CIBERSEGURIDAD PARA

MICROEMPRESAS Y
AUTÓNOMOS
Unidad 5.
Ingeniería social
Parte teórica

1
CONTENIDOS

1 DEFINICIÓN DE INGENIERÍA SOCIAL

2 ¿QUÉ VALOR TIENE NUESTRA INORMACIÓN EN INTERNET?

3 TIPOS DE ATAQUES DE INGENIERÍA SOCIAL

4 CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

Unidad 5
Ingeniería social
2
 OBJETIVOS
Los principales objetivos de esta unidad son:

• Conocer en qué consiste la ingeniería social y su relación con la seguridad informática.

• Comprender cómo ganan dinero los ciberdelincuentes y las formas que tienen de monetizar los ataques.
• Reconocer, con ejemplos, los distintos tipos de ataques que utilizan la ingeniería social y aprender a detectarlos.
• Concienciar sobre las consecuencias de los ataques de ingeniería social.
• Explicar las formas de detectar los ataques relacionados con este fenómeno para disminuir sus consecuencias.

Unidad 5
Ingeniería social
3
1
DEFINICIÓN DE INGENIERÍA SOCIAL

Unidad 5
Ingeniería social
4
1 DEFINICIÓN DE INGENIERÍA SOCIAL
Definición

La ingeniería social es la práctica de engañar/manipular a un usuario para conseguir que él mismo revele
información confidencial.

Los autores de este hecho (criminales, terceros malintencionados, timadores, falsos técnicos, etc.) engañan a sus
víctimas para que hagan algo por ellos (enviar un correo, hacer clic, comprar algo…) o les den información confidencial
o sensible, como:
• Sus contraseñas de acceso a equipos informáticos.
• Sus credenciales bancarias.
• Información relacionada con productos y servicios.
• Información y datos de proveedores y clientes.

Unidad 5
Ingeniería social
5
1 DEFINICIÓN DE INGENIERÍA SOCIAL

La obtención de las credenciales (usuario y contraseña) de acceso a

nuestros equipos y aplicaciones puede ser utilizado para suplantarnos e
instalar secretamente un software malicioso. Este software podrá, por
ejemplo, darles:
• Acceso a otras credenciales (de aplicaciones, cuentas de correo o de
acceso a entidades financieras, etc.).
• El control sobre nuestros equipos y aplicaciones, que pondrán a
trabajar a su servicio.

Unidad 5
Ingeniería social
6
1 DEFINICIÓN DE INGENIERÍA SOCIAL

No creo que haya mucha gente que se deje engañar por este tipo de prácticas.

Generalmente, son fraudes sutiles, que están desarrollados de tal manera que
parecen suplantar la identidad de una página web o de una persona de
confianza. En algunos casos, utilizan información que no nos resulta sospechosa,
ya que está relacionada con nosotros, para que así bajemos la guardia. Luego
veremos algunos ejemplos.

Unidad 5
Ingeniería social
7
 1 DEFINICIÓN DE INGENIERÍA SOCIAL

Las técnicas de ingeniería social son más eficaces y menos costosas, en relación al tiempo y dificultad que
requieren, que los ciberataques complejos necesarios para obtener el mismo resultado; es decir, es más fácil
convencer a alguien para que te dé sus contraseñas, que intentar romper la contraseña por medios informáticos
(a menos que la contraseña sea muy débil).

«Una cadena es tan fuerte como su eslabón más débil».

«El usuario es el eslabón más importante de la cadena de la seguridad» [1]

Unidad 5
Ingeniería social
8
1 DEFINICIÓN DE INGENIERÍA SOCIAL

Estas premisas subrayan que el usuario es el elemento más importante de

la cadena de seguridad.

Aunque invirtamos en recursos tecnológicos debemos ser conscientes de que

es necesario aumentar la formación y concienciación en materia de
ciberseguridad de todos los miembros que utilicen y gestionen los sistemas
de información en la empresa para evitar o reducir los incidentes y engaños.

Unidad 5
Ingeniería social
9
1 DEFINICIÓN DE INGENIERÍA SOCIAL

Los miembros de nuestra empresa deberían tener unas nociones básicas para
poder identificar este tipo de engaños. ¿Eso es posible?

¡Efectivamente! Es importante que nuestros empleados cuenten con nociones que

les permitan identificar posibles engaños que representen una amenaza para el
negocio.

Como veremos a lo largo de esta unidad, podremos alcanzar este

objetivo a través de su concienciación en materia de
ciberseguridad.

Unidad 5
Ingeniería social
10
2 ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?

Unidad 5
Ingeniería social
11
2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?

¿Alguna vez te has parado a pensar por qué las redes sociales, los
servicios de correo electrónico u otros servicios ofrecidos a través de
Internet, son gratuitos? ¿Cómo ganan dinero?

La información de los usuarios es «el oro de Internet» por los ingresos que se generan en
publicidad, aprovechando que conocen qué buscamos, qué compramos, etc. Cada vez que un
usuario accede a algún tipo de información, haciendo clic en un enlace o un anuncio, está
revelando información sobre sus preferencias, intereses y gustos.
Unidad 5
Ingeniería social
12
2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?

Los usuarios ofrecen información y la información es poder.

En este tipo de servicios en Internet debemos revisar la configuración de la privacidad para ser conscientes de los
datos que recopilan y del uso que les van a dar. La legislación europea vigente protege de forma especial a los
consumidores en cuanto a la protección de datos personales; es decir, por ley deben avisarnos si toman datos
personales y para qué van a usarse. Además, debemos consentir su uso y la cesión de los mismos a terceros.

Unidad 5
Ingeniería social
13
2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?
La información de los usuarios se ha convertido en la pieza fundamental de las
estrategias utilizadas por distintas organizaciones y negocios, con el objetivo de mejorar la
selección de las ofertas de productos y servicios ofrecidos a sus clientes.

Conocer las preferencias de mis clientes me permite, sin duda, ofrecerles productos y
servicios más adaptados a sus necesidades.

Por otra parte, a través de Internet también hay quien trafica con información
obtenida ilegalmente y podemos encontrar información (páginas web, mensajes, etc.)
relacionada con actividades o acciones ilícitas.

Unidad 5
Ingeniería social
14
 2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?

Además del fraude y del robo de información, otras actividades ilegales tienen su
base en la Red aunque no sean evidentes. Esto se debe a que utilizan los bajos
fondos de Internet, la darknet, a la que solo se accede con software específico, que
permite el anonimato y la confidencialidad. Es donde se encuentran los mercados
negros de Internet. La darknet es el sitio ideal para todo tipo de actividades
maliciosas y delictivas. También la usan activistas y periodistas de regímenes con
limitada libertad de expresión.

Unidad 5
Ingeniería social
15
 2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?
El mercado negro de datos robados en Internet

En los siguientes extractos de noticias puede verse la relevancia que tiene este
fenómeno en la vida real.

Revelan el precio en el mercado negro por datos robados en Internet

En Internet existe un mercado clandestino o mercado negro en el que se vende

nuestra información, y es en este lugar donde los ciberdelincuentes compran o
venden servicios y datos, como números de tarjetas de crédito robadas, cuentas
de redes sociales, código malicioso y direcciones de correo electrónico, entre
otros.

Fuente: Antena 3 Noticias (23/06/2021) [2]

Unidad 5
Ingeniería social
16
 2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?
El mercado negro de datos robados en Internet

¿Cuánto cuesta en la deep web una tarjeta de crédito robada?

Existen multitud de tiendas en la Internet profunda que nos ofrecen todo tipo de artículos robados, aunque
predominan los productos relacionados con la tecnología y los servicios financieros. Además de todos estos
artículos, hay disponibles todo tipo de drogas, armas y documentación falsificada o robada de todos los países del
mundo.
Fuente: El Comercio (04/01/2021) [3]

Unidad 5
Ingeniería social
17
2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?

Como ya hemos mencionado, los ataques de ingeniería social también pueden terminar
con la infección de ordenadores, que luego serán utilizados sin el consentimiento de sus
propietarios para realizar actividades ilícitas.

Las botnets son redes de ordenadores infectados sin que los usuarios legítimos lo sepan. Actúan de forma
sincronizada bajo las órdenes de un C&C (ordenador de mando y control), controlado por la persona u
organización que infectó esos ordenadores.
Los ciberdelincuentes o las organizaciones criminales que están detrás de estas botnets se lucran con ello, pues
utilizan nuestros recursos para actividades por las que obtienen dinero: distribuir un código malicioso, enviar correo no
deseado, alojar páginas fraudulentas, lanzar denegaciones de servicio, minar criptomonedas, etc.

Unidad 5
Ingeniería social
18
2 ¿QUÉ VALOR TIENE NUESTRA
INFORMACIÓN EN INTERNET?

¿Qué consecuencias tiene esto para mi negocio?

• Tu conexión a Internet puede ir muy lenta.

• Tu IP puede bloquearse por envío masivo de spam.

• Tus equipos pueden ser utilizados (en remoto) para la

comisión de hechos delictivos.

INCIBE cuenta con un servicio para saber si un ordenador está infectado

Unidad 5
Ingeniería social
19
por una botnet. Puedes consultarlo aquí: [4].
3 TIPOS DE ATAQUES DE INGENIERÍA SOCIAL

Unidad 5
Ingeniería social
20
 3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Veamos ahora los tipos de ataques que pueden cometerse mediante técnicas de
ingeniería social, y luego os daremos algunas recomendaciones para poder identificarlos.

Los ataques por ingeniería social se pueden dividir en dos tipos:

Basados en componente humano

Engañar y lograr la confianza del usuario para conseguir:
• Que revelemos datos confidenciales.
• Que compremos productos/servicios fraudulentos (falsos antivirus, adware…), que contribuyan a sus
objetivos de distribuir software malicioso, redireccionar tráfico, etc.
• Ingresos directos a través del engaño: fraude por pago por clic, suscripción a servicios prémium, etc.
• Secuestrar datos y pedir un rescate.

Unidad 5
Ingeniería social
21
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL

Basados en software malicioso

Engañar al usuario para que instale en su ordenador
software malicioso que:
• Extraerá datos confidenciales del usuario.
• Le hará pertenecer a una botnet para enviar spam,
distribuir software malicioso, etc.

Unidad 5
Ingeniería social
22
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Ejemplos de ataques basados en componente humano

• Suplantación de la empresa de servicios: un ciberdelincuente se hace pasar por su compañía de Internet

o transporte para pedirle sus datos de conexión, contraseñas, cuentas bancarias, etc.
• Suplantación de un operador autorizado: un ciberdelincuente se hace pasar por un cooperador de una persona
con acceso autorizado de uno de sus proveedores, que se encuentra enfermo o fuera de la ciudad, para pedirle sus
datos de conexión a los servidores de red, contraseñas de archivos, etc.
• Suplantación de una autoridad del Estado: un ciberdelincuente se hace pasar por un agente de policía, bombero
u operario de Hacienda para solicitarle información confidencial, como datos personales, teléfonos, etc.
• Suplantación de una empresa de encuestas: un ciberdelincuente se hace pasar por una empresa de encuestas,
solicitando sus datos para verificar la encuesta.

Unidad 5
Ingeniería social
23
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Para entender mejor en qué consiste este tipo de ataques a continuación
veremos un caso de suplantación de la identidad de un falso soporte
técnico, pidiendo acceso a nuestro equipo a través de una llamada telefónica.

Ejemplo de suplantación de identidad

«Buenos días, le llamamos del servicio de soporte de XXX.

Hemos detectado que su ordenador tiene un virus altamente peligroso, pero

podemos eliminarlo para ello necesitamos que se instale el siguiente
programa…»

Si nos ocurre esto, debemos sospechar. En este caso, lo más prudente

es no dar ningún dato y llamar a nuestro banco para confirmar la veracidad
Unidad 5
24
de la llamada recibida. Ingeniería social
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Para entender mejor en qué consiste este tipo de ataques a continuación
veremos un caso de suplantación de la identidad de una agencia de
viajes, pidiendo nuestros datos a través de una llamada telefónica.

Ejemplo de suplantación de identidad

«Buenos días, le llamamos de la agencia de viajes XXX.

Para cerrar los vuelos de tu viaje es necesario que hagamos una reserva de los
asientos por adelantado, nos puedes dar los datos de tu tarjeta bancaria…»

Si nos ocurre esto, debemos sospechar. En este caso, lo más prudente

es no dar ningún dato y llamar a nuestro banco para confirmar la
veracidad de la llamada recibida. Unidad 5
Ingeniería social
25
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Para entender mejor en qué consiste este tipo de ataques a continuación
veremos un caso de suplantación de la identidad de una agencia de
viajes, pidiendo nuestros datos a través de una llamada telefónica.

Ejemplo de suplantación de identidad

«Buenos días, le llamamos de la Asociación XXX.

Como cada año tenemos que renovar su condición de asociado, nos ha venido
devuelto el recibo del banco y necesitamos cobrar su cuota, nos da los datos de
su tarjeta y realizamos el pago ahora mismo…»

Si nos ocurre esto, debemos sospechar. En este caso, lo más prudente

es no dar ningún dato y llamar a nuestro banco para confirmar la veracidad
Unidad 5
de la llamada recibida. Ingeniería social
26
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL

Veamos otros ejemplos que utilizan el mismo sistema de engaño, aprovechando

el auge del uso de los dispositivos móviles inteligentes (smartphones).

Más ejemplos de suplantación de identidad

Vishing: es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la
identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y
sensible de la víctima.​
Smishing: en este caso, la estafa se realiza mediante SMS, en los que se solicitan datos o se pide que se llame
a un número o se pide que se acceda a una web.

Unidad 5
Ingeniería social
27
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Ejemplos de ataques basados software malicioso

Ventanas emergentes
Las ventanas emergentes solicitan repentinamente la instalación de software o
complementos adicionales en el equipo para que pueda visualizarse contenido
audiovisual u otros programas, pero que realmente ocultan un software malicioso.

Phishing
Un correo electrónico o web falsa que se hace pasar por una persona o empresa de
confianza (banco, Hacienda, etc.) en una aparente comunicación oficial electrónica.
Al seguir las instrucciones que esta comunicación proporciona acabamos siendo
infectados o enviándoles nuestras credenciales de acceso al servicio.
Unidad 5
Ingeniería social
28
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Ejemplos de ataques basados software malicioso

Webs engañosas
Ofrecen una publicidad engañosa sobre un servicio gratis o un premio de un
concurso en el que para solicitar el servicio es necesario registrarse. Muy a menudo
utilizamos las mismas contraseñas para registrarnos en varios servicios, por lo que
probablemente estemos aportando sin darnos cuenta las credenciales de acceso a
nuestro banco o red social.

Spam con adjuntos maliciosos

Son correos electrónicos con publicidad engañosa que también pueden contener
archivos adjuntos, que instalan software malicioso en nuestros equipos.
Unidad 5
Ingeniería social
29
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
A veces, cuando navego en Internet por diversas páginas web
me solicitan que instale algo, como un complemento
(plugin), un antivirus, etc. ¿Puede tratarse de un ataque?

Fuente: Pop up de instalación de

Pues sí, es lo más probable si no proviene de una fuente oficial o de complementos [Captura de pantalla]
Extraído de
confianza. Este tipo de mensajes son muy frecuentes y hay que
https://www.pcrisk.es/guias-de-
asegurarse bien antes de realizar la instalación. desinfeccion/9291-flash-player-might-
be-out-of-date-pop-up-scam-mac
Al acceder a estos enlaces o instalar el elemento que nos indica
nuestro ordenador puede resultar infectado, pasando a formar parte de
una botnet, lo que permite al atacante acceder a la información confidencial
o sensible almacenada en el equipo y controlar nuestro equipo.
Unidad 5
Ingeniería social
30
 3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Es importante que nuestros empleados sean conscientes de la
existencia de este riesgo y sepan detectar, en caso de indicio,
qué equipos han podido ser infectados.

Y, ¿qué medidas puedo tomar para evitar este tipo de ataques?

Lo mejor es bloquear las ventanas emergentes del navegador de Internet.

A través de las opciones de configuración podemos saber cómo bloquear las ventanas emergentes en los
distintos navegadores de Internet [5].

Principales navegadores de Internet

Chrome Firefox Edge Safari Unidad 5
Ingeniería social
31
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
PHISHING

¿Y qué pasa con los casos en los que recibes correos electrónicos
de empresas que conoces y que a simple vista parecen legítimos?

En estos casos, hay que observar el correo electrónico

en detalle para detectar cualquier elemento sospechoso.

Unidad 5
Ingeniería social
32
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
PHISHING

Cómo detectar un ataque de phishing

empresa-paquetería@envíos.com

• Direcciones sospechosas. 2022

[email protected]

• Errores ortográficos.
• Fallos en logos o imágenes copiadas.
• Comprobar la identidad del remitente o del departamento.
• Y, sobre todo, sospechar si nos piden datos confidenciales sin que
hayamos realizado ninguna solicitud.
Recuerda: nadie ha de pedirte por correo electrónico, mensajes o
teléfono datos, como tus contraseñas, claves o coordenadas de Fuente: Ejemplo de un ataque de phishing
cuentas corrientes, PIN o SVN de las tarjetas de crédito, etc. [Captura de pantalla] Extraído de Outlook
Unidad 5
Ingeniería social
33
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL

Si, a pesar de estas indicaciones, no lo

tenemos claro y hacemos clic en el enlace
proporcionado en el correo electrónico,
debemos comprobar que se trata de una
dirección web real y segura.

¿SABES IDENTIFICAR LOS 10 PHISHING MÁS Fuente: Definición de protocolo,

Unidad 5
UTILIZADOS POR LOS CIBERDELINCUENTES? [6] dominio y ruta. Elaboración propia Ingeniería social
34
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Webs maliciosas

Al navegar por Internet, si no somos cuidadosos, podemos estar expuestos a diversos

riesgos, como el robo de información, la pérdida de privacidad o algún tipo de perjuicio económico.

Un caso muy común son las páginas de descargas de

contenido. En ellas, a través de diferentes banners y botones
(que generalmente llevan la palabra «descarga» o «download»)
se instala en nuestro equipo software malicioso.
También es muy común en este tipo de páginas la solicitud de
descarga de complementos del navegador para poder visualizar
Fuente: Descarga ilegal de contenido
contenidos multimedia, que en realidad son software malicioso. [Captura de pantalla] Extraído de
https://todotorrents.net/serie/78931/78931/Lo Unidad 5
35
s-protegidos-El-regreso-1-Temporada-720p Ingeniería social
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Webs maliciosas

En ocasiones, para la descarga de estos contenidos multimedia se

solicita al usuario el número de teléfono, como paso previo a su
visualización.
Con este método un ciberdelincuente puede conseguir dinero de forma
relativamente fácil, ya que al introducir nuestro número de teléfono se
realizará una suscripción a un servicio de tarificación especial (SMS
prémium) [7], que supondrá un coste económico al usuario. Fuente: Publicidad para introducir número de
teléfono móvil en servicios de SM premium
Generalmente, aceptamos sin darnos cuenta las condiciones del servicio [Captura de pantalla] Extraído de
https://www.osi.es/sites/default/files/actualidad/
prémium, que están indicadas de forma poco visible o que no nos blog/201508/introduce-tu-numero-de-telefono-
para-recibir-tu-codigo-pin.png
paramos a leer con detenimiento.
Unidad 5
Ingeniería social
36
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Spam

Se conoce como spam los correos electrónicos no solicitados, no deseados o de origen

desconocido (habitualmente son anuncios publicitarios), que generalmente son
enviados de forma masiva y causan un impacto negativo en el receptor.

¡Sí! He visto algunos de los ejemplos de spam más típicos: los de

Rolex, Viagra y Omega, o la transferencia millonaria desde un país
extranjero, entre otros..

Unidad 5
Ingeniería social
37
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Spam

• Los archivos adjuntos en estos correos pueden instalar

en nuestros equipos código malicioso (malware).
• Estos correos pueden llevar enlaces a sitios
fraudulentos, que pueden comprometer nuestro equipo.
• Si nuestros equipos han sido infectados pueden ser
utilizados, por ejemplo, para enviar enormes cantidades de
spam.
Fuente: Ejemplo de phishing [Captura de pantalla] Extraído de
• Podemos evitar el spam recibido utilizando los filtros que https://i1.wp.com/revista.seg-social.es/wp-
content/uploads/2020/05/EXfeH7YXgAATI33.png?fit=567%2C302
los propios servidores de correos ofrecen al usuario. &ssl=1

Unidad 5
Ingeniería social
38
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Spam

Por otra parte, si vamos a realizar un envío de correos masivo, como una campaña de marketing, ante todo debemos
cumplir la LSSI-CE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico), en cuanto a
comunicaciones comerciales. Si bombardeamos a nuestros clientes con mensajes, sus equipos pueden
considerarnos como spammers y nuestro correo terminará en el buzón de spam.

Consulta la web LSSI para ampliar información sobre la ley

y cómo enviar comunicaciones comerciales a tus clientes
de manera segura [8].

Fuente: Web LSSI [Captura de pantalla] Extraído Unidad 5

de https://lssi.mineco.gob.es/Paginas/index.aspx Ingeniería social
39
 3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
A continuación, veremos varios ejemplos frecuentes de correo spam, en los que nos
intentan engañar con promesas de dinero fácil. Generalmente, mediante esta técnica se
solicita una cantidad de dinero, con la promesa de incrementarla.

• Lotería: a la persona le llega un correo haciéndole saber que ha ganado un premio de lotería, aunque no haya
participado en el sorteo.

• El nuevo amor: es una de las más comunes. Consiste en que una supuesta mujer, generalmente extranjera, envía
un correo electrónico con una solicitud de amistad y fotografías personales. Al final te pedirán dinero.

• Nuevo trabajo: te ofrecen un trabajo con un sueldo muy elevado, pero requieren que adelantes dinero para
gestiones.

• El timo nigeriano: también conocido como carta nigeriana. A través de un correo electrónico te hacen saber que
eres el heredero de una cuantiosa fortuna, pero debes pagar antes una suma de dinero para poder gestionar la
herencia. ¡TODOS SON CASOS DE ESTAFA ! Unidad 5
Ingeniería social
40
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Medios extraíbles con contenido malicioso

La infección de nuestros equipos y dispositivos puede realizarse también a través de

acciones tan sencillas e inocentes como insertar una memoria USB. Si estos
dispositivos contienen software malicioso, podrían infectar nuestros equipos.

¿Sabías qué?
En la actualidad, los dispositivos de almacenamiento externo son la principal vía de contagio y transmisión
de programas malignos, debido a la inmensa popularidad y auge de todo tipo de tarjetas de memoria,
dispositivos de memoria externa USB, discos duros…

Unidad 5
Ingeniería social
41
3 TIPOS DE ATAQUES DE INGENIERÍA
SOCIAL
Medios extraíbles con contenido malicioso

Los virus que afectan a las memorias flash del tipo USB se propagan
por medio de un archivo autoejecutable, que como su propio nombre
indica, se ejecuta automáticamente cada vez que la memoria comienza a
funcionar al conectarse a nuestro PC.
Este tipo de ataques pueden llegar a bloquear los equipos, pidiendo a través
de un mensaje una cantidad de dinero para proceder a desbloquearlo.

Fuente: Ejemplo de autorun en memoria

USB [Captura de pantalla] Extraído de
https://filestore.community.support.microsoft.
com/api/images/4644d887-95ef-4b1a-950c-
54e66968bb70?upload=true Unidad 5
42
Ingeniería social
4 CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

Unidad 5
Ingeniería social
43
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA

Recuerda las dos premisas que hemos mencionado al comienzo de esta

unidad: «una cadena es tan fuerte como su eslabón más débil» y

«el usuario es el eslabón más importante de la cadena de la seguridad».

¿Cómo podemos, entonces, reforzar la seguridad de nuestra

organización?

Unidad 5
Ingeniería social
44
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA
Refuerzo de la seguridad

Concienciación de los Formación en materia de Desarrollo de políticas y

empleados ciberseguridad documentos internos de seguridad

En relación con las Para favorecer el desarrollo de Para empleados de la organización y

amenazas y los riesgos competencias en materia de terceros que pudieran resultar
relevantes para la prevención, defensa, protección, afectados: proveedores, clientes etc.
organización. análisis y medidas de actuación frente
a ciberataques.

Unidad 5
Ingeniería social
45
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA
¿Y cómo puedo aprender a identificar las amenazas y los incidentes realizados a través de
técnicas de ingeniería social?

Aquí presentamos una serie de recomendaciones dirigidas a facilitar la identificación de estos

ataques para evitar y reducir posibles incidentes de seguridad de este tipo.

Recomendaciones importantes:
• Recuerda: ni los bancos ni ninguna empresa con la que tenga un contrato en vigor

llamará directamente para pedir datos confidenciales.

• No instalar en los equipos programas de origen desconocido.
• Al iniciar sesión en cualquier web, comprobar que la URL es correcta.

Unidad 5
Ingeniería social
46
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA
Pero, hay casos en los que es difícil reconocer que la página web es falsa y que se trata de
un engaño, ¿no?

En estos casos, recuerda las indicaciones que hemos ido viendo a lo largo de esta unidad:

• Comprobar el contenido de la web, y si resulta sospechoso, no acceder a ningún enlace.

• Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.
• Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas web.

Si a pesar de estas indicaciones, aún tienes dudas, puedes verificar la legitimidad de una web mediante la
comprobación de su certificado digital. Esto es un elemento de seguridad por el cual se garantiza que la identidad
de una web se corresponde con la que dice ser [9].
Unidad 5
Ingeniería social
47
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA

En el caso del correo electrónico, es importante seguir estas recomendaciones para evitar ser
víctima de un ataque de ingeniería social:

• Comprobar que la dirección de los correos es legítima, y en caso

contrario, no leerlos ni acceder a sus enlaces.

• Desconfiar de los correos genéricos que no están dirigidos a tu nombre,

Fuente: Consejos para detector de
por ejemplo, «Dear client». phishing
[Captura de pantalla]. Obtenido de
https://blog.goptg.com/hubfs/amazon-
• Desconfiar de los enlaces en color azul que indican una dirección y al
phishing-email-send-highlighted.png
acceder a ellos abren una web con una URL distinta.

https://www.xxxxx.com/exec/obidos/sign-in.html

Unidad 5
48
Fuente: Consejos para detector de phishing [Captura de pantalla] Extraído de Ingeniería social
https://itayuda.es/wp-content/uploads/2015/08/amazon-phishing-734x430.jpg
4 CONCIENCIACIÓN Y MECANISMOS DE
DEFENSA
Por último, es importante tener instalado un antivirus en los equipos con la característica
antiphishing para correo electrónico y navegación web. Así, cuando visitemos por
error un página web maliciosa nos saldrá un mensaje como este:

Fuente: Alerta en el navegador web de

posible intento de phishing
[Captura de pantalla] Extraído
de https://support.eset.com/storage/ESET/Pl
atform/Publishing/images/Authoring/ImageFil
es/ESET/IMG_ESN/SOLN3100/v9/eset-
01.png

Unidad 5
Ingeniería social
49
 CONCLUSIONES

• El factor humano es el eslabón más importante de la cadena de la seguridad de la información de las empresas.
• La ingeniería social consiste en técnicas de engaño de todo tipo, tanto en el mundo físico como en el virtual.
• Las técnicas de ingeniería social son uno de los tipos de ciberataques más complejos y que más se
están utilizando para comprometer el acceso a los servidores de red de las empresas, aprovechándose de la
confianza o buena disposición de los empleados no concienciados en esta materia.

• Los ciberdelincuentes desarrollan acciones maliciosas destinadas a incrementar la vulnerabilidad de la línea

de defensa (el empleado) y abren vías de ataque que apuntan directamente al objetivo.

• La concienciación de los empleados de la organización es fundamental para evitar que estos ataques tengan
consecuencias en el negocio. Todos los empleados deben conocer los elementos básicos para reducir las
consecuencias de estos ataques en la empresa, que pueden provocar desde la infección de equipos hasta su
bloqueo e inutilización.
Unidad 5
Ingeniería social
50
 REFERENCIAS
Enlaces de interés de la unidad

[1] TemáTICas ingeniería social:

https://www.incibe.es/empresas/tematicas/ingenieria-social

[2] Revelan el precio en el mercado negro por datos robados en Internet:

https://www.antena3.com/noticias/tecnologia/asi-funciona-mercado-negro-robo-informacion-
internet_2021062360d39d5ce0f1e30001b934c9.html

[3] ¿Cuánto cuesta en la deep web una tarjeta de crédito robada?:

https://www.elcomercio.es/tecnologia/internet/cuanto-valen-datos-mercado-negro-oro-siglo-20201229113606-
ntrc.html

[4] Servicio de INCIBE para la detección de infecciones de ordenadores por botnets:​

https://www.incibe.es/empresas/te-ayudamos/servicio-antibotnet

Unidad 5
Ingeniería social
51
 REFERENCIAS
Enlaces de interés de la unidad

[5] Configuración ventanas:

CHROME - https://support.google.com/chrome/answer/95472?hl=es-419​
FIREFOX - https://support.mozilla.org/es/kb/configuracion-excepciones-y-solucion-de-problemas-
EDGE -https://support.microsoft.com/es-es/microsoft-edge/bloquear-elementos-emergentes-en-
microsoft-edge-1d8ba4f8-f385-9a0b-e944-aa47339b6bb5
SAFARI - https://support.apple.com/es-es/guide/safari/sfri40696/mac

[6] 10 phishing más utilizados:

https://www.incibe.es/empresas/tematicas/phishing

[7] Conoce los fraudes utilizados en Internet: SMS prémium:

https://www.incibe.es/empresas/blog/fraudes-online-aprende-identificarlos

Unidad 5
Ingeniería social
52
 REFERENCIAS
Enlaces de interés de la unidad

[8] LSSI:
https://lssi.mineco.gob.es/paginas/Index.aspx

[9] Aprendiendo a verificar la legitimidad de un sitio web:

https://www.incibe.es/empresas/blog/pautas-ingenieria-social-covid-19

Unidad 5
Ingeniería social
53
51