La ingeniería social es el arte de manipular a las personas para que divulguen información confidencial o realicen acciones que comprometan la seguridad.

¿Qué es la Ingeniería Social?

La ingeniería social explota la naturaleza humana y las vulnerabilidades psicológicas para obtener acceso a sistemas, datos o información sensible.

Principios Psicológicos

Autoridad

• Impersonación: Hacerse pasar por figuras de autoridad
• Uniformes: Usar ropa o credenciales oficiales
• Títulos: Utilizar títulos profesionales falsos

Urgencia

• Tiempo limitado: Crear sensación de urgencia
• Consecuencias: Amenazar con problemas
• Oportunidad única: Hacer creer que es la única chance

Reciprocidad

• Favores: Hacer favores para obtener información
• Regalos: Ofrecer algo a cambio
• Ayuda: Simular necesidad de ayuda

Consistencia

• Compromisos: Hacer que la víctima se comprometa
• Valores: Apelar a valores personales
• Identidad: Usar la identidad de la persona

Técnicas de Ingeniería Social

Phishing

Email Phishing

• Correos maliciosos: Emails que parecen legítimos
• Enlaces falsos: URLs que redirigen a sitios maliciosos
• Archivos adjuntos: Documentos con malware

Spear Phishing

• Ataques dirigidos: Enfocados en personas específicas
• Información personal: Uso de datos conocidos
• Contexto relevante: Información relacionada con el trabajo

Whaling

• Ejecutivos: Ataques a altos directivos
• Información sensible: Acceso a datos críticos
• Autoridad: Uso de la posición de autoridad

Vishing (Voice Phishing)

Llamadas telefónicas

• Impersonación: Hacerse pasar por soporte técnico
• Urgencia: Crear situaciones de emergencia
• Autoridad: Simular ser de IT o seguridad

Técnicas de Vishing

• Caller ID spoofing: Falsificar número de teléfono
• Grabaciones: Usar grabaciones de voz
• Scripts: Guiones predefinidos

Baiting

Dispositivos físicos

• USB maliciosos: Pendrives con malware
• CDs/DVDs: Medios con software malicioso
• Dispositivos perdidos: Simular pérdida de dispositivos

Técnicas de Baiting

• Curiosidad: Aprovechar la curiosidad natural
• Ubicación estratégica: Colocar en lugares visibles
• Apariencia legítima: Hacer que parezcan oficiales

Quid Pro Quo

Intercambio de favores

• Ayuda técnica: Ofrecer ayuda a cambio de información
• Servicios: Prometer servicios gratuitos
• Información: Intercambiar información

Técnicas de Quid Pro Quo

• Beneficio mutuo: Hacer creer que ambos se benefician
• Confianza: Construir relación de confianza
• Reciprocidad: Aprovechar el deseo de devolver favores

Pretexting

Escenarios falsos

• Investigaciones: Simular investigaciones oficiales
• Auditorías: Fingir ser de auditoría
• Soporte técnico: Hacerse pasar por soporte

Técnicas de Pretexting

• Investigación previa: Recopilar información sobre la víctima
• Consistencia: Mantener la historia coherente
• Credenciales: Usar credenciales falsas

Vectores de Ataque

Presencial

• Tailgating: Seguir a personas autorizadas
• Shoulder surfing: Observar contraseñas
• Dumpster diving: Buscar información en basura

Digital

• Redes sociales: Recopilar información personal
• Phishing: Correos y sitios falsos
• Malware: Software malicioso

Telefónico

• Vishing: Llamadas maliciosas
• SMS phishing: Mensajes de texto
• WhatsApp: Mensajes en aplicaciones

Protección contra Ingeniería Social

Concienciación

• Formación regular: Educación continua del personal
• Simulaciones: Pruebas de phishing controladas
• Casos reales: Compartir ejemplos de ataques

Políticas y Procedimientos

• Verificación: Siempre verificar identidades
• Procesos: Establecer procesos de verificación
• Escalación: Canales de reporte de incidentes

Controles Técnicos

• Filtros de email: Bloquear correos maliciosos
• Antivirus: Protección contra malware
• Firewalls: Control de tráfico de red

Detección de Ataques

Señales de Alerta

• Solicitudes urgentes: Presión por tiempo
• Información personal: Preguntas sobre datos personales
• Enlaces sospechosos: URLs que no coinciden
• Archivos adjuntos: Documentos inesperados

Verificación

• Contacto directo: Llamar a la persona directamente
• Canales oficiales: Usar canales de comunicación oficiales
• Verificación cruzada: Confirmar con múltiples fuentes

Respuesta a Incidentes

Pasos Inmediatos

1. No proporcionar información: No dar datos sensibles
2. Documentar: Registrar el incidente
3. Reportar: Notificar al equipo de seguridad
4. Cambiar credenciales: Si se comprometieron

Investigación

• Análisis forense: Investigar el incidente
• Identificación: Determinar el alcance
• Remediación: Implementar controles

Herramientas de Testing

Simulaciones de Phishing

• Gophish: Plataforma de phishing
• King Phisher: Herramienta de phishing
• LUCY: Plataforma de concienciación

Análisis de Redes Sociales

• Maltego: Herramienta de OSINT
• theHarvester: Recopilación de información
• Recon-ng: Framework de reconocimiento

Marcos de Referencia

NIST SP 800-50

• Building an Information Technology Security Awareness and Training Program
• Componentes: Concienciación, formación, entrenamiento
• Métricas: Medición de efectividad

ISO 27001

• A.7.2.2: Concienciación sobre seguridad de la información
• A.8.2.2: Gestión de información clasificada
• A.13.2.1: Políticas de transferencia de información

Conceptos Relacionados

• Ethical Hacking - Metodología que incluye ingeniería social
• Pruebas de penetración - Técnica que incluye ingeniería social
• Vectores de ataque - Método de ataque que incluye ingeniería social
• Brechas de seguridad - Incidentes causados por ingeniería social
• Incident Response - Proceso que incluye ingeniería social
• CISO - Rol que supervisa ingeniería social
• Ciberseguridad General - Disciplina que incluye ingeniería social
• SIEM - Sistema que detecta ingeniería social
• SOAR - Automatización que previene ingeniería social
• EDR - Herramienta que detecta ingeniería social
• Firewall - Dispositivo que previene ingeniería social
• Antivirus - Herramienta que previene ingeniería social

Referencias

• NIST SP 800-50
• ISO/IEC 27001
• SANS Security Awareness
• OWASP Social Engineering