Phishing.

Ciclo completo en el ciberdelito

Jose David meza López
Universidad Remington
Montería, Colombia
josedavidmezalopez@hotma
il.com

Abstract— Currently, the world of technology is constantly importante a tener en cuenta es que no existen fórmulas
changing and updating, as it advances by leaps and bounds mágicas para contrarrestar este tipo de delitos, ya que el
and everyone in the world is part of it. eslabón más débil de la cadena es el usuario y este es uno de
los más difíciles de educar. El internet y las redes son las
This document clearly demonstrates the basic concepts of herramientas que posibilitan la interconexión de las
social engineering and Phishing, the techniques used by empresas, lo que hace que estas mejoren su productividad y
criminals to attack their victims and a guide to take into sus conexiones nacionales e internacionales.
account and that companies and not be easy targets for Una clave para tener en cuenta es no contar con políticas de
criminals An important factor to keep in mind is that there seguridad claras, lo que desencadena malas prácticas en el
are no magic formulas to counteract this type of crime, since uso de los sistemas informáticos y de la red informáticas, el
the weakest link in the chain is the user and this is one of thecual es uno de los puntos más importantes para que el
most difficult to educate. The internet and networks are the departamento de seguridad de la información tenga en cuenta
tools that enable the interconnection of companies, which a la hora de protegerla.
makes them improve their productivity and their national Un factor importante a tener en cuenta de acuerdo a un
and international connections. estudio realizado por BID, MINTIC y OEA , se observó que,
An important factor to consider is not having clear security de manera general, las organizaciones colombianas que
policies, which triggers bad practices in the use of computer contestaron que se sienten preparadas, de hecho, adoptan
systems and the computer network, which is one of the most más medidas de seguridad que las demás organizaciones.,
important points for the security department of the como por ejemplo, las grandes empresas tienden a adoptar
information keep in mind when protecting it. más medidas de seguridad que una microempresa, así como
An important factor to take into account according to a las entidades públicas nacionales tienen una preocupación
study carried out by the IDB, MINTIC and OAS, the más grande con la seguridad digital que las entidades de
Colombian organizations that responded that they were orden territorial.
prepared, in fact, to adopt more security measures than the Se espera que esta monografía sirva de soporte para darle
other organizations were detected. as for example, the large claridad a las falencias en las empresas en la parte de los
companies affected to adopt more security measures than a ataques de Phishing, utilizados en la ingeniería social, para
microenterprise, as well as national public entities have a obtener las diferentes vulnerabilidades que hay y cómo
greater concern with digital security than territorial entities.generar una solución adecuada de acuerdo a los protocolos de
It is expected that this monograph will serve as a support to seguridad establecidos.
provide clarity to the flaws in the companies in the part of Palabras claves: tecnología, ingeniería, delincuentes, delitos,
the phishing attacks, used in social engineering, to obtain the seguridad.
different vulnerabilities that exist and how to generate an
adequate solution according to the protocols of established INTRODUCCIÓN
security.
Keywords: Technology, engineering, criminals, crimes,
Es importante tener en cuenta que actualmente la informática
security.
crece a pasos agigantados y es allí donde se hace necesario saber
y aprender cómo es la forma en que nos debemos proteger. José
Resumen— Actualmente, el mundo de la tecnología se María Alonso, conocido como Chema Alonso promueve el uso
encuentra en constante cambio y actualización, ya que este correcto y responsable de estas tecnologías que hay actualmente
avanza a pasos agigantados y debemos estar en constante y, también nos informa de que manera estamos siendo blanco
cambio como ejes fundamentales en pro de la globalización fácil para los diferentes delincuentes en la parte de la seguridad
tecnológica. de la información, es decir no estamos protegiendo nuestra
En este documento se podrá evidenciar de forma clara los información vital, como lo es el número de cedula, el nombre y
conceptos básicos de la ingeniería social y el Phishing, las apellido completo, nuestros correos electrónicos, las fotos que
técnicas utilizadas por los delincuentes para atacar sus publicamos en las redes sociales, en donde nos encontramos
víctimas y una guía para tener en cuenta y que las empresas ubicados, etc. Pero hay algo importante que debe incluir y es en la
y no sean blanco fácil para los delincuentes, un factor parte de la información que no se encuentra tan fácil en nuestros
perfiles informáticos como lo es Facebook y demás redes sociales
que hay actualmente. Es la información que a diario
compartimos con otras personas casi de una forma automática.
En los últimos años, se ha evidenciado que este problema
inquietó a las autoridades y, que se están diseñando y
desarrollando diferentes planes de contingencia, para que cada
una de las empresas u organizaciones que realicen estas bases de
datos relacionales o no relacionales se hagan responsables de la
seguridad de dicha información para los diferentes usuarios, que
sean privados más no públicos, desde luego teniendo en cuenta
de los mismos usuarios si lo quieren publicar a todas las
personas en sus redes sociales.
Además, las diferentes técnicas utilizadas actualmente por los
delincuentes informáticos para poder dicha información de sus
víctimas son innumerables y, por lo tanto, cada día desarrollan
nuevas técnicas y combinan algunas técnicas clásicas para
desarrollar diferentes tipos ataques informáticos. Para este caso
las técnicas que nos competen en esta investigación son, la
Ingeniería social y el Phishing. Ambas técnicas son vitales para
llevar a cabo diferentes delitos informáticos., el cual podemos
partir de la base que existe un mundo virtual similar al mundo
real, pero en este no existen controles adecuados, ni normas, ni
leyes como las que hay actualmente que regulan nuestra
convivencia y por supuesto limitan el abuso al indefenso, es por
eso que la mayoría del tiempo que nos encontramos en la red,
estamos por nuestra propia cuenta, y es aquí en donde
decidimos hasta donde llegar y protegernos de esta misma. Hoy
en día solo recibimos información de los riesgos existentes que
hay en cada momento que pasa en la sociedad global.
En la actualidad es muy común ver en centros comerciales,
escuelas o parques públicos, a personas utilizando sus
dispositivos móviles para consultar su correo electrónico,
realizar pagos bancarios por medio de la banca móvil o
actualizando sus perfiles en las distintas redes sociales; esto solo
por citar algunos ejemplos de una infinidad de operaciones que
se pueden realizar gracias al avance de tecnologías de
comunicación y el desarrollo de dispositivos móviles.
En estos días, donde empresas y personas dependen tanto de la
tecnología, el término de “valor de la información” y la
“seguridad informática” han tomado gran importancia sobre
todo empresas que buscan cuidar sus activos de información. La
seguridad informática se encarga de proteger los sistemas
computacionales y todo lo que se relaciona al sistema (como
información almacenada, bases de datos, software, hardware,
etc.) por medio de la creación e implementación de estándares,
protocolos y herramientas de seguridad además de ampararse
con las leyes propias de cada país con respecto a la protección
de datos personales.
También el factor humano es una parte esencial del juego de
seguridad. No existe un sistema informático que no dependa de
algún dato ingresado por un operador humano. Esto significa
que esta debilidad de seguridad es universal, independiente de
plataforma, el software, red o edad de equipo. Existe una frase
popular que dice que la única computadora segura es la que se
encuentra apagada y desenchufada.
Sin embargo, como se ha repetido a lo largo de la historia, con
el desarrollo de nuevas herramientas de tecnología y de
comunicación, surgen personas que buscan explotar las
vulnerabilidades de estas nuevas tecnologías, pero sobre todo se
enfocan en engañar al eslabón más débil de una cadena de
seguridad: el usuario.
Es importante conocer que organismos protegen la integridad de
nuestros datos personales que se entregan tanto a particulares
como al gobierno.
Por último, se espera que el presente artículo sea de gran ayuda
para mantener informado a las personas y tengan una serie de
precauciones simples, con las cuales se evitaran en su mayoría,
los ataques más comunes de Phishing.
La Ingeniería social
Actualmente la ingeniería social es conocido como el ataque
informático más peligroso. Esta técnica se basa
fundamentalmente en manipular psicológicamente a las personas,
para que de esta manera entreguen información confidencial o
poder obtener el mismo tipo de información de forma que el
usuario no se dé cuenta de ello. Un factor importante a tener en
cuenta es que es una estafa antigua, puesto que no se necesita
tener conocimientos avanzados en informática para cometer este
tipo de delitos.
Una frase muy escuchada para definir la ingeniería social es “toda
cadena se rompe por el eslabón más débil" y este es el usuario del
sistema o las personas del común, una empresa puede tener la
seguridad tecnológica más avanzada y actualizada que exista en
el mercado, pero si no ha creado conciencia en sus empleados o
no tiene unas políticas de seguridad claras y socializadas en la
organización, este siempre será su punto débil. Y como lo
expresamos anteriormente no se necesita ser técnico experto para
el robo de la información. Se puede decir que es mucho más fácil
para los ciberdelincuentes conseguir una contraseña que hackear
un sistema informático, por esto el auge de la ingeniería social.
Los delincuentes informáticos envían mensajes o links al azar
para que de esta forma los usuarios la compartan siendo
inconscientes de lo que están publicando. Un factor importante a
tener en cuenta es que la información no solo se encuentra en
dispositivos tecnológicos también podemos acceder a esta desde
bases de datos obtenidas en internet o compradas de forma virtual
o física, otra fuente de información son los diferentes elementos
de correo físico como cartas, facturas, documentos bancarios etc.
Es fundamental tener en cuenta que la ingeniería social también
tiene categorías de ataques a los usuarios; Ataques técnicos, al
ego, de simpatía y de intimidación.
En el ámbito del cibercrimen, la ingeniera social es descrita como
un método no técnico utilizado por los delincuentes cibernéticos
para obtener información y de esta manera realizar fraudes u
obtener acceso ilegal en los equipos de las víctimas.
La Ingeniería Social se basa en la interacción humana y está
impulsada por personas que usan el engaño con el fin de violar
los procedimientos de seguridad que normalmente deberían haber
seguido.
Categorías de ataques en la ingeniería social.
Cuando hablamos de ingeniería social inmediatamente pensamos
en robo de información, pero también debemos tener en cuenta
que existen diferentes categorías en las cuales podemos
posicionar los diferentes ciberataques como son estos dos grupos:
a) Hunting: Son los estos tipos de ataques son los que buscan
obtener información específica del objetivo o las victimas con la
menor exposición directa posible. O en pocas palabras con el
menor contacto. Obtienen la información de sus víctimas y
desaparecen. En la práctica hablamos de ataques de ingeniería
social enfocados a obtener X dato (normalmente credenciales de
acceso a un servicio o cuenta, activación o desactivación de
alguna configuración que puede complicar el objetivo final o
como apoyo a un ataque mayor, dirigido y persistente), de forma
que el atacante se pone en contacto de alguna manera con la
víctima, y la insta a realizar una acción cuyo desenlace es el
pretendido inicialmente.
b) Farming: El objetivo es mantener el engaño el mayor tiempo
posible, para exprimir al máximo el conocimiento, recursos o
posición de la víctima. Para ello, se suele recurrir a granjas de
identidades, que por lo general han sido robadas con
anterioridad.
Aspectos claves en la ingeniería social.
Según Kevin Mitnick, el éxito de los ataques de ingeniería
social, se debe a cuatro principios básicos y comunes a todas las
personas:
• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir “No”.
• A todos nos gusta que nos alaben.
Este término utilizado frecuentemente como un tipo de ingeniería
social, phishing proviene de la palabra inglesa "fishing" (pesca),
lo que traduce en el español hacer que los usuarios "muerdan el
anzuelo", y la persona que realiza el ataque se le denomina
Phisher o delincuente.
La primera mención del término phishing se remonta a principios
de enero de 1996. “(Se dio en el grupo de noticias de hackers
alt.2600, aunque es posible que el término ya hubiera aparecido
anteriormente en la edición impresa del boletín de noticias hacker
2600 Magazine. El término phishing fue adoptado por quienes
intentaban "pescar" cuentas de miembros de AOL. Utilizando
algoritmos que generaban números de tarjetas de crédito
aleatorios, estas cuentas podían durar semanas o meses antes de
que una nueva fuera requerida. Posteriormente, AOL tomó
medidas tardíamente en 1995 para prevenir esto, de modo que los
crackers recurrieron al PHISHING para obtener cuentas legítimas
en AOL)”.

¿Qué es el Phishing?
Phishing o suplantación de identidad es una técnica de ingeniería
social, la cual es utilizada por ciberdelincuentes para obtener
información de las víctimas de manera fraudulenta. En el
phishing la herramienta por preferencia es el correo electrónico
ya que de esta manera los ciberdelincuentes envían
comunicaciones oficiales al azar y obtienen información sensible
de los usuarios que ingenuamente responden encuestas o
formularios otorgando de esta manera sus datos personales en
De acuerdo a lo anterior la ingeniería social tiene dos puntos bandeja de plata. Es importante aclarar que estas herramientas son
clave en los que se basa el ciberdelincuente para realizar el la base de cualquier delito informático puesto que de ellas se
ataque, ellos son la psicología (ya que por medio de halagos etc. obtiene información materia prima para la ejecución de
pueden acceder a nosotros) y la interacción social ya que actividades ilícitas.
mediante las redes o la interacción con intrusos se logra el
Tipos de Phishing.
objetivo.[1] Este delito informático también cuenta con diferentes formas de
operar, por esto es importante tener en cuenta como son:
Existen tres fases, que son relevantes a la hora de realizar un • Phishing de clonado o de redireccionamiento: Es un tipo de
ataque de ingeniería social, no es relevante el tipo ingeniería engaño de campaña, en donde se buscan aquellas víctimas para
social que se está aplicando estas son: que estas estén interesadas en la publicidad engañosa e inserten
• Fase de acercamiento: Esta es la primera etapa, pues consiste los datos correspondientes en un formulario controlado por el
en hacer el primer acercamiento a la víctima para de esta manera atacante. Además, en este tipo de campañas engañosas, envían
tratar de ganar su confianza. Normalmente, el ciberdelincuente enlaces masivos por email, haciéndose pasar por alguien
se vale de técnicas de ingeniería social lo que permite al conocido o también en alguna marca que goce con el respeto de
objetivo dominar la comunicación porque de esta manera las víctimas, pidiéndole a esta que accedan lo antes posible,
detecta sus debilidades primarias para poder ser explotadas. dándoles ciertas recompensas (en el que no se puede permitir que
• Fase de alerta: Posteriormente de la etapa de acercamiento se la víctima se tome su tiempo para pensar) para beneficiarse de
encuentra la fase de alerta, en donde se plantean diferentes una oferta, como puede ser, en un concurso, una rifa, descarga
opciones a la víctima y de esta manera medir y así observar su gratuita de contenido de pago., y el de obtener información
velocidad de respuesta bajo presión. En esta fase, el grado de importante, como también en un mensaje enviado o para
interacción cambia y de repente se empieza a ser más activo: el solucionar un problema grave (tu cuenta bancaria ha sido
atacante lanza propuestas sueltas; generalmente todas para bloqueada hasta que se demuestre ser el titular de la cuenta., otro
afianzar la confianza inicialmente establecida. Con esto se ejemplo es, no has pagado la última factura y estás a un paso en
logrará que el objetivo revele más información de la que está estar en lista de morosos.
dispuesta a entregar. • Phishing de timo: Este es otro tipo de ataque, que es
• Fase de distracción: En esta fase; el atacante ya ha obtenido considerado tradicional., en donde los vectores de ataque
gran parte de la confianza que se necesita para conseguir que la provienen del email, de las redes sociales y de los servicios de
víctima entregue los datos que desea obtener. “La victima ya se mensajería, pero, además, hay dos principales diferencias con el
siente a gusto en la comunicación y baja sus defensas a niveles anterior ataque: No suelen ser tan masivos como el phishing de
penetrables. En paralelo, el atacante domina prácticamente la clonado: el cual su funcionamiento (más manual), no puede
comunicación; si bien no llega al punto de agobiar al objetivo abarcar a tantísimo target, en el que parte de la fase inicial, de la
para evitar que éste levante sus alarmas”.[2] toma de contacto y por otro lado su objetivo no es robarnos
credenciales, sino realizar algún tipo de timo más tradicional:
El phishing para este caso, no habrá ninguna página web fraudulenta al final
del ataque, en el que genera una especie de espiral de engaños, en
Historia del Phishing (Origen del término)
el que se busca aprovechar nuestras debilidades que nos acabará
obligando a seguir en contacto con el atacante. Un ejemplo, para
este caso, es cuando una persona extranjera o de otro
departamento, se hace conocer por medio de las redes sociales,
y le da inicio a la conversación, dándole un me gusta a una foto
o un mensaje de texto, etc., y después de analizarlo varios días,
te empieza a pedir dinero para viajar a tu país o departamento, y
conocerlo personalmente, pasándose por esa persona que dice
ser, sin decencia que casualmente te ha elegido a ti entre todo el
resto de personas del mundo para dejarte el dinero o de pedirte
tu dinero, siempre y cuando puedas hacer frente a las continuas
retenciones de aduanas/cambios de divisas/impuestos, o el
tráfico de fotos comprometidas que has compartido
aparentemente con una persona de su edad o en el caso de niños
y niñas que caen en trampas de estas.
• Spear Phishing: Este tipo de ataque se trata de un phishing
dirigido a la consecución de un objetivo específico en una
víctima especifica., en el que se realiza un estudio OSINT
avanzado inicial, en el que permite conocer de antemano qué
debilidades podría tener, para enfocar el ataque a que sea lo más
creíble posible. Si el objetivo es atacar a una empresa, lo
habitual es de buscar a alguien del área administrativa y
directivo de la empresa (usuario con acceso al sistema y que no
suelen tener muchos conocimientos informáticos), y una vez
que lo identifiquen y lo engañen, se ira accediendo y
ascendiendo en la cadena hasta el equipo de IT, que suelen tener
acceso a todo el material que se quiere obtener. ¿Los vectores de
ataque? Para este caso también es por email o correo
electrónico, pero también cada vez más redes sociales, en
especial las profesionales como Linkedln, por lo tanto, es difícil
defenderse en este tipo de ataque, ya que el delincuente va a tiro
fijo y con la información publicada, puede saber mucho de
nosotros como víctimas.
• Smishing o SMS phishing: Para este tipo de ataque, el correo
electrónico o email sigue siendo el canal principal para las
comunicaciones importantes, pero con la caída del SMS, y su
paulatino uso para notificaciones importantes o segundos
factores de autenticación, el mensaje de texto empieza a verse
como una herramienta fiable para lanzar campañas de phishing.
El smishing no es más que un phishing vía SMS, que
habitualmente tiene como cometido que envíes un mensaje a un
número de tarificación especial (concursos fail, mayormente), la
suscripción a servicios premium (esto es, pagos recurrentes) o la
multicanalidad con vista a una campaña de phishing avanzada
(después de que el supuesto departamento de seguridad de
Microsoft te contacte por mail para avisarte que te va a mandar
ahora un SMS y debes confirmarles la clave, harás
sencillamente todo lo que ellos te pidan).
• Vishing o Voice Phishing: “Si el smishing es un tipo de
phishing vía SMS, el vishing es lo mismo, pero vía centralita de
telefónia (o VoIP). Y opera exactamente igual que el anterior. O
bien por separado (“Oiga, le llamamos de su operadora, ¿puede
confirmarnos que la clave de su router es 1234?”), o bien como
apoyo para un ataque de spear phishing más efectivo”.
Hoy en día, el phishing ha sido una de las principales amenazas
que llegan a través del correo electrónico., aunque los
cibercriminales cada día están buscando nuevas técnicas, por lo
que buscan que dichos correos electrónicos tengan una mayor
tasa de éxito. Se intenta buscar que la víctima los abra e
interactúe con estos. Los correos electrónicos de phishing son
fáciles de implementar. No requieren una gran preparación del
atacante más que la elaboración de un correo que sea
convincente ante los ojos de los objetivos. Sin embargo, son
fáciles de detectar en la mayoría de ocasiones y no llegan a entrar
en la bandeja de entrada. Además, los ciberdelincuentes están
prefiriendo nuevas técnicas, en el que se introducen correos más
sofisticados, es decir, más personalizados., en el que buscan la
suplantación de identidad, pero con un mensaje que la víctima
confié., como, por ejemplo, introduciendo un emisor de un
nombre reconocible para la víctima.
En la actualidad hay nuevos ciberataques por email, en el que
ahora existe un tipo de ataque de fraude del CEO, en el que
básicamente se basa en que el atacante, suplanta la identidad del
jefe de una empresa, y pide a un trabajador de la propia empresa,
en el que normalmente es el que se encarga de la contabilidad, el
cual se transfiere de una manera urgente a una determinada
cantidad de dinero para cerrar un acuerdo.
Ahora, podemos detectar los diferentes tipos de ataques, en el
cual FireEye ha publicado algunas tenencias destacadas de los
diferentes tipos de ataques por email analizados., para este caso,
los ataques con malware eran muy comunes tanto los lunes como
los miércoles, sin embargo, los ataques de suplantación de
identidad se daban los viernes, ideal para hacer la “estafa del
CEO”, ya que, si hicieran esto mismo cualquier otro día, es muy
posible que el propio CEO estuviera en la empresa. [3]
Tipos de ataques relacionados con el phishing
Deceptive Phishing: Este es una de las modalidades más
comunes, en el cual, consiste en el envío de un correo electrónico
engañoso, en el que se suplanta a una empresa, organización,
entidad bancaria o gubernamental. Ahora, en la parte del receptor
pulsará en el enlace contenido en el mensaje, en el que desvía de
manera inconsciente a un sitio fraudulento para la víctima en el
ataque.
Malware-Based Phishing: En este tipo de ataque se refiere a la
variante del delito, en el que implica una o varias ejecuciones de
uno o también de varios tipos de software malicioso en una
computadora. En este caso el usuario deberá realizar alguna
ejecución que permite la ejecución de este malware en el
ordenador, como el de abrir un archivo, visitar un sitio web,
descargar un archivo, ver un video, entre otras.
Keyloggers y Screenloggers: Este es una variedad de
particularidades de malware, en donde los keyloggers son
programas que registran las pulsaciones del teclado cuando la
computadora infectada acceda a una web registrada o también
cuando tenga acceso a la red, en donde es enviada las capturas de
teclado a un correo electrónico que se encuentra dentro del
programa del keylogger, y los Screenloggers tienen la misma
función, pero este tipo de programa lo que realiza es de capturar
imágenes de la pantalla.
Web Trojans: Estos son programas que aparecen en las ventanas
emergentes de validación de páginas web legitimas., en el que el
usuario cree que está introduciendo los datos personales a un sitio
web legítimo, que puede ser de una entidad gubernamental,
bancaria, empresa u organización.
System Reconfiguration Attacks: Este tipo de ataque se efectúa
modificando los parámetros de configuración de la computadora
de la víctima, como, por ejemplo, a modificación del nombre de
dominio.
Data Theft: Este se trata de varios códigos maliciosos, en el que
tiene como función el de recabar toda la información confidencial
almacenada en esa computadora.
DNS-Based Phishing (“Pharming”): Este tipo de delito se basa abriendo una nueva que contiene la URL ilegítima.
en la interferencia en la parte de los procesos de búsqueda de un En otro método actualmente usado en las técnicas de phishing es
nombre de dominio, esto quiere decir, que es de modificar de que el phisher utiliza contra la víctima el propio código de
forma fraudulenta la resolución del nombre de dominio, en el programa del banco o servicio por el cual se hace pasar. Este tipo
que se enviaba al usuario a una dirección IP distinta. de ataque resulta particularmente grave, ya que dirige al usuario a
Hosts File Poisoning: Para este caso es la transformación de los iniciar sesión en la propia página del banco o servicio, donde la
ficheros de hosts que se encuentran en los servidores DNS. URL y los certificados de seguridad parecen correctos. En este
Content-Injection Phishing: Esta es una modalidad, en el que método de ataque (conocido como Cross Site Scripting) los
consiste en el de introducir contenido fraudulento dentro de un usuarios reciben un mensaje diciendo que tienen que "verificar"
sitio web legítimo. sus cuentas, seguido por un enlace que parece la página web
Man-in-the-Middle Phishing: Para este caso, el ciberatacante auténtica; en realidad, el enlace está modificado para realizar este
se posiciona entre la computadora de la víctima y el servidor, en ataque, además es muy difícil de detectar si no se tienen los
el que se filtra en este espacio, y que puede realizar conocimientos necesarios.
modificaciones, el de leer la información. Otro problema con las URL “es el relacionado con el manejo de
Search Engine Phishing: “Los Phishing crean buscadores para Nombre de dominio internacionalizado (IDN) en los navegadores,
re direccionarte a los sitios fraudulentos”.[3] puesto que puede ser que direcciones que resulten idénticas a la
vista puedan conducir a diferentes sitios (por ejemplo
Técnicas de ataque phising dominio.com se ve similar a dοminiο.com, aunque en el segundo
Un factor importante en las técnicas de phishing es que siempre las letras "o" hayan sido reemplazadas por la correspondiente
tienen un objetivo final sin importar la modalidad que adopte el letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a
atacante y esta es engañar al usuario de dos formas una es para los usuarios a páginas web con malas intenciones. A pesar de la
sacar dinero (transferencias) y la segunda es para que divulgue publicidad que se ha dado acerca de este defecto, conocido como
información confidencial lo que con lleva a un ataque posterior IDN spoofing o ataques homógrafos, ningún ataque conocido de
(obtener contraseñas). phishing lo ha utilizado”.
¿Qué necesitan del usuario?:
En la mayoría de los casos, necesitan que se realice una de dos
acciones: clickar en un link o abrir un fichero adjunto.
Cualquiera de estas acciones abrirá una puerta a la siguiente del
ataque del hacker.
¿Cómo atacan?:
Utilizan el factor humano, que es el eslabón más débil en la
cadena de seguridad. El 95% de los incidentes relacionados con
la seguridad, incluyen algún tipo de error humano.
Generalmente, como lo mencionamos anteriormente un ataque
de Phishing comienza con un correo electrónico y sólo con que
una de las víctimas ejecute la acción sugerida en el correo, los
ciberdelincuentes tendrán la forma de actuar ante los objetivos y
pasar a una segunda parte del ataque, que incluye entre otros
ataques de denegación de servicio, bloqueo de sistemas, robo de
información, e infecciones de malware.
Aunque existen diferentes tipos de phishing los cuales hablamos
anteriormente, existe un modus operandi generalizado para este
tipo de ataques como lo son:
La mayoría de las técnicas que utiliza el phishing utilizan la Un aspecto claro a tener en cuenta es que las empresas toman
manipulación en el diseño del correo electrónico para lograr que medidas para contrarrestar los ataques de phishing una vez ya han
el enlace o mensaje parezca legítimo de la empresa u ocurrido, actualmente las medianas y pequeñas empresas son las
organización gubernamental por la cual se hace pasar el que más sufren a la hora de hablar de ciberataques ya que estas no
ciberdelincuente. tienen el presupuesto económico necesario para la protección,
Las URL ilegitimas o el uso de subdominios, son los trucos que herramientas tanto de software como hardware y personal
generalmente utilizan los phishers para realizar sus ataques calificado para estos ataques.
como podemos visualizar en el siguiente ejemplo De acuerdo al informe de seguridad cibernética para Empresas
http://www.nombredetubanco.com/ejemplo, en la cual el texto presentado por Cisco, que estudia los datos de 1,816 encuestados
mostrado en la pantalla no corresponde con la dirección real a la de Empresas en 26 países, ofrece un análisis del panorama que
cual conduce. enfrentan las organizaciones más pequeñas en el tema de
Otro ejemplo para encubrir enlaces es el de utilizar direcciones seguridad, y qué recomendaciones o acciones deben seguir estas
que contengan el carácter arroba: @, para posteriormente organizaciones para atenderlo de una manera más efectiva.
preguntar el nombre de usuario y contraseña (contrario a los
estándares).
Otros intentos de phishing utilizan comandos en JavaScripts
para alterar la barra de direcciones. Esto se hace poniendo una
imagen de la URL de la entidad legal sobre la barra de
direcciones, o cerrando la barra de direcciones original y
 complementos, mostrar ventanas emergentes, como también en el
redirigir a cualquier URL. Además, también pueden hacer que las
víctimas descarguen algún tipo de malware o cualquier programa
malicioso.
• HashCat: Hashcat puede crackear casi cualquier tipo de hash.
Tiene dos variantes con dos algoritmos diferentes, uno es el
craqueo de CPU, otro es el craqueo de GPU. Algoritmo de
craqueo de GPU, OclHashCat es más rápido que el crackeo de la
CPU tradicional porque la GPU tiene demasiados números de
núcleos. OclHashcat utiliza multi-core para crackear miles de
hash en menos de un segundo. Esta poderosa herramienta para
Un dato relevante del informe es que el 53% de los encuestados descifrar hash puede ser muy útil cuando la usas con una lista de
experimentó un ataque. Esto a menudo tienen un impacto palabras personalizada o un ataque de fuerza bruta.
financiero duradero en una empresa, así como los gastos
asociados para limpiar o eliminar los daños ocasionados. otro de • BetterCap: Es una de las herramientas más poderosas para
los datos arrojados por el informe es que los móviles son los poder realizar varios tipos de ataques Man-In-The-Middle., en el
más atacados, pero en controversia son los más difíciles de cual se puede manipular el tráfico HTTP, HTTPS y TCP en
proteger. tiempo real, como también el de buscar credenciales, entre otros.
Las empresas actualmente están considerando la adopción de Se puede decir que esta herramienta BetterCap es la versión
servicios de almacenamiento en la nube, ya que esto ha tenido mejorada de la otra herramienta que es llamada Ettercap, el cual
es otra herramienta muy popular para los ataques MIME.
un aumento significativo en los últimos años.[4]
Además, la herramienta BetterCap tiene la capacidad de descifrar
Ataque phishing SSL/TLS, HSTS, HSTS precargados. También utiliza SSLstrip+
y el servidor DNS (dns2proxy) para poder implementar la
Identificación de las herramientas y los procesos en un ataque derivación parcial de HSTS. Las conexiones SSL/TLS están
phishing terminadas., pero hay ciertas problemáticas, el cual la conexión
A continuación, se identificará la siguiente herramienta llamada descendente entre el cliente y el hacker no usa el cifrado
Black Eye, el cual es una herramienta gratuita para hackear con SSL/TLS y permanece descifrada.
phishing y es una de las más completas hasta ahora, el cual
contiene 37 plantillas web+1 personalizables, con la función de A continuación, encontramos algunos pasos para evitar un ataque
recopilar información de IP y ubicación simplemente haciendo
de phishing, los cuales son:
clic en el enlace. Además, admite las versiones móviles, y
también admite plantillas de algunos sitios web que son un poco
• Observar de forma detallada las URL en los enlaces de correo
complicados de clonar, no obstante, no es compatible con electrónico: Para este primer paso, se debe revisar los correos
algunas herramientas.
electrónicos que son enviados de otras personas a la bandeja de
Otra herramienta interesante es la Social Engineer Toolkit: esta entrada, el cual hay momentos que se adjuntan enlaces, pero antes
herramienta está diseñada para realizar ataques avanzados
de acceder, se debe pasar el cursor por encima, con el objetivo de
contra las vulnerabilidades de una persona. Los métodos ver la URL completa y el de poder saber si es auténtico o no lo es.
integrados en el kit de herramientas están diseñados para ser
Además, se debe tener en cuenta que al ver un candado al inicio o
diferentes ataques que están dirigidos y enfocados contra una el protocolo “HTPPS” no es garantía de autenticidad. Si uno
persona (víctima), una empresa u organización utilizada durante
como usuario no está seguro de esto, lo que se debe hacer es
una prueba de penetración, en el que incluye phishing, eliminar el enlace y el de acceder al sitio web capturando por
recopilación de información, clonación de datos, entre otras.
completo el enlace en el navegador de preferencia.
Algunas de las herramientas SET más populares son los • Typosquatting: Este se refiere al uso de dominios parecidos al
siguientes:
servicio legítimo a los que dicen pertenecer, pero que a la vez
• Ataque Man in the Middle. tiene intensiones maliciosas. Ya que por lo general los hackers de
• Spear-Phisihing Attack Vector.
sombrero negro, grises y algunos crackers, como también algunos
• Java Applet Attack Vector ingenieros sociales utilizan la URL de una empresa importante, y
• Metasploit Browser Exploit Method.
solo le cambian una letra o un número, con el objetivo de engañar
• Credencial Harvester Attack Method. a la mayoría de los usuarios. Es recomendable revisar la
• Método de ataque Tabnabbing.
ortografía de las URLs.
• Infectious Media Generator. • Utilizar contraseñas seguras: En este paso, es recomendable
para los usuarios el de crear, utilizar contraseñas complicadas,
Browser Exploitation Framework (BeEF): ante todo, en los como, por ejemplo: mAriA1987@#&/87.
sitios web hay ciertas vulnerabilidades, como lo son: XSS, el • No abrir emails que no se haya solicitado: Antes de abrir un
cual es una de las vulnerabilidades más comunes en las correo electrónico, se debe verificar si hay alguna alerta sobre
diferentes aplicaciones web. BeEF (Framework de explotación algún ataque de phishing de la empresa u organización que lo
del navegador) se utiliza para poder explotar una vulnerabilidad envía. Si desconfías, solo debes llamar a la empresa y el de
XSS y, además, se centra en los ataques del lado del cliente – realizar las preguntas correspondientes.
usuario. Una vez realizado la explotación con esta herramienta • No hagas clic en los enlaces de los emails: Por lo general un
en un sitio web, los usuarios de ese sitio web se convierten en ataque de phishing descarga varios tipos de malware a través de
víctimas y el navegador de las víctimas, el cual pueden ser enlaces que se han adjuntado al correo electrónico del usuario,
controlados por el BeEF. Un hacker puede instalar
como también en los enlaces de mensajes de redes sociales,
mensajes de WhatsApp, etc.
• No descargar ficheros adjuntos: Al igual que en los enlaces,
se deberá tener mucha preocupación al descargar los ficheros
adjuntos en las redes sociales, en los emails, y en el WhatsApp.
• Contar con un programa de formación antiphishing: Este
paso es en la parte donde se aplica a las medianas y grandes
empresas, en donde se crea conciencia en los trabajadores sobre
seguridad informática, en la parte de ingeniería social y sus
consecuencias.
• Cambia su contraseña de inmediato: Sí en el caso de que
caigas en un ataque de phishing no dudes en cambiar tu
contraseña, si en tal caso de que te hackearon en tu cuenta de
ahorros, debes comunicarte con tu entidad bancaria, para que
realicen las acciones correspondientes.[5]
Como prevenir la ingeniería social (phishing)
Es importante tener en cuenta que para las técnicas de ataques
phishing no existe una solución eficaz que logre eliminar por
completo este tipo de amenaza, lo que se puede hacer es tomar
medidas de seguridad que ayudan a mitigar el impacto de este
ante las empresas.
Existen medidas de hardware, software y una de las que nos
parece más importante es de implementar políticas de seguridad
para este tipo de amenazas, además de realizar capacitaciones al
personal y simulacros para evitar estos ataques.[5]
Medidas para contrarrestar el phishing en los sectores
empresariales:
Estas medidas son para los técnicos de las empresas, los cuales
son los encargados del funcionamiento del departamento de
tecnología de información.
a). Implementar herramientas de software para proteger las
redes con antivirus, anti-phishing, antispyware, sistemas de
protección total, antispam con funcionalidades de sandboxing
(se crea un entorno seguro, no permite instalar software
malicioso). Con estas herramientas se crean capas de seguridad,
que evitan que esta amenaza llegue a nuestros trabajadores.
b). Implementar herramientas de hardware como lo son firewall
UTM, routers y proxy, con una implementación de buenas
políticas, con el objetivo de garantizar la detección de vínculos
maliciosos.
c). Realizar simulacros con los trabajadores de la compañía,
simulado un ataque ficticio de phishing y luego hacer
retroalimentación en el simulacro realizado, teniendo en cuenta
los puntos vulnerables y corroborar los demás puntos.
d). Recomendaciones a los trabajadores en agregar a favoritos
los sitios web de confianza que son utilizados a diario, como
también de hacer seguimiento a las personas que se acaban de
conocer en las redes sociales, como, también afuera de sus
oficinas y dentro de estas mismas, de realizarles un seguimiento
sin entrar a su privacidad. Pero, además, en esa investigación
que se puede realizar a las personas y a los sitios web, se puede
obtener información confidencial de con quien se va relacionar
o a que sitio web va a ingresar y así con el objetivo de evitar
fugas de información privada dentro y fuera de la empresa.
e). Imagen del sistema: es recomendable realizar réplicas
exactas de los discos duros de los equipos de cómputo de la
empresa u organización ya configurado, a partir de instalaciones
limpias pero que también se puedan usarse en equipos con datos
ya incluidos, a fin de realizar las diferentes recuperaciones de
forma más rápida y sencilla en un caso de daño en la
computadora. Además, los sistemas operativos como Windows 7,
Windows 8, 8.1 y Windows 10, incluyen herramientas para la
elaboración de este tipo de respaldo.
f). Cifrado de particiones: realizar un cifrado de particiones para
hacer ilegible la información contenida en estas, por medio de
algunos algoritmos matemáticos simétricos, asimétricos o
también híbridos, es recomendable hacerlo en todos los equipos
portátiles y de escritorio de la empresa.
g). Autenticación: el departamento de informática debe crear
usuarios y contraseñas seguras, no solo para el acceso a los
sistemas operativos, si no, a las redes de datos, sistemas de
información a la BIOS de cada computador de la empresa. Se
debe tener en cuenta la longitud de las contraseñas estas deben ser
alfanuméricas, caducidad (asignarles límites de tiempo) y la
complejidad de las contraseñas de acceso atendiendo a las
recomendaciones que para ello existen en normas o guías
internacionales de seguridad de la información.[6]
Es importante tener claro la concientización de los usuarios en el
uso de las tecnologías de información, como responsables del
departamento de informática y, aún más en la parte de realizar las
diferentes campañas de capacitación y concientización acerca de
todos los temas de actualidad de TI y de la seguridad informática.
a). Crear contraseñas complejas, ya que generalmente los
usuarios utilizan el número de identificación, deben ser
alfanuméricas y se deben cambiar periódicamente, como, por
ejemplo: Fer1995@#$@27.
• Cambia las contraseñas cada tres o seis meses
• Utilizar contraseñas diferentes para cada plataforma online que
se utilice.
• Evita contraseñas fáciles de adivinar (Esta página te puede
ayudar a generar contraseñas de alta seguridad:
https://lastpass.com).
b). Aprender a identificar los correos electrónicos de phishing, el
cual existen algunas pautas a tener en cuenta para poder
identificarlos. Muchos intentos y estudios se han realizado para
hacer frente a ataques de phishing y se han creado muchas
soluciones diferentes para la detección de ellos, como el sello de
inicio de sesión , sheeram desarrollo de un sistema experto
basado en las características de las páginas web para detectar
sitios web de phishing, algoritmo genético basado en técnicas
anti-phishing Chen, detección de ataques de phishing basado en la
categorización de enlaces Atighetchi & Pal, prevención de
ataques de phishing basada en atributos Dunlop et al, contenido
basado en antiphishing Mishra & Gaurav, confrontación a los
ataques de phishing por la identificación de dos etapas Liu et al,
detección de páginas phishing basada en relaciones asociadas
Reddy et al, uso de algoritmos de minería de datos. Todas las
técnicas mencionadas se centran en detectar y contrarrestar
ataques de phishing. Al mismo tiempo, para la identificación y
prevención de ataques de phishing es necesario conocer su
periodicidad para llevar a cabo el análisis detallado de este tipo de
ataques.
Existen sitios antiphishing que analizan en “tiempo real”
cualquier URL solicitado por los usuarios, para comprobar los
riesgos de phishing usando cientos de las “funciones” del sitio.
Estas funciones evalúan el contenido de la página, la
información de reputación del dominio, además de muchos
otros factores. El aprendizaje mecanizado por inteligencia
artificial determina cuáles son las funciones significativas para
cada URL revisada y el peso que se debe aplicar a cada una de
ellas en la clasificación.
Un mecanismo que se ha propuesto para reducir los correos de
phishing en tiempo real es el método denominado IBC
(Intelligent Based Classification), el cual utiliza un algoritmo de
filtrado y clasificación inteligente que detecta los correos
electrónicos de phishing por sus propias características. El
algoritmo de clasificación detecta ataques de phishing y protege
a los usuarios de los enlaces poco fiables, mensajes instantáneos
y páginas web, además, puede detectar hasta un 96% de los
ataques de phishing en tiempo real.
Otra alternativa en la investigación de los ataques de phishing es
la aplicación de la teoría del caos. La metodología dada ha
encontrado amplia aplicación en la investigación de los
contenidos de información relacionada con datos sobre el tráfico
de las redes informáticas. Pero, como se ha dicho antes, el
análisis y la investigación de los ataques de phishing se
complican por dos motivos: primero, la escasa información
acerca de tales ataques, y segundo, la complejidad en la
recepción de la correspondiente información sobre phishing. Sin
embargo, desde el punto de vista de la investigación de los
ataques de phishing, como regla general, hay datos que
caracterizan a la cantidad diaria de ataques padecidos o
identificados. Tales datos, al menos, permiten juzgar la
capacidad de ataques a partir de su recálculo diario a durante un
periodo de tiempo. Por lo tanto, en su conjunto, es posible
identificar el cambio de la capacidad de ataques de phishing en
un periodo de tiempo que permite asignar valores de incidencia
o intensidad de estos ataques en ciertos intervalos, o su
uniformidad. De esta manera, tales conclusiones pueden ser
útiles para la posterior predicción
• Utilizan nombres y adoptan la imagen de empresas reales o
Llevan como remitente el nombre de la empresa o el de un
empleado real de la empresa.
• Incluyen webs que visualmente son iguales a las de empresas
reales o Como gancho utilizan regalos o la perdida de la propia
cuenta existente.
• Existe una solicitud de información personal o de la empresa,
tal como números de identificación, información financiera,
claves usuarios entre otras., además, es importante tener en
cuenta que las comunicaciones oficiales por lo general, no
solicitan información personal del usuario en forma de un
correo electrónico. o El mensaje es inesperado y no solicitado.
Si en algún momento recibe un correo electrónico de una
entidad o de una persona que rara vez trata, considera la
posibilidad de esta sospechosa de correo electrónico.
c). Verificar la fuente de información de los correos entrantes.
• La dirección del remitente no coincide con la firma en el
mensaje en Sí.
• Hay varios destinatarios y son direcciones aleatorias.
Normalmente se envían mensajes corporativos directamente a
los destinatarios individuales. o En el saludo del mensaje el
nombre se encuentra extraído de la dirección de correo.
• Pueden llegar mensajes en diferentes idiomas.
• El mensaje o los datos adjuntos piden que habilitar macros,
ajustar la configuración de seguridad, o instalar aplicaciones.
• El mensaje contiene errores. De tipo ortográfico, gramatical
etc.
d). No hacer click a los enlaces que llegan al correo electrónico
como adjunto.
• Teclea directamente la dirección web en tu navegador o utiliza
marcadores/favoritos si quieres ir más rápido.
• Tener en cuenta las extensiones de dominio diferentes. o
Verificar exhaustivamente la apariencia del sitio web, logotipos,
errores ortográficos, entre otros.
e). Introducir los datos confidenciales únicamente en las webs
seguras.
• Han de empezar por ‘https://’ y debe aparecer en tu navegador
el icono de un pequeño candado cerrado.
f). No descargar archivos adjuntos pueden tener malware o
programas para robarnos información.
g). Revisa periódicamente las cuentas del banco, ya que podemos
ser blanco de un robo sin darnos cuenta.
h). Evitar publicar nuestros datos personales en sitios públicos, en
foros, redes etc.
i). Infórmate constantemente acerca de los tipos de ataques
actuales y el modus operandi de los delincuentes.
j). No confíes de los constantes anuncios de Google.
k). No compartir información con todo el mundo: no es
recomendable compartir la información confidencial con
cualquier persona que se les cruce en el camino, si se está
trabajando en una empresa solo se debe compartir la información
confidencial con los directivos o jefes de la empresa, a si se logra
que la información esté más protegida y así la empresa sea menos
vulnerable a los diferentes tipos de ataques informáticos.
l). No tener miedo de amenazas: las personas no debemos
dejarnos intimidar por amenazas recibidas ya sea a través de redes
sociales o personalmente. Muchos delincuentes informáticos
utilizan ciertos elementos o información confidencial robada, para
asustar a sus víctimas y llevarlas a hacer algo en contra de su
voluntad, donde las personas terminan haciéndolo solo por temor.
Si se siente atemorizado por alguna amenaza, pida ayuda a las
autoridades policiales o cuéntele a alguna persona de confianza
para que este le ayude.[6]
CONCLUSIONES
Al realizar este artículo de revisión acerca de los diferentes tipos
de ataques de ingeniería social que se han dado en los últimos
años a nivel internacional, se pudo observar y visibilizar que
existen muchas falencias que hay frente al tema de la seguridad
informática y de la información, el cual suelen escatimar en los
diferentes gastos y la ausencia de ciertas actualizaciones en la
parte de la seguridad.
De esta forma se logra establecer que el ser humano es uno de los
eslabones más débiles que hay a la hora de ejecutar un ataque de
ingeniería social, por medio de algunas técnicas y metodologías,
en el cual se puede realizar la suplantación de identidad por
medio de llamadas telefónicas, como también espionaje,
espionaje por encima del hombro, y observar las rutinas de las
personas, sus gustos, entre otras.
Por medio de este documento se dio a conocer las diferentes
técnicas de ataque phishing que existen actualmente y de cómo
realizar un ataque con ingeniería social, identificando quienes
son los más vulnerables a estos tipos de ataques, como también
quienes son los que ejecutan los diferentes métodos de
ingeniería social, para poder lograr identificar las diferentes
vulnerabilidades en una empresa, como también en identificar y
describir cuales son los objetivos de los ingenieros sociales, sus
métodos, y de cómo ganarse la confianza de sus víctimas, ya
que no solo mediante el correo electrónico podemos suministrar
información valiosa de las compañías, si no directamente con
las víctimas. La ingeniería social tiene como objetivo el de
obtener la información de terceros, sin que las víctimas se den
cuenta, de una forma no convencional para poder obtener la
información deseada de una manera más eficaz y algo
complicado, pero más seguro. Ya que estos ataques suelen
realizarlos algunos grupos de hackers de sombrero negro,
espías, ciberdelincuentes, entre otros, en el que tienen varias
personas con diferentes conocimientos y cualidades en el área
de la seguridad informática.
La mayoría de las empresas que han sufrido estos tipos de
ataques (ingeniería social) en los últimos años, son aquellas en
las que pertenecen a las entidades bancarias, el cual tienen
muchos seguidores por la parte del manejo de recursos
económicos que se dan en estas mismas entidades. Además, los
ciberdelincuentes utilizan el método de phishing para el robo de
información confidencial, el cual este método consiste en enviar
correo electrónicos falsos a las diferentes cuentas de las posibles
víctimas, en el que se les solicita a los usuarios en registrarse en
esa página por un cambio en la base de datos de la entidad o que
su clave debe ser cambiada, ya que lleva mucho tiempo el de no
cambiarla, entre otras, para poder obtener los datos que ellos
quieren.
Con base en los objetivos planteados al principio del presente
artículo se observa la importancia que tiene la Ingeniería Social
y el impacto de esta, es de suma importancia tener conocimiento
de este tipo de prácticas ya que la información es vital para
todos, por este motivo es necesario que las personas tomen una
serie de precauciones para evitar este tipo de ataques, ya que la
desinformación es la principal herramienta que usan los
Ingenieros Sociales para sus prácticas.
La Ingeniería Social cambia constantemente adaptándose a los
medios que existan, pero si se estudia detenidamente el
principio del ataque es el mismo, esta investigación servirá para
atacar el fenómeno actual y también predecir el comportamiento
que tendrá en el futuro con el nacimiento de nuevas tecnologías.
La definición de Ingeniería Social se confunde con facilidad con
el término utilizado por las ciencias políticas el cual nos habla
de los esfuerzos y las acciones de los ingenieros por la sociedad,
sin embargo, el término informático es totalmente distinto
indicándonos que es la práctica de obtener información personal
a través de la manipulación.
Phishing es el principal delito de estafa a través de la red en la
actualidad, esta se realiza al momento de obtener información
de algún usuario y suplantar su identidad en diversos medios
como son entidades bancarias en línea, servicios de pagos a
través de la red, acceder a diversos tipos de redes sociales, etc.
Es fácil caer en este tipo de prácticas esto debido a que existe
una gran desinformación sobre este tipo de delito y la forma de
operar de las atacantes algunas de estas son:
• Correos electrónicos: Usuarios atraídos por una serie de
engaños muy simples para ingresar en diversos sitios y obtener su
información personal.
• Suplantación de páginas Web: Se basa en comprar el dominio
de una página web que se parezca mucho a la página oficial y de
esta forma cuando la gente intente acceder a este servicio la
información se le proporcionara al administrador de esta página.
• Instalación de malware: Al acceder a una página o descargar un
archivo el equipo se infecta con un programa llamado keylogger
este graba todo lo que hace el usuario con el teclado y lo envía al
correo de la persona que lo programo.
• Familiarity Exploit: Basado en la familiaridad y la confianza
que las personas tenemos al reaccionar a peticiones de individuos
que nos son relativamente conocidos.
• Trashing: Revisar los desperdicios y la basura nos puede
proporcionar información de los usuarios.
• Robo de información de cuentas bancarias: Se obtiene la
información como la clave del usuario y con diversos métodos se
obtiene la tarjeta de crédito de la víctima o se clona esta misma
después se vacía la cuenta.
A base del articulo también podemos proveer que el siguiente
blanco para los hacker son los dispositivos móviles,
primeramente porque nadie espera un ataque en su Smartphone o
en su Tablet pero sobre todo que no existen herramientas tan
desarrolladas para la seguridad de dispositivos móviles que para
computadoras personales, viendo esa deficiencia es importante
aplicar buenas prácticas de seguridad en estos dispositivos y no
dejar todo el cargo de la responsabilidad a los programas
automáticos. También se observa que mientras más avanzan las
tecnologías de comunicación, la gente descuida más su
información, esto se debe a que los usuarios dejan toda la
responsabilidad de seguridad a herramientas dedicadas a este fin,
sin embargo, como se comprobó, un pequeño descuido por parte
del usuario es una puerta abierta para el criminal.
Lo anterior da un amplio enfoque, permitiendo entender y
correlacionar conceptos que no parecieran tener una relación en
primera instancia, los usuarios deben de poner atención sobre a
quién proporcionan cierta información personal y en revisar que
se hace con esta misma.
Por medio de la guía que se especificó en el artículo, existen
diferentes alternativas que deben tener en cuenta los profesionales
en TI y los usuarios para tratar de contrarrestar este tipo de
ataques, puesto que De acuerdo a las cifras publicadas por el
CaiVirtual se ha visto un alto incremento en el robo de
información por medio de la técnica de ataque phishing, el cual se
pudo corroborar que casi el 80% de la protección de la
información está en la capacitación de los usuarios, de los
administradores y gerentes en el área de la informática, ya que
como nos dimos cuenta a lo largo de este articulo son el eslabón
más débil. Además de que en las empresas deben de implementar
un CCTV propio y que adicionalmente de contar con el CCTV de
una empresa de vigilancia, ya que debe estar monitorizado todos
los puntos de una empresa.
Es necesario crear de material como lo es el siguiente articulo,
que permita a los estudiantes mantenerse al día con las nuevas
tecnologías existentes en materia de seguridad, así como el
proveer conocimiento para el uso responsable de la información
que esté a su cargo durante su vida profesional.
RECONOCIMIENTOS
Lic. Alberto Manuel Paternina Leon
Lic. Oscar Efraín Tuiran Polo
REFERENCIAS
[1] Giraldo, J. P., & Duarte, I. G. (23 de Noviembre de 2018).
https://stadium.unad.edu.co. Obtenido de
https://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/27050/1/jpgiraldoma.pdf
[2] Guedez, A. (27 de Febrero de 2018). https://www.gb-advisors.com.
Obtenido de https://www.gb-advisors.com/es/riesgos-y-amenazas-de-la-
ingenieria-social/
[3] Iglesias, P. F. (13 de Junio de 2017). https://www.pabloyglesias.com.
Obtenido de https://www.pabloyglesias.com/mundohacker-ingenieria-
social/
[4] Welivesecurity. (6 de Junio de 2016). https://www.welivesecurity.com.
Obtenido de https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-
sobre-ingenieria-social/
[5] Zabala, J. A. (20 de Agosto de 2017). https://repository.ucatolica.edu.co.
Obtenido de https://repository.ucatolica.edu.co/handle/10983/14943
[6] Reddy, V., Radha, V. & Jindal, M. (2011). Client Side protection from
Phishing attack. International Journal of Advanced Engineering Sciences
and Technologies, 3(1), 39-45.