1

https://citeia.com/hacking/es-posible-hackear-humanos-la-ingenieria-social 

El Arte de la Ingeniería social y como hackear

humanos.

Suena impactante y el titular es bastante agresivo, pero… no por ello menos cierto. 

1. ¿Es posible hackear humanos? ¿hackear a una 

persona? 
No, no estamos hablando de Hackear sus cuentas o su ordenador mediante la 

implantación de códigos complejos. Estamos hablando de Hackear su forma de pensar, 

hackear su cabeza, hackear a un ser humano. 

Bien, si no lo fuera no estaría escribiendo esto por lo que demos por respondida la 

pregunta y vamos al grano. A continuación vas a aprender unos cuantos métodos que te 

2
van a ayudar a protegerte de la Ingeniera Social, o bien implementarla para hacer un mal 

uso de ella. Dependiendo de en que bando estés. 

Vamos a aclarar un par de puntos. Es cierto que existen muchas soluciones de 

seguridad actualmente, antivirus, anti-malwares, bloqueadores y demás que nos 

ayudarán a navegar con algo de seguridad por la red, repito “algo .” 

Ahora dejemos de ser infantiles por un momento y llamemos a las cosas por su nombre. 

La línea que separa a un hacker o un estafador experimentado de tus credenciales es 

francamente pequeña y por muchos métodos de seguridad que implantes el único que 

puede protegerte eres tú. 

De poco te servirá un antivirus si te estafan con Ingeniería Social. 

3
2. Ingeniería social para atacar empresas. 
En el caso de querer atacar a empresas, un hacker estudiaría tanto a la empresa como a 

las personas dentro de ellas para poder hacer una investigación a fondo que les facilite 

información para llevar a cabo su plan. 

Un ataque de esta magnitud puede tardar bastante tiempo para llevarse a cabo y nunca 

se pedirá toda la información a la vez, es más bien una recopilación paso a paso. Esto 

podría hacerse con distintos métodos, mediante llamadas telefónicas, correos 

electrónicos, quejas, problemas técnicos o etc… 

Un hacker puede presentarse como un curioso o un interesado en la empresa, puede 

hacerse pasar por otra persona con una simple suplantación de identidad o puede 

intentar tirar a ciegas por tu bandeja de entrada de mail. Este puede fingir que quiere 

trabajar contigo para conseguir información sobre sus puntos de Interés y luego lanzar 

un ataque personalizado. 

2.1. Cómo conseguir datos de contacto. 

Es muy fácil conseguir datos de contacto de una empresa si estos no son mostrados en 

su página web de buenas a primeras. 

Encontrar Correos electrónicos de webs. 

Con ​Hunter.io​ tendrás acceso a las direcciones de correo electrónico que tengan 

relación con la empresa (Mediante un dominio web) y ahí encontrar al eslabón más débil 

o el departamento de la empresa por el cual le interese más acceder. 

4
Encontrar números de teléfono 
Los teléfonos tampoco son difíciles de encontrar, suponiendo que la página web no 

ofrezca el número de teléfono de su propia mano, uno de los métodos es forzar a 

google a que nos lo diga con el uso de las comillas (“”) 

Esto hará que google fuerce la búsqueda en 

todas las páginas web, incluido facebook. Le 

dará los resultados de cualquier lugar donde se 

hable del teléfono de esa empresa. 

Poco voy a decir sobre esto, tenemos facebook, 

instagram, Linkedin… cabe a destacar que si la 

empresa dispone de Linkedin pueden encontrar 

a la persona clave por la cual van a intentar 

ejercer la ingeniería social. 

3. Ingeniería social para 

usuarios. 
Bueno, para empezar con esto vamos a 

ponernos en la siguiente situación ya que será 

algo más complejo y vamos a plantear y resolver 

el problema juntos. 

Un hacker, se ha enterado de que “Carlos 

Cabrera” (Persona FICTICIA) tiene una cantidad de dinero en paypal que le interesa y 

mediante Ingeniería social quiere obtener las credenciales de su cuenta de PayPal. 

5
 ¿Qué información hay disponible sobre Carlos Cabrera (PERSONA FICTICIA) en 

internet? 

Comencemos por sus Redes Sociales. 

El hacker puede encontrar su facebook 

utilizando las comillas en el buscador 

de google: “Carlos Cabrera” Facebook. 

O buscándole directamente en 

Facebook. 

Como ves, google nos arroja un montón 

de resultados con diferentes perfiles. 

Bastará con encontrar el de Carlos y ver 

la privacidad que tiene en su perfil para 

extraer información que pueda serle útil. 

Si no encuentra información útil, 

también puede hacer lo mismo en 

instagram o en Linkedin. 

6
  

El hacker buscará toda la información referente a el tal Carlos en c

​ ualquier red social ya 

que es información abierta y de uso público.​ (Para que veas lo fácil que es encontrar 

información personal en internet y porque ​no tienes que DAR TU INFORMACIÓN EN 

INTERNET​) 

Teniendo sus Redes Sociales, buscará cosas que puedan serle interesantes para 

encontrar la cuenta de paypal de Carlos. Por ejemplo, mediante Instagram podemos ver 

que a Carlos le encanta hacerse fotos. 

Y está facilitando UN MONTON DE INFORMACIÓN ACERCA DEL EL. 

7
(sed conscientes de lo que es una red social por favor) 

Vamos a analizar a Carlos. 

● Es de Barcelona. 
● Le gusta viajar. 
● Le gusta hacer deporte. 
● Tiene un Estilo de vestir X. 

A ver, Carlos sería IDEAL para promocionar un 

precioso producto ficticio, la “voyage vox”. Le 

podrían “regalar” una por Instagram para que suba 

fotos con ella. Vamos a analizar un poco más. 

Carlos también sería IDEAL para promocionar una 

marca de la tienda de ropa (ficticia) 

Carlos también sería IDEAL para promocionar 

material de Gimnasio (FICTICIO) 

Vale, Hay 3 posibles entradas hacia Carlos. 

¿Cual de las tres?

Vamos a continuar suponiendo que el hacker escoge la del Gimnasio. 

El hacker crea una cuenta de Instagram con imagenes de productos de gimnasio de X 

marca y suplanta su identidad. Completa su perfil con un enlace a su página web y se 

crea una d
​ irección de correo electrónico con el nombre de la web​, si la web es 

8
“gimnasioypesas.com” pues el correo será [email protected] (o 

cualquier otra suplantación que sea creíble) 

Ok, el hacker puede contactar a Carlos por instagram mostrando el interés que tiene de 

que él promocione sus productos en su cuenta llevándose un buen incentivo. Solicita a 

Carlos una dirección de correo electrónico y un número de Teléfono para ponerse en 

contacto con él, y este, interesadamente se las entrega. 

Disponiendo del Mail y el Teléfono, Carlos lo tiene crudo. 

4. Comprobar el Mail de PayPal 

El hacker puede ir a Paypal.com e intentar registrar un PayPal con la dirección de correo 

que Carlos le ha enviado. En el caso de que no pueda crease la cuenta porque ese mail 

ESTÁ REGISTRADO, el hacker habría dado con la dirección de CORREO DE SU PAYPAL. 

Por lo que puede proceder de varias formas para obtener su contraseña con Ingeniería. 

Una de las formas, con un X

​ ploitz de PayPal​ directo a su correo electrónico. 99% 

Efectivo con la información disponible de Carlos. 

Si no sabes lo que es un ​Xploitz d

​ ale un vistazo al siguiente artículo. 

9
4.1. Cómo crear un Xploitz

Que es y como se utiliza un xploitz 

¿Como se puede asegurar al 100%? 

Para poder ​hacer un Xploitz​ que funcione al 100% el hacker podría​ llamar directamente 

al teléfono de Carlos​ y así verificar sus datos en la llamada. Para esta haría falta 

recopilar más datos interesantes sobre Carlos, como su dirección postal. Podría ser 

fácil de conseguir en Facebook.  

10
Con una llamada falsa de PayPal le puede engañar con: 

“Hola Carlos, Soy Antonio, de PayPal.” 

“Hemos recibido una ​solicitud de transacción a su favor​ de una 

cantidad ​bastante alta​ de una dirección de correo electrónico que no 

pertenece a sus contactos comunes,​ siguiendo nuestra normativa 

tenemos que v​ erificar algunos datos​ para que pueda disfrutar de su 

dinero.” 

“​Para poder efectuar la transacción​ tendremos que verificar algunos 

datos.” 

Verifica la dirección de correo electrónico, número de teléfono, 

dirección postal, le pide que le diga los 4 últimos dígitos de la cuenta 

bancaria vinculada a el PayPal. Si alguno de estos datos como la 

dirección Postal no coinciden con los que Carlos dice, el hacker puede 

preguntar cuál es la dirección correcta para modificarla y seguir 

manteniendo la credibilidad. 

11
Podría funcionar cualquier otra cosa, este solo es un Texto de ejemplo. 

En el caso de que Carlos se haya creído la llamada telefónica. El hacker tiene el trabajo 

hecho, en este nivel es imposible de que Carlos se de cuenta de lo que le va a pasar. 

Toda esta información sustraída mediante Ingeniería Social y técnicas psicológicas se 

pueden utilizar para personalizar el Phishing o mail del Xploitz. E

​ scribiendo incluso los 4 

últimos números​ de su cuenta bancaria, la cifra que va a recibir del “Pagador 

desconocido” y toda la información complementaria que hará funcionar Phishing. 

4.2. Cómo identificar un virus de Phishing

citeia.com 

El hacker creará el mail y pedirá a Carlos que entre en su cuenta de PayPal mediante el 

Link (FALSO) de Paypal, por ejemplo ​www.paypal.com/log-in/verify-account-two-step​ . 

Si observas este link, parece un link de PayPal. Si entras, te lleva a algo totalmente 

diferente. Esto es un Texto Ancla. ​¿Entendemos su peligrosidad? 

12
Cuando Carlos entre en la URL falsa, irá derechito hacia un ​Xploitz q
​ ue r​ obará sus 

credenciales​. 

5. Que pasa si el hacker no encuentra la 

dirección de correo del PayPal registrado. 
Si el hacker no encuentra la dirección de Correo de PayPal, gracias a la ventaja que le ha 

sacado a las Redes Sociales y el falso trato de promocionar su gimnasio en instagram, 

el hacker podrá enviarle una Falsa factura/Catálogo/Contrato conteniendo un K

​ eylogger 

a su correo electrónico​. 

¿No sabes que es un Keylogger? Entonces Vas a alucinar con este artículo… 

5.1 Que es un keylogger y como funciona

Conclusión. 

13
En definitiva, esta es solo una estrategia de Ingeniería social de las miles que existen 

para hackear. Podría ser aplicable a casi cualquier ámbito en internet.  

Esta estrategia no requiere un alto nivel de Ingeniería Social. Imagínate lo que puede 

lograr alguien con Experiencia en Ingeniería Social. 

Tienes que entender lo peligroso que es internet y el uso de las Redes Sociales. Es 

necesario empezar a concienciarse de esto y dejar de ofrecer tus datos personales en 

cualquier parte. Tomar medidas de seguridad y tener cuidado en internet. Google, 

Facebook(Instagram, Whatsapp), Microsoft, Apple etc… Ofrecen tus datos como si fuera 

un Buffet libre. 

O te proteges tú mismo, o estás solo ante el peligro. 

Si quieres aprender más acerca de Seguridad Informática y métodos de Hacking dale un 

vistazo a nuestros artículos en la web h

​ ttps://citeia.com​, suscríbete a la Newsletter o 

búscanos en Instagram ​@citeianews​ . 

Esperamos que te haya sido útil el artículo 

14