Ingeniera social

Con el trmino ingeniera social se define el conjunto de tcnicas psicolgicas y

habilidades sociales utilizadas de forma consciente y muchas veces
premeditada para la obtencin de informacin de terceros.

No existe una limitacin en cuanto al tipo de informacin y tampoco en la

utilizacin posterior de la informacin obtenida. Puede ser ingeniera social el
obtener de un profesor las preguntas de un examen o la clave de acceso de la
caja fuerte del Banco de Espaa. Sin embargo, el origen del trmino tiene que
ver con las actividades de obtencin de informacin de tipo tcnico utilizadas
por hackers.

Un hecho importante es que el acto de ingeniera social acaba en el momento

en que se ha conseguido la informacin buscada. Las acciones que esa
informacin pueda facilitar o favorecer no se enmarcan bajo este trmino. En
muchos casos los ingenieros sociales no tocan un ordenador ni acceden a
sistemas, pero sin su colaboracin otros no tendran la posibilidad de hacerlo.

Contents
1 Por qu el "caballo de Troya" no es Ingeniera Social?
2 Qu tiene que ver la Ingeniera Social con la seguridad informtica?
3 Tcnicas de Ingeniera Social
4 Cundo nace la Ingeniera Social en Espaa
5 Algunos ingenieros sociales espaoles
6 Notas
7 Enlaces externos
Por qu el "caballo de Troya" no es Ingeniera Social?

Existe una tendencia que trata la ingeniera social como una forma de engao,
equiparable al caballo de Troya o a cualquier forma de timo, como el de la
estampita.

Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS

puede no haber engao de ningn tipo. Una persona le pide a otra su
contrasea o cualquier otra informacin en un entorno de confianza y la otra se
la da sin presin ni engao alguno. Luego el mito de que la IS se basa en un
engao, no es correcto en todos los casos.

Y segundo: suele existir un componente tcnico o tecnolgico. El timo de la

estampita y la ingeniera social no tienen mucho que ver porque sta se basa
en amplios conocimientos de psicologa aplicada y de las tecnologas sobre las
que se quiere obtener informacin.

Por ejemplo: en el mundo del underground, de los hackers, las relaciones se

basan en el respeto. Son mundos bastante cerrados de gente que en algunos
casos pueden realizar actividades ilegales. Para poder acceder a l hay que
tener tantos conocimientos como ellos y as ser considerado como un "igual".
Adems debern aportarse conocimientos a compartir que de forma clara
permitan ganarse el respeto de estos grupos. Slo de esta forma se tendr
acceso a determinadas informaciones.

Esto mismo ocurre en el mundo de las empresas de alta tecnologa en las que
se desarrollan proyectos reservados, donde la calificacin tcnica necesaria
para entender la informacin que se quiere obtener es muy alta. Las
operaciones de ingeniera social de este nivel pueden llevar meses de cuidada
planificacin y de evaluacin de muchos parmetros, van ms all de una
actuacin puntual basada en una llamada con ms o menos gracia o picarda.

Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha

datos que estn a la vista cuando el sentido comn indica que deberan
guardarse en un lugar seguro. Es el caso de un servidor de una delegacin de
la Agencia Tributaria espaola cuya contrasea est puesta en un post-it en
su pantalla. Slo hay que tener capacidad de observacin de este tipo de
detalles.

Qu tiene que ver la Ingeniera Social con la seguridad informtica?

La seguridad informtica tiene por objetivo el asegurar que los datos que
almacenan nuestros ordenadores se mantengan libres de cualquier problema, y
que el servicio que nuestros sistemas prestan se realice con la mayor
efectividad y sin cadas. En este sentido, la seguridad informtica abarca cosas
tan dispares como:

Los aparatos de aire acondicionado que mantienen los sistemas en las

temperaturas adecuadas para trabajar sin cadas.
La calificacin del equipo de administradores que deber conocer su sistema lo
suficiente como para mantenerlo funcionando correctamente.
La definicin de entornos en los que las copias de seguridad han de guardarse
para ser seguros y como hacer esas copias.
El control del acceso fsico a los sistemas.
La eleccin de un hardware y de un software que no de problemas.
La correcta formacin de los usuarios del sistema.
El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se
realizan utilizando datos que se obtienen de sus usuarios mediante diferentes
mtodos y con la intervencin de personas especialmente entrenadas, los
ingenieros sociales.

Tcnicas de Ingeniera Social

Tres tipos, segn el nivel de interaccin del ingeniero social:

Tcnicas Pasivas:
Observacin
Tcnicas no presenciales:
Recuperar la contrasea
Ingeniera Social y Mail
IRC u otros chats
Telfono
Carta y fax
Tcnicas presenciales no agresivas:
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehculos

Vigilancia de Edificios
Induccin
Entrada en Hospitales
Acreditaciones
Ingeniera social en situaciones de crisis
Ingeniera social en aviones y trenes de alta velocidad
Agendas y telfonos mviles
Desinformacin
Mtodos agresivos
Suplantacin de personalidad
Chantaje o extorsin
Despersonalizacin
Presin psicolgica
Cundo nace la Ingeniera Social en Espaa

Corre el ao 1986/87, se empiezan a instalar algunos sistemas BBS en Madrid,

Barcelona, Zaragoza. No haba acceso a Internet mas all de las universidades
(en estas slo el profesorado tena acceso, es el nacimiento de RedIris) y de las
conexiones UUCP que, ms tarde, montara la compaa Goya Servicios
Telemticos y que eran carsimas para la mayora de usuarios. No exista Web,
nicamente News, Mail y los protocolos de bsqueda de informacin tipo
gopher o archie. Los servidores estaban instalados sobre todo en USA.

Lo que uno poda encontrar en una BBS de aquella poca eran ficheros
agrupados por temas y mensajes que corran de unos usuarios a otros,
utilizando la base de lo que despus sera la red Fidonet u otras basadas en la
misma tecnologa.

En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas"
que corran con el precio de esas llamadas. Los mdems eran muy lentos, 1200
o 2400 bps. los mas rpidos, y las llamadas eran muy caras. Esto tena como
consecuencia que un usuario no pudiera bajarse toda la informacin que quera
ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del
telfono... o arruinar a sus padres.

Ingeniera social
Ingeniera social
El trmino "ingeniera social" hace referencia al arte de manipular personas para eludir los
sistemas de seguridad. Esta tcnica consiste en obtener informacin de los usuarios por
telfono, correo electrnico, correo tradicional o contacto directo.
Los atacantes de la ingeniera social usan la fuerza persuasiva y se aprovechan de la
inocencia del usuario hacindose pasar por un compaero de trabajo, un tcnico o un
administrador, etc.
En general, los mtodos de la ingeniera social estn organizados de la siguiente manera:

Una fase de acercamiento para ganarse la confianza del usuario, hacindose pasar
por un integrante de la administracin, de la compaa o del crculo o un cliente,
proveedor, etc.

Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su

respuesta. Por ejemplo, ste podra ser un pretexto de seguridad o una situacin de
emergencia;

Una distraccin, es decir, una frase o una situacin que tranquiliza al usuario y evita
que se concentre en el alerta. sta podra ser un agradecimiento que indique que
todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante
correo electrnico o de una pgina Web, la redireccin a la pgina Web de la
compaa.

La ingeniera social puede llevarse a cabo a travs de una serie de medios:

Por telfono,

Por correo electrnico,

Por correo tradicional,

Por mensajera instantnea,

etc.

Cmo puede protegerse?

La mejor manera de protegerse contra las tcnicas de ingeniera social es utilizando el

sentido comn y no divulgando informacin que podra poner en peligro la seguridad de la
compaa. Sin importar el tipo de informacin solicitada, se aconseja que:

averige la identidad de la otra persona al solicitar informacin precisa (apellido,

nombre, compaa, nmero telefnico);

si es posible, verifique la informacin proporcionada;

pregntese qu importancia tiene la informacin requerida.

En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia
acerca de los problemas de seguridad.

Ms informacin

Nota de incidente CERT IN-2002-03: ataques de ingeniera social mediante IRC y

mensajera instantnea

Cuando hablamos de seguridad en Internet solo podemos tener la certeza de que

nada -ni nadie- est a salvo. No importa si tenemos el mejor antivirus, un firewall
bien configurado y utilizamos contraseas fuertes en nuestras cuentas; como
usuarios representamos el eslabn ms dbil en la cadena de seguridad, ya que en
nuestra condicin de humanos no estamos libres de cometer errores.

Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una
tcnica denominada Ingeniera social, que a su vez cuenta con una serie de
mtodos cada vez ms populares que pueden poner en riesgo tanto nuestra
seguridad y privacidad como la integridad de nuestros datos.

Contra la Ingeniera social, las armas ms efectivas son la prevencin y el

conocimiento, por lo que esta nueva edicin de la gua de la semana est enfocada
en dar a conocer los mtodos ms utilizados, de forma tal que estemos prevenidos y
podamos reaccionar ante un posible ataque.

Qu es la Ingeniera social?

Como lo mencion al principio, la Ingeniera social es una tcnica que aprovecha los
errores humanos para comprometer las seguridad de los sistemas, pero tambin podramos
decir que es un arte cuyas herramientas principales son el engao y la confusin.
As como existen piratas informticos que irrumpen en sistemas aprovechando
vulnerabilidades en el software, hay quienes se hacen expertos en engaar y manipular a
otras personas, y as, a travs de estas, conseguir los datos necesarios para acceder no solo a

sistemas, sino tambin a nuestras cuentas personales en redes sociales, correo electrnico,
nmeros de tarjetas de crdito y en general a cualquier informacin personal de carcter
privado.
Aunque el trmino Ingeniera social comenz a escucharse con ms frecuencia en
tiempos recientes, la tcnica existe desde que las personas decidieron que engaar a otros es
una forma aceptable de ganarse la vida.
Un pirata informtico que utiliza la Ingeniera social como tcnica de ataque, no necesita
estar frente a frente con su vctima, de hecho, en la mayora de los casos aprovecha
herramientas que usamos a diario, como por ejemplo, el correo electrnico, la mensajera
instantnea y el telfono.
Si quieren conocer como funciona la Ingeniera social en su mxima expresin, les
recomiendo ver la pelcula Takedown. En esta historia basada en hechos reales se muestra
la forma en que Kevin Mitnick, uno de los Hackers ms famosos de la historia, aplica de
manera sorprendente varios de los mtodos que describir a continuacin.
Phishing

El Phishing es uno de los mtodos de ataque de Ingeniera social ms utilizados. La forma

ms comn de Phishing es la que emplea el correo electrnico para cometer fraude.
Un atacante que utiliza este mtodo por lo general tiene en su poder un dominio de Internet
que puede ser fcilmente confundido con la URL de un servicio legtimo y lo utiliza para
tratar de convencer al usuario de ingresar sus datos con el fin de verificar su cuenta
bancaria, Paypal e incluso una red social o servicio de mensajera instantnea, bajo la
amenaza de suspenderla en caso de no suministrar los datos requeridos. Si un usuario
ingresa sus credenciales, obviamente le est entregando su informacin al atacante, quin la
utilizar para robar informacin e incluso dinero.
Por fortuna, el Phishing tambin es uno de los mtodos ms fciles de detectar, en gran
parte, gracias a los servicios de correo electrnico que filtran de forma rigurosa todos los
mensajes que atraviesan sus servidores e identifican y marcan como sospechosos aquellos
que provengan de fuentes no confiables.
Debemos tener presente que ningn servicio de Internet, incluyendo a los propios bancos,
nos solicitar informacin financiera, contraseas o nmeros de tarjeta de crdito para
verificar nuestra identidad o validar nuestra cuenta a travs de correo electrnico.
Cada vez que necesites ingresar a los servicios de banca en lnea, asegrate de introducir
manualmente la direccin en el navegador, es decir, evita utilizar enlaces que encuentres en
otros sitios, incluso si se trata de un buscador. La mayora de los bancos tienen servicios de
atencin telefnica para reportar el fraude, por lo que si sospechas que ests siendo vctima
de uno de estos ataques, no dudes en llamar de forma inmediata para solicitar asistencia.

Vishing

En el Vishing, los mtodos son similares a los descritos en el Phishing, de hecho su

finalidad es exactamente la misma. La diferencia es que este utiliza una llamada telefnica
en lugar de un correo electrnico o un sitio web falso.
Existen varias formas ataque bajo este mtodo, las ms comunes son:

Una llamada a la victima utilizando un sistema automatizado, en la cual se solicita

al usuario que siga una serie de pasos para reactivar su cuenta ya que su tarjeta de
crdito ha sido robada y se requiere de una accin inmediata.

Un correo electrnico con instrucciones para activar su cuenta donde se incluye

un nmero de telfono al que se debe llamar para completar el falso proceso de
activacin.

Empleando la imitacin de llamadas telefnicas interactivas del tipo marque 1

para o introduzca su nmero de tarjeta de crdito despus de la seal.

Adems de stas, he conocido casos a travs de familiares y amigos, en los cuales,

mediante una llamada telefnica se realiza una encuesta o se ofrece algn paquete turstico.
A lo largo de la conversacin, el atacante va realizando una serie de preguntas cuyas
respuestas implican datos privados.
Los atacantes que emplean este mtodo suelen tener un gran poder de convencimiento y ser
buenos conversadores, de esta manera logran mantener por el mayor tiempo posible a la
vctima pegada al telfono.
Ahora que conoces como funcionan, puedes sospechar de todas las llamadas de este tipo.
En el caso de los bancos, estos nunca te pedirn datos va telefnica (en todo caso te
pedirn que te acerques hasta una de sus agencias). Tampoco Facebook, Google, Microsoft
o cualquier compaa/servicio te llamar para pedirte informacin sobre tus contraseas o
tarjetas de crdito.
Baiting

Este mtodo aprovecha una de las mayores debilidades -o virtudes- de los seres humanos:
la curiosidad.
En el Baiting, un atacante abandona de forma intencional un dispositivo o medio de
almacenamiento extrable, como por ejemplo, una memoria USB o un CD/DVD. Dicho
dispositivo estar infectado con software malicioso, que podra ser instalado en el
ordenador, incluso sin que nos demos cuenta.

Contra este mtodo, tener un antivirus actualizado podra ser efectivo, sin embargo, es
necesario tener precaucin a la hora de insertar dispositivos de dudosa procedencia en
nuestros ordenadores. Tambin es recomendable desactivar la funcin Autorun y no abrir
archivos si no estamos seguros de su contenido.
Otros mtodos

Adems de los 3 que he mencionado, existen muchos otro mtodos utilizados dentro de la
Ingeniera social, todos ellos, como lo dije al principio, hacen uso del engao y la confusin
para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo,
hacer uso del sentido comn.
Finalmente, y aunque parezca una recomendacin obvia, procura no anotar tus contraseas
en lugares donde puedan ser fcilmente visibles o encontradas por otros, sobre todo si
trabajas en un lugar donde entra y sale gente de manera constante. Dejar las tarjetas de
crdito, estados de cuenta, u otro tipo de informacin financiera a la mano de cualquiera,
tampoco es una buena idea.
Ahora que conoces como funciona la tcnica y sabes como prevenir un fraude, es momento
de compartir la informacin con tus familiares y amigos, de esta manera, ellos tambin
podrn evitar caer en la trampa.