Ingeniería Social: Técnicas de Manipulación en Ciberseguridad

Clase 15 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Contenido del curso

Bienvenida

1
Ciberseguridad Empresarial: Amenazas y Controles Esenciales
00:53 min

Introducción a la ciberseguridad

Campos de acción de la ciberseguridad

Ciberamenazas

Controles en ciberseguridad

Roles dentro de ciberseguridad

Continúa tu aprendizaje

37
Ciberseguridad para Empresas: Amenazas y Controles Esenciales
00:50 min

Tomar examen

Resumen

Entender cómo piensan y actúan los ciberdelincuentes es el primer paso para proteger tu información personal y la de tu empresa. La ingeniería social es una de las técnicas más efectivas y peligrosas del cibercrimen actual, y su poder radica no en la tecnología, sino en la manipulación psicológica de las víctimas.

¿Qué es la ingeniería social y por qué es tan efectiva?

La ingeniería social se define como un conjunto de interacciones y técnicas que utilizan los ciberdelincuentes para ejecutar diversos delitos aprovechando herramientas tecnológicas dentro del mundo del internet [0:12]. Lo que la hace especialmente peligrosa es su bandera principal: la manipulación psicológica. Los atacantes explotan tendencias, gustos e intereses de sus víctimas para generar confianza y lograr el engaño.

Este enfoque funciona porque apela directamente a emociones humanas como la ambición, el miedo o la curiosidad, factores que ningún firewall o antivirus puede bloquear por sí solo.

¿Cómo funciona el ciclo de vida de un ciberataque de ingeniería social?

Las empresas y personas deben conocer las etapas que siguen los ciberdelincuentes para operar. Este ciclo consta de cuatro fases bien definidas [0:37]:

Investigación y reconocimiento: los delincuentes identifican a la víctima, la perfilan, capturan información personal y definen su estrategia de ataque.
Enganche: se establece una conexión exitosa con la víctima y se inicia una interacción. Por ejemplo, ofrecer ganancias enormes en criptodivisas apelando al concepto de "dinero fácil" [1:04].
Ejecución: con la atención de la víctima asegurada, se aplican técnicas psicológicas, buen vocabulario y convicción total para obtener datos como nombres, información crediticia o direcciones [1:20].
Eliminación de huellas: una vez cometido el delito, los atacantes borran toda evidencia, cerrando el ciclo del ciberataque. Esta práctica también se utiliza en hacking ético o pentesting [1:45].

¿Cómo luce un ataque real de ingeniería social?

En un ejemplo práctico se muestra un correo electrónico enviado desde una cuenta vulnerada que genera un envío masivo [2:04]. Los ciberdelincuentes ya han recolectado datos personales como nombres, direcciones de correo y números telefónicos. El mensaje habla de una inversión en dólares para multiplicarla e incluye un enlace directo a WhatsApp Web con un número telefónico específico.

Cuando se establece comunicación, el ciberdelincuente responde rápidamente, normalmente en menos de cuatro a seis horas [2:42]. La urgencia es clave: necesitan enganchar a la víctima antes de que reflexione. Algo notable es el uso de un pívot, es decir, otro sujeto o ciberdelincuente que toma el control de la conversación con el objetivo de borrar huellas a futuro [3:08].

¿Qué es el crypto blackmail y cómo funciona?

Otro ejemplo relevante es el llamado crypto blackmail [3:35]. Tras recolectar información, los atacantes envían un correo mostrando una contraseña antigua de la víctima. El mensaje dice algo como: "tengo información sensible tuya, mira que también tengo una de tus contraseñas, y si no quieres que sea revelada, consígname en esta wallet bitcoin" [3:58].

Aunque la contraseña sea antigua, el efecto psicológico es devastador: la persona entra en pánico y su acción más inmediata es pagar. Aquí es exactamente donde deben activarse los cibercontroles.

¿Qué controles puedes aplicar para protegerte?

La defensa contra la ingeniería social combina tecnología y criterio personal [4:24]:

Validar el origen: revisar cuidadosamente de dónde provienen los correos o mensajes. Todo lo que sea de dudosa procedencia debe omitirse o eliminarse.
Doble factor o múltiple factor de autenticación: este control fortalece las cuentas al agregar un paso adicional más allá del usuario y contraseña. El token puede recibirse por mensaje de texto, correo alterno o aplicaciones como Microsoft Authenticator, Google Authenticator o Authy [4:47].
Cultura en ciberseguridad: utilizar el sentido común es fundamental. Si alguien te promete multiplicar quinientos dólares por diez en pocos días, la respuesta es clara: no todo lo que brilla es oro [5:18].

La próxima vez que recibas un mensaje con promesas increíbles o amenazas alarmantes, recuerda estas etapas y controles. Comparte en los comentarios si has sido víctima de un ataque de ingeniería social y qué medidas tomaste para protegerte.

Comentarios

Joan Sebastian Roa Alvarado

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Mauricio Arturo Gomez Carvajal

student•

Hola! Tengo una cuenta de hotmail y efecto en el primer semestre de 2024 me llegaban correos como el que expones donde decía que sabían el passwod de mi correo, al principio me sorprendió el tema (como asi....), lo volví a leer detalladamente y me di cuenta que era un cripto blackmail (en su momento no sabia como se llamaba este tipo de ataque), pero me di cuenta por el tipo de redacción que tenia y fuera de eso la contraseña que el decía que me habian descubierto, nunca la he manejado, por lo anterior me di cuanta. La accion que tomaba para estos correos que me llegaban era no abrirlos, los borraba inmediatamente. Lo de la contraseña que me colocaban que habían descubierto, ninguna coincidía, esto tambien lo hacen para despistar al usuario ya que en su momento lo ponen a dudar si alguna vez utilizo esta contraseña y por eso caen en este tipo de trampa y comienza la extorsión.

Jonathan Christopher Bertoni Montecinos

student•

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

David Hernandez

student•

buen aporte, es bastante agradable de ver y complementa la visto en clase.

Jefferson Pacheco Suárez

student•

La ingeniería social está muy ligada al phishing y al vishing, aunque ciertamente no solo se reduce a ello. Digamos que la ingeniería social está más relacionada al contenido de la estrategia y las demás al método utilizado.

Mi caso una vez recibí un correo de la Fiscalía solicitándome comparecer para una investigación, cuando abrí el correo me di cuenta que él remitente no era un correo oficial y tenía algunos errores ortográficos. Así que hice caso omiso y ahora estoy preso.

je, je, es broma, pero lo que sí es cierto es que se saben armar un buen escenario en donde el carácter de urgencia y el miedo son indispensables.

Fernel Barbosa Hernandez

student•

JAJAJAJA te llamo desde la prision... Es cierto estos ciberdelicuentes se cotean de cualquier situacion para sacar provecho de ello, pero como te diste cuenta esas señales minimas nos da entener que nos quieren robar, sean minimas pero nos salva el bolsillo.

David Felipe Toro Cuervo

student•

Una vez fui victima de un ataque de ingenieria social y realmente el trabajo que realizan para validar tu desconocimiento es muy fuerte, y usan esto para crear una confianza entre "usuario y cliente" y completar así su cometido, desafortunadamente yo me di cuenta tarde, pero esa experiencia me motivo para mejorar mi cultura de ciberseguridad. La reflexión del final es clara desconfiemos siempre de todas las transacciones e interacciones que tenemos con personas desconocidas y mas aun si esto sucede en un ambiente virtual.

Alejandro Barraza Montaño

student•

Interesante tu testimonio, si no es mucha imprudencia esto te afecto laboral o personalmente hablando?

Jairo Edison Castro

student•

Un día me llego un SMS indicando que estaban intentando comprar criptomonedas por un valor x desde mi aplicacion bancaria, que si no era yo que ingresara al LINK del mensaje. Hice click en el enlace, yo ya estaba prevenido porque habia escuchhado de esta modalidad, el link me llevo a una pagina casi identica en la presentacion a la de mi entidad bancaria , pero con una diferencia casi imperceptible y era que en direccion de la WEB donde lo diriga el link habia un cero antes del nombre de la pagina. En esta pagina le indicaban que era necesario ingresar usuario y contraseña para validar que no era yo el que realizaba la transaccion. Innmediatamente capture el recorte de la pagina y del mensaje que me habia llegado y me dirigi a la estacion de policia para hacer la denuncia, pero desafortunadamente me dijeron que no estaba la persona que recibia las denuncias por delitos informaticos que si podia regresar en la jornada de la tarde a las 3 pm. Yo creo que por eso los ciberdelincuentes la tienen tan facil, por que la justicia no esta preparada para hacerles frente.

John Fredy Ramirez Bedoya

student•

Ingeniería Social: Consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio. Engañan a los usuarios para obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con Malware y otros virus que ponen en riesgo la información.

Algunos de los ciberataques más comunes con el uso de esta técnica son:

Phishing: La víctima recibe un correo electrónico procedente de una fuente aparentemente confiable. Es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la víctima actúe rápido, sin sentarse a analizar la veracidad del mensaje.
Spear phishing: Aquí los ciberdelincuentes se dirigen a empresas y personas específicas como gerentes, grandes empresarios o personas públicas.
Vishing: Es de la línea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las víctimas.
Scareware: Es un Malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El Scareware aparece principalmente en ventanas emergentes en las que se comunica cómo se puede eliminar un virus informático que aparentemente existe en el dispositivo.

Medidas para prevenir ataques con ingeniería social

Tener cuidado con la información personal que se comparte.
Ajustar la configuración del correo electrónico para evitar recibir correos que son spam.
Tener una lista con los correos electrónicos legítimos de personas y organizaciones con las que se tiene relación.
Desconfiar y dudar de los correos electrónicos y mensajes de texto en los que ofrecen una gran recompensa por una pequeña inversión.
Si hay duda de la veracidad de un mensaje o el remitente es desconocido, verificar la información con una búsqueda rápida en internet o llamando a la entidad que supuestamente se está contactando.
Tener políticas de seguridad estrictas para minimizar los riesgos y las posibilidades de ser atacadas, por ejemplo, política de contraseñas seguras.
Fortalecer cuentas con doble o múltiple factor de autenticidad (2FA o MFA).

Ingeniería social, ciberataques más comunes y cómo prevenirlos https://www.piranirisk.com/es/blog/ingenieria-social-ciberataques-y-prevencion?hs_amp=true&utm_term=&utm_campaign=Matriz+de+Riesgos+-+General+-+Julio+2022&utm_source=adwords&utm_medium=ppc&hsa_acc=9508207643&hsa_cam=17802451156&hsa_grp=138377008319&hsa_ad=611541611264&hsa_src=g&hsa_tgt=dsa-19959388920&hsa_kw=&hsa_mt=&hsa_net=adwords&hsa_ver=3&gad=1&gclid=Cj0KCQjwj_ajBhCqARIsAA37s0wfhp9p9HSH62ci-j-7InIsLStekJUsQGjtdaUXRYRnjGs3dAAfUpoaAlLoEALw_wcB

Diego Fernando Ramos Aguirre

student•

Ciber-Controles

Validación de origen: Descartar correos o contactos de dudosa procedencia.
2FA o MFA: Fortalecer cuentas con doble o múltiple factor de autenticación ya que agrega un factor mas (independiente de usuario o contraseña) recibiendo un token por ejemplo de una aplicación como google autenticator.
Cultura en Ciberseguridad: Utilizar el sentido común y tener claro que "no todo lo que brilla es oro".

Javier Ramos

student•

El ciclo de vida

Jose Reynoso

student•

Me parece muy interesante este curso y los conceptos base, ya que muchos usuarios / empresas cuando les llegan una clase de estos correos maliciosos como el de "FELICIDADES, Te has ganado un iphone" hacen todo lo que el atacante dice, gracias por la informacion!

Cristian Ovalle

student•

¿Qué controloes deberían implementrase para filtrar el correo que llega a la organización? ¿Existe algún programa que pueda detectar amenazas y así bloquee el correo y los usuarios ni siquiera tienen interacción con las amenazas?

Diego Ademir Duarte Santana

Team Platzi•

soy de los que recomienda llevar el email como SaaS, por ejemplo, OFF365. Una vez lo tengas puedes utilizar la capa de seguridad del mismo Exchange Online y agregarle otra capa de análisis con Symantec, por ejemplo. Es similar a un gateway que te analiza el email y puede bloquearlo o marcarlo.

alexis omar quintero gonzalez

student•

yo como tal no he sido victima de ingenieria social pero a mi novia le mandaron un mail que pedian creo que eran 1000 dolares en btc y si no los pagaba iban a publicar sus fotos intimas. parecia un mail generico y estaba redactado con un español muy basico. acto seguido se fue al trash can

Fernando Arcila

company_admin•

Me gusta saber el detalle de este contenido.

Dilan Bocanegra

student•

Gracias profe por explicar muy bien la ing social.

Laprovittera Carlos

student•

El factor que se utiliza en este método, es el convencimiento, reforzado con material creado adrede para ser más creíble, y hasta utilizando la ignorancia de la víctima. Aprenderemos a través de esta unidad, varias técnicas que tendremos que tener en cuenta para no precipitarse y entregar nuestros datos importantes en bandeja, tanto por querer “ayudar”, “cooperar” y “colaborar”. Nadie dice que sea malo, pero una de las mejores contramedidas para no ser víctima de este tipo de técnica, es ESTAR ATENTOS. Infosecurity Europe llevo a cabo una encuesta a trabajadores de oficinas en Londres, donde en un artículo publicado por ZDNet el 20 de abril de 2004, el estudio descubrió que las tres cuartas partes de los trabajadores encuestados están dispuestos a revelar su contraseña de acceso a la red a cambio de una barra de chocolate. Esto demuestra lo fácil que es acceder a las redes sin tocar una sola pieza. Al final del día, no importa cuánto de encriptación y tecnología de seguridad se haya puesto en práctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslabón más débil, el factor humano. No importa la tecnología utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptación, si los empleados están dispuestos a dar acceso a los sistemas a cualquier persona que lo solicite.

¿Qué es la ingeniería social? Es una técnica para disponer y obtener acceso a información vital, privilegiada y confidencial y/o recursos que podrían servir para un ataque diferente. Su mayor éxito se basa en la parte humana, a través del uso de factores como engaños, persuasión e influencia. Suelen ser utilizados desde cualquier parte (local, remota), y con cualquier tecnología de uso (teléfono, celular, email, papel, etc). Puede estar dirigido a: • Una organización objetivo • A un determinado empleado/a • A un determinado grupo de personas • A un usuario en general • Todo aquel que se encuentre relacionado con éstos. El contacto realizado es hecho supuestamente por:  Prestador/a de servicios.  Conocido/a, amigo/a o pariente de alguien.  Autoridad.  Colega de otro sector o sucursal.  Anónimo.  Impersonalizado. En tipo de modo: Casualidad Directo: consulta inocente y típica, firmar entrega de regalo, encuesta, completar planillas, etcétera. Indirecto: involucrar a terceros ficticios o reales sin conocimiento. Trampa directa e indirecta: envío de correo con material en DVD, suplantación de pendrive, etcétera. Invasivo: acceso a recintos, irrupción dentro de oficina con o sin utilización de lockpicking, instalación de hardware espía (recolector o transmisor de datos, uso de Keylogger) A través de los medios: Cara a cara con protagonista: Mediante diálogo. De carácter secundario: Como empleado de correo o cadetería. E-mail: Todas las formas imaginables, algunas detalladas más adelante. Teléfono, impersonal: Diálogo. Fax: Enviando documentos con requerimientos de modificación de datos o con información sensible. Medios y agentes combinados: el intruso envía un e-mail de un supuesto superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos momentos va a pasar alguien a recoger un dato o determinada información para que se la tenga preparada. Fin del acto: Información: busca pequeñas pistas o datos para planificar el embate. Acciones: busca generar determinadas acciones. En una Prueba de Intrusión (Pentest) a menudo se pide realizar precisamente esto, emplear tácticas de ingeniería social para descubrir si los empleados están siguiendo las políticas internas y no revelar información sensible. Un ingeniero social es alguien que utiliza el engaño, la persuasión, y la influencia para obtener información que de otro modo no estará disponible. Existen dos tipos de ingeniería social: • Basadas en la tecnología • Basadas en Humanos La ingeniería social basada en la tecnología, utiliza la tecnología para engañar a los usuarios en dar información sensible. Un ejemplo clásico de una tecnología basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contraseña, como se demuestra en el ejemplo. Aquí el usuario es informado de que su sesión ha finalizado, y se le pedirá que introduzca su nombre de usuario y contraseña nuevamente. Después de que el usuario hace clic en el botón Enviar, el nombre de usuario y contraseña son enviadas al ordenador del intruso. El intruso puede utilizar esa información más adelante para acceder a la red de la víctima. En cambio, la ingeniería social basada en humanos no emplea la tecnología, sino que se hace en persona, o a través de una llamada telefónica. Ambas técnicas se basan en el comportamiento previsible del ser humano que quiere ayudar a otro ser humano. A través de una llamada por teléfono, un intruso podría solicitar directamente un usuario y una clave, previo reconocimiento y de acuerdo al escenario que tenga en el destino, de esa manera habría una posibilidad de que se lo pasen sin ningún inconveniente.

Cristhian Julian Astoquilca Romero

student•

Una vez me enviaron un mensaje en telegram para invertir en criptomonedas, se presentaron como una empresa especialista en trading. Me enviaron todos sus brochure muy bien diseñados. Querían que invierta y que realizara el pago por paypal. Pero sin sabes que esta aplicando la validación de origen, googlee el número y la empresa y ya había reportes de personas estafadas.

MARIEL CONSUELO VIRGINIA AYALA HERNÁNDEZ

student•

Es importante utilizar 2FA o MFA en la actualizar para la protección de Información y Ciberataques

Alfonso Galeano Conde

student•

Gracias, buena contextualización de los conceptos.

Erick Martin Guardado Rauda

student•

me mandan muchos mensajes en redes sociales ofreciéndome grandes ganancias en cirpto monedas, un email de un banco el cual ya no tengo nada con ellos, clonaron el portal pero les puso caracteres basura en usuario y contraseña.

A una amiga le clonaron la tarjeta de debito.

Gustavo San Luis Briseño

student•

Afortunadamente no fuimos victimas por que actuamos tal como lo describe, hicimos caso omiso a la amenaza y realizamos una actualización de seguridad y limpieza de computadores y dispositivos.

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Ingeniería Social: Técnicas de Manipulación en Ciberseguridad

Bienvenida

Ciberseguridad Empresarial: Amenazas y Controles Esenciales

Introducción a la ciberseguridad

Fundamentos de la Ciberseguridad Empresarial

Importancia de la Ciberseguridad Empresarial

Beneficios de Implementar Ciberseguridad en Empresas

Retos Actuales y Futuristas de la Ciberseguridad Empresarial

Análisis de Brechas en Ciberseguridad Empresarial

Campos de acción de la ciberseguridad

Fundamentos de la Seguridad de la Información

Ciclo de Desarrollo Seguro de Software y Controles de Seguridad

Seguridad en Redes: Protección por Capas y Controles Clave

Seguridad en la Nube: Controles y Arquitectura Segura

Controles de Seguridad Física para Proteger Activos de Información

Cultura en Ciberseguridad: Implementación y Mejora Continua

Ciberamenazas

Ciberamenazas: Tipos y Funcionamiento del Malware

Protección contra Ransomware: Prevención y Respuesta Efectiva