Práctica de laboratorio: Ingeniería social

Objetivo
En esta práctica de laboratorio, se investigarán ejemplos de ingeniería social y se identificarán maneras de
reconocerla y evitarla.

Recursos
• Computadora con acceso a Internet

Instrucciones
Paso 1: Ejemplos de investigación en ingeniería social
La ingeniería social, en lo que se refiere a la seguridad de la información, se utiliza para describir las técnicas
utilizadas por una persona (o personas) que manipulan a otros con el fin de acceder o comprometer la
información sobre una organización o sus sistemas informáticos. Un ingeniero social suele ser difícil de
identificar y puede afirmar ser un nuevo empleado, una persona de reparación o un investigador. El ingeniero
social podría incluso ofrecer credenciales para apoyar esa identidad. Al ganar confianza y hacer preguntas, él
o ella puede ser capaz de reunir suficiente información para infiltrarse en la red de una organización.
Pregunta:

Utilice cualquier navegador de Internet para investigar incidentes de ingeniería social. Resuma tres ejemplos
encontrados en su investigación.
aEnsus respuestas
2017, más aquí.de Google Docs recibieron el mismo email de phishing que informaba de que uno de sus contactos estaba intentando compartir un documento con ellos.
de un millón de usuarios
Hacer click en el enlace les llevaría a una página falsa de registro de Google Docs, donde muchos de los usuarios introdujeron sus datos de registro de Google. Esto, en cambio,
dio a los hackers el acceso a más de un millón de cuentas de Google, entre emails, contactos, documentos online y copias de seguridad de smartphones.

En 2007, el tesorero de Michigan cayó en la trampa de una estafa nigeriana de pretexting que implicaba a un príncipe ficticio que quería escapar de Nigeria, pero necesitaba ayuda para transferir
su fortuna fuera del país. En unos meses, el tesorero hizo varios pagos de un total de 185.000 dólares (72.000 dólares de su propio dinero) a los hackers que estaban detrás de esta estafa.
Más tarde fue revelado que el resto de los fondos vino de los 1.2 millones de dólares que había desfalcado durante 13 años de servicio público.

En 2013, los hackers consiguieron robar los detalles de las tarjetas de crédito de más de 40 millones de clientes de Target. De acuerdo con los datos oficiales, los hackers primero investigaron al
servicio subcontratado de aire acondicionado de la importante cadena de grandes almacenes y atacaron a sus empleados con emails de phishing. Esto permitió a los hackers acceso a las redes de
Target y robar la información de los pagos de los clientes. Aunque el perpetrador nunca fue capturado, Target tuvo que pagar 18.5 millones de dólares en 2017 para resolver las denuncias estatales.

Paso 2: Reconocer los signos de la ingeniería social

Los ingenieros sociales no son más que ladrones y espías. En lugar de piratear (hackear) su camino en su red
a través de Internet, intentan obtener acceso confiando en el deseo de una persona de ser complaciente.
Aunque no es específico para la seguridad de la red, el escenario siguiente, descrito en el libro de Christopher
Hadnagy, The Art of Human Hacking, ilustra cómo una persona desprevenida puede regalar involuntariamente
información confidencial.
"El café era relativamente tranquilo, ya que yo, vestido con un traje, me senté en una mesa vacía. Puse mi
maletín sobre la mesa y esperé a una víctima adecuada. Pronto, una víctima llegó con un amigo y se sentó
a la mesa junto a la mía. Colocó su bolso en el asiento a su lado, tirando del asiento cerca y manteniendo
su mano sobre la bolsa en todo momento.
Después de unos minutos, su amiga se fue a buscar un baño. La marca [objetivo] estaba sola, así que le
di la señal a Alex y Jess. Jugando como una pareja, Alex y Jess le preguntaron a la marca si ella le tomaría
una fotografía. Ella estaba feliz de hacerlo. Sacó su mano de su bolso para tomar la cámara y tomar una
fotografía de la "feliz pareja" y, mientras estaba distraída, me acerqué, tomé su bolso y la guardé dentro
de mi maletín. Mi víctima aún no se había dado cuenta de que su bolso había desaparecido cuando Alex
y Jess salieron del café. Alex luego fue a un estacionamiento cercano.

 2017 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 3
www.netacad.com
Práctica de laboratorio: Ingeniería social

No pasó mucho tiempo para que se diera cuenta que su bolso se había ido. Entró en pánico, mirando a su
alrededor frenéticamente. Esto era exactamente lo que esperábamos, así que le pregunté si necesitaba
ayuda.
Me preguntó si había visto algo. Le dije que no, y la convencí para que se sentara y pensara en lo que
había en la bolsa. Un teléfono. Maquillaje Un poco de dinero. Y sus tarjetas de crédito. ¡Bingo!
Le pregunté con quién vino y luego le dije que trabajaba para ese banco. ¡Que golpe de suerte! Le aseguré
que todo estaría bien, pero tendría que cancelar su tarjeta de crédito de inmediato. Llamé al número de
"asistencia", que en realidad era Alex, y le entregué mi teléfono.
Alex estaba en una furgoneta en el estacionamiento. En el tablero, un reproductor de CD estaba
reproduciendo ruidos de oficina. Le aseguró a la marca que su tarjeta podía ser cancelada fácilmente,
pero, para verificar su identidad, necesitaba introducir su PIN en el teclado del teléfono que estaba usando.
Mi teléfono y mi teclado.
Cuando teníamos su PIN, me fui. Si hubiésemos sido verdaderos ladrones, habríamos tenido acceso a su
cuenta a través de retiros en cajeros automáticos y compras con el PIN. Afortunadamente para ella, era
sólo un programa de televisión.
Recuerde: "Los que construyen muros piensan de manera diferente a aquellos que buscan ir por encima,
debajo, alrededor o a través de ellos". Paul Wilson - The Real Hustle
Pregunta:

Investigue formas para reconocer la ingeniería social. Describa tres ejemplos encontrados en su
investigación.
Escriba sus respuestas aquí.

Paso 3: Investigue formas de prevenir la ingeniería social

Preguntas:

¿Su empresa o escuela tiene procedimientos para ayudar a prevenir la ingeniería social?
Escriba sus respuestas aquí.
Si es así, ¿cuáles son algunos de esos procedimientos?
Escriba sus respuestas aquí.

 2017 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 3
www.netacad.com
Práctica de laboratorio: Ingeniería social

Utilice Internet para investigar procedimientos que otras organizaciones utilizan para evitar que los ingenieros
sociales obtengan acceso a información confidencial. Enumere sus hallazgos.
Escriba sus respuestas aquí.

Fin del documento

 2017 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 3
www.netacad.com