Gestión de vulnerabilidades

Ingeniería Social
4.1 Ingeniería Social I
Muchas veces el concepto de Ingeniería Social se lo asocia
directamente con el Phishing y/o engaños telefónicos, si bien es cierto
que este tipo de prácticas se utilizan con frecuencia, la Ingeniería
Social es mucho más que eso, pudiendo utilizar diferentes técnicas y
herramientas como, por ejemplo, Psicología, Comunicación No
Verbal, Negociación, Magia e Ilusionismo, entre tantas otras (Fuente:
Emiliano Piscitelli (2015) Revista Users Edición 291 "Ingeniería
Social". Argentina: RedUsers)

Quizás sin darnos cuenta en nuestro día a día vivimos distintas

situaciones donde se utiliza la Ingeniería Social, como por ejemplo las
siguientes:

● Niños manipulando a sus padres para obtener algo.

● Psicólogos utilizando las preguntas correctas.
● Agentes de seguridad interrogando y obteniendo información
valiosa.
● Políticos generando un gran impacto (positivo o negativo) a
través de sus discursos.
● Actores y actrices haciéndonos creer verdaderamente sus
interpretaciones.
● Vendedores generando empatía con sus clientes.

A lo largo de este documento se expondrán distintos ejemplos que

ayudarán a comprender la efectividad que la Ingeniería Social posee
explotando vulnerabilidades humanas, como así también, la forma de
utilizar la misma en los test de intrusión y los programas de
concientización.

4.1.1 Definiciones
El origen del término Ingeniería Social se remonta a fines del siglo 19,
y dista mucho de lo que hoy conocemos como tal, desde entonces
podemos encontrar varias definiciones de este, según el autor que
consultemos. En mi caso, me gusta definir a la Ingeniería Social como
una mezcla entre arte y ciencia que tiene como objetivo manipular o
influenciar a una persona, o grupo de personas, para que accione de
una determinada manera, independientemente de su interés real.
(Fuente: Emiliano Piscitelli (2015) Revista Users Edición 291
"Ingeniería Social". Argentina: RedUsers)
Haciendo una analogía rápida, podemos definirla como algo similar al
famoso “Cuento del Tío”, pero en este caso quizás (dependiendo los
recursos y objetivos) se estarían utilizando distintas técnicas,
herramientas y tecnologías que ayudan a cumplir con el objetivo
principal.

4.1.2 Ciclo de ataque

Al iniciar un proyecto de Ingeniería Social es recomendable respetar
un ciclo de ataque bien definido, ya que siguiendo cada una de las
fases de este ciclo es posible elevar el porcentaje de éxito en la
concreción del objetivo.

A continuación, se presentan cada una de estas fases:

Recolección de la información:

Tal como dijo alguna vez Chris Hadnagy (escritor, instructor y

Chief Human Hacker en Social-Engineer.com): “Un ingeniero
social es tan bueno como la información que tiene o que puede
conseguir”. La búsqueda de información es tan importante que
se estima que el 60 % del tiempo que se emplea en un ataque
de Ingeniería Social se le dedica a esta tarea.

Desarrollo de la relación:

Este es un punto crítico, ya que la calidad de la relación

construida por el atacante determinará el nivel de cooperación
de la víctima y, en consecuencia, aumentará el porcentaje de
éxito para lograr el objetivo.

Esta acción puede llegar a ser tan breve como el acto de ir

corriendo hacia una puerta con una gran sonrisa y generar un
contacto visual con la víctima, en consecuencia, la misma
mantendrá la puerta abierta para que el atacante pueda
ingresar a la empresa. El atacante también podrá conectar a
nivel personal por teléfono, mostrar fotos de la “familia”,
compartir historias con su víctima (generalmente quien esté en
el Front Desk), etc.

Esta fase también puede ser tan extensa como construir una
relación a través de alguna red social, generalmente
valiéndose para ello de un perfil falso (hombre o mujer,
dependiendo de la persona-objetivo elegido).
Explotación de la relación:

En esta fase el atacante aprovecha las relaciones construidas

anteriormente, tratando de no levantar sospechas. La
explotación puede tener lugar a través de la divulgación de
información aparentemente sin importancia o el acceso
concedido y/o transferido al atacante.

Los ejemplos de una explotación exitosa pueden incluir (entre

otros):

● La acción de la víctima al mantener abierta la puerta

para permitir el ingreso del atacante a las instalaciones
de la empresa.
● La revelación de credenciales (nombre de usuario y
contraseña) a través del teléfono.
● Introducción de un pendrive con malware en una
computadora de la empresa.
● La apertura de un archivo infectado adjunto en el correo
electrónico.
● La exposición de secretos comerciales en una
discusión con supuestos “pares”.

Ejecución para lograr el objetivo:

Esta fase se establece cuando se logra el objetivo final del

ataque, o por distintos motivos el ataque termina sin levantar
sospechas de lo ocurrido. En general el atacante tratará de
poner fin a un ataque sin cuestionar lo sucedido, ya que de otra
forma levantaría sospechas en la víctima. En cambio, intentará
dejar la sensación de haber hecho algo bueno por la otra
persona, permitiéndole así futuras interacciones.
Aquí es también donde se trata de no dejar ningún cabo suelto,
borrando las huellas digitales, información en general, etc.
Una estrategia de salida bien planificada y silenciosa es el
objetivo del atacante y acto final en el ataque. (Fuente:
Emiliano Piscitelli (2015) Revista Users Edición 291 "Ingeniería
Social". Argentina: RedUsers)
4.1.3 Recolección de información/fuentes
De esta fase depende en gran porcentaje el éxito o fracaso del trabajo
de un Ingeniero Social. Para ello se utilizan técnicas de OSINT (Open
Source Intelligence), este término se refiere a la obtención de datos
desde fuentes abiertas pudiendo a través de distintas técnicas y
herramientas obtener gran cantidad de información la cual una vez
procesada y analizada servirá tanto para armar el perfil de una
persona como así también de una empresa.
Algunas de las fuentes para obtener información pueden ser las
siguientes:

● Medios Online (revistas, diarios, radios, etc.).

● Redes sociales (Facebook, Twitter, LinkedIn, Instagram, etc.).
● Datos públicos (reportes de gobierno, conferencias de prensa,
etc.).

Los atacantes generalmente se valen de estas fuentes para poder

obtener la mayor información posible, tanto de la empresa como así
también de cada uno de sus empleados. De esta manera se enriquece
la primera fase del ciclo de ataque (recolección de la información) que
como hemos comentado anteriormente, es la más importante.
(Fuente: Emiliano Piscitelli (2015) Revista Users Edición 291
"Ingeniería Social". Argentina: RedUsers).

4.1.4 Despliegue a través de Software

Existen diferentes herramientas de Software que pueden ayudar a un
Ingeniero Social en su labor. A continuación, se presentan algunas de
las más destacadas:

Maltego: Maltego es una de las herramientas más utilizadas en

OSINT, pudiendo a través de sus distintos componentes obtener
información y relaciones detalladas del/los objetivo/s.

Debido a su flexibilidad en la integración con diferentes fuentes de

datos, distintas soluciones fueron integrando sus plataformas a
Maltego.
Actualmente existen tres versiones de Maltego:

● Maltego CE (Community Edition)

● Maltego Classic
● Maltego XL.

En nuestro caso utilizamos la versión CE, la cual se encuentra

integrada en Kali Linux.

Figura 1: Pantalla de inicio y sección “Transform Hub”

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].
Figura 2: Búsqueda por dominio

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].

Figura 3: Búsqueda por Mail

Fuente: Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].

The Social-Engineer Tool Kit (SET): SET es una de las herramientas

de Ingeniería Social más populares, la misma fue creada por Dave
Kennedy (fundador de TrustedSec (empresa de Seguridad IT)).

Esta herramienta se encuentra desarrollada en Pyhton y cuenta con

la posibilidad de realizar diferentes tipos de ataques como por
ejemplo: Spear-Phishing, Wireless y SMS, entre otros.
A continuación, se puede apreciar el menú principal como así también
los distintos ataques de Ingeniería Social (disponibles al momento de
realizar la captura de pantalla):

Figura 4: Menú principal de SET

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].
Figura 5: Opciones de “Social-Engineering Attacks”

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].

Metasploit: esta famosa herramienta fue creada en el año 2003 por

H.D. Moore utilizando para ello el lenguaje Perl (hoy en día está
desarrollada en Ruby). En 2009 Metasploit es adquirido por la
empresa Rapid7 y H.D. Moore pasa a formar parte de la compañía.
Luego de esta adquisición la empresa Rapid7 comienza el desarrollo
de lo que hoy conocemos como Metasploit Pro.

Metasploit es una de las herramientas de seguridad más utilizadas a

nivel mundial y si bien una de sus funciones principales es la de
explotar vulnerabilidades de distintos sistemas, la misma posee
módulos que ayudan al Ingeniero Social tanto en la fase de
recolección de la información como así también en la de explotación
de la relación dentro del Ciclo de ataque.

Actualmente existen 2 versiones:

● Metasploit Framework (MSF)

● Metasploit PRO
En nuestro caso utilizamos la versión Framework, ya que la misma
se encuentra integrada en Kali Linux:

Figura 6: Pantalla de inicio de MSF

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].

Figura 7: Creando un PDF malicioso en MSF

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].
Figura 8: MSF a la espera que una victima se conecte

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].

Figura 9: Victima ejecutando el PDF malicioso desde Windows

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].
Figura 10: Atacante con control de la victima desde MSF +
creacion de carpeta con el nombre “Malware” en el escritorio de
la misma.

Fuente: Matelgo Kali Linux Edition (Piscitelli. E.) 2018 [captura de pantalla].
4.2 Ingeniería Social II
4.2.1 Utilización de Hardware
Al igual que las distintas herramientas de software con las cuales
puede contar un Ingeniero Social, existen diferentes dispositivos
físicos, los mismos pueden ser utilizados en la fase de explotación de
la relación dentro del ciclo de ataque.

A continuación se detallan algunos de los más conocidos y utilizados:

Throwing Star LAN Tap Pro

El Throwing Star LAN Tap Pro es un pequeño dispositivo ethernet que
permite interceptar los datos que envía y recibe la computadora de
una víctima conectada a una red.

Este dispositivo posee cuatro puertos ethernet en forma de cruz y se

coloca entre el cable de red de la víctima y la boca de red en la cual
está conectada. Los dos puertos restantes son utilizados para
conectar la computadora del Ingeniero Social, pudiendo de esta
manera utilizar analizadores de protocolos como Wireshark para
analizar los paquetes interceptados.

Figura 11: Throwing Star LAN Tap Pro

Fuente: [Imagen intitulada sobre Throwing Star LAN Tap Pro , recuperado de:
https://greatscottgadgets.com/
Packet Squirrel
Packet Squirrel es un dispositivo que permite interceptar paquetes
para luego analizarlos. A diferencia del Throwing Star LAN Tap Pro,
el mismo permite establecer un canal seguro a través de una VPN
(Virtual Private Network) como así también cargar scripts
personalizados con el fin de automatizar distintas tareas sobre la
información recolectada.

Figura 12: Packet Squirrel

Fuente: [Imagen intitulada sobre Packet Squirrel] Recuperado de: https://www.hak5.org/

Lan Turtle

A simple vista este dispositivo aparenta ser un adaptador de USB a

Ethernet (la conexión USB sirve para dar alimentación eléctrica al
dispositivo), pero en realidad no es ni más ni menos que una
computadora la cual posee distintas herramientas precargadas que
ayudarán al Ingeniero Social a obtener información y descubrir
vulnerabilidades dentro de la red a la cual se lo conecte.

LAN Turtle posee distintos módulos para manejar sus herramientas y

servicios, los mismos pueden iniciarse, pararse, habilitarse,
deshabilitarse y configurarse según las distintas necesidades.
Figura 13: Lan Turtle

Fuente: Fuente: [Imagen intitulada sobre Lan Turtle Recuperado de: https://www.hak5.org/

KeyGrabber USB

Los keyloggers siempre fueron útiles para obtener toda la información

que un usuario escribe en su PC, la principal dificultad era lograr
instalar el software en el equipo sin que nadie lo notara. KeyGrabber
USB apareció hace unos años permitiendo evitar ese paso. El mismo
es un dispositivo pequeño que se conecta entre el teclado y el puerto
de entrada del teclado en el equipo (USB) y, sin instalar ningún tipo
de driver adicional, graba en su interior todas las teclas que los
usuarios presionan. Con el correr de los años, nuevas versiones
aparecieron y, aunque la esencia del dispositivo sigue siendo la
misma, se le agregaron algunas funcionalidades que facilitan su uso.
Hoy en día, permite grabar hasta 2Gb de datos en su interior
guardando fecha y hora de cuando se presiona cada tecla. Además
existe una versión “WiFi” que otorga la posibilidad de no tener que
acceder al dispositivo físicamente luego de la recolección, sino que
toda la información se comparte a través de la red.
Figura 14: Teclado directamente conectado al puerto USB
(izquierda) vs KeyGrabber USB conectado entre el teclado y el
puerto USB (derecha)

Fuente: [Imagen intitulada sobre Teclado directamente conectado al puerto USB (izquierda)
vs KeyGrabber USB conectado entre el teclado y el puerto USB (derecha)] Recuperado de:
http://www.keelog.com/

Rubber Ducky

Tal como lo describe su creador Darren Kitchen (uno de los

fundadores de Hak5 (empresa creadora del dispositivo Rubber Ducky
entre otros)): Rubber Ducky se ve como un Pendrive, huele como un
Pendrive pero no es un Pendrive. Este dispositivo en realidad es un
arma capaz de inyectar comandos en cualquier equipo al que se lo
conecte. Se trata de un emulador de teclado que posee comandos
pregrabados en su memoria. Cuando es conectado en un equipo
(Windows, GNU/Linux, Mac OS o incluso Android) es reconocido
como un teclado y el sistema operativo carga los drivers
automáticamente, a partir de allí, todo comienza.

Previamente, el Ingeniero Social puede carga un payload (conjunto de

comandos) dentro del dispositivo (a través de una memoria MicroSD)
que se ejecutara una vez conectado el mismo. Dado que emula al
teclado, al momento de configurar los comandos se podrá aprovechar
de los accesos rápidos de windows, por ejemplo, Win+R para abrir la
ventana de ejecutar, allí escribe ‘cmd’ y así podrá seguir adelante con
el ataque. Existen sitios como www.ducktoolkit.com donde se puede
descargar payloads predefinidos como así también crear los propios.
Figura 15: Rubber Ducky

Fuente: [Imagen intitulada sobre Rubber Ducky] Recuperado de: https://www.hak5.org/

Bash Bunny
Bash Bunny es una herramienta más completa comparada con el
Rubber Ducky, la misma otorga la posibilidad de ejecutar ataques
complejos en la máquina de la víctima con solo conectar el dispositivo
a un puerto USB. Permite robar archivos, conseguir contraseñas de
los usuarios o instalar Backdoors. Bush Bunny emula distintos
dispositivos USB (como placas Ethernet, memorias USB o teclados)
con controladores conocidos por la PC para lograr que se ejecute
código previamente grabado en el dispositivo. Lo más interesante es
que permite almacenar varios códigos a la vez y mediante un selector
elegir qué código ejecutar.

Los payloads se programan utilizando un lenguaje de scripting muy

básico y sencillo, disponiendo de repositorios Online donde la
comunidad desarrolla sus propios scripts y los publica. Incluso,
existen payloads específicos para integrar con la WiFi Pineapple (la
herramienta por excelencia para auditorias WiFi)
Figura 16: Rubber Ducky

Fuente: [Imagen intitulada sobre Rubber Ducky] Recuperado de: https://www.hak5.org/

WiFi Pineapple
Se trata de un dispositivo capaz de emular redes inalámbricas y así
lograr que los usuarios se conecten al mismo sin levantar sospechas.
Esta herramienta posee una suite de herramientas que facilita en gran
parte el trabajo de un Ingeniero Social.

En primera instancia trae una herramienta de monitoreo, llamada

Recon, que permite descubrir todos los puntos de acceso (routers)
cerca de donde se encuentre el atacante, e incluso los usuarios
conectados, para esto “escucha” el tráfico de red y analiza los
paquetes que pasan por allí. Además, permite hacer una selección
específica de clientes permitiendo el filtrado del tráfico. Por otro lado,
permite crear Honeypots y lanzar ataques a los objetivos que se
desee.
Actualmente existe gran cantidad de funcionalidades extras creadas
por la comunidad, las mismas pueden ser agregadas desde la consola
de administración del dispositivo.
Figura 17: WiFi Pineapple (Nano y Tetra)

Fuente: [Imagen intitulada sobre WiFi Pineapple (Nano y Tetra)] Recuperado de:
https://www.hak5.org/

RaspBerry Pi
RaspBerry Pi es una pequeña computadora alimentada a través un
puerto Micro USB (como el que utilizan la mayoria de los celulares) y
posee una memoria SD para almacenar su sistema operativo. Por lo
general este tipo de dispositivo es ideal para instalar alguna
distribución de GNU/Linux y acceder de manera remota a través de
una red WiFi. Incluso se pueden adquirir pantallas LCD pequeñas
para integrarlos.
Figura 18: RaspBerry Pi 3 (con pantalla LCD (derecha))

Fuente: [ Imagen intitulada sobre: RaspBerry Pi 3 (con pantalla LCD (derecha)] Recuperado
de: https://www.raspberrypi.org/

Proxmark
El Proxmark es un dispositivo desarrollado por Jonathan Westhues
que permite rastrear, leer y clonar Tags RFID (estos Tags se
encuentran en tarjetas de acceso comúnmente utilizadas en distintas
empresas).

Este dispositivo es utilizado por los Ingenieros Sociales para clonar

las tarjetas de acceso de los empleados y así poder ingresar a las
diferentes instalaciones de la empresa.
Figura 19: Proxmark III

Fuente: Fuente: [ Imagen intitulada sobre: Proxmark III] Recuperado de:

https://hackerwarehouse.com/

Lockpicking
Lockpicking puede definirse como el arte de abrir cerraduras y
candados sin su llave original. Para realizar esta tarea se utilizan
distintos tipos de herramientas como pueden ser ganzúas, tensores y
shims. Las mismas son muy utilizadas por los Ingenieros Sociales
para acceder a habitaciones y/o racks que se encuentran cerrados
bajo llave.

Figura 20: Ganzúas y tensores

Fuente: [Imagen intitulada sobre: Ganzúas y tensores ] Recuperada de: https://toool.us/

HackRF One

HackRF One de Great Scott Gadgets es un periférico de SDR

(Software Defined Radio) capaz de transmitir y/o recibir señales de
RF (Radio Frequency) desde 1 MHz hasta 6 GHz.

Este dispositivo puede ser utilizado tanto para realizar escuchas de

RF (Handies sin cifrar, micrófonos, etc.) como así también para
realizar ataques conocidos como Replay Attack, el cual busca
interceptar y retransmitir señales, por ejemplo para poder abrir
garajes, desactivar alarmas, abrir puertas de automóviles, etc.

Figura 21: HackRF One

Fuente: [ Imagen intitulada sobre HackRF One ] Recuperada

de:https://greatscottgadgets.com/

4.2.2 Utilización como parte del Pentesting

Las empresas pueden contar con recursos altamente calificados y

controles estrictos, pero esto no es suficiente, ya que necesitan
obtener una visión exterior para emular así un ataque real tanto
interno como externo. Al tener completa visibilidad de cómo un
atacante real podría actuar, la empresa puede adelantarse e
implementar medidas que eleven su umbral de seguridad como así
también cumplir con normas y estándares nacionales e
internacionales que exigen este tipo de acciones en forma periódica.
Así como las pruebas penetración sobre la infraestructura y sitios Web
de las empresas busca descubrir vulnerabilidades en la tecnología,
las pruebas de Ingeniería Social buscan descubrir vulnerabilidades en
los empleados de esta. Estas vulnerabilidades pueden ir (entre otras)
desde el robo de información y/o infección de Malware por medio del
Phishing como así también permitir el acceso físico del Ingeniero
Social a la empresa.

Es muy importante contar con este tipo de pruebas ya que de otra

manera se estaría dejando por fuera una parte muy importante de la
empresa, existiendo así brechas de seguridad, vulnerabilidades y
riesgos que no serían contemplados.

4.2.3 Diferentes tipos de ataques

Tanto para la fase de “Desarrollo de la relación” como así también

para la de “Explotación de la relación” pueden utilizarse diferentes
tipos de ataques. Para poder explicar mejor los mismos, los
dividiremos en ataques locales y remotos:

Ataques Locales:

● Pretexting / Impersonate: estas técnicas van de la mano y

pueden usarse tanto en los ataques locales como así también
en los remotos. Un claro ejemplo puede darse cuando el
atacante se hace pasar por un empleado de soporte técnico de
la empresa en la cual trabaja la víctima (impersonate), tratando
de generar empatía para ganar credibilidad, acto seguido
presenta algún tipo de excusa o pretexto (pretexting) como por
ejemplo alertar a la víctima de un comportamiento inadecuado
en su equipo, el cual requiere de su intervención dando de esta
manera instrucciones específicas que terminaran en la
instalación de algún tipo de Malware concretando así su
objetivo (tomar el control del equipo, obtener datos sensibles,
etc.).
● Tailgating: este tipo de ataque se aprovecha de la solidaridad
y buena voluntad, generalmente suele ejecutarse cuando un
empleado (la víctima) está ingresando a su empresa, la cual
posee algún tipo de restricción en su acceso físico como por
ejemplo: tarjetas RFID, molinetes, etc. El atacante irá corriendo
con una gran “sonrisa” detrás de la víctima (justo antes de que
esta termine de ingresar) haciendo un gesto de haber olvidado
su tarjeta de acceso o en caso de existir un molinete, ingresará
junto con la víctima disculpándose por su “torpeza”.

● Falla en controles físicos de seguridad: este es quizás unos

de los más usados ya que existen muchas empresas con fallas
 en sus controles físicos. Para graficarlo mejor supongamos
que en la recepción se encuentra un guardia de seguridad o
recepcionista, el/la cual solicita nombre, apellido, número de
documento y el área a la cual se quiere dirigir “la visita”, pero
este guardia o recepcionista no solicita el documento físico ni
tampoco llama a el empleado que está siendo “visitado”. Este
tipo de ataque es muy efectivo para realizar Baiting (se explica
este concepto al final), ya que si el control falla desde el inicio
es muy probable que se pueda llegar hasta las oficinas de
interés para el atacante.
● Dumpster Diving: una de las técnicas muy utilizadas es
revisar la basura, ya que en varias ocasiones se arrojan
papeles con información sensible sin haberlos destruidos
previamente (usuarios y contraseñas que fueron anotadas en
algún Postit por ejemplo), números de cuentas, mails
impresos, etc. También se suelen encontrar distintos medios
de almacenamiento sin su debida destrucción como pueden
ser: CDs, discos rígidos, etc.
● Shoulder Surfing: esta es una técnica muy utilizada por los
Ingenieros Sociales, no es ni más ni menos que espiar por
encima del hombro de las personas, en algunos casos para
poder observar que está tecleando la víctima y así poder
dilucidar su password, PIN, patrones de desbloqueos en
teléfonos, etc.
● Distracción: conocida también como Misdirection
(desorientar) esta técnica es la piedra fundamental de la Magia
y el Ilusionismo, es utilizada para llevar la atención de la
víctima a algo irrelevante mientras el atacante puede obtener
todo lo contrario (información valiosa), pudiendo por ejemplo:
sacar una foto de la pantalla o papeles con datos importantes,
robar un Token, Pendrive o algún dispositivo de
almacenamiento, etc.
● Baiting: tal como comentamos anteriormente el Baiting
(señuelo) es una técnica muy efectiva efectiva, generalmente
se utilizan pendrives con software malicioso los cuales se
dejan en el escritorio de la víctima o en el camino que la misma
realice (por ejemplo en el estacionamiento, ascensor, etc.).
Para asegurarse del éxito en la explotación se estudia a la
víctima previamente detectando así la vulnerabilidad a ser
explotada. (Fuente: Emiliano Piscitelli (2015) Revista Users Edición
291 "Ingeniería Social". Argentina: RedUsers).
Remotos:
● Phishing: tal como su nombre lo indica esta técnica busca
“pescar” víctimas, generalmente se utiliza para ello el envió de
correos electrónicos conteniendo adjuntos con malware, links
a páginas falsas, etc. (ej.: home banking, tarjeta de crédito,
etc.) con el objetivo de tomar control del equipo o buscando
establecer una relación con la mismas (jugando con sus
sentimientos). Un ejemplo muy usado es cuando el atacante se
presenta como una anciana que posee una enfermedad mortal
y la misma tiene un dinero (generalmente son sumas
millonarias) que quiere donar para beneficencia, al estar “sola
y no tener familiares”, eligió a la víctima por su “buen perfil” en
Internet, proponiéndole transferir el dinero a su cuenta
dejándole un porcentaje siempre y cuando se cumpla la
condición que el resto del dinero sea donado con fines
solidarios. El objetivo final de este tipo de Phishing
generalmente es hacerse de documentos o pasaportes válidos
para seguir cometiendo fraudes con los mismos (piden a la
víctima que le envié distintos datos personales como así
también fotocopia de documento para “verificar” su identidad)
y además de una suma pequeña de dinero (para no levantar
sospechas) que la víctima tendrá que transferir a el atacante
en concepto de gastos de escribano, sellados, etc.
Esta técnica se convierte aún más peligrosa y efectiva cuando
es apuntada a un objetivo específico como por ejemplo un
empleado que tiene acceso a diferentes sistemas dentro de su
empresa. En este caso se la conoce como Spear Phishing ya
que más que pescar sería cazar con un arpón.
● Redes Sociales: esta técnica tiene dos grandes objetivos, por
un lado obtener información de la víctima y por otro generar
una relación con la misma.
Existen muchas personas “fanáticas” de las redes sociales, las
cuales dan a conocer su vida minuto a minuto, este tipo de
persona es “Oro en Polvo” para los atacantes ya que si la
misma es el objetivo se podrá obtener muchísima información
que será de gran utilidad.
Muchas veces se piensa que esto es solo a nivel personal y no
está relacionado con el trabajo pero muy lejos de la realidad
está ese pensamiento ya que quizás esta misma persona
(víctima) cumple al pie de la letra las políticas de seguridad de
su empresa, pero a nivel personal usa las redes sociales sin
concientizarse de la brecha de seguridad que estaría
 generando si un atacante lo elige como objetivo.
● Telefónicos: Kevin Mitnick fue uno de los famosos Phreakers
(Hackers Telefónicos), logrando realizar cosas increíbles con
el solo uso del teléfono.
Este tipo de ataque es muy efectivo y utilizado en conjunto con
las técnicas de “Pretexting” e “Impersonate”, siendo mucho
más cómodo y seguro para el Ingeniero Social usar un teléfono
a contraparte de estar en forma presencial delante de su
víctima. (Fuente: Emiliano Piscitelli (2015) Revista Users
Edición 291 "Ingeniería Social". Argentina: RedUsers)

4.2.4 Generación de un programa de

concientización

En nuestro día a día al detectar una actitud sospechosa se nos prende

una alarma que nos mantiene alertas y precavidos (por ejemplo al ver
personas con una actitud sospechosa cerca nuestro), imaginemos
ahora si pudiéramos lograr lo mismo y detectar un ataque de
Ingeniería Social antes de que el mismo pueda concretarse (hasta
incluso iniciarse), e imaginemos también si supiéramos cómo
“movernos”, que mails abrir y cuáles no, y sobre qué tipo de acciones
dar aviso a nuestra área de sistemas o seguridad.

Una de las acciones más efectivas para poder lograr todo lo expuesto
es el crear y llevar a cabo un buen programas de concientización, ya
que en definitiva la Ingeniería Social es una herramienta muy
poderosa que puede ser usada tanto para el bien como para el mal.
Lo importante es que sepamos que existe y cuales son sus técnicas,
de esta manera podremos evitar ser victimas de este tipo de ataques.
(Fuente: Emiliano Piscitelli (2015) Revista Users Edición 291
"Ingeniería Social". Argentina: RedUsers)
Es esperable contar con los siguientes puntos dentro del programa de
concientización:
 Evaluación: como primer medida es muy importante poder
evaluar tanto el conocimiento o la percepción que los
empleados poseen con respecto a la seguridad como así
también realizar diferentes test que nos ayuden a conocer
cómo estamos parados frente a posibles ataques (campañas
de phishing, engaños telefónicos, intentos de intrusión, etc.).
La información resultante nos servirá para poder realizar una
 comparativa de estado a medida que se avance en las
diferentes acciones.
● Charlas y talleres: muy buenos resultados son los que
podemos obtener al realizar charlas y talleres, los mismos
pueden ser segmentados en grupos específicos (gerentes,
técnicos, etc.) o bien abiertos (dependiendo los recursos y
alcances de la empresa) siempre intentando alcanzar a todos
y cada uno de los usuarios.

● Videos y material gráfico: nunca está de más contar vídeos y

material gráfico para el apoyo de las diferentes acciones. Algo
muy importante es que los mismos expresen de forma simple
y clara lo que se quiere transmitir (tips, datos de referencia,
infografía, etc.).
El material gráfico puede ser tanto digital (para ser distribuido
a través de mailing, publicarlo en el sitio web de la empresa,
intranet, etc.) como así también impreso (folletos, carteles,
etc.).

● Plataforma de e-learning: debido al ritmo de trabajo en las

empresas, en general no se llega a exponer o profundizar
sobre todos los temas en las charlas y talleres, es por ello por
lo que una muy buena práctica es disponer de una plataforma
de e-learning que sirva a los usuarios como material de apoyo
y consulta permanente.
Es importante disponer de información clara y precisa,
pudiendo contener videos, imágenes, audio, documentos, etc.

● Canales de comunicación: es muy probable que con el

avance del programa de concientización los usuarios
comiencen a tener dudas o detecten eventos que antes ni
siquiera percibían, es por ello por lo que es muy importante
contar con canales de comunicación (mail, chat, teléfono, etc.),
los mismos servirán tanto para que ellos puedan realizar
distintas consultas o denuncias como así también para que
nosotros podamos llevar un control y estadísticas de las
mismas, pudiendo así actuar en consecuencia.

● Medir los resultados: Podemos poner nuestra mejor voluntad

y realizar un programa de concientización excelente, pero si
todo esto no puede medirse es poco probable que se sustente
en el tiempo. Tal como detallamos al comienzo, un dato muy
importante para poder realizar esta medición es la evaluación
previa al inicio del programa ya que al cruzarla con otras
 evaluaciones (a medida que avanzamos sobre el programa)
podremos medir su evolución.
Si realizamos campañas de phishing o algún otro tipo de acción
también podremos evaluar los resultados y de esta manera
observar el impacto que causó nuestro programa en los
usuarios.
Por otro lado podemos utilizar los datos obtenidos desde los
canales de comunicación (consultas, denuncias, etc.) para
evaluar tanto el interés de los usuarios como así también la
evolución de los diferentes eventos.

● Volver a comenzar: es un error pensar en la seguridad como

una solución que se implementa y funciona en forma
desatendida, cuando implementamos una solución, un
programa de concientización o habilitamos un canal para la
comunicación, estamos recién comenzando. Todas y cada una
de las acciones que realicemos necesitan un seguimiento,
ajuste o cambio.
La tecnología está en constante evolución como así también
las amenazas, nada es estático y mucho menos debemos serlo
nosotros. (Fuente: Emiliano Piscitelli (2015) Revista Users
Edición 291 "Ingeniería Social". Argentina: RedUsers)
Referencias
Mitnick Kevin D, Simón William, (2006) El Arte de la Intrusión.
España: RA-MA S.A. Editorial y Publicaciones.

Chris Hadnagy, (2010) Social Engineering: The Art of Human

Hacking. Estados Unidos: John Wiley & Sons.

Chris Hadnagy, (2014) Unmasking the Social Engineer: The Human

Element of Security. Estados Unidos: John Wiley & Sons.

Michael Bazzell, (2018) Open Source Intelligence Techniques - 6th

Edition. Estados Unidos: Createspace Independent Publishing
Platform.

Paul Ekman, (2000) Como detectar mentiras. España: Ediciones

Paidos.

Sergio Rulicki, (2011) Comunicación No Verbal. Argentina: Granica.

Joe Navarro, (2013) El cuerpo habla. España: Editioral Sirio.

Susana Martinez-Conde, (2012) Los engaños de la mente. España:

Grupo Planeta.

David Kennedy, Jim O'Gorman, Devon Kearns, Mati Aharoni,

(2011) Metasploit: The Penetration Tester's Guide. Estados Unidos:
No Starch Press.