:  Prestador/a de servicios.  Conocido/a, amigo/a o pariente de alguien.  Autoridad.  Colega de otro sector o sucursal.  Anónimo.  Impersonalizado. En tipo de modo: Casualidad Directo: consulta inocente y típica, firmar entrega de regalo, encuesta, completar planillas, etcétera. Indirecto: involucrar a terceros ficticios o reales sin conocimiento. Trampa directa e indirecta: envío de correo con material en DVD, suplantación de pendrive, etcétera. Invasivo: acceso a recintos, irrupción dentro de oficina con o sin utilización de lockpicking, instalación de hardware espía (recolector o transmisor de datos, uso de Keylogger) A través de los medios: Cara a cara con protagonista: Mediante diálogo. De carácter secundario: Como empleado de correo o cadetería. E-mail: Todas las formas imaginables, algunas detalladas más adelante. Teléfono, impersonal: Diálogo. Fax: Enviando documentos con requerimientos de modificación de datos o con información sensible. Medios y agentes combinados: el intruso envía un e-mail de un supuesto superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos momentos va a pasar alguien a recoger un dato o determinada información para que se la tenga preparada. Fin del acto: Información: busca pequeñas pistas o datos para planificar el embate. Acciones: busca generar determinadas acciones. En una Prueba de Intrusión (Pentest) a menudo se pide realizar precisamente esto, emplear tácticas de ingeniería social para descubrir si los empleados están siguiendo las políticas internas y no revelar información sensible. Un ingeniero social es alguien que utiliza el engaño, la persuasión, y la influencia para obtener información que de otro modo no estará disponible. Existen dos tipos de ingeniería social: • Basadas en la tecnología • Basadas en Humanos La ingeniería social basada en la tecnología, utiliza la tecnología para engañar a los usuarios en dar información sensible. Un ejemplo clásico de una tecnología basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contraseña, como se demuestra en el ejemplo. Aquí el usuario es informado de que su sesión ha finalizado, y se le pedirá que introduzca su nombre de usuario y contraseña nuevamente. Después de que el usuario hace clic en el botón Enviar, el nombre de usuario y contraseña son enviadas al ordenador del intruso. El intruso puede utilizar esa información más adelante para acceder a la red de la víctima. En cambio, la ingeniería social basada en humanos no emplea la tecnología, sino que se hace en persona, o a través de una llamada telefónica. Ambas técnicas se basan en el comportamiento previsible del ser humano que quiere ayudar a otro ser humano. A través de una llamada por teléfono, un intruso podría solicitar directamente un usuario y una clave, previo reconocimiento y de acuerdo al escenario que tenga en el destino, de esa manera habría una posibilidad de que se lo pasen sin ningún inconveniente.

Cristhian Julian Astoquilca Romero

student•

Una vez me enviaron un mensaje en telegram para invertir en criptomonedas, se presentaron como una empresa especialista en trading. Me enviaron todos sus brochure muy bien diseñados. Querían que invierta y que realizara el pago por paypal. Pero sin sabes que esta aplicando la validación de origen, googlee el número y la empresa y ya había reportes de personas estafadas.

Gustavo San Luis Briseño

student•

Afortunadamente no fuimos victimas por que actuamos tal como lo describe, hicimos caso omiso a la amenaza y realizamos una actualización de seguridad y limpieza de computadores y dispositivos.

Alfonso Galeano Conde

student•

Gracias, buena contextualización de los conceptos.

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Diego Andrés Lopez Rodriguez

student•

Les recomiendo el curso de Platzi sobre Ingenieria Social

https://platzi.com/cursos/ingenieria-social/

Reynaldo Martinez Orozco

student•

Saludos a todos

recuerdo que hace un tiempo me llego un correo con eso de que tenian una contraseña mia, efectivamente era una contraseña vieja, la eventual amenaza, bla, bla, etc, etc, etc, pero lo gracioso fue que estaba por alla en spam cuando lo lei ya habia creo que la fecha limite de pago de la extorsion, si mal no recuerdo igual gracias a Dios no paso nada, se actualizo la contraseña le puse un 2fa y no me han vuelto a llegar, una que otra estafa muy obvia, pero del resto nah

Gracias por la atencion prestada Nunca paren de aprender y que Dios los bendiga