Download Untitled - Universidad Mariano Gálvez de Guatemala

7
UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA
FACULTAD DE INGENIERÍA EN SISTEMAS
ATAQUES PRODUCIDOS POR LA INGENIERÍA SOCIAL HACIA LOS USUARIOS
BANCARIOS DEL ÁREA METROPOLITANA EN LOS ÚLTIMOS AÑOS.
PATRICIA CAROLINA RAMÍREZ ARRIAZA
GUATEMALA, NOVIEMBRE 2013
7
UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA
FACULTAD DE INGENIERÍA EN SISTEMAS
ATAQUES PRODUCIDOS POR LA INGENIERÍA SOCIAL HACIA LOS USUARIOS
BANCARIOS DEL ÁREA METROPOLITANA EN LOS ÚLTIMOS AÑOS
TESIS PRESENTADA
POR:
PATRICIA CAROLINA RAMÍREZ ARRIAZA
PREVIO A OPTAR AL GRADO ACADEMICO DE
MAGISTER ARTIUM EN INFORMÁTICA, ÉNFASIS EN BANCA ELECTRÓNICA
Y COMUNICACIONES
GUATEMALA, NOVIEMBRE 2013
7
AUTORIDADES DE LA FACULTAD Y TRIBUNAL QUE PRACTICO EL EXAMEN
DEL TRABAJO DE GRADUACION
DIRECTOR DE POSGRADO:
EDGARDO ÁLVAREZ
PRESIDENTE DEL TRIBUNAL EXAMINADOR:
DR. JULIO ANTONIO GIRON BETETA
SECRETARIA:
MSC. MARÍA EUGENIA ALVAREZ GÓMEZ
VOCAL:
DR. ALEJANDRO QUIÑONEZ OBIOLS
iii
iv
REGLAMENTO DE TESIS
Artículo 8 º: RESPONSABILIDAD
Solamente el autor es responsable de los conceptos expresados en el
Trabajo de tesis. Su aprobación en manera alguna implica
responsabilidad para la Universidad.
v
Índice
INTRODUCCIÓN ................................................................................................. ……..ix
1
DISEÑO CONCEPTUAL…. ................................................................. …….. ……...1
1.1
Planteamiento del problema ........................................................................................ 1
1.2
Descripción del problema ............................................................................................. 1
1.2.1
1.3
Preguntas de investigación .......................................................................................... 2
1.4
Hipótesis de investigación............................................................................................ 2
1.5
Objetivos de la investigación ....................................................................................... 3
1.5.1
General .................................................................................................................... 3
1.5.2
Específicos .............................................................................................................. 3
1.6
Alcance y Limitaciones ................................................................................................. 3
1.6.1
Alcance .................................................................................................................... 3
1.6.2
Limitaciones ............................................................................................................ 4
1.7
2
Formulación del problema .................................................................................... 1
Justificación de la investigación ................................................................................. 4
MARCO TEÓRICO ...................................................................................... . ……...6
2.1
Ingeniería social ............................................................................................................. 6
2.2
Antecedentes de la ingeniería social.......................................................................... 6
2.3
Fundamentos de la ingeniería social.......................................................................... 7
2.3.1
Reciprocidad ........................................................................................................... 7
2.3.2
Orientación social ................................................................................................... 8
2.3.3
Consistencia............................................................................................................ 8
2.3.4
Aceptación ............................................................................................................... 8
2.3.5
Autoridad ................................................................................................................. 8
2.3.6
Tentación ................................................................................................................. 9
2.3.7
Curiosidad ............................................................................................................... 9
2.3.8
Miedo...................................................................................................................... 10
2.3.9
Empatía.................................................................................................................. 10
2.4
Tipos de Ingenieros Sociales .................................................................................... 10
2.4.1
Perfil del ingeniero social .................................................................................... 11
2.5
Enfoque de la ingeniería social ................................................................................. 12
2.6
Tipos de ataques de ingeniería social...................................................................... 12
2.6.1
Ingeniería social basada en el engaño físico .................................................. 13
vi
2.6.3
Ingeniería social basada en tecnología (lógica) .............................................. 17
2.6.4
Utilizar nombres de dominios similares ............................................................ 20
2.6.5
Phishing ................................................................................................................. 20
2.6.6
Documentos adjuntos .......................................................................................... 21
2.6.7
Redes sociales ..................................................................................................... 21
2.7
Tipos de Ataques utilizados por la ingeniería social ............................................. 24
2.7.1
Ataques más frecuentes ..................................................................................... 24
2.7.2
Ataques más Peligrosos ..................................................................................... 32
2.7.2.5
2.8
Funciones Bancarias .................................................................................................. 41
2.8.1
Operaciones bancarias ....................................................................................... 42
2.8.2
Banca en línea ...................................................................................................... 42
2.8.3
Banca virtual ......................................................................................................... 42
2.8.4
Ventajas de la banca en línea ............................................................................ 43
2.9
3
Soluciones comerciales .............................................................................................. 43
MARCO METODOLÓGICO .......................................................................... …….47
3.1
Tipo de investigación .................................................................................................. 47
3.2
Diseño de la investigación ......................................................................................... 47
3.2.1
Unidad de análisis, población y muestra .......................................................... 47
3.3
Instrumentos de Recolección de Datos ................................................................... 48
3.4
Validación y confiabilidad del instrumento de recolecciones de datos. .............. 48
3.4.1
3.5
4
Los ataques DDoS y de ingeniería social amenazan ................................ 34
Objetivo del sondeo ............................................................................................. 49
Cronograma y ejecución del sondeo ........................................................................ 49
ANÁLISIS Y DISCUSIÓN DE RESULTADOS.............................................. . …….49
4.1
Interpretación y discusiones de los resultados obtenidos .................................... 50
4.2
Gráficas y comparaciones numéricas de los hallazgos ........................................ 56
4.2.1 ¿Seleccione la razón más importante por la que usted considera que no se
utiliza la banca en línea? .................................................................................................. 56
4.2.2 ¿El banco de donde usted es cuentahabiente ya le ha informado de las
medidas de seguridad al utilizar la banca en línea? .................................................... 57
4.2.3 Según su criterio pondere la importancia que le han dado los bancos del
sistema respecto a la seguridad hacia la ingeniería social para proteger ................ 58
vii
4.2.5 De los siguientes ataques seleccione cuál de ellos usted considera que
haya sido víctima en algún momento al navegar en la web ....................................... 60
4.2.6 Seleccione más de algún ataque computacional de ingeniería social que le
sea familiar o le haya pasado en algún momento al navegar en la web .................. 61
4.2.7 ¿Cuál de las siguientes medidas de seguridad aplica usted para mitigar el
riesgo de ser víctima de la ingeniería social al navegar en la web?.......................... 62
4.2.8 ¿Usted cree que la seguridad de un sistema puede ser vulnerada por un
usuario al ser engañado por la ingeniería social? ........................................................ 63
4.2.9 Seleccione la consecuencia más crítica e importante para usted como
resultado de los ataques producidos por la ingeniería social descritos ................... 63
5
CONCLUSIONES ................................................................................................. 64
6
RECOMENDACIONES .................................................................................... .... 67
7
BIBLIOGRAFÍA ..................................................................................................... 70
8
E-GRAFÍA ...........................................................................................................
9
GLOSARIO ......................................................................................................... 75
10 SIGLAS
70
............................................................................................................. 76
11 ANEXOS ................................................................................................................ 77
11.1
Advertencias bancarias en la web ........................................................................ 77
11.2
Mensajitos de Texto ................................................................................................ 79
11.2.1 Enviado por Whatsapp ........................................................................................ 79
11.3
Phishing Bancario .................................................................................................... 80
11.4
Phishing Empresarial .............................................................................................. 83
11.5
Paginas emergentes................................................................................................ 84
11.5.1 Mensajes multimedia por correo electrónico descargan applet malicioso .. 85
11.5.2 Postal navideña propaga malware en nombre de grupo de Facebook ....... 85
11.6
Correos ...................................................................................................................... 86
11.6.1 Correo de premio bancario ................................................................................. 86
11.6.2 Correo de Wester Union ..................................................................................... 86
11.6.3 La venta del teléfono móvil (celular) en eBay .................................................. 87
11.7
Detenidos estafaban a sus víctimas con mensajes de texto ............................ 87
11.8
Comparación de Ataques de Ingeniería social vrs otros. .................................. 88
11.9
Porcentaje de ataques de Ingeniería social utilizando phishing por sector. .. 88
11.10
Cuestionario Primario .............................................................................................. 89
11.11
Cuestionario electrónico ......................................................................................... 90
viii
INTRODUCCIÓN
Actualmente el uso de la tecnología es una necesidad más que un lujo, los bancos del sistema
han ido automatizando sus procesos y transacciones, la nueva tendencia hoy en día es el uso de
las aplicaciones y sitios web, por lo que ahora los usuarios bancarios pueden utilizar la banca en
línea para realizar transacciones básicas e importantes sin salir de casa u oficina.
Todas las personas que utilizan la web saben que existen riesgos por la llegada de los
cibercriminales y de las nuevas formas de ataques para dañar y robar a los usuarios bancarios que
navegan. Una de las técnicas más eficaces es la llamada ingeniería social ésta no es una carrera
universitaria nueva sino solo el sobrenombre que se le atribuye, ya que interviene el ingenio,
tecnología y características humanas para realizar los distintos tipos de ataques. El tema del
presente trabajo de investigación se eligió al saber que dicha ingeniería es una amenaza que se
encuentra latente entre los usuarios de banca en línea y la incidencia que tiene con los sistemas
computacionales. Por lo que es importante conocer los ataques que han suscitado entre los años
2011 -2013 en el área metrópoli guatemalteca. Cabe mencionar que esta investigación no es
científica por lo tanto no es determinante y las conclusiones del trabajo corresponden a previa
investigación documental y sondeo, que servirá como base para futuras investigaciones
científicas.
Según lo investigado la ingeniería social es el arte de engañar a las personas, persuadiendo a las
mismas con las características que tienen todos los humanos tales como; la curiosidad, la
reciprocidad, el miedo entre otros. Su fundamento es la ingeniería y la psicología de la conducta
que evalúa cómo las personas actúan en determinadas situaciones. Con la ingeniería social un
atacante puede obtener cualquier tipo de información para uso inescrupuloso y el contacto que le
proporciona la misma es el usuario, ya que este sin darse cuenta puede caer en una de sus
trampas. Por tanto un usuario bancario que tenga acceso a la web y utilice su cuenta de banca en
línea siempre está en riesgo de estos ataques.
Existen dos tipos de ataques, los frecuentes y los peligrosos. El primer tipo según
investigación y sondeo, son aquellos ataques que siempre se mantienen en la web. Los más
peligrosos son aquellos que no se encuentran siempre, como por ejemplo el phishing donde las
consecuencias resultan con pérdidas económicas.
ix
En esta investigación se detallan los dos tipos de ingeniería social que existen (física y la
computacional), las diferentes técnicas que proporciona para atacar a sus víctimas, las principales
consecuencias que tiene tanto el usuario bancario como los sistemas computacionales, y las
soluciones más efectivas para mitigar los ataques.
Cabe mencionar que para el presente trabajo se determinaron seis objetivos generales, los
cuales se concluyeron mediante investigación documental y el método descriptivo transaccional.
Además se realizó un pequeño sondeo por medio del cuestionario como instrumento de
recolección de datos hacia una muestra de 102 usuarios de banca en línea.
Ataques producidos por la Ingeniería Social
Página x
1
1.1
Planteamiento del problema
1.2
Descripción del problema
DISEÑO CONCEPTUAL
Hoy en día el uso de los sistemas informáticos agilizan y facilitan los procesos y actividades a
realizar dentro de las distintas regiones, departamentos, municipios y aldeas del país, es
obligatorio más que un lujo o gasto superfluo, ya que ahorran tiempo, dinero, grandes filas,
condiciones inclementes del tiempo, traslados de un lugar a otro para realizar un trámite, a veces
tan sencillos; pero que requiere movilización, entre otros.
Los bancos han adoptado e implementado nuevos sistemas para servir de la mejor manera a los
clientes, quienes son atacados constantemente por la ingeniería social, es decir, por malhechores
que hacen uso de las tecnologías de información y comunicación (TICs) para conseguir la
información confidencial o crítica de un usuario y hacerle daño, atentando contra la seguridad
personal y sus bienes, en otras palabras haciendo uso inescrupuloso de los datos que puede
significar robo de información, suplantación de identidad, desfalco, robo de tarjetas de crédito y
débito y otros.
Ante la evidente vulnerabilidad de los bancos a la ingeniería social, los usuarios corren
constantemente con el riesgo de caer en estos ataques por lo que están expuestos. Razón que
lleva a que el problema se ciña a una pregunta ¿Cuáles son los ataques más frecuentes y
peligrosos producidos por la ingeniería social hacia los usuarios bancarios del área
metrópoliguatemalteca entre los años 2011-2013?
1.2.1 Formulación del problema
¿Cuáles son los ataques más frecuentes producidos por la ingeniería social hacia los usuarios de
banca en línea del área metrópoliguatemalteca entrelos años 2011-2013?
Ataques producidos por la Ingeniería Social
Página 1
1.3
Preguntas de investigación
1. ¿Qué es la ingeniería social?
2. ¿Los usuarios bancarios conocen los ataques de la ingeniería social?
3. ¿Cuáles son los ataques más peligrosos de la ingeniería social?
4. ¿Cuáles son los ataques más frecuentes de la ingeniería social?
5. ¿Cuáles son las técnicas que proporciona la ingeniería social para atacar a sus víctimas?
6. ¿Cuáles son las consecuencias que tiene la ingeniería social sobre los sistemas utilizados
por los usuarios bancarios?
7. ¿Qué importancia le han dado en Guatemala los bancos del sistema respecto a la
seguridad hacia la ingeniería social?
8. ¿Cuáles son las soluciones más efectivas para mitigar los ataques producidos por la
ingeniería social?
1.4
Hipótesis de investigación
Hi: Los usuarios de banca en líneadel área metrópoli guatemalteca sufren ataques y son víctimas
de la ingeniería social.
Ho:Losusuarios de banca en líneadel área metrópoli guatemaltecasufren ataques pero no son
víctimas de la ingeniería social.
Ha:Más del 50% losusuarios de banca en línea del área metrópoli guatemalteca sufren ataques
pero no son víctimas de la ingeniería social.
Ataques producidos por la Ingeniería Social
Página 2
1.5
Objetivos de la investigación
1.5.1 General
Dar a conocer el nivel en que los usuarios de banca en línea sufren ataques producidos por la
ingeniería social y si en algún momento han sido víctimas.
1.5.2 Específicos
1. Definir el concepto de ingeniería social y la importancia de la seguridad en los sistemas
bancarios del país.
2. Identificar cuáles son los ataques más frecuentes de la ingeniería social.
3. Determinar los ataques más peligrosos de la ingeniería social.
4. Definir las diferentes técnicas que proporciona la ingeniería social para atacar a sus
víctimas.
5. Identificar las principales consecuencias que tiene la ingeniería social sobre los sistemas
utilizados por los usuarios bancarios.
6. Identificar las soluciones más efectivas para mitigar los ataques producidos por la
ingeniería social hacia los usuarios bancarios.
1.6
Alcance y Limitaciones
1.6.1 Alcance
La presente investigación está enfocada sobre los ataques que han suscitado entre los años
2011-2013,del área metrópoli guatemalteca por la ingeniería social hacia los usuarios de banca
en línea. Presenta únicamente el lado del usuario bancario, como las vulnerabilidades que este
presenta al navegar en la web, por tanto esta investigación no se centra en la seguridad interna
que manejan los bancos (firewall, dmz, proxys…etc), sino en la seguridad que le brindan al
usuario e información para que ellos tengan precaución al utilizar la banca en línea y el manejo
de cuenta, para que no llegue a ser víctima de robo de información u otro ataque.
Ataques producidos por la Ingeniería Social
Página 3
Como enfoque secundario se detallan las tácticas de la ingeniería social física donde el atacante
tiene contacto directo con su víctima y no necesita medios sistemáticos.
Se detallan únicamente sugerencias de precaución que deberán tener los usuarios bancarios
del país para que no sean víctimas tanto en la web como de forma presencial. Además de
presentar el avance que han tenido los bancos para reducir los riesgos de que sus cuentahabientes
sean víctimas.
1.6.2 Limitaciones
a) En esta investigación en la parte de muestreo, no se cuenta con información exacta por la
Super Intendencia de Bancos (SIB)sobre las personas que son cuentahabientes y tienen
usuario activo de la banca en línea en Guatemala.
b) Dentro de lo que se investigó no se encontróinformación pública de alguna entidad
bancaria que tenga registro y proporcione información acerca de los ataques de ingeniería
social, donde pueda mostrarse estadísticas y tendencias de la misma en Guatemala.
1.7
Justificación de la investigación
En la actualidad la tecnología avanza constantemente, con la llegada de los sistemas informáticos
se han podido automatizar procesos que antes no podían hacerse de otra manera, y facilitan las
tareas, reduciendo tiempo y costo.
Los bancos del sistema de Guatemala utilizan la tecnología de los sistemas informáticos ya que
esta les garantiza tener de forma rápida y oportuna la información así como el manejo de la
misma.
Actualmente la mayoría de los bancos han automatizado sus procesos, los más básicos para que
sus cuentahabientes puedan realizar transacciones desde la comodidad de su casa por medio de
una banca en línea. Esta cuenta con un catálogo de servicios que el cliente puede realizar sin
tener que llegar físicamente al banco y arriesgarse.
Ataques producidos por la Ingeniería Social
Página 4
Ahora los bancos mitigan el riesgo de sus usuarios de ser asaltados en las calles para realizar
transacciones o pagos de serviciosya que desde la comodidad de su casa o trabajo pueden
realizarlas con tan solo el acceso desde un sitio con un usuario y contraseña. Cabe destacar que el
usuario bancario disminuye el riesgo del robo físico pero al utilizar el internet cae en el riesgo de
los ciberdelincuentes, los cuales tienen una infinidad de artimañas para el robo de información,
una de estas y la más efectiva para ellos es la llamada ingeniería social.
Esta es una amenaza que se encuentra latente al navegar en internet y es una de las mayores
causantes de robo de información, por ende los usuarios bancarios deben conocer de qué se trata
este tipo de ataque, cuales son las técnicas más frecuentes y como deben de protegerse para
evitar el robo de sus claves,contraseñas y otro tipo de información que sea catalogada como
confidencial que atente sobre la seguridad de los usuarios.
Ataques producidos por la Ingeniería Social
Página 5
2
2.1
MARCO TEÓRICO
Ingeniería social
Como parte fundamental de la investigación es importante conocer los conceptos básicos sobre
ingeniería social, tipos, técnicas, fundamentos y diferentes ataques que esta presenta.
Actualmente existen varias definiciones por distintos autores, pero todos llegan a la misma
conclusión “El engaño a usuarios legítimos”, a continuación se cita la siguiente definición:
Ingeniería social es el acto demanipular a los usuariosarealizar accioneso divulgarinformación
confidencial.Mientras que es similara un engaño de confianzao simple fraude,el
términotípicamentese aplica al engañopara el propósito derecopilación de información,
fraude,oaccesoa sistemas informáticos; en la mayoría decasosel atacantenunca se encuentra
cara a cara con la víctima.(Hadnagy, C. 2011)
Con la definición anterior se entiende que ingeniería social es un conjunto de técnicas de
engaño para obtener información confidencial de una persona, Donde esta misma revela y
proporciona lo que el atacante le solicita por medio de engaño y persuasión psicológica.
Según Cristian Borghelloexperto en análisis de seguridad de ESET Latinoamérica define la
ingeniería social como se cita a continuación:
La Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir
información de las personas cercanas a un sistema. Es el arte de conseguir de un tercero
aquellos datos de interés para el atacante por medio de habilidades sociales.
(Borghello,C. 2009)
Según Borghello por medio de la ingeniería social se puede conseguir cualquier tipo de
información para realizar un ataque al valor de las características humanas de las personas.
En síntesis la ingeniería social es un conjunto de técnicas físicas y lógicas que tratan de obtener
información confidencial ya sea el uso para bien o mal por medio del engaño persuadiendo a la
víctima atreves de características humanas y psicológicas para manipularla.
2.2
Antecedentes de la ingeniería social
La ingeniería social ha existido desde épocas antiguas, así como toda acción delictiva de la
actualidad, las técnicas son las mismas lo que ha cambiado es la forma en que se presenta hacia
sus víctimas. Se ha utilizado en el área ventas, marketing, investigaciones, estafas, etc. ycon la
llegada de la tecnología esta ha tomado mayor auge, por que esta le sirve como herramienta para
realizar los diferentes ataques.
Ataques producidos por la Ingeniería Social
Página 6
Se sabe que la tecnología facilita la realización de tareas, de la misma manera lo hace con la
ingeniería social, quienes la utilizan como técnica de ataque dedican menos esfuerzo y tiempo
lanzándolos en la web y con mayor probabilidad de obtener víctimas.
En la antigüedad los casos de ingeniería social ya existían, un ejemplo de esta son las cartas
en papel enviadas a personas ofreciéndolescierta de dinero por una supuesta herencia, que al
final terminaba en una estafa, otro ejemplo son las cartas misteriosas de doctores espirituales del
extranjero solicitando dinero a cambio de recetas mágicas.
Un ejemplo son las llamadas “Cartas Nigerianas” que llegaban en papel a los buzones de las
personas resultando en estafas, las cuales circulaban antes de la existencia del internet. Existe
una conocida película titulada “Le llamaban la madrina” protagonizada por la actriz Lina Moran
en la que demostraba cómo se llevaba a efecto esta estafa. Estas “estrategias” de engaño
simplemente utilizan ahora las nuevas tecnologías.
2.3
Fundamentos de la ingeniería social
La ingeniera social se base en dos fundamentos, eningeniería y psicología de la conducta, con
ayuda dela psicología se conoce el comportamiento humano, los diferentes incentivos,
tendencias y motivaciones que mueven a una persona a realizar cierta acción , y con ayuda de la
ingeniería se crean e inventan diversos tipos de ataques basados en persuasión humana.
Motivadores Psicológicos
1. Reciprocidad
2. Orientación social
3. Consistencia
4. Aceptación
5. Tentación
6. Curiosidad
7.
8.
9.
10.
11.
El deseo de obtener algo a
cambio de nada.
El miedo a lo desconocido
El temor a perder algo
Empatía
Necesidad de ser útil
12.
13.
14.
15.
16.
17.
Ignorancia
Pereza
Apelar a la autoridad
Ego
Inocencia
Confianza
2.3.1 Reciprocidad
Es el sentimiento que tiene una persona cuando recibe un favor de alguien, con la que se
siente comprometida. Por lo general el ser humano tiene la tendencia a dejarle a otros que son
expertos las tareas complicadas, y esto da lugar a que otras personas mal intencionadas puedan
beneficiarse de esta situación.
Ataques producidos por la Ingeniería Social
Página 7
2.3.2 Orientación social
Es el sentimiento de falta de orientación por el que las personas solicitan ayuda a otras personas
más capacitadas.
Esto ocurre cuando hay inseguridad e ignorancia, por lo que el afectado busca a otra
persona para que les dé instrucciones a seguir o les diga que hacer.
2.3.3 Consistencia
Es la duración solidez y estabilidad. Las personas tienen la tendencia de adaptarse y seguir
ciertos patrones que ya están establecidos o que son norma, por lo que personas se convierten
en usuarios tontos.
Por ejemploal navegar en la web, se puede estar en un sitio no legitimo sin saberlo,
presentándose a primera instancia una ventana emergente, estas son unas pantallitas pequeñas
que se despliegan al frente del navegador que por lo regular son molestas, la tendencia de los
usuarios es cerrarlas ya sea sobre el botón “x” o en una opción que diga salir. En la mayoría de
casos estas están creadas para instalar y descargar malware o ejecutar instrucciones del sistema
operativo con un CGI o Java Script con tan solo darle clic sobre la misma o sobre los botones
mencionados.
2.3.4 Aceptación
Algunas personas tienen la costumbre de querer encajar en algún círculo o tendencia que
actualmente se encuentra de moda ya que no quieren quedarse desactualizados. Esto permite
que nuevos usuarios que no tienen experiencia incursionen en nuevas plataformas y sitios de
la red que pueden ser peligrosos o inseguros.
Ejemplo de esto es el crecimiento de las distintas redes sociales, podría darse el caso de un
atacante por Facebook el cual puede presentarse con un perfil muy llamativo a la vista de sus
víctimas, alguien que no tiene mayor conocimiento se encuentra asociado a esta red y puede
recibir la invitación del atacante paraestablecer una amistad de confianza con el fin de efectuar
una estafa.
2.3.5 Autoridad
Es el crédito y fe que se da a una persona, por el que se le adjudica cierto poder.
La tendencia que tienen las personas de recibir órdenes sin cuestionarlas, por parte de los
superiores o figuras de autoridad a las cuales se les tiene admiración y respeto.
Ataques producidos por la Ingeniería Social
Página 8
2.3.6 Tentación
Es un impulso repentino que induce a realizar algo, generalmente malo.
El ser humano por naturaleza tiende a buscar el mal, las personas por lo general no dejan
pasar la oportunidad para satisfacer cualquier debilidad.La tentación se presenta como algo
seductor y atractivo pero como muestra la Biblia su fin es fatal.
Un ejemplo es el ataque ocurrido en febrero del 2012 el cual fue reportado por ESET
Latinoaméricaen su website. El cual reporto que se estaban ofreciendopremios tentadoresen la
red por los festejos del día del cariño,con el resultado de varias víctimas.
Apenas una semana del inicio de febrero, comenzó a circular un falso boletín informativo
de una aerolínea chilena en la que se informaba al usuario que había resultado ganador de
dos pasajes a Punta Cana. Al acceder a los hipervínculos contenidos en el correo, la
víctima era infectada con una variante del gusano “Win32/Dorkbot.B”, el código
malicioso de mayor índice de detección en América Latina durante los últimos 6 meses.
El malware, cuyas sucesivas campañas de propagación por medio de redes sociales han
sido informadas por ESET Latinoamérica, convierte a los equipos infectados en parte de
una red botnet, roba credenciales de acceso de los usuarios y realiza ataques de phishing
contra bancos de la región.(ESET, 2012)
2.3.7 Curiosidad
La curiosidad es el deseo de investigar o saber alguna cosa, con el efecto de impulsar a los
individuos a buscar la información y la interacción con su ambiente natural y con otros seres a su
alrededor.
Como dice el dicho:“la curiosidad mato al gato”, así pasa con algunas personas que navegan en
la web, que en ocasiones se les presentan sitios que les llaman la atención con mensajes de
ofertas increíbles, noticias fuera de lo común, premios, fotos, videos etc. La curiosidad es un
motivador muy efectivo para el ingeniero social donde se las ingenia para crear ataques de
acuerdo al tipo de víctima. Un ejemplo podría ser elrecibir un correo donde se sugiere visitar un
sitio y descargar un programa como el siguiente caso:
Una página web o programa que proporcione el historial de conversaciones de nuestros
contactos, o simplemente quien nos ha suprimido como contactos del correo o del círculo de
amigos de red social preferido. Para obtener esta información solo se debe acceder a dicha web
con nuestro usuario y password del sitio que necesitamos la información.
Ataques producidos por la Ingeniería Social
Página 9
Otro ejemplo, el atacante deja un sobre en el suelo cerca de la víctima, que dice en letras grandes
CONFIDENCIAL, dentro de este se encuentra un CD que contiene malware que se auto instala
al leerlo, el deseo del atacante es que la víctima tenga curiosidad para ver el contenido y lo
inserte en su máquina dejándola infectada.
2.3.8 Miedo
Es un sentimiento habitualmente desagradable provocado por una perturbación angustiosa del
ánimo, con la percepción de peligro.
Un ingeniero social tratará la manera de infundir miedo a su víctima, persuadiéndola para que
actúe de forma que responda al ataque. Este se inventará un escenario donde la víctima perderá
algo en caso de no hacer lo que este le solicite. Puede ser que le envié correos donde le dice que
tiene una demanda y que debe de enviar sus datos a un “x” lugar, otro ejemplo podría ser el uso
del phishing.
Como ejemplo se tiene la recepción de un correo engañoso que notifica un premio ganado de
la lotería, solicita datos bancarios para depositar el valor del premio en menos de 5 minutos de lo
contrario el premio caducará perdiendo la fortuna.
2.3.9 Empatía
También llamada inteligencia interpersonal, es la capacidad para ponerse en el lugar del otro
individuo y saber lo que siente o incluso lo que puede estar pensando.
Los ingenieros sociales toman ventaja de sentimientos de empatía de una persona por su
ambiente, enviando mensajes por redes social para hacer determinadas cosas que ayuden a otras
personas que las necesitan.
Un ejemplo sería el típico correo que muchos han recibido donde se solicita ayuda para
tal persona que ha sufrido algún mal y necesita ayuda económica, por lo que en el mail se
pide reenviar dicha información a todos los contactos.
En los ataques de ingeniería social se toma la ventaja de estos motivadores, ya que con esto es
más fácil persuadirla, se aprovechan las emociones o comportamiento humano de usuarios
desprevenidos que navegan en la red.
2.4
Tipos de Ingenieros Sociales
La ingeniería social en la actualidad es aplicada a diferentes fines ya sean buenos o malos. Por
eso es importante conocer los diferentes tipos de ingenieros sociales que actualmente existen
para poder identificarlos. Cada tipo esta segmentado de acuerdo al fin que persigue.
Ataques producidos por la Ingeniería Social
Página 10
1.
Hackers
2.
Probadores de seguridad
3.
Espías
4.
Ladrones de identidad
5.
Empleados descontentos
6.
Artistas del timo
7.
Agentes de recursos humanos
8.
Vendedores
9.
Médicos, Psicólogos, Abogados
10. Poligrafistas
El nombre de ingeniero social no se le atribuye a una persona que haya estudiado una larga
carrera universitaria, si no es el nombre que se le da a un atacante o persona que utiliza las
técnicas de la ingeniería social con un fin, como por ejemplo el robo de información, entre
otros.
2.4.1 Perfil del ingeniero social
Un ingeniero social tiene diferentes características que lo identifican, tiene la capacidad para
persuadir a su víctima, ingenio para crear el escenario perfecto, astucia para llevar a cabo su
ataque. Además si utiliza los sistemas computacionales debe tener conocimientos informáticos
tal vezno de forma avanzada pero por lo menos lo básico, a continuación se
describealgunascaracterísticas.
Características:
1. Capacidad de socializar con facilidad
2. Habilidad en el hablar
3. Habilidad en el arte de persuasión
4. Sonar convincente
5. Aparentar ser inofensivo
6. Mantener un perfil bajo
7. Sonreír siempre
8. Tono de voz cómodo
9. Inteligente
10. Astuto
Ataques producidos por la Ingeniería Social
Página 11
Los ingenieros sociales pueden ser de dos tipos:los malos son los que persiguen engañar a
personas y su fin es el robo, estafa, obtención de información para dañara la víctima, el otro tipo
son los buenos los que persiguen obtener información pero para el beneficio de alguien o de otra
persona sin perjudicarla.
2.5
Enfoque de la ingeniería social
En la actualidad no existe empresa que no esté propensa a un ataque de ingeniería social, sin
importar el tamaño de la misma ya que el ingeniero social siempre tratará la manera de obtener
información confidencial al realizarataques con los medios necesarios.
No importa que tanta seguridad técnica se encuentre en la empresa, incluso pueden tener el mejor
equipo y la mejor tecnología en seguridad para que ningún intruso cibernético accede a los
sistemas y pueda robar información, con seguridad técnica se refiere a tener el mejor antivirus
con la última actualización, con el sistema detector de intrusos (IDS), con el sistema protector de
intrusos (IPS), el mejor firewall, cámaras, sistemas de huellas de acceso, tener los servidores en
la DMZ, políticas de seguridad técnicas, evaluaciones constantes, técnicas recurrentes y una
infinidad de seguridad pero con la ingeniería social se puede saltar todo esto, ya que va enfocado
a quienes utilizan los sistemas. Son los usuarios que como comenta Kevin Mitnik“los usuarios
son el eslabón más débil”, y son los que más fácilmente se pueden manipular saltando toda
seguridad técnica.
Cabe mencionar que la ingeniería social no solo se enfoca a grandes empresas, esto dependerá
del tipo de ataque y la motivación que tenga el ingeniero social ya que puede ser por simple
curiosidad en obtener información, como el atacar a un amigo, familiar o pareja para obtener la
misma por medios electrónicos. En fin, lo que requiere es obtener y robar información quele
ayudea sacar provecho, entonces cualquiera que tenga uso de un ordenador puede ser una
víctima.
2.6
Tipos de ataques de ingeniería social
Actualmente existen dos tipos de ingeniería social la que se basa en el uso de la tecnología y la
física o presencial,no se puede pensar que la ingenieríase da solo en los sistemas
computacionales sino también de forma física, los ataques basados en tecnología computacional
son los más comunes y efectivos a diferencia de los físicos ya que estos últimos requieren más
conocimiento de la víctima y una serie de investigaciones para poder llegar a cabo el ataque y
que sea exitoso.
Aunque estos dos tipos de ataques se realicen con técnicas de forma distinta tienen el mismo fin,
obtener información confidencial en la que el atacante pueda sacar provecho al engañar y
manipular a la víctima. Como el ejemplo de obtener el usuario y contraseña de la banca en línea
de un cuentahabiente para realizar transacciones anómalas que afecten al mismo.
Ataques producidos por la Ingeniería Social
Página 12
2.6.1 Ingeniería social basada en el engaño físico
Esta se da cuando el ingeniero social no realiza el ataque por medios lógicos o tecnológicos, este
identifica a sus víctimas y las investiga durante un buen tiempo, las observa, obtiene
información mediante redes sociales para saber el puesto y demás afinidades, puede obtiene el
número telefónico y se hace pasar por alguien de TI o solicita ayuda. Este tipo de ingeniería
social es más difícil que la basada en tecnología ya que al atacante le toma tiempo, el cual puede
variar dependiendo la víctima. Este puede revisar la basura, si tiene acceso por ejemplo a la
empresa puede fotografiar el lugar, observar, también puede hacerse pasar un alto ejecutivo o
alguien que puede resolver un problema.
Esta no solo se limita a los ataques tecnológicos sino también donde el atacante deja su cómoda
silla por un momento y se lanza al engaño físico donde tratará de tener éxito.
Técnicas principales
1. La observación
2. DumpsterDiving/ Buscar información
en la basura
3. Suplantación de identidad física
4. Investigación por medio de redes
sociales
5. Verificar el puesto de trabajo
6. Salidas fuera del trabajo
7. Estudio de la víctima
8. Pre-texting / Crear pretexto
9. Ganar acceso físico
10. Shouldersurfing / Espiar sobre el
hombro
11. Baiting / Dejar objetos olvidados
12. Proporcionar ayuda
13. Aprovechar la oportunidad
14. Valerse de nuestra caridad
2.6.1.1 DumpsterDiving/Buscar información en la basura
Esta es una técnica que utiliza el ingeniero social para obtener información ya sea de una
organización o de una persona en particular. Se basa en la recopilación de información tomada
de la basura para luego analizarla, por eso es importante que los documentos que contienen
información confidencial o que sean comprometedores deban desecharse de forma segura
triturándolos para que no quede ningún dato a la vista.
El atacante puede obtener de la basura, cheques anulados con firmas, números de cuenta,
chequeras, estados de cuenta, listas de teléfonos, propuestas económicas, gráficas, facturas
telefónicas y de compras, documentos que contengan nombres de usuarios y contraseñas, notitas
con información confidencial , etc. Existe variedad de información que se puede obtener de esta
manera cuando los datos confidenciales colocados en documentos no se desechan de forma
adecuada y segura, esto puede producir una auto vulneraciónhacia la persona para que alguien
malintencionado inicie con la creación del plan de ataque.
Ataques producidos por la Ingeniería Social
Página 13
2.6.1.2 Pre-texting / Crear pretexto
Esta es una técnica donde el ingeniero social se inventa un escenario con base en un pretexto
para engañar a la víctima, ya sea para que le brinde información que le sirva al atacante yrealice
algún tipo de acción que le beneficie.
Este tipo de engaño puede ser realizado de forma presencial ante la víctima o por medio
telefónico, que actualmente ha tomado auge. Antes de iniciar el atacante ya ha evaluado a la
víctima, entonces se vale de esto para iniciar el ataque.
La postura que tiene un ingeniero social al atacar dependerá del tipo de víctima que se enfrente,
por lo regular elegirá a usuarios con poco conocimiento, personal con bajo nivel que tengan
acceso a los sistemas o alguien que pueda revelar algún tipo de información sensible que ayude
al ataque.
Se cita el siguiente ejemplo:
”Un típico ataque de este estilo es suplantar a un superior jerárquico que requiere acceso
remoto y que ha olvidado su contraseña, por lo que solicita su cambio pues necesita acceder a
cierto sistema de manera urgente.”(Spencer,J. 2011)
2.6.1.3 Por medio telefónico
Este engaño se hace por vía telefónica por lo regular suelen crear escenarios donde el atacante
llama a una víctima haciéndose pasar por alguien de un call center deuna empresa telefónica a la
tenga afín para ser engañada con la actualización de sus datos personales.
Otro caso sería la notificación de un premio ganadopor que sunúmero telefónico salió premiado,
en otros casos se hacen pasar por alguien de tecnología en una empresa solicitando datos de
acceso al sistema, o incluso pueden decir que llaman de un banco y que necesitan que la
confirmación de datos personales hasta solicitar las credenciales de acceso de la banca en línea.
2.6.1.4 Suplantación de identidad física (Tailgating)
En este aspecto el atacante utilizará los recursos que tiene a su alcance para iniciar el ataque, se
hace pasar por cualquier persona que tenga un cargo al que se le confía información sensible,
cuenta con el apoyo del personal de bajo cargo que tiene acceso a los sistemas, a los cuales
puede manipular fácilmente.
El ataque se realiza de forma física donde el malhechor estará cara a cara con la víctima, podrá
optar por diferentes formas de persuasión ya que esto depende de la misma, si es una persona del
Ataques producidos por la Ingeniería Social
Página 14
sexo opuesto tratará la manera de portarse amable y gentil, si no fuese el caso será prepotente,
provocando a la víctima a estar dentro de un ambiente bajo presión o simplemente se hará pasar
por alguien de tecnología que solicita información del usuario y contraseña o podrá tener acceso
al computador simulando soporte pero en realidad podrá instalar cualquier tipo de malware.
Estos ataques son más fáciles de realizar en empresas grandes o corporaciones donde
difícilmente todos los trabajadores se conocen, si este fuera el caso. Pero si fuera una persona en
particular la víctima no perteneciendo a una empresa entonces el ataque será mucho más fácil y
sencillo.
2.6.1.5 Shouldersurfing /Espiar sobre el hombro
Técnica utilizada para robar información por medio de espiar sobre el hombro de la víctima, se
observa cuando esta teclea su usuario y contraseña o ver documentos confidenciales que la
misma posee en el momento con información delicada que puede ser de ayuda para atacar.
2.6.1.6 Baiting/ Dejar Objetos olvidados
Técnica que consiste en dejar objetos olvidados que contienen malware instalado para robar
información de la víctima, los objetos son dejados en lugares estratégicos tales como oficinas
que se encuentren abiertas, o en estaciones de trabajo donde hay computadores.
Estos objetos pueden ser memorias USB, SD, CD, DVD en donde se espera que la víctima lo
pueda conectar a su máquina. Un ejemplo de malware es la instalación de keylogger para
obtener claves de cuentas de correo, de redes sociales y de banca virtual.
En esta técnica se suele jugar con la curiosidad de las personas ya que se etiquetan con nombres
muy llamativos los objetos olvidados tales como “Confidencial”, “fotos de verano”, “archivos
secretos”, entre otros.La creatividad del atacante variaráa partir del tipo de víctima ya que el
ingeniero social tratará de despertar el interés de la misma para que se desee ver lo que contiene
el objeto conectándolo al ordenador.
2.6.1.7 La observación
Esta técnica se basa principalmente como su nombre lo dice en la observación de la víctima.
Se utiliza la mayoría de veces como punto de partida para iniciar o crear el plan de ataque ya sea
para una persona particular o alguien que está trabajando en alguna empresa y tenga acceso a los
sistemas que se desea atacar y obtener información.
Un ingeniero social puede obtener con la Información del perfil psicológico tentativo de la
víctima, datos personales como el nombre, cumpleaños, lugar de residencia, gustos, estado civil,
Ataques producidos por la Ingeniería Social
Página 15
lugares frecuentes, familiares, amigos, ambiente laboral donde se desenvuelve, reglas
institucionales entre otros.
Por ejemplo, se cita el escenario de un ataque físico; este puede darse por medio telefónico o
personal, el ingeniero social puede llegar a un banco de forma recurrente, con la excusa de hacer
una transacción, pero esto es solo una parte para verificar el ambiente (si son cuidadosos los
empleados con datos sensibles), tomar nota de los nombres de los empleados, puede obtener los
números de las extensiones para luego llamar y hacerse pasar por alguien de TI solicitando datos
como el usuario y contraseña de acceso para realizar algún tipo de mantenimiento en la máquina.
2.6.1.8 Ganar acceso físico
Este tipo de técnica se da cuando el atacante entra al lugar de ataque se salta las barreras de
seguridad físicas, tratará la manera de hacerse pasar por alguien que tenga acceso como un
empleado o un cliente.
El fin que tiene es poder robar información y si le fuera posible instalar algún software en alguna
máquina de la estación de trabajo que este vacía, el cual le pueda enviar información de forma
remota.
2.6.1.9 Engaño físico a usuarios bancarios
Se puede pensar que los ataques de ingeniería social solo van dirigidos a usuarios que manejan
los sistemas de empresas ya sean grandes, mediana o pequeñas. Lo cierto es que los ataques de
esta van más allá, sin límites de imaginación, todos los que tienen acceso a un computador y
utilizan cuentas bancarias pueden ser víctimas.
Actualmente existen innumerables casos de ingeniería social en Guatemala que han sido
exitosos, que en ocasiones se encuentran publicados en periódicos recientes casos de robos y
estafas a usuarios bancarios que sin saberlo han sido víctimas.
Un usuario bancario puede ser atacado por llamadas telefónicas, por ofrecimiento de ayuda en
cajeros ATM, por alguien que físicamente se haga pasar por personal de una entidad bancaria, o
por alguien que muestre interés por ayudarle pero en realidad solo quiere obtener información.
Como caso de ejemplo se cita el escenario en que alguien puede llamar a un cliente del banco y
hacerse pasar por un empleado del mismo solicitándonos algunos datos confidenciales para
realizar unas supuestas actualizaciones. Por lo regular el usuario puede sentirse en confianza
porque de otro modo como tendrían su número de teléfono, pero sin saber que detrás de la
amabilidad del que llama se esconde un ataque de ingeniería social.
Ataques producidos por la Ingeniería Social
Página 16
2.6.3 Ingeniería social basada en tecnología (lógica)
Este tipo de ingeniería se enfoca en los ataques realizados por medios electrónicos, y se
fundamenta en las debilidades humanas y descuidos de usuarios al navegar en la red. Es una de
las técnicas hoy en día más efectivas ya que con el auge de la tecnología y la web se
puedeingresar a diferentes sitios y realizar cualquier tipo de transacción de forma más cómoda.
Como en la actualidad existen usuarios con poco conocimiento en el tema de la ingeniería social,
los atacantes se valen de esto para el engaño. Son como unos pobres bobos ignorantes
hipnotizados por los medios de comunicación, ingenuos que no se esperan algo malo de
un medio tan sofisticado como la web y sus redes sociales.
Las redes sociales abren hoy en día una puerta trasera para los ingenieros sociales ya que se
puede obtener mucha información de las víctimas para efectuar un ataque.
Técnicas basadas en tecnología
1. Postales electrónicas
2. Phishing
3. Worms(gusanos informáticos)
4. IRC
5. Correo Spam
6. Documentos adjuntos
7. Redes sociales
8. Chat
9. Contraseñas vulnerables
10. Ventanas emergentes
11. Software
12. Licencias sobre cargadas de
texto
13. Pharming
14. Vishing
15. Typosquatting
16. Utilizar nombres de dominios
similares
17. Spoofing
18. Scam
19. Hoax
20. Spearphishing
2.6.3.1 Correo Spam
Esta técnica consiste en enviar mensajes de correoelectrónico donde se ofrecen regalos,
productos conocidos, información de interés e invitaciones para pertenecer algún sitio de las
redes sociales más populares.Estos mensajes son enviados para que la víctima pueda visitar el
link enviado dentro del correo que lo llevará a algún sitio previamente creado por el ingeniero
social para que automáticamente descargue malware en la máquina de la misma o que pueda
abrir algún archivo adjunto que se instale automáticamente sin que la víctima se dé cuenta.
2.6.3.2 Ventanas emergentes
Ataques producidos por la Ingeniería Social
Página 17
En esta técnica el ingeniero social coloca en algunos sitios web ventanas emergentes las
cuales son muy peligrosas ya pueden ser infectar el computador con malware con tan solo darle
clic sobre ella o tratándola de cerrar con el famoso botón “X”. Normalmente estas ventanas son
colocadas antes de iniciar la navegación en alguna página o sitio para que la víctima no pueda
navegar hasta que la cierre o haga algo sobre ella misma para quitarla.
Existen diferentes tipos de ventanas emergentes, cada una varíadependiendo la creatividad del
ingeniero social y del tipo de víctima que se desea atacar.
2.6.3.3 Software
Técnica en la cual el ingeniero social crea un malware que viene maquillado o incrustado
dentro de un software legítimo, por lo regular este ataque se realiza en descargas fáciles y sin
costo de softwarelicenciado en sitios de no confianza, puede ser descargado por necesidad o por
algún ofrecimiento recibido por correo electrónico o mensaje en red social, adquiriendo el riesgo
de ser infectado el equipo.
“El hacker convence a la víctima de instalar un programa que pareciera ser legítimo pero
que en realidad no lo es y podría, por ejemplo, estar activando una puerta trasera en el
sistema o un keylogger.”
2.6.3.4 Pharming
Esta técnica consiste en direccionar al usuario a una página falsa creada por el ingeniero social,
para robarle información o instalarle alguna clase de malware.Es muy parecida al phishing
pero a diferencia no está enfocado a engañar al usuario sino al equipo que este utiliza, ya que la
víctima escribe la URL correcta del sitio original pero el equipo lo resuelve hacia otra dirección
IP que no es la original.
Básicamente este ataque se basa en la suplantación del nombre de dominio, el atacante
puede vulnerar ya sea un servidor de DNS o un router para que todos los usuarios de ese
servicio sean víctimas.
Tipos de pharming
Esta técnica tiene tres tipos de variantes, las cuales el ingeniero puede utilizar para realizar un
ataque.
2.6.3.4.1 Pharming local
Ataques producidos por la Ingeniería Social
Página 18
Este tipo pharming se basa en el ataque del equipo de la víctima, se logra instalando malware
al equipo el cual puede contener un troyano que se encargue de alterar los registros del archivo
host al cual el equipo hace referencia para conectarse directamente a un sitio conocido.
2.6.3.4.2 Drive-ByPharming
Se basa en que el atacante logra acceder al router o firewall y cambia la dirección del servidor
del DNS por una dirección del servidor del atacante. Existen varias formas de que esto suceda la
primera podrá ser que el atacante logre conectarse alrouter y utilizar la clave por default del
administrador que estos traen o al visitar un sitio en internet por medio de java script se
configure elrouter para que apunte a donde el atacante desee.
2.6.3.4.3 DNS Poisoning (Envenenamiento de DNS)
Técnica basada en las vulnerabilidades de los servidores DNS, en los cuales se aprovecha y se
toma control de la cache de los mismos. Esta es una técnica difícil de realizar por la seguridad
que estos tienen.
Consiste básicamente en atacar a los servidores de DNS que utilizan las computadoras para
conectarse a internet, este servidor DNS es proporcionado por el proveedor de servicios de
internet, cuando el servidor atiende las solicitudes de sus clientes para mayor rapidez almacena
de forma temporal información, la cual es utilizada por el atacante para afectar a todos los que
son clientes del proveedor.
2.6.3.5 Vishing
Esta técnica se basa en la combinación de Phishing y voz, en la cual por medio de un correo
electrónico le sugiere a la víctima para que llame a un determinado número, el ingeniero social
podrá utilizar un sistema de IVR (interactivevoice response) falso en el cual la víctima
interactuará proporcionado información confidencial, en algunos casos pueden utilizar este tipo
de sistema o si no lo transferirá a un supuesto agente de servicio al cliente en donde le solicitarán
información personal.
2.6.3.6 Smishing
Esta técnica es un derivado del phishing, y consiste en el envío de mensajes de texto falsos de
entidades fiables a los cuales el usuario puede o no tener relación. Los mensajes enviados lleván
algún tipo de interacción en donde se pueden hacer pasar por una entidad bancaria o una
corporación telefónica solicitando datos los cuales deben de ser enviados al mismo número de
mensaje.
Ataques producidos por la Ingeniería Social
Página 19
2.6.3.7 Typosquatting(URL secuestro)
Es una técnica basada en la ciberocupación, donde el atacante toma ventaja en los errores de
escritura de usuarios despistados al introducir la URL de los sitios web en el navegador. Por lo
regular el atacante crea un sitio donde llega el usuario similar al que él estaba esperando ingresar
para robarle información de sus cuentas bancarias, tarjetas de crédito y datos personales.
Existen 4 tipos detyposquatter para que la persona sea víctima al visitar, para ejemplificar se
toma como el sitio llamado " example.com ":
a)
b)
c)
d)
Por la ortografía de lenguas extranjeras , ejemplo: exemple.com
Errores de ortografía en la escritura , ejemplo : xample.com o examlpe.com
Escribir un nombre de dominio diferente : examples.com
Escribir un nombre de dominio de nivel superior parecido : example.org
2.6.4 Utilizar nombres de dominios similares
Técnica similar al typosquatting solo que esta se vale de nombres de dominio similares a sitios
famosos para que el usuario se equivoque y llegue a un sitio creado por el ingeniero social el
usuario si no tienen cuidado le instalará malware, o ejecutará un java script y en algunos casos
hasta podrá obtener datos confidenciales de la víctima que esta misma terminará proporcionado
ya que supuestamente se encuentra en un sitio seguro.
2.6.5 Phishing
Esta es una técnica muy conocida y utilizada por los ingenieros sociales, donde se le envía a
la víctima un correo electrónico falsodonde se hace pasar por alguna institución muy reconocida
como un banco. Se le persuade a la víctima con cualquier pretexto para que siga un link
colocado dentro del correo, además el atacante puede advertirle que si no es visitado el link
puede tener alguna consecuencia.
El fin que se persigue con este ataque es que al visitarlo se le transfiera a una página o sitio
creado por el atacante donde le podrá solicitar datos personales, por ejemplo de un banco le
puede solicitar su usuario y contraseña para ingresar a la banca virtual.
Otra perspectiva de esta técnica es que tratará de convencer a la víctima para que llegue a un
sitio que el ingeniero social le indique, puede ser que reciba un aviso queganó un premio o hasta
que juegue con sus sentimientos y le solicite ayuda. Hoy en día es más fácil realizar un ataque
de este tipo ya que existe diversidad de información colocada en redes sociales que puede ser
Ataques producidos por la Ingeniería Social
Página 20
tomada en contra de la víctima para realizar un phishing perfecto, que puede llegar a la víctima
con mensajes personalizados no despertando duda.
Un ejemplo podría ser el siguiente caso de ataque hacia un usuario bancario:
Son las 09:34 y Juan recibe un mail de su banco, en el cual le avisan que hubo algún
problema y que ya fue resuelto. Juan se sorprende porque efectivamente la semana pasada
hubo un momento en que no pudo entrar a la página web. El mensaje le pide a Juan ir al
sitio web del banco e ingresar sus datos y contraseña. Juan hace clic en el link que
aparece en el mensaje. Se abre el navegador con una página y ve que todo está como
siempre, por lo tanto, procede a ingresar sus datos y la contraseña. Horas más tarde,
vuelve a ingresar y se da cuenta de que ya no tiene un peso en su cuenta corriente. Acaba
de ser engañado.(Universidad Pontifca, 2010)
2.6.6 Documentos adjuntos
Técnica de la ingeniería social que consiste en el envío de malware por medios electrónicos
adjuntos en correos, red social o en chats. El ingeniero social persuade a la víctima enviando
algún correo, hará que esta habrá el archivo o lo descargue en su máquina. La mayoría de
usuarios con poco conocimiento le dan clic a todo lo que viene.
Por ejemplo el ingeniero social puede enviar un correo con fotos de algún famoso para que lo
vea o se puede valer de alguna noticia del momento. Anteriormente al recibir un archivo este se
auto ejecutaba si ese fuera el caso, pero ahora los proveedores de correo han desactivado esta
propiedad.
2.6.6.1 Spearphishing
Esta técnica consiste en realizar una estafa por correo o mensajes electrónico, suele estar
enfocado a nivel empresarial, por lo que el atacante se hará pasar por un mismo miembro de la
entidad, como por ejemplo enviará un correo haciéndose pasar por un alto funcionario o por
personal de TI solicitando cualquier información confidencial como las credenciales de acceso a
los sistemas.
2.6.7 Redes sociales
Técnica que consiste en crear cuentas falsas para engañar a usuarios. El ingeniero social utiliza
toda su imaginación para crear el perfil perfecto para engañar a sus víctimas.
Antes de iniciar el ataque, él atacante ha segmentado el tipo de víctima, la ha evaluado por medio
de información pública que esta tiene disponible en su perfil. Además el ingeniero social podrá
Ataques producidos por la Ingeniería Social
Página 21
sondear a sus víctimas en otras redes sociales para corroborar información y conocer el tipo de
amigos que se mueven en su círculo social.
El ataque inicia cuando ya cuenta con toda la información necesaria para engañar a su víctima y
establece algún tipo de amistad, donde la persuadirá siendo muy amable y amistoso hasta que
esta le tome confianza y poco a poco pueda obtener más información, instalarle malware o
cualquier otro fin.A continuación se muestra una tabla con los distintos tipos de información que
un ingeniero social puede obtener para realizar un ataque exitoso. (Ver tabla 1)
RedSocial/Plataforma
Facebook/G+/Hi5/Badoo/...
Informaciónobtenida
1.
2.
3.
4.
5.
6.
7.
8.
9.
Estados de ánimo
Lugares visitados
Fotografías
Intereses
Familiares
Relaciones
Relaciones laborales
Datos personales
Etc.
Twitter/Tuenti/BBM/...
1.
2.
3.
4.
Estados de ánimo
Lugares visitados
Fotografías
Intereses
MySpace/Grooveshark/LastFM/...
1.
2.
Música escuchada
Gustos musicales
Linkedin/...
1.
2.
3.
4.
Estado laboral
Conocimientos
Asignación Salarial
Estudios en proceso
Foursquare/...
1.
2.
Lugares visitados
Gustos
gastronómicos
Ataques producidos por la Ingeniería Social
Utilidad
Estas
redes
proveen
mucha información en
general de la persona y
sus contactos.
Establecer un listado de
actividades,
perfil
psicológico,
lugares
visitados,
información
consultada y gustos de la
persona.
Establecer un perfil de
preferencias y gustos
musicales.
Identificar perfil laboral
de la persona, trabajo
actual, pasados, estudios,
conocimientos, intereses
de trabajo, etc.
Permite geo posicionar a
las personas e identificar
qué
lugares
suelen
frecuentar o posibles
movilizaciones a través de
viajes.
Página 22
RedSocial/Plataforma
Flickr/Picasa/...
Informaciónobtenida
1.
2.
3.
Lugares visitados
Gustos particulares
Entorno en que se
desarrolla el
individuo
Utilidad
Establecer un listado de
actividades,
perfil
psicológico,
lugares
visitados y gustos de la
persona.
Tabla 1 (Sanabria, J. 2012)
2.6.7.1 Scam
Es una técnica que utiliza la ingeniería social para realizar intentos de estafas através de
correos electrónicos, redes sociales, chats en línea, páginas emergentes y sitios fraudulentos en la
red, engañando al usuario a que compre un producto o se suscriba a un determinado servicio a
cambio de un supuesto premio o negocio increíble, que termina en pérdidas económicas para la
víctima.
Se camufla utilizando los mismos colores o logos similares de una entidad o empresa
reconocida para que a simple vista el usuario crea y confié en este tipo de notificaciones en la
red.
2.6.7.2 Spoofing
Es una técnica de suplantación de identidad generalmente para usos maliciosos o de
investigación atreves de la web. Existen diferentes tipos de spoofing entre los que se pueden
mencionar: IP spoofing, ARP spoofing, Web Spoofing, Mail Spoofing, GPS Spoofing.
Los más utilizados para ataques de ingeniería social son el WEB spoofing y el Mail spoofing. El
primero consiste en suplantación de identidad de una página web real, donde enruta la conexión
de una víctima a través de una página falsa, el segundo consiste en suplantación del correo
electrónico de personao entidad legítima en la red para fines maliciosos del ingeniero social.
Por ejemplo, se tiene el caso donde el ingeniero social se apropia de la cuenta de correo de un
usuario, los contactos que este tiene en su cuenta se vuelven presas fáciles para el atacante por la
probabilidad de que acepten URL de phishing, archivos adjuntos infectados entre otros.
El atacante toma ventaja de esto enviando cualquier tipo de malware o solicitando favores, como
por ejemplo el estaratravesando una gran crisis financiera y necesita ayuda económica.
La mayoría de usuarios de correo electrónico tienen una clasificación de sus contactos en
diferentes categorías tales como amigos, favoritos, familiares, conocidos, entre otros. Un
atacante puede utilizar esta información para mayor eficacia para el ataque. Esta técnica es muy
Ataques producidos por la Ingeniería Social
Página 23
efectiva en usuarios que no responden correos de personas desconocidas, pero como es alguien
de confianza no dudan en seguirle el juego al ingeniero social.
Un ejemplo podría ser el siguiente:
“Esto es lo que le pasó a una mujer norteamericana, cuando a una amiga suya le robaron la
cuenta. Se hicieron pasar por ella y su novio, pidieron ayuda porque supuestamente les
habían robado los billetes, las maletas, el dinero… mientras se encontraban en Londres de
viaje y que necesitaban dinero para volver a casa.
Esta mujer, de buena fe, les envió dinero por medio de Western Union, una empresa de
envío de dinero donde se pierde el rastro de a dónde va dada su capacidad de anonimato.
Cuando la persona legítima de la cuenta se conectó, vio lo ocurrido y avisó a todos sus
contactos que alguien se había conectado a su cuenta, y había hecho uso de ella.
Demasiado tarde para su otra amiga que ya había enviado dinero a no se sabe
quién.”(Tecnológico, 2009)
2.7
Tipos de Ataques utilizados por la ingeniería social
Hoy en día existen infinidades de ataques de ingeniería social tanto físicos como por medio de
sistemas tecnológicos (lógicos). Con el auge de la tecnología se facilitó el envío y recepción de
información así como la automatización de varios procesos y transacciones.
Así como a un usuario se le facilitó realizar varias acciones en la web sin tener que realizarlas de
forma personal también a los ingenieros sociales para quedesde la comodidad de su escritorio
logren con mayor eficacia su cometido “el ataque”.
A continuación se describenun resumen de los ataques más frecuentes producidos por la
ingeniería social basados en las técnicas que tiene de formafísicas como lógicas, aunque en la
mayoría de los casos serán citados ataques tipo lógicos.
2.7.1 Ataques más frecuentes
2.7.1.1 Estafa nigeriana o el timo 419
Este ataque se lleva a cabo por medio del correo electrónico, que le llega a la víctima sin que
esta lo haya solicitado. El nombre que adquiere este ataque es debido al número de cogido penal
en Nigeria, que se viola.
Ataques producidos por la Ingeniería Social
Página 24
Consiste en crear un escenario donde hay una gran fortuna de por medio y que por falta de
documentos o por cualquier otro pretexto no se puede obtener o cobrar la misma, por lo que el
ingeniero social le solicita ayuda a la víctima para poder sacarlo del país o que salga a nombre de
la víctima.
Si la víctima le sigue el juego al ingeniero social este le solicitará una lista de información
confidencial como por ejemplo su cuenta para la transferencia y otros datos.
El ingeniero social en este ataque despierta cierta codicia en la víctima la cual hace que la motive
a revelar información confidencial con tal de obtener la fortuna.
A continuación un ejemplo de un ataque parecido, pero con el mismo enfoque de la estafa
nigeriana.
En el ejemplo el atacante se hace pasar por un alto ejecutivo, dondele hace una proposición
indebida para la recepción económica, y con astucia si quierepuede convencer a la víctima para
que le revele datos de su cuenta bancaria.
2.7.1.2 Animales obsequiados
Este es un tipo de ataque donde se le envía a la víctima por medio de correo electrónico o red
social el aviso de regalo de animales poco fuera de lo común, en algunos casos existen sitios
fraudulentos dedicados a ofrecer lo mismo.
Un ejemplo de notificación puede ser de alguna persona que tiene una clase de perro con
pedigree y necesita regalarlo ya que debe mudarse hacia algún sitio a la ciudad donde no puede
tenerlo. Si alguna víctima cae en la trampa y le responde que está interesado, entonces el atacante
le solicitará una mínima cantidad como gastos de envío, se hará pasar por la compañía de
transporte le envían correo o notificándole por teléfono de la llegada del animal, si la
Ataques producidos por la Ingeniería Social
Página 25
víctimacancela la cantidad puede que la vuelva a engañar al solicitarmás dinero con la excusa de
un extravío en el camino de la mascota, al final la víctima es estafada ya que no recibe nada.
2.7.1.3 Ofrecimiento de software de interés
En este ataque el ingeniero social envía mensajes de correo o mediante las redes sociales
ofreciendo alguna herramienta de software que despertará interés en la víctima, no le ofrece
dinero pero si despertará la curiosidad para saber de algo o de alguien en especial, que de otra
forma seria imposible.
Pero detrás de este ofrecimiento existe el envío de la víctima a un sitio fraudulento, o donde la
descarga del software instalará un troyano, gusano o keylogger donde se infectará y el atacante le
estará llegando la información recopilada y entre esta estarán datos confidenciales como los
accesos a su banca en línea, redes sociales, correo entre otros.
2.7.1.4 Documentos Adjuntos
Este ataque consiste en enviarle a una víctima algún archivo ya sea .zip,.rar,.doc,.jpg,pdfentre
otros. Utiliza la técnica de los documentos adjuntos se persuade para que ésta no se quede con la
duda de lo que viene en el correo. A continuación se muestra un ejemplo verídico de este ataque
enviado el 5 de mayo del 2013.
El mensaje traducido seria “Le recomendamosque abrael archivopdfadjunto,yponerse en
contacto consu loteríalocal”. El atacante persuade a la víctima con la codicia ya que le hace creer
que se ganó dinero de una lotería de donde ni siquiera éste participó pero suena tentador la
cantidad ofrecida, la mayoría de personas que reciben estos correos lo omiten pero hay otras que
caen en la trampa donde el ingeniero social quiere que el destinatario abra el archivo, para
Ataques producidos por la Ingeniería Social
Página 26
instalarle cualquier tipo de malware que puede robar información crítica como por ejemplo la
bancaria.
2.7.1.5 Premios ganados
Este es el caso de correos enviados a víctimas donde se les notifica que ganaron un premio de
la nada, ambos correos fueron enviados por la misma persona, y lo que desean es obtener datos
personales de la misma, si la víctima le llegará a enviar sus datos puede auto vulnerarse o
utilizarse esta información con fines comerciales. En los ejemplos que se muestran a
continuación el atacante se vale de nombres de empresas reconocidas para que tome valor el
correo en este caso de NOKIA y de Coca Cola.
Este es el caso donde el atacante le hace creer a la víctima que ha recibido un premio con una
cantidad elevada, y necesita que este le responda para cobrar el fantasioso premio.
Ataques producidos por la Ingeniería Social
Página 27
2.7.1.6 Correos con Negocios Increíbles
Existen correos que llegan a los diferentes buzones electrónicos que se encuentran en la red,
donde trata el atacante de jugar con la codicia de la persona al ofrecerle negocios, acuerdos que
en la vida real sería imposible de que se den pero claro, estos correos suelen ser la “excepción”.
Caso: Usted ha recibido 25000 euros en su cuenta
A continuación se muestra un correo recibido el día 6 de mayo del presente año donde se ofrece
una jugosa ganancia por revelar un secreto, además de no realizar nada ni requiere mayor
esfuerzo. Dentro del mensaje enviado por Jose, se agregó un link para ampliar información, el
cual va direccionado a la siguiente página fraudulenta http://mediagogle.com/jp.php/303359/669047/798767/b6ee81d1.
Ataques producidos por la Ingeniería Social
Página 28
2.7.1.7 Correo con ofertas de productos bancarios
2.7.1.7.1 Tarjeta Oro
Este es un caso donde se ofrece a la víctima un producto bancario de tarjeta de crédito donde
no existen intereses y se obtienen de forma rápida. Cada parte del correo recibido son imágenes y
botones que van direccionado hacia un sitio fraudulento (http://advicebureau.net/bank).
2.7.1.7.2 Tarjeta con crédito aprobado
Este correo es enviado a la víctima para que la misma revele sus datos personales, el engaño
de este correo falso es el ofrecimiento de una supuesta tarjeta de cajero automático con una alta
cantidad de dinero ya depositado.
Ataques producidos por la Ingeniería Social
Página 29
Traducido dice lo siguiente: “Hasido galardonado con unatarjeta de cajero
automáticocontienela
suma
de$315,810.00USD,
para
las
reclamacionescontactoRev.JohnsonKalentravés
de
correo
electrónico:
revjohnsonkalen@live.comcon su nombre completo, número de teléfono móvily laDirección de
la casa, o llame a la líneadirecta:2348133075323”
2.7.1.8 Correo deposito fallido
Este es el caso en donde el atacante desea que la víctima visite cada uno de los link, o se ponga
en contacto con él, donde se crea el escenario de un supuesto depósito y por error llega una
copia del correo a lavíctimapara que sepa el código secreto de una transacción y esta trate la
manera de cobrar el dinero.
El fragmento traducido es “Lamentamosinformarlequesumás recientepagode depósito
directo(ID935809575695) fue anulado, porqueel paquete de softwarede negociosestaba fuera
defecha. Utilice elsiguiente enlace paraentrar en la secciónsegura de nuestrositioweby verlos
detalles, Por favor,póngase en contacto consu instituciónfinanciera para obtenerla
versiónactualizada delsoftware necesario.”
”
2.7.1.9 Correo Fortuna
En este ataque se envía a la víctima correos con supuestos ofrecimientos de una herencia donde
un desconocido de algún país lejano anuncia su pronto fallecimiento por alguna causa terminal y
no cuenta con ningún familiar.
Ataques producidos por la Ingeniería Social
Página 30
También el envío de correo de parte de un supuesto abogado que notifica al receptor la muerte de
una persona que no tiene familiares y que además existe una herencia la cual solo puede ser
cobrada por un pariente, y causalmente se tiene el apellido del difunto.
En este caso el atacante solicitará cierta cantidad económica para cubrir costos legales de
trámites por la fortuna, también podrá solicitar datos de la cuenta bancaria para el supuesto
depósito así como el envío de archivos adjuntos que contienen malware y links hacia sitios
maliciosos.
Ataques producidos por la Ingeniería Social
Página 31
2.7.2 Ataques más Peligrosos
Estos ataques suelen ser poco frecuentes, pero al ejecutarse tan solo una vez el grado de
peligro es mayor ya que son muy efectivos para los ingenieros sociales donde pueden robar no
solo información si no también dinero de las víctimas.
2.7.2.1 Phishing en Guatemala
En estos últimos años este tipo de ataque se ha dado en varios bancos del sistema, antes no
era crítico este tipo de ataque en nuestro país ya que pocos bancos tenían sistema de banca en
línea y en proporción era reducido el número de usuarios de la misma. Pero ahora la banca en
línea para muchos representa una herramienta de accesibilidad fácil para realizar diferentes
transacciones, ya no es un lujo es una necesidad del día a día. Como se sabe que la banca en línea
ha tenido auge así también van los ataques para la misma y combinado con la ingeniera social se
utiliza el phishing para engañar a muchos usuarios y robarles sus cuentas de la banca y los
accesos en línea de la misma.
2.7.2.2 Phishing en Banrural
Este ataque es el más reciente de phishing en Guatemala realizado en junio del 2011 a
continuación la descripción del ataque según prensa Libre:
“El caso más reciente ha sido un correo electrónico que se supone fue enviado por el
Banco de Desarrollo Rural (Banrural), en el que se solicita la verificación de datos del
usuario para que este pueda continuar con el servicio de internet.
El texto del correo dice: “Estimado cliente: Le informamos que usted no ha realizado el
proceso de verificación de identidad, el cual es necesario para seguir usando el servicio
de banca por internet Banrural. Es necesario realizarlo ingresando mediante el siguiente
link para validarlo”.
El documento señala que en caso de no atender las indicaciones, el servicio de banca en
línea quedará suspendido y el cuentahabiente deberá acudir a la sucursal para
desbloquearlo.”(Prensa Libre, 2011)
Ataques producidos por la Ingeniería Social
Página 32
2.7.2.3 Phishing Banco Industrial
En agosto del 2009 se reportó el caso de phishing sobre la banca en línea del BI, en donde le
solicitaban al cuentahabiente que ingresara a la página solicitándole su usuario, contraseña,
código de acceso y la contraseña de transferencia.
El sitio al original al que se direccionaba en vez del Banco Industrial era el siguiente:
http://www.bibanking.bi.com.gt.fw.nu/ según fuentes este sitio falso fue cerrado para que no
siguiera el ataque. No se sabe exactamente la cantidad de víctimas que cayeron en este ataque
pero para el atacante fue fácil y efectivo.
El sitio donde se dirigían a las víctimas era idéntico al original como se muestra en la siguiente
imagen.
Ataques producidos por la Ingeniería Social
Página 33
Según la página Ahtabai dedicada a publicar sitios con vulnerabilidades, comentan queno se
molestaron en cambiar los comentarios de la herramienta que utilizaron para copiar el sitio
original del BI.
2.7.2.4 Falsa actualización por la ley de lavado de dinero y otros activos
Este es otro caso de phishing no se sabe exactamente porque bancosque se hicieron pasar en
un ataque de lavado de dinero el cual fue detenido e investigado por el Ministerio Público de
Guatemala, donde se capturó a dos sospechosos los cuales enviaban correos a sus víctimas con
falsas actualizaciones, a continuación se detalla el caso.
“El MP tiene un caso en juicio contra dos capturados en noviembre del 2010. El proceso se
lleva en el Tribunal Primero de Sentencia Penal en Mixco, contra Salvador Alejandro Pineda
Urbina y Heidy Mercedes Jordan Godínez.
Ambos efectuaron varias transferencias por pagos y servicios por medio de cuentas de otras
personas que oscilaban entre Q10 mil y Q90 mil. La investigación comenzó en el 2009,
cuando tarjetahabientes recibían correos para actualización de datos.
Varias personas recibieron correos falsos de páginas virtuales de entidades bancarias. En estas
les solicitaban que de conformidad con la Ley de Lavado de Dinero y otros Activos debían
confirmar sus datos.Posteriormente, los clientes reportaron transferencias que nunca habían
realizado.”(Prensa Libre, 2012)
2.7.2.5 Los ataques DDoS y de ingeniería social amenazan la seguridad bancaria
Ahora los ataques de ingeniería social son utilizados por los hackers para robar información o
dinero de cuentas, en conjunto con ataques de denegación de servicios (DDoS). Por medio de
aplicaciones se realizan DDoS a lasdiferentes páginas de banca en línea, donde el fin es saturar la
red que presta el servicio de la misma para que los usuarios legítimos no puedan ingresar.
“Cabe señalar que los hackers suelen utilizar los ataques DDoS para distraer al personal
de seguridad y poder robar información o dinero de cuentas. En este sentido, Avivah
Litan, analista de Gartner en Estados Unidos, aseguró que esta nueva clase de ataques
DDoS fueron la principal amenaza para los bancos estadounidenses durante la segunda
mitad de 2012.”(PC World, 2013)
2.7.2.6 Robo de datos bancarios en Android por ataques de ingeniería social
Este es un ataque de ingeniería social ocurridoen el 2012, se trató de la descarga de una
aplicación infectada con malwarepara teléfonosmóvilesandroid, donde la aplicación se utilizaba
para generar tokens de seguridad como ingreso a la banca en línea de las distintas entidades
Ataques producidos por la Ingeniería Social
Página 34
bancarias, el malware adjunto a la aplicación se llamaba“Android/FakeToken.A” el cual copiaba
las contraseñas de acceso y datos personales de la víctima guardados en el teléfono. A
continuación se detalla más sobre este ataque reportado por McAfee.
“El malware se presenta en forma de una aplicación que, cuando se ejecuta, se muestra al
usuario con un cuadro de diálogo que parece ser una aplicación que va a generar un
identificador de software para una sesión de banca en línea. La aplicación se personaliza
para varios bancos europeos diferentes y utiliza los logotipos y los colores reales
asociados con cada banco.
Para obtener el token falso, el usuario debe introducir el primer factor de autenticación (el
utilizado para obtener acceso inicial a la cuenta bancaria). Si esta acción no se lleva a
cabo, la aplicación muestra un error. Cuando el usuario hace clic en “Generar” el
malware muestra un token falso (en realidad es un número aleatorio) enviando la
contraseña, junto con los identificadores de dispositivo (IMEI e IMSI) a servidores de
control.
El “Android/FakeToken.A” también incluye una serie de líneas de código para añadir
capacidad de autoregeneración o spyware obteniendo por ejemplo la lista de contactos del
usuario.”(Ranchal, J. 2012)
2.7.2.7 BotnetVOlk usa grupo de Facebook e infecta usuarios de Chile
En diciembre del 2012 ESET Latinoamérica, compañía de antivirus, identificó un botnet
llamado VOlk el cual se estuvo propagando en chile por medio de técnicas de phishing con
ingeniería social. El ataque consistió en enviar un correo con una postal navideña supuestamente
del grupo de Facebook, el correo viene acompañado de varios links hacia sitios fraudulentos, en
donde al ingresar al sitio se infecta la máquina con dicho botnet. El VOlk es un código malicioso
que controla de forma remota a todos los equipos que estén infectados.
“El correo falso contiene una imagen con una postal de amor navideña y enlaces al sitio
falso. A partir del análisis del código malicioso se determinó que se conecta a un panel de
control alojado en un sitio web vulnerado.
De esa forma, todos los equipos que se infecten comienzan a reportarse al mencionado
panel. Asimismo, se pudo determinar que al día de la fecha existen alrededor
de230equipos infectados que están bajo el control de los ciberdelincuentes. Durante el
análisis de la muestra, pudo determinarse que emplea técnicas de phishingreferente a
entidades financieras de Chile. A continuación pude visualizarse el listado completo de
todos las URL que suplanta el código malicioso.”(ESET , 2012)
Ataques producidos por la Ingeniería Social
Página 35
El botnet realiza el direccionamiento a un sitio fraudulento, donde se realice el phishing desde la
máquina infectada. Para comprobar tal direccionamiento el equipo de ESET Latinoamérica
realizó un análisisping desde la máquina infectada para llegar hacia la URL del banco y se
comprobó que era re direccionado a un sitio fraudulento.
Como se visualiza, el equipo infectado resuelve a una ip diferente a la original de la entidad
bancaria, A continuación se realizó un ping desde un equipo limpio y este si resolvió la ip
original.
Ataques producidos por la Ingeniería Social
Página 36
El botnet tiene un listado de entidades bancarias las cuales el redirige a sitios fraudulentos, donde
la víctima con el equipo infectado trata de ingresar a un sitio bancario, si este se encuentra en el
listado entonces se realiza el phishing sin que se dé cuenta revela datos y contraseñas al atacante.
2.7.2.8 Incidente en cajero
Este es un caso que hasta la fecha le ha pasado a más de algún cuentahabiente que confía en los
servicios de ATM (cajeros automáticos),pero que han sido víctimas de los ataques producidos
por la ingeniería social de forma física en Guatemala.A continuación se relata la entrevista de
una víctima, la cual no se revela su identidad por seguridad, pero este es un hecho verídico que
sucedió en un cajero 5B.
¿Cómo fue lo sucedido?
“Cuando introduje la tarjera en la ranura del cajero la misma se quedó trabada y luego de
varios intentos de sacarla me di cuenta que no era posible. En la pantalla del cajero no
aparecía el número de emergencia, pero si un sticker.”
¿Tuvo algún contacto telefónico con el atacante?
“Si, Había un sticker pegado en el cajero con un número al cual llame y atendió una
mujer en tono muy amable quien solicito información para “bloquear la tarjeta” la que
usualmente solicitanen el Servicio al Cliente de un Call Center bancario.”
¿El lugar de lo sucedido?
Cajero electrónico 5B ubicado en la calzada Aguilar Batres frente a la agencia de
Banrural entre la 15 y 16 calle zona 12
¿Cuánto tiempo transcurrió del ataque hasta que se dio cuenta?
“Unas 2 horas cuando llegue al banco a solicitar la devolución de la tarjeta cuando me
indicaron que no había ningún aviso de bloqueo y al revisar el movimiento habían
debitado Q. 2000 con la tarjeta.”
¿Cree que los bancos han mejorado algo o por lo menos en la institución donde se dio mejoraron
la seguridad para que no se repita?
“No, ni el banco ni los que colocan los cajeros han mejorado sus condiciones de servició
o dispositivos de seguridad.”
Ataques producidos por la Ingeniería Social
Página 37
Como se identifica en el relato este fue un robo utilizando ingeniería social y se puede ver que
tuvieron el tiempo necesario y la creatividad suficiente para llevar a cabo su exitoso plan de
ataque.
2.7.2.9 Incidente llamada para venta seguro tarjeta de crédito
La ingeniería social es utilizada en diferentes ámbitos, éste es el caso donde se utiliza en
ventas para embaucar a las personas que adquieran el producto que se está ofreciendo, tal vez la
persona no desea pero al final acceden. El ingeniero social llega a persuadirla para que realice lo
que él quiere, a continuación se cita un caso de la vida real de un cuentahabiente:
“Un individuo llamo de parte de la tarjeta de crédito identificándose amablemente,
indicando que en vista de ser un cliente preferencial tendría la oportunidad de adquirir un
seguro “solo por este mes” con mayores beneficios que los usuales.
Al transcurrir la conversación y darse cuente de mi desinterés por adquirir el seguro su
conversación se orienta a mencionar los múltiples peligros que se corren actualmente al
poseer una tarjeta de crédito, sobre todo por los montos que para esta, están autorizados y
que resulta de gran relevancia y definitivamente obligatorio el contar con un seguro
contra robos y fraudes que protejan al tarjetahabiente.
De esta manera buscaba intimidarme para obligar a través del temor para que adquiriera
el seguro.”
2.7.2.10 Ataques en redes sociales
Este es un tipo de ataque dirigido a usuarios de Facebook, como se sabe actualmente este sitio
ha tomado auge en donde las personas tienen contactos con sus amigos y familiares, donde se
comparten fotos, ideas, acontecimientos y un sinfín de información. Todas las personas quieren
estar en Facebook y por lo mismo los atacantes también, este lugar es una mina de oro para los
mismos ya que tienen víctimas para elegir.
Ataques producidos por la Ingeniería Social
Página 38
Al utilizar ingeniería social un hacker puede crear una cuenta, o puede utilizar una robada,
mandar mensajes a sus víctimas en los muros de ellas con mensajes que despierten el interés de
la misma, con links que llevan a videos que pueden estar contaminados con virus, con fotografías
o a sitios fraudulentos.
Otro ataque muy común para usuarios del Facebook, son los correos famosos que ofrecen
software para ver que amigos te han eliminado del sitio o los plug-in para tener la vista del
Facebook de color rosa.
Obviamente nada de esto existe, solo son ofrecimientos de lo que las personas esperan para
persuadirlas y sean víctimas revelando información confidencial o instalando cualquier clase de
malware en el computador o dispositivo móvil.
2.7.2.11 El virus que amenaza a Google Chrome y Facebook
En mayo del 2012 KasperskyLab identificó un virus que estaba alojado en el web store de
googlechrome el cual ataca a los perfiles de los usuarios del sitio Facebook.
Según explican expertos de karspersky, se trata de un ataque al utilizaringeniería social para
engañar a usuarios de Facebook, la idea es que el usuario descargue un plug-in del web store de
chrome para cambiar la imagen del perfil, color del perfil, saber quién visito el perfil, agregarle
el botón “No me gusta”, eliminar virus de Facebook, entre otras ideas fantasiosas.
En este caso se persuade a la víctima para que descargue el plug-in para eliminar virus en
Facebook.
Los pasos que se solicitan son los siguientes (como se ve en la imagen):
Ataques producidos por la Ingeniería Social
Página 39
1.) Pulsa Instalar la aplicación
2.) Pulsa Permitir o Continuar
3.) Pulsa Instalar ahora
4.) Después de seguir estos pasos, cierra tu navegador y vuelve a abrirlo
Lo que se descarga es un script con código malicioso que toma el control de la cuenta de la
víctima,propagando mensajes maliciosos, al enviar invitaciones para que los amigos también
descarguen el falso plug-in. Al final el atacante puede hacer con el perfil de la víctima el uso que
quiera, hasta enviar mensajes de phishing de confianza.
2.7.2.12 Scam tipo YouTube
Este es un ataque llamado scam que utiliza la ingeniería social para persuadir a sus víctimas,
visualmente toma la apariencia de algún sitio reconocido al copiar colores, imágenes y logos con
la diferencia que el nombre no es el mismo al original. A continuación se presenta un ataque
realizado en enero del 2012, este es un ataque de tipo scam en donde en páginas o sitios
infectados se abre una página emergente automáticamente al navegar en la web.
En la imagen aparece la página emergente, esta muestra los colores y la imagen de YouTube
pero con el nombre de Thankyou, el ingenio de los creadores de estos sitios fraudulentos es
hacerle creer al usuario que es un lugar de confianza para que mentalmente puedan pasar
desapercibidos y crean que es un sitio familiar o conocido.
Este ataque consiste en estafar a sus víctimas notificándoles que llenen una encuesta para poder
participar en la rifa de un grandioso premio, para que sea más creíble la estafa le colocan la fecha
del día. Esta encuesta que se presenta al a víctima está conformada por tres simples preguntas y
después de llenarla aparece la siguiente imagen:
Ataques producidos por la Ingeniería Social
Página 40
Al seleccionar el premio deseado, se le presenta a la víctima otra página donde debe ingresar su
número telefónico para poder participar y que le notifiquen el premio, al realizar esto la persona
se está suscribiendo a un servicio Premium en donde se le estará cobrando dinero de su saldo de
forma diaria.
2.8
Funciones Bancarias
Una entidad bancaria es una empresa financiera encargada de gestionar el uso del dinero,
tanto los depósitos como los préstamos que esta realiza a cambio de un interés en ambos casos,
también ésta se dedica a la prestación y pagos de servicios que se tiene con terceros.
Ataques producidos por la Ingeniería Social
Página 41
2.8.1 Operaciones bancarias
A continuación se presentan las funciones más importantes que ofrecen las entidades
bancarias a la sociedad, para gestionar dinero de los cuentahabientes y de los deudores.
2.8.1.1 Operaciones pasivas
Son aquellas operaciones donde la entidad bancaria capta el recurso económico de sus
cuentahabientes por medio de diferentes tipos de transacciones, estas pueden estar conformadas
por depósitos (monetario, ahorros y plazo fijo) y recepción de pagos a terceros (pago de luz,
Multas, IUSI, telefonía…etc.).
2.8.1.2 Operaciones activas
Son todas aquellas operaciones que tienen el fin de ofrecer los servicios del banco en
préstamos que pueden ser de diferente tipo como por ejemplo los hipotecarios, en donde se
permite que exista circulación del dinero de los accionistas y cuentahabientes para que se
generen intereses.
2.8.2 Banca en línea
La banca en línea también llamada como banca virtual o electrónica (e-banking). Es un sitio
web con todas las funciones de la banca para prestar servicios de forma más fácil y rápida en
web, esta se publica en internet para que sus cuentahabientes ingresen de forma segura por
HTTPS, para realizar diferentes transacciones y servicios que esta proporciona. Esta surgió en el
año de 1995 por dos bancos españoles llamados Banesto y BCH.
2.8.2.1 Banca electrónica
Es la que se realiza por medios electrónicos como los teléfonos inteligentes, los cajeros
automáticos, compras en lugares que tienen POS, asícomo otro medio de comunicación.
Normalmente también se utiliza para identificar a la banca en la web.
2.8.3 Banca virtual
Es aquella donde la entidad bancaria no existe físicamente, porque todas sus funciones,
transferencias y servicios son el la red, sin ningún tipo de presencia física.
Ataques producidos por la Ingeniería Social
Página 42
2.8.4 Ventajas de la banca en línea
Las ventajas que se tienen hoy en día en la utilización de la banca en línea son muchas, por lo
que actualmente tener una cuenta en línea ya no es un lujo, sino una necesidad para realizar
cualquier tipo de transacción (como una transferencia entre cuentas), o pagos de servicios (pago
de luz).
Ventajas:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
Operaciones desde casa u oficina
Comodidad
Rapidez
Disponibilidad las 24 hrs (En algunos bancos)
Realizar pagos de bienes y servicios
Fácil
Acceso remoto
Ahorro de recursos financieros
Transparencia en la información
Capacidad de elección de los clientes
Servicios personalizados
Desventajas:
a)
Inseguridad en la web (hackers, malware,troyanos)
b)
Robo de cuentas
c)
Robo de información
d)
Intangibilidad de las operaciones realizadas (por no llevar certificación)
e)
Conocimientos básicos tecnológicos para utilizarla de forma segura
f)
Acceso solo para los que cuentan con internet
2.9
Soluciones comerciales
Actualmente en el mercado de los antivirus,empresas que se han dedicado a la investigación
en seguridad y hasta los propios bancos han propuesto medidas de seguridad para los usuarios
que naveguen en la red no sean víctimas de la ingeniería social por lo que se detallan a
continuación diferentes soluciones generales:
Ataques producidos por la Ingeniería Social
Página 43
a) La banca en línea debe de tener por lo menos un certificado (SSL) de seguridad para que
la información se encuentre encriptado a la hora de enviarse y de recibirse.
b) Debe de tener al menos un usuario y contraseña como ingreso.
c) Guardar el usuario y contraseña en un lugar seguro.
d) Cuando se olvida la contraseña se puede solicitar de forma personal en el banco, vía
telefónica o en la misma web.
e) Se debe de preguntar al banco de quien es la responsabilidad en caso alguien robe la
contraseña y haga uso de la misma.
f) Los bancos deben de solicitarle a su cuentahabiente datos de seguridad que solo él
conoce, para mitigar los riesgos.
g) Los navegadores pueden almacenar información del formulario de ingreso en el sitio de
la banca en línea. Si existe riesgo de que se pueda ver esta información (por ejemplo, si
no es el ordenador de casa) hay que evitar que el navegador almacene estos datos, sobre
todo la clave.
h) No se debe permitir que se guarde las cookies del banco, ya que si el servidor las
reconoce, puede completar ciertos datos del formulario automáticamente.
i) Además de la clave se suele usar otra clave llamada firma que es necesaria para realizar
movimientos de dinero. Las medidas de seguridad sobre la firma deberán ser aún
mayores.
Para minimizar el riesgo de un ataque de la denegación de servicios (DDoS) acompañado de
ingeniería social hacia los bancos, la empresa Gartner(especializada en seguridad informática)
recomienda lo siguiente:
Para combatir la amenaza, Avivah Litan, empresa consultora norteamericana recomienda
a las entidades de servicios financieros que revisen las configuraciones de sus redes y
vuelvan a reconfigurar dichas redes para minimizar el daño en caso sufran denegación de
servicio por ingeniería social.
En cuanto a los aspectos de ingeniería social, “Gartner recomienda desarrollar técnicas de
prevención de fraude y de comprobación de identidad para lograr que los ataques no
tengan éxito”.(PC World, 2013)
Ataques producidos por la Ingeniería Social
Página 44
Globedia, sitio en internet especializado en seguridad informática,recomienda varias soluciones
para los administradores de sistemas, los cuales pueden ayudar a mitigar el riesgo de que sus
usuarios sean víctimas de los ataques de ingeniería social al navegar en la web.
a) Dar conciencia a los usuarios acerca de la ingeniería social y sus consecuencias.
b) Crear la cultura de cambio de contraseña periódicamente.
c) Prohibir el uso de contraseñas compartidas.
d) No permitir contraseñas débiles, obligar que las contraseñas sean combinación de
letras, caracteres y números.
e) Concienciar sobre los riesgos que se corren al revelar los datos de acceso al
sistema.(Globedia Guatemala, 2009)
Entidades bancarias en Guatemala
Existen un conjunto de recomendaciones que actualmente los bancos del sistema
proporcionan a sus cuentahabientes en la banca en líneapara que tomen cuidado al ingresar sus
datos personales, a continuación se citan algunos consejos para navegar de forma segura en
internet:
a) Evitar relevar información bancaria o personal en la red.
b) Los datos personales o bancarios no deben ser ingresados en ningún sitio de internet,
correo electrónico o link en la red.
c) El PIN de tarjeta de crédito o débito son personales y no deben revelarse a terceros por
ningún medio.
d) No ingresar a la página del banco a través de links.
e) Los bancos no solicitan información bancaria o personal por medios electrónicos no
autorizados.
f) Para actualizar datos bancarios se deben hacer directamente en agencias bancarias o
dentro del usuario de banca en línea.
g) Por seguridad hay bancos que han diseñado el sistema de confirmación de imágenes, en
el cual se valida una imagen que deberá aparecer siempre que ingreses a la página
principal.
h) Verificar que la dirección que se encuentra en el navegador sea la oficial.
i) Evitar utilizar redes públicas de las que se desconozca su seguridad.
j) No revelar números de cuentas bancarias.
k) No se debe de perder de vista las tarjetas tanto de débito como de crédito, cuando se
realicen pagos en comercios. Procurar que la transacción se realice siempre en presencia
y cuando devuelvan la tarjeta confirmar si es la de uno.
Ataques producidos por la Ingeniería Social
Página 45
l) Al efectuar compras con tarjeta de crédito o débito, revisar siempre los datos del
comprobante (monto, fecha, hora de la compra, etc.) con el objetivo de verificar que
coincidan con los datos de la compra.
m) Si se firman documentos o contratos utilizando la tarjeta como medio de pago, leer
detenidamente cada cláusula para que evitar pérdidas financieras en el futuro.
n) No prestar las tarjetas de crédito o débito, ni permitir que otras personas la usen en
nombre propio.
o) Revisar detenidamente los estados de cuenta, mediante la revisión regular de saldos y
otras actividades de la cuenta.
p) Se sugiere que se utilice los servicios de consulta de estados de cuenta a través de banca
en línea, para controlar gasto, además sirve como medida preventiva para identificar
alguna transacción no autorizada.
q) Proteger la contraseña de cajeros automáticos (ATM), no usar información obvia para
cambiar o crear la contraseña que puede obtenerse fácilmente, por ejemplo, la fecha o año
de nacimiento.
r) Cambiar la contraseña periódicamente.
Ataques producidos por la Ingeniería Social
Página 46
3
3.1
MARCO METODOLÓGICO
Tipo de investigación
Para la investigación llamada“Ataques producidos por la ingeniería social hacia los usuarios
bancarios del área metrópoli guatemalteca entre los años 2011-2013”se utilizó el método
descriptivo y transaccional.
El tipo de datos es cualitativo y documentalya que se fundamenta en criterios estadísticos no
determinantes que respaldan esta investigación. La finalidad de esta investigación es
básicaporque es generada por la curiosidad de conocer cómo influye este fenómeno en los
usuarios bancarios del área metrópoli guatemalteca con respecto a la ingeniería social y su
enfoque estámás orientado a la ingeniería basada en tecnología ya que la maestría cursada es en
informática, la fuente de datos es de campoya que se utilizó el cuestionario como método de
recolección de datos.
A través de este método se identificaron observaciones respectoa la hipótesis “Los usuarios
bancarios del país sufren ataques y son víctimas de la ingeniería social” para tener una mejor
orientación en el proceso de investigación y además de la recolección de datos. Éste tipo de
estudio está en función de los objetivos tanto específicos como generales, planteados en el
trabajo de investigación.
3.2
Diseño de la investigación
3.2.1 Unidad de análisis, población y muestra
3.2.1.1 Población:
La cantidad de cuentahabientes en Guatemala se suma a millones distribuidos en los diferentes
bancos del sistema. Como se sabe el enfoque de esta investigación es hacia los usuarios
bancarios que utilizan la web y por ende la banca en línea. Actualmente el uso de la misma ha
ido en auge ya quea los usuarios les facilita realizar variedad de transacciones. Se sabe que a
nivel nacional el área metrópoli guatemalteca es donde se encuentra la mayor cantidad de
personas que cuentan con internet y que tienen más a la mano el uso de esta herramienta a
diferencia de los demás departamentos.
Por lo tanto la población se reduce a los usuarios bancarios a nivel metropolitano que utilizan
la banca en línea de los diferentes bancos del sistema, por lo que se aproximan a 10 mil
usuarios(se reserva la fuente). La fuente de estos datos no puede ser revelada, ya que se habla de
entidades bancarias las cuales por seguridad no proporcionan este tipo de información al
público.
Ataques producidos por la Ingeniería Social
Página 47
3.2.1.2 Muestra
La muestra utilizada en esta investigación es de 102cuestionados, esta corresponde que al
unopor ciento de la población a nivel metrópoli guatemalteca que utiliza la banca en línea, se
reserva la fuente debido a confidencialidad. De acuerdo al muestreo estadístico, para tener un
90% de confiabilidad se requerirían 264 cuestionados los cuales no fue posible obtener, por lo
que se considera como un sondeo para establecer la información de los usuarios.
3.3
Instrumentos de Recolección de Datos
Como instrumento de recopilación de datos se utilizó un cuestionario e investigación documental
que respaldan los resultados obtenidos. Como parte del diseño metodológico se determinó para la
recolección de datos realizar un sondeo. A través del cuestionario se obtuvo contacto electrónico
con el sujeto de estudio; también información proporcionada por usuarios bancarios de
Guatemala.
El cuestionarioestuvo conformado por una serie de 10 preguntas cerradas, claras, sencillas y fácil
de contestar ya que el cuestionado solo seleccionó la respuesta sin detallar mayor información,
el tiempo estimado fue no mayor de 2 minutos.
Cabe destacar que para pasar el cuestionario se utilizó como herramienta web google drive,
donde se publicó de forma electrónica en internet, aprovechando la tecnología, descartando el
papel. La publicación del cuestionario fue de tipo privada, y únicamente pueden acceder
invitados. Las invitaciones fueron enviadas mediante un listado de usuarios que tienen banca en
línea los cuales se encuentran en una base de datos (se reserva la fuente). Esto para garantizar la
veracidad de los datos recopilados.Además el usuario lo llenó desdela comodidad de su casa y
trabajo, donde se le envió únicamente el link para que él accediera.Lo anterior con la finalidad de
obtener información que respalde la investigación.
3.4
Validación y confiabilidad del instrumento de recolecciones de datos.
La validez del instrumento de recolección de datos de la presente investigación, se realizó
mediante un ensayo piloto del mismo quese presentó a varios cuestionadosla primera versión con
preguntas iniciales. Los aspectos tomados en cuenta para el ensayo piloto fueron los siguientes:
1.
2.
3.
4.
Redacción clara del cuestionario
Tiempo estimado de respuesta de las preguntas
El cuestionario no debe de ser demasiado extensa
Las respuestas recopiladas deben reflejar información necesaria con respecto al objetivo
del cuestionario
5. Los cuestionados se sienten a gusto al responder las preguntas
Ataques producidos por la Ingeniería Social
Página 48
Los aspectos anteriores se tomaron en cuenta para realizar el instrumento final,formado por 10
preguntas,capaz de recopilar la información necesaria que respondelas interrogantes formuladas
de la investigación, objetivos generales y específicos así como también la hipótesis.
Cada pregunta formulada en el cuestionariose fundamentó sobreel tema y con cuestionamientos
sencillos y fáciles de responder donde no importó si el cuestionado tiene o no alto conocimiento
en informática.
3.4.1 Objetivo del sondeo
Determinarel nivel de conocimiento que tienen los usuarios bancarios en el área metrópoli
guatemalteca sobre la ingeniería social. Si conocen algunos de los ataques que esta genera y si en
algún momento han sido víctimas tanto de forma física como computacional al navegar en
internet.
3.5
Cronograma y ejecución del sondeo
Fecha
02/05/2013
03/05/2013
06/05/2013
09/05/2013
13/05/2013
14/05/2013
15/05/2013
30/05/2013
03/06/2013
05/06/2013 –
27/06/2013
28/06/2013 07/07/2013
10/07/201322/07/2013
Actividad
Análisis de la población y muestra de la
investigación.
Análisis del instrumento a utilizar para recopilación
de datos
Análisis preliminar de las preguntas relevantes con
el enfoque al tema
Creación del primer formato de formulario, con
preguntas en base a los objetivos, tema e hipótesis
de la investigación.
Reformular las preguntas, Mejorar objetivos del
instrumento.
Depurar preguntas.
Publicación del cuestionario en línea
Cuestionario Aprobado
Cuestionario piloto
Recopilación de información en línea
Revisado por
Asesor
Asesor
Asesor
Análisis de la información recopilada
Resultados finales y estadísticas del análisis
realizado.
Ataques producidos por la Ingeniería Social
Asesor
Página 49
4 ANÁLISIS Y DISCUSIÓN DE RESULTADOS
3.6
Interpretación y discusiones de los resultados obtenidos
La ingeniería social es una de las técnicas más antiguas que han utilizado los malhechores,
vendedores y agentes secretos que desean recopilar información, robar o simplemente que otras
personas hagan lo que ellos quieren.
En referencia al instrumento de recolección de datos, el sondeo y la investigación
documentalabarcaron los puntos referidos en la investigación, objetivos y problema científico.
Según datos recopilados e investigación se obtuvieron las siguientes observaciones respecto a la
hipótesis planteada¿Cuáles son los ataques más frecuentes producidos por la ingeniería social
hacia los usuarios bancarios entre los años 2011-2013?.
El enfoque de ataques de ingeniería social en esta investigación es dirigido a usuarios bancarios
con cuenta en línea, según se muestra en la gráfica No.1, existen varias razones por las que
usuarios bancarios no utilizan como herramienta primaria en sus transacciones la banca en línea,
debido a que existe desconfianza en la red, temor al robo de información confidencial bancaria
así también por los ataques de suplantación de identidad en la web conocido como phishing.
Desaprovechando de esta manera las nuevas tendencias en tecnología utilizada por las diferentes
entidades bancarias, las cuales facilitan al cuentahabiente en sus transacciones, lo que sí es
importante mencionar es que a medida que se facilitan las herramientas así también se les abre
puertas a personas malintencionadas en la web.
La ingeniería social tiene varias técnicas y tipos, el primer tipo son los ataques basados en
computador y el segundo los basados de forma física los cuales han existido desde la historia, las
comúnmente llamadas estafas con ingenio, en la gráfica No. 4 se muestra que la mayoría de
usuarios bancarios saben que esta ingeniería no se da solamente en los sistemas computacionales
al navegar en la web, sino también de forma física.
Se identificaron diferentes tipos de ataques de ingeniería social tanto de forma física como
lógica, se clasifican los más frecuentes y los más peligrosos. Según investigación los ataques
Ataques producidos por la Ingeniería Social
Página 50
más peligrosos suelen ser menos frecuentes, y los ataques frecuentes suelen ser estafas con un
menor riesgo o pérdida por parte del usuario bancario.
Los ataques frecuentes de forma física, semencionó los más importantes según grafica No. 5
son las llamadas y mensajes de premios ganados, estos son realizados de forma diaria en donde
se le informa a la víctima que se ha ganado un premio por lo regular se hacen pasar por una
compañía telefónica con la excusa de que han sido seleccionados por el número, suelen solicitar
datos personales, bancarios y en ocasiones solicitan que la víctima realice alguna acción como
compras de tarjetas prepagos a cambio de la entrega.
El segundo ataque frecuente son las supuestas llamadas telefónicas bancarias, donde le
solicitan a las víctimas datos personales y de su cuenta bancaria con el objetivo de actualizar sus
datos, en ocasiones hasta les suelen solicitar el usuario y contraseña de la banca en línea.
En tercer lugar se encuentra el ataque físico de supuestas ayudas en cajeros automáticos
(ATM), donde previamente el atacante ha realizado el desperfecto en el cajero, espera que la
víctima utilice el cajero dañado por ejemplo que la tarjeta se quedeatorada o retenida en el
mismo y en este caso el atacante aprovecha la ocasión y le ofrece a toda costa que utilice su
teléfono o con artimaña le solicita los datos para ingresar al sistema.
Así como existen ataques físicos, también se identificaron los ataques más frecuentes de la
ingeniería social basados en computador, donde la mayoría de usuarios bancarios al navegar en
la web se enfrentan, según gráfica 7 se identifica que las ventanas emergentes en sitios no
seguros son el caso número uno, estas son expuestas en la web de diferentes tipos, unas van
enfocadas a empleos fáciles, otras con información de premios ganados por ser el visitante No.
X, que por lo regular terminan en estafas, mensajes de supuestos chat y una infinidad de
mensajes desplegados que son molestos y en ocasiones el atacante desea que la persona cierre la
ventana, pero detrás de esto se encuentra la instalación de malware con tan solo un clic sobre la
misma.
En segundo lugar se identificó la recepción de mensajes por correo o red social en donde se
envían avisos con supuestos premios increíbles, negocios, herencias ganadas o adquiridas de la
Ataques producidos por la Ingeniería Social
Página 51
nada, por lo regular este tipo de ataques tienen la intención de estafar a las personas, que estas les
revelen información sensible (bancaria) que en su caso puede ser usada para extorsiones.
En tercer lugar se identifican la recepción de correo solicitando supuesta ayuda, esta puede ser
recibida vía correo electrónico o en mensajes de redes sociales, en este caso el atacante inventa
un escenario triste como puede ser el caso de una niña perdida, una persona en total discapacidad
que ha sido abandonada y en ocasiones aprovechan
tragedias o acontecimientos que son
conocidos a nivel mundial para conmover a la personas, en este caso se busca que las personas
envíen los correos de forma masiva a todos sus contactos para que se genere una cadena, el
atacante puede obtener todos esos correos que posteriormente se utiliza para phishing, también se
aprovecha este tipo de mensajes para realizar estafas con depósitos a cuentas o en casos que
ingresen a una página X fraudulenta para que aporte con su tarjeta de crédito o débito para luego
realizar robo de la misma.
En cuarto lugar se identifican los ataques de phishing recibidos vía correo electrónico donde
se han hecho pasar por bancos del sistema de Guatemala y solicitan la actualización de datos
personales, también avisos donde se informa que el banco ha tenido un ataque de hackers en su
sistema web y es necesario que cambien sus datos de acceso de la banca en línea por que corren
peligro, entre otro tipo de mensajes que buscan embaucar a los usuarios para que de alguna
manera sigan determinado link dirigido hacia un sitio fraudulento parecido al original adjuntado
en el correo.
Este ataque se encuentra entre los más peligrosos ya que si una persona es víctima los riesgos
son mayores. Como se puede observar este no se encuentra entre los primeros tres más
frecuentes, suele suceder pero no se repite muy seguido ya que el atacante o ingeniero social
busca la oportunidad indicada, él sabe que este tipo de ataque debe dejarse pasar por un buen
tiempo ya que los bancos al identificar un ataque inicia acciones de alarma yadvertencias a sus
clientes. Los casos más recientes de phishing en Guatemala fueron realizados hacia Banrural y el
BI.
La finalidad de este ataque es obtener los datos de acceso de la banca en línea para realizar
robos, transferencias, además de utilizar la información encontrada en el portal para uso
inescrupuloso.
Ataques producidos por la Ingeniería Social
Página 52
Otro ataque identificado es la recepción de mensajes de correo electrónico y redes sociales, en
sitios web que ofrecen un determinado software con características impresionantes que cualquier
usuario desearía, descarga de componentes para algún sitio o aplicación que se utilice, así
también el ofrecimiento de software licenciado sin ningún costo. Algunos ejemplos podrían ser
la recepción de correos o cualquier otra vía electrónica con ofrecimientos de descargas de algún
plug-in para navegar en la web, alguna aplicación para celular que le da un valor agregado sin
ningún costo.
Este tipo de ataque suele ser efectivo ya que en Guatemala prolifera la adquisición de
softwareno licenciado, se acepta y se busca todo aquel que no tenga ningún costo adicional. La
mayoría de estos software son ofrecidos en sitios fraudulentos, contienen virus, malware hasta
troyanos que pueden espiar todo lo que el usuario realiza y todo lo que teclee, esto es una gran
ventaja para el atacante ya que puede obtener los datos de acceso de la banca en línea de la
víctima .
Cada uno de los ataques descritos anteriormente son los más comunes a los queen la
actualidad se exponen los usuarios bancarios al navegar en la web y también de forma física. Es
importante recordar que se enfrentan a los ataques de ingeniería social y que estos pueden
generar un gran riesgo, porque pueden revelar información sensible de sus datos bancarios sin
darse cuenta, esta información puede ayudar al atacante que realice robos en las cuentas,
suplantación de identidad, estafas, robo de las credenciales de la banca en línea y hasta ser objeto
de extorsiones.
Según grafica No. 6 muestra que usuarios bancarios han sido víctima de ataques de ingeniería
social donde han ayudado al atacante con información, esta es una técnica muy efectiva para los
ingenieros sociales por que cada ataque va enfocado a los usuarios que son el eslabón más
pequeño. Se ha establecido que se puede tener la mejor tecnología en seguridad como firewall,
proxy, antivirus actualizado, software con los últimos parches entre otros, pero estos pueden ser
vulnerados por el mismo usuario al no ser cuidadoso con las acciones que realiza en la web.
Un 37%de usuarios bancarios cuestionados consideran que la descarga automática no solicitada
al ingresar a un sitio es uno de los problemas más grandes que se enfrentan al navegar en la red,
instala automáticamente malware o software dañino en el computador que en ocasiones no es
Ataques producidos por la Ingeniería Social
Página 53
detectado por antivirus, la forma que las personas ingresan a sitios con auto descarga son de
diferentes maneras, puede ser un link dentro de un correo con contenido que llame la atención
del usuario , una publicación de un amigo con cuenta robada solicitando que verifiquen el sitio
contaminado, alguna ventana emergente que moleste al navegar, entre otras formas de ataques.
Se identifican también que los usuarios bancarios han sido víctimas de descarga en donde son
conscientes de la misma, pero han sido estafados en la red, o en ocasiones archivos de cualquier
extensión adjuntado en correos electrónicos con algún contenido de interés, como ejemplo ver la
foto donde aparece supuestamente la víctima en algún lugar físico que esta no frecuenta.
Otros ataques donde se identifican víctimas son el robo de cuentas de correo, red social en
donde se hacen pasar por ellos enviando correos indeseados a todos sus contactos, esto suele ser
resultado de ingresar a sitios fraudulentos no seguros o a computadores infectados con malware.
Hasta en ocasiones logran robar las cuentas de la banca en línea y de algún sitio que se realice
para hacer compras como el PayPal en donde les han robado dinero. El robo por lo regular de
cuentas de la banca en línea suele ser ingresando en link adjuntados en supuestos correos de un
banco, a esto se le llama phishing.
Las consecuencias más críticas e importantes consideradas para los usuarios bancarioscomo
resultado de los ataques producidos por la ingeniería social según gráfica No.10, se tiene en
primer lugar el robo de identidad en la red, cuando el atacante roba la cuenta de correo, red social
e incluso de la banca en línea. En segundo lugar se tiene la pérdida de dinero; cuando el atacante
se aprovecha en algún sitio fraudulento de compra, falsos aportes de caridad, pagos en línea con
tarjetas bancarias. En tercer lugar se encuentra el ser robo de estafas tanto en la web como de
forma presencial.
Los bancos del sistema han optado por informar a los cuentahabientes que navegan en la web de
las medidas de seguridad que deben tener al ingresar a la banca en línea, según gráfica No. 2 los
usuarios bancarios consideran que son informados por los bancos de las medidas de seguridad
que deben aplicar tanto en la web como de forma presencial, al realizar compras
y
actualizaciones de datos.
Ataques producidos por la Ingeniería Social
Página 54
La mayoría de cuentahabientes según gráfica No.3, consideran que los bancos del sistema han
dado importancia respecto hacia los ataques en la web,al colocarcierta información en los sitios
bancarios de prevención, también se observó al visitar los sitios que no se muestra información
que hable directamente de ingeniería social,pero si se notifica de las vulnerabilidades actuales.
Para mitigar los riesgos de ser víctimas de ataques de ingeniería social se observó que los
usuarios bancarios según gráfica No. 8, aplican las siguientes medidas de seguridad; en la
mayoría de casos utilizan software de seguridad, en segundo lugar se tiene las visitas a sitios
seguros en la web, en tercer lugar tener precaución sobre la información colocada en redes
sociales y en cuarto lugar está la precaución antes de dar clic sobre cualquier evento.
Finalmente los usuarios bancarios si reciben ataques de ingeniería social tanto de forma física
como computacional, víctimas en ocasiones, al caer en las técnicas de este tipo de ingeniería la
cual produce varias consecuencias, como el robo de datos personales, robo de cuentas en la red,
estafas, robo de dinero, suplantación de identidad, etc.
Ataques producidos por la Ingeniería Social
Página 55
3.7
Gráficas y comparaciones numéricas de los hallazgos
Los hallazgos encontrados porel sondeo fueron recopilados a través del cuestionario el cual fue
respondido por 102 cuestionados. Estos como parte de la muestra son usuarios bancarios del área
metrópoliguatemalteca con acceso a banca en línea, los cuales se encuentran en una base de
datos (se reserva la fuente), cumpliendo con estas características. Cada pregunta colocada en el
cuestionario va alineada a los objetivos y preguntas de investigación
El objetivo del sondeo es describir la incidencia que tienen los usuarios de la banca en línea
con respecto a los ataques de la ingeniería social, si han sido víctimas, si conoces acerca de este
tipo de ingeniería y si aplican algún mecanismo de seguridad preventiva. Además el sondeo sirve
como complemento y refuerzo con la investigación documental planteada. Cabe mencionar que
esta investigación no es científica y determinante.
3.7.1 ¿Seleccione la razón más importante por la que usted considera que no se utiliza la banca
en línea?
3%
11%
Desconfianza en la red
27%
Ataques de cibernéticos
Suplantación de identidad
(phishing)
25%
Robo de información
10%
Ninguna
Otra
24%
Gráfica [1]
Descripción
Desconfianza en la red
Ataques de cibernéticos
Suplantación de identidad (phishing)
Robo de información
Ninguna
Otra
Ataques producidos por la Ingeniería Social
No
45
17
40
41
19
5
Porcentaje
27%
10%
24%
25%
11%
3%
Página 56
Tabla [1]
Como se observa en la gráfica No.1, los cuestionados coinciden con un 27% que la
desconfianza en la red es una de las razones principales por las que usuarios bancarios no
utilizan la banca electrónica, otro factor identificado es el temor al robo de información de los
datos bancarios en la red con un 25 %, se identifica un24 % para la suplantación de identidad lo
que comúnmente se conoce como phishing en el cual esta es otra razón principal por la que en
ocasiones no se utiliza la banca electrónica. En otros casos los cuestionados no consideran
ninguna razón para no utilizar la banca electrónica (11 %), un 10% consideran el miedo a los
ataques cibernéticos como causa para no utilizarla.
3.7.2 ¿El banco de donde usted es cuentahabiente ya le ha informado de las medidas de
seguridad al utilizar la banca en línea?
Si
No
15%
85%
Descripción No Porcentajes
Si
88
85%
No
16
15%
Gráfica [2]
Tabla [2]
Como se observa en la gráfica No. 2 el 85% de los cuestionados han sido informados por el
banco en donde son cuentahabientes acerca de las medidas de seguridad que se deben de tener al
utilizar la banca en línea en la web, y un15% coinciden en que ellos no han sido informados por
el banco acerca de estos temas al navegar en la web.
Ataques producidos por la Ingeniería Social
Página 57
3.7.3 Según su criterio pondere la importancia que le han dado los bancos del sistema respecto
a la seguridad hacia la ingeniería social para proteger a sus cuentahabientes
Muy Buena
4%
Buena
9%
Mala
28%
Ninguna
59%
Descripción
Muy Buena
Buena
Mala
Ninguna
Gráfica [3]
No
10
61
29
4
Porcentajes
10%
59%
28%
4%
Tabla [2]
Según gráfica No. 3 la mayoría de cuestionados catalogan a los bancos del sistema de Guatemala
que handadobuena importancia (59%) para proteger a sus cuentahabientes de ataques de
ingeniería social, en segundo lugar se tiene un 28% de cuestionados que consideran en
contraparte este tema ya que desconocen del tema por parte de su banco por lo que catalogan a
los bancos con una mala importancia, en tercer lugar se tiene el 9% de cuestionados que
considera muy buena la importancia de los bancos acerca del tema y por último un 4%
consideran que no hay ninguna importancia sobre el tema de parte de los bancos del sistema.
3.7.3.1 ¿Sabía usted que la ingeniería social no se da solamente en los sistemas
computacionales al navegar en la web, sino que también de forma física?
27%
Si
No
73%
Gráfica [4]
Ataques producidos por la Ingeniería Social
Tabla [4]
Descripción No Porcentajes
Si
76
73%
No
28
27%
Página 58
Según gráfica No. 4 el 73% de cuestionados saben que la ingeniería social no ocurre solamente
en los sistemas computacionales al navegar en la web sino también de forma física tal es el caso
de llamadas telefónicas de supuestas empresas reconocidas, mensajitos de texto con avisos de
supuestos premios, ayudas en cajeros entre otros. Y un 27% no conocen de la existencia de esta
ingeniería física en Guatemala.
3.7.4 De acuerdo a su experiencia seleccione alguno de los ataques de ingeniería social física
que usted identifique que le haya pasado alguna vez.
5%
4%
Llamadas telefónicas
“bancarias”
24%
“Ayuda” de extraños en cajeros
12%
48%
7%
Calcomanias en cajeros con
números teléfonicos
fraudulentos en caso de
"ayuda"
Gráfica [5]
Descripción
Llamadas telefónicas “bancarias”
“Ayuda” de extraños en cajeros
Calcomanías en cajeros con números telefónicos fraudulentos en
caso de "ayuda"
Llamadas o mensajes de “premios” ganados
Otros
Desconoce
No
43
22
12
Porcentajes
24%
12%
7%
85
9
8
47%
5%
4%
Tabla [6]
La gráfica No. 5 responde a la interrogante de los ataques físicos que les ha pasado a los
cuestionados en algún momento de su vida, uno de los ataques identificados con mayor
eventualidad es el de llamadas o mensajes de supuestos premios con un 48%, en segundo lugar
se identificanllamadas telefónicas de supuestas entidades bancarias con un 24% y en tercer lugar
existe un 12% de cuestionados que les han ofrecido supuesta ayuda en cajeros automáticos por
cualquier tipo de inconveniente. También se identifica un 7% de calcomanías pegadas en cajeros
con números telefónicos fraudulentos para proporcionar supuesta ayuda en caso de problema en
cajeros, un 5% considera que ha sufrido ataques de otro tipo y un 4% desconoce que les haya
sucedido alguna vez un ataque de ingeniería social física.
Ataques producidos por la Ingeniería Social
Página 59
3.7.5
De los siguientes ataques seleccione cuál de ellos usted considera que haya sido víctima
en algún momento al navegar en la web
2%
4%
3%
Links hacia sitios con descarga
automática de archivos
8%
37%
Descarga de software o archivo
malicioso
Robo de cuentas de correo y red
social
10%
Robo de la cuenta de banca en
línea
Robo de datos personales en línea
36%
Otros
Ninguno
Gráfica [6]
Descripción
Links hacia sitios con descarga automática de archivos
Descarga de software o archivo malicioso
Robo de cuentas de correo y red social
Robo de la cuenta de banca en línea
Robo de datos personales en línea
Otros
Ninguno
No
66
65
18
3
7
5
15
Porcentajes
37%
36%
10%
2%
4%
3%
8%
Tabla [6]
Según gráfica No. 6 predominan los casos decuestionados que han sido víctimas alguna vez de la
ingeniería social basada en sistemas computacionales al navegar en la web. Un 37% consideran
que han sido víctimas de visitar links hacia sitios con descarga automática de archivos, un 36%
ha realizado descarga de software o archivos con código malicioso, un 10% ha sido víctima del
robo de cuentas de correo o de red social, un 8% afirma no haber sido víctima de ningún ataque,
un 4% considera haber sido víctima de robo de datos personalesen línea, un 3% considera que ha
sido víctima pero de otro tipo de ataques y solo un 2% haber sido víctimas del robo de la cuenta
de banca en línea.
Ataques producidos por la Ingeniería Social
Página 60
3.7.6
Seleccione más de algún ataque computacional de ingeniería social que le sea familiar o
le haya pasado en algún momento al navegar en la web
Recepción de correo para
actualizar datos bancarios
(phishing)
2% 2%
17%
16%
Recepción de correo solicitando
“ayuda de caridad”
19%
23%
21%
Mensajes por correo electrónico o
red social ofreciendo premios
increíbles
Ventanas emergentes al navegar
en sitios no seguros
Ofrecimiento de software de
interés fácil de descargar en sitios
que a la vista no son seguros
Gráfica [7]
Descripción
Recepción de correo para actualizar datos bancarios (phishing)
Recepción de correo solicitando “ayuda de caridad”
Mensajes por correo electrónico o red social ofreciendo premios increíbles
Ventanas emergentes al navegar en sitios no seguros
Ofrecimiento de software de interés fácil de descargar en sitios que a la vista
no son seguros
Otros
Ninguno
No
49
56
62
67
47
Porcentajes
17%
19%
21%
23%
16%
6
4
2%
1%
Tabla [7]
Según gráfica No. 7 se identifican los ataques computacionales de la ingeniería social al navegar
en la web que en alguna ocasión le ocurrióal usuario. Un 23% considera que sufrido ataques por
medio de las famosas ventanas emergentes al navegar en la web, que por lo regular aparecen en
sitios contaminados y no seguros, un 21% ha recibido Mensajes por correo electrónico o por red
social indicando que se han ganado premios increíbles, un 19% han recibido correo solicitando
supuesta ayuda de caridad, un 17% han recibido correo para actualización de datos bancariosque
enlaza a un link con sitio falso lo que comúnmente se llama phishing, un 16% han recibido
mensajes con ofrecimiento de software de interés fácildescargaren sitios que a la vista no son
seguros, un 2 % coinciden en otro tipo de ataques y otro 2% afirman no haber sido víctimas en
algún momento.
Ataques producidos por la Ingeniería Social
Página 61
3.7.7
¿Cuál de las siguientes medidas de seguridad aplica usted para mitigar el riesgo de ser
víctima de la ingeniería social al navegar en la web?
Tomar precaución antes de dar
clic
1%
3%
Utilizar software de seguridad
(antivirus, antiphising,antispyware
y antimalware)
21%
24%
Visitar sitios seguros
26%
Precaución en la información
colocada en Redes Sociales
25%
Otros
Ninguno
Gráfica [8]
Descripción
Tomar precaución antes de dar clic
Utilizar software de seguridad (antivirus, antiphising, antispyware y
antimalware)
Visitar sitios seguros
Precaución en la información colocada en Redes Sociales
Otros
Ninguno
No
59
73
Porcentajes
21%
26%
71
68
9
1
25%
24%
3%
0%
Tabla [8]
Según gráfica No. 8 se describe las respuestas de los cuestionados acerca de las medidas de
seguridad que ellos aplican, para mitigar el riesgo de ser víctimas por la ingeniería social al
navegar en la web. Un 26% dice utilizar software de seguridad (antivirus, antiphishing,
antispyware y antimalware). Un 25% visita sitios seguros al navegar en la web, un 24% toma
precaución de la información que colocan en redes sociales como publica, un 21 % toma
precaución antes de dar clic sobre cualquier evento, un 3 % considera otro tipo de seguridad y un
1% no aplica ningún mecanismo de seguridad.
Ataques producidos por la Ingeniería Social
Página 62
3.7.8
¿Usted cree que la seguridad de un sistema puede ser vulnerada por un usuario al ser
engañado por la ingeniería social, a pesar de todas las tecnologías de seguridad que se
tengan implementadas?
3%
Si
No
97%
Descripción
Si
No
Gráfica [9]
No Porcentajes
101
97%
3
3%
Tabla [9]
Segúngráfica No.9 se visualizan las respuestas de los cuestionados acerca de vulnerar la
seguridad por un usuario al ser engañado por la ingeniería social a pesar de todas las tecnologías
de seguridad, un 97% de los cuestionados consideran que si se puede vulnerar y un 3%
consideran que no puede vulnerar el sistema.
3.7.9
Seleccione la consecuencia más crítica e importante para usted como resultado de los
ataques producidos por la ingeniería social descritos a continuación
2%
10%
13%
48%
Robo de
identidad
Robo de dinero
Ser objeto de
estafas
Ser objeto de
extorsiones
27%
Descripción
No
Porcentaje
Robo de
identidad
43
48%
Robo de dinero
Ser objeto de
estafas
Ser objeto de
extorsiones
24
12
27%
13%
9
10%
2
2%
Otro
Gráfica [10]
Tabla [10]
Según gráfica No. 10 se verifica que un 48% de cuestionados consideran que la consecuencia
más crítica de los ataques producidos por la ingeniería social es el robo de identidad, un 27%
opina el robo de dinero, un 13% considera el ser objeto de estafas, un 10% opina el miedo a ser
objeto de extorsiones y el 2% que considera otra consecuencia como la más crítica.
Ataques producidos por la Ingeniería Social
Página 63
5
CONCLUSIONES
a. La ingeniería social en Guatemala es una amenaza constante para los usuarios bancarios
que navegan en la web, según investigación documental se define el concepto de
ingeniería social, así también se identificó que un ingeniero social sabe que es una de las
técnicas con mayor índice de efectividad, donde no necesita crear un software ni código
sofisticado, ni invertir tanto tiempo y recurso para obtener información y realizar un
ataque. Adquiere
ventaja de las debilidades comunes de los seres humanos como la
simpatía, lastima, adulación, miedo, tristeza, codicia, tentación entre otros. Su
fundamento está basado en el ingenio y la piscología de la conducta, esto para ser
creativos y persuadir a sus víctimas con artimañas de engaño que tienen en algunos casos
serias consecuencias.
b. Según investigación documental, se identificó que como todo sistema necesita la
interacción humana, la ingeniería social ataca directamente al usuario en este caso él
bancario, por lo tanto es importante la seguridad en los sistemas bancarios. Según se
observó con el sondeo y además de visitarlos distintos sitios web de los bancos del país,
quelos mismos alertan a sus cuentahabientes sobre las normas de seguridad que ellos
deben de aplicar al acceder a la banca en línea,por ejemplo: el phishing (suplantación de
identidad) ó el no revelar el pin de la tarjeta de débito a un extraño. Por lo tanto sería
recomendable que los bancos del país publiquen y hagan de conocimiento popular a sus
clientes la existencia de “Ingeniería social” en el medio en el medio guatemalteco y crear
conciencia de los riesgos a que se expone a nuestra población. Ya que se observó que no
se alerta directamente sobre dicha ingeniería.
c. Los usuarios bancarios del país sufren ataques y son víctimas de la ingeniería socialtanto
al navegar en la web como de forma presencial. Estos ataques frecuentes donde los
usuarios suelen enfrentarse en la web son los mensajes de correo electrónico con
cualquier mensaje de persuasión para ver un link, descargar archivos que instalan
malware, las ventanas emergentes que suelen ser molestas al navegar en sitios
fraudulentos que instalan cualquier tipo de malware.
Ataques producidos por la Ingeniería Social
Página 64
Los ataques más peligrosos que se identificaron en la investigación documental
relevantes son: phishing, mensajes o llamadas con supuestas actualizaciones de entidades
financieras, scam, descarga de software para móviles no seguro. Cada usuario debe de
tener precaución ya que estos ataques se encuentran latentes, tomar en cuenta que nada es
gratis, que nada de buena procedencia se encuentra o se obtiene de forma fácil.
d. Existen varias técnicas de ingenieria social, en esta investigación se observó la frecuente
utilización de las siguientes:phishing, SPAM, notificaciones por redes sociales, ventanas
emergentes, descarga software y typosquatting.
e. Las consecuencias principales como resultado de los ataques de ingeniería social hacia
los usuarios bancarios identificados en esta investigación son el robo de cuentas de correo
o red social, estafas, robo de información confidencial, extorciones, robo de dinero, robo
de credenciales de acceso en la bancaria en línea, suplantación de identidad, malware
instalado en el computador.
f. Como resultado en los sistemas computacionales después de un ataque de ingeniería
socialson: Infección de dispositivos con malware, instalación de KeysLogger,
vulnerabilidad del navegador, envío y transmisión de información confidencial (usuarios,
contraseñas, datos bancarios), maquina infectada para phishing, maquinas zombie,
Botnet, eliminación de data en el equipo.
g. La solución más efectiva para evitar ser víctima de los ataques de ingeniería social es la
cautela del usuario, debe tener siempre cuidado al navegar y no dejarse llevar por
ninguna propaganda, correos , mensajes o llamadas que traten de conseguir información
confidencial. El usuario Nunca debe revelar información comprometedora vía correo
electrónico y estar siempre informado de las nuevas tendencias de seguridad y de ataques
en la web. Además de siempre contar con mecanismos de seguridad técnica como
firewall activado, antivirus actualizado, antispyware.
Ataques producidos por la Ingeniería Social
Página 65
h. En síntesis sobre el trabajo de investigación se muestra que la ingeniería social si es un
problema que se encuentra latente en nuestra sociedad y más con personas que navegan
en la web que son usuarios bancarios. La mayoría de usuarios no conocen el nombre de
la mencionada ingeniería pero sí reconocen los ataques que ésta presenta.
Ataques producidos por la Ingeniería Social
Página 66
6
RECOMENDACIONES
a. La presente investigación podría servir de base para futuros estudiantes del área de
sistemas que deseen abordar sobre el tema de ingeniería social.
a. A saber que la ingeniería social se vale de las características humanas, podemos decir que
una de las principales fuentes de seguridad es el usuario mismo, se debe
aplicarprecaución y sentido común al navegar en la web antes de dar clic, descargar,
ingresar en algún link y divulgar información confidencial.
b. Los usuarios deben de estar informados acerca de las últimas tendencias de seguridad y
los ataques que actualmente se encuentran latentes de ingeniería social, ya que en
ocasiones las personas pueden ser expertos en informática pero si no se tiene cuidado
donde ingresan, cualquiera puede ser víctima de estos ataques.
c. Para identificar un correo electrónico de procedencia fraudulenta se encuentra la
utilización de otro idioma, nombre de remitentes desconocidos y nombres extraños,
premios increíbles, negocios poco éticos con buenas ganancias, ofertas laborales con
menor y poco conocimiento.
d. Tener cuidado con mensajes masivos que vienen en cadenas por algún acontecimiento de
gama mundial, ya que los ingenieros sociales se valen de accidentes fatales, terremotos,
farándula, religión, estrellas de futbol entre otros temas de interés.
e. Al navegar en sitios en donde debemos ingresar nuestros datos personales y bancarios
identificar que el acceso sea por https y que contenga certificado de seguridad.
f. Se debe tener sumo cuidado con la información colocada en sitios de redes sociales, ya
que en ocasiones los delincuentes encuentran una mina de oro en esta clases de sitios y la
información obtenida puede ser utilizada para realizar extorciones, secuestros,
suplantación de identidad, ya que el atacante crea un perfil de la víctima, lo mejor es no
tener mayor detalle de información de forma pública fácil de localizar, solo con amigos
de confianza, y si se ha identificado algún comportamiento inusual en la red de algún
amigo lo mejor será preguntar por otra vía, puede ser que le hayan robado su cuenta y
luego lo mejor es bloquear a esa persona para no ser la siguiente víctima de robo.
g. Por medio de la investigación se determinaron las siguientes recomendaciones más
importantes que debe de tener un usuario bancario para evitar ser víctima de los ataques
de ingeniería social.
Ataques producidos por la Ingeniería Social
Página 67
Ataque
Phishing
Análisis
Solución
Tener en cuenta que los bancos del sistema de
1. Notificar al banco en caso de duda.
Guatemala no solicitan ningún tipo de datos
2. No seguir links ni abrir archivos adjuntos en estos
personales y sobre todo referentes a las credenciales
casos.
de la banca en línea y Número y PIN de tarjetas
3. Eliminar de forma definitiva el correo y bloquear la
crédito/debito vía correo electrónico o mensajes de
dirección del remitente.
red social.
Notificación
Nadie puede ganarse un premio sin previamente
1. Eliminar permanentemente el correo, para eliminar
de
premios haber participado en algún sorteo. Se debe de
cadenas o posible malware.
increíbles
recordar que en esta vida nada es gratis.
2. Bloquear el remitente de forma manual.
ganados
3. Nunca descargar archivos adjuntos, ni URL de
sitios.
4. Si el mensaje se recibió vía mensajito de texto,
nunca llamar ni responder.
Ventanas
Cuando se navega en sitios no seguros se debe
1. No cerrar estas ventanas emergentes en el botón
emergentes
desconfiar en las páginas emergentes que se
“X”, lo mejor es cerrarla con las funciones de teclas
despliegan de forma no solicitada en el navegador,
de la máquina.
con mensajes de premios, viajes gratis,
2. No dar clic en ninguna parte sobre la ventana.
notificaciones de chats falsos.
3. Salir del sitio.
Ofrecimiento Si llegan ofrecimientos vía correo electrónico o red
1. No descargar ningún archivo adjunto
de
software social de software con características un poco fuera
2. Si algún amigo envió la notificación comunicarse
fácil de interés de lo común donde no se tiene ningún costo y viene
por otro medio, puede ser que le hayan robado su
de alguien desconocido es posible que venga
cuenta.
acompañada la descarga de algún malware.
3. Eliminar el correo y bloquear remitente.
Mensajes de En la actualidad no se deben confiar en ninguna
1. No renviar correo o mensajes en redes sociales.
caridad
historia conmovedora y menos si no se conoce de
2. Nunca seguir sitios adjuntos.
quien se trata el caso, estos mensajes por lo regular
3. No dar clic sobre algún elemento del correo.
generan cadenas de mensajes al ser renviado o
4. Eliminar mensaje y bloqueo de remitente.
terminan en estafas cuando solicitan ayuda
5. Nunca revelar información de tarjetas ni aportar en
económica.
sitios desconocidos.
Ataques producidos por la Ingeniería Social
Página 68
Ataque
Supuestas
llamadas
bancarias
Análisis
Los bancos nunca solicitan datos críticos (datos
acceso banca en línea, pin) vía telefónica, aunque
digan que es para actualizar la información en la
base de datos.
Si son del banco se debe identificar el número
telefónico, ya que nunca se puede recibir llamadas
de un celular por parte del banco.
Ataques producidos por la Ingeniería Social
Solución
1. Nunca revelar información confidencial.
2. Si realmente se tiene duda de la llamada,
comunicarse a los teléfonos que públicamente
proporciona los bancos.
3. Nunca creer en falsas promociones en donde utilizan
los nombres de los bancos.
4. Si se identifica como fraude bloquee el número
telefónico o reportar al banco a quien hacen
referencia.
Página 69
7
BIBLIOGRAFÍA
1. Hadnagy, C. (2011). Social engineering: The art of human hacking.Indianapolis: Wiley
Publishing, Inc.
2. MitnickD.Kevin&Simon, W. (2002). The Art of deception. Indianapolis: Wiley
Publishing, Inc.
3. MitnickD.Kevin (2005).La Intrusión. Alfaomega& Ra-Ma.
8
E-GRAFÍA
1. Arias, B. 21 de Marzo de 2012. Los bancos podrían ser vulnerados por medio de
ingeniería social.http://www.bsecure.com.mx/ultimosarticulos/los-bancos-podrian-servulnerados-por-medio-de-ingenieria-social/
2. Assolini, F. (2011). El virus que está amenazando a Google Chrome y Facebook.
http://www.elmartutino.cl/noticia/tecnologia/el-virus-que-esta-amenazando-googlechrome-y-facebook
3. Barrios, J. (199-2011). La ingeniería social y los [malos] hábitos de los usuarios.
http://www.alcancelibre.org/staticpages/index.php/ingenieria-social-malos-habitosusuarios
4. Borbón, J. Enero 2012. Redes sociales, entre la ingeniería social y los riesgos a la
privacidad.http://revista.seguridad.unam.mx/numero-12/redes-sociales-entre-laingenier%C3%AD-social-y-los-riesgos-la-privacidad
5. Borghello, C. (2009). El arma infalible: la Ingeniería Social.ESET
West Ash Street
6. Borghello, C. (2012). Ingeniería social como medio engañoso para la recolección de
datos. http://miuniversodigital.com/2012/02/ingenieria-social-como-medio-enganosopara-la-recoleccion-de-datos/"
7. Bosques. (2012). Ingeniería social el hacking
humanohttp://elblogdeangelucho.com/elblogdeangelucho/blog/2012/10/07/ingenieriasocial-el-hacking-humano/
8. BsConsultores. 28 de abril de 2013. La ingeniería social: El arte del engaño”.
http://www.bscconsultores.cl/descargas/B.1%20La%20Ingeniera%20Social.pdf
9. Catoira, F., &Goujon, A. (1992-2013). BotnetVOlk usa grupo de Facebook e infecta
usuarios de Chile. http://blogs.eset-la.com/laboratorio/2012/12/18/botnet-volk-usa-grupofacebook-infecta-usuarios-chile/
Ataques producidos por la Ingeniería Social
Página 70
10. Caruana, P. Junio 2002. Breves conceptos sobre la Ingeniería
Social.http://www.rompecadenas.com.ar/ingsocial.htm"
11. Curbelo, A. (2011). Ingeniería Social: el arte de hacernos
mensos.http://www.bsecure.com.mx/opinion/ingenieria-social-el-arte-de-hacernosmensos/
12. Devel Security. (2011). Phishing en
Guatemala.http://www.develsecurity.com/Brochures/Phishing_en_Guatemala.pdf
13. El Periódico. Marzo 2013. Policía cibernética para combatir delitos vía internet.
http://www.elperiodico.com.gt/es//pais/19316
14. Enfoque Seguro. 28 de Junio de 2012. Hackers: ingeniería social, ataque a la debilidad
humana.http://www.enfoqueseguro.com/hackers-ingenieria-social-ataque-a-la-debilidadhumana/2012/06/28/
15. ESET Laboratorio. (1992 - 2013). Mensajes multimedia por correo electrónico
descargan applet malicioso.http://blogs.eset-la.com/laboratorio/2013/05/28/mensajesmultimedia-correo-electronico-descargan-applet-malicioso/
16. ESET Laboratorio. (1992-2013). Postal navideña propaga malware en nombre de grupo
de Facebook. http://blogs.eset-la.com/laboratorio/2012/12/14/postal-navidena-propagamalware-nombre-grupo-facebook/
17. ESET Laboratorio. (1992-2013). Scam tipo yuo tube.http://blogs.esetla.com/laboratorio/2012/01/05/scam-tipo-you-tube/
18. ESET Latinoamérica. (1992 - 2013). Vishing. http://www.eset-la.com/centroamenazas/articulo/vishing-smishing-mutaciones-fraudulentas/1744
19. ESET Latinoamérica. (1992-2011). Estrategias de Ingeniería Social Para Propagar
Ataques Informáticos. http://www.mujeresdeempresa.com/tecnologia/120301-estrategiasde-ingenieria-social-para-propagar-ataques-informatiicos.asp
20. ESET. (2012). Ataque san Valentín.http. //blogs.esetla.com/laboratorio/2012/02/06/dorkbot-san-valentin-viaje-punta-cana/
21. ESET-la. (2012).Botnetvolk infecta a usuarios. http://blogs.esetla.com/laboratorio/2012/12/18/botnet-volk-usa-grupo-facebook-infecta-usuarios-chile/
22. ESET. (2012). Dorkbot san valentín. http://blogs.esetla.com/laboratorio/2012/02/06/dorkbot-san-valentin-viaje-punta-cana/
23. Globedia Guatemala (2009). Ingeniería social:Más allá de las redes informáticas.
http://gt.globedia.com/ingenieria-social-redes-informaticas
Ataques producidos por la Ingeniería Social
Página 71
24. Globedia Guatemala. (2011). Las aplicaciones web más peligrosas.
http://gt.globedia.com/las-aplicaciones-web-mas-peligrosas
25. Globedia Guatemala. (2012). Los 5 principales intentos de engaño y fraude de internet
2012. http://gt.globedia.com/principales-intentos-engano-fraude-internet-2012
26. Goodchild, J. Diciembre 2012. Social Engineering: Los
basics.http://www.csoonline.com/article/514063/social-engineering-the-basics
27. Grover, S. Mayo 2013. Historias de ingeniería social
famosas.http://www.ehowenespanol.com/historias-ingenieria-social-famosasinfo_280044/
28. Householder, D. Marzo 2002. Los ataques de ingeniería social a través de IRC y
mensajería instantánea.http://www.cert.org/incident_notes/IN-2002-03.html
29. InfoSec. (2008). Phishing Banco Industrial. http://www.ahtabai.com/tag/hacking/
30. InfoSec. (2008). Phishing Banrural.http://www.ahtabai.com/2010/01/phishing-banrural/
31. Kioskea. (Marzo 2011). Ingeniería
social.http://es.kioskea.net/contents/attaques/ingenierie-sociale.php3
32. Kioskea. abril 2013. Ciberdelincuencia: El boom de la ingeniería social.
http://es.kioskea.net/faq/5188-ciberdelincuencia-el-boom-de-la-ingenieriasocial#q=ingenieria+social&cur=2&url=%2F
33. Lozano, S. abril 2013. La ingeniería social en las redes
sociales.https://sites.google.com/site/projectricorg/seguridad/general/la-ingenieria-socialen-las-redes-sociales
34. Mattica Web. (2013). Cómo se vulnera el Banco “X” a un ataque de ingeniería social.
http://www.mattica.com/2011/03/caso-como-se-vulnera-el-banco-x-a-un-ataque-deingenieria-social/
35. Navarro, A. 19 de Enero de 2011. Las contraseñas o claves de acceso son la primera
línea de defensa (y a veces la última) de muchos datos de carácter confidencial en
Internet..http://www.ticsconsulting.es/blog/generar-claves-seguras-2
36. Navarro, A. 31 Enero de 2011. Ingeniería social: explotar por medio de la manipulación
y el engaño el eslabón más débil de la cadena de la seguridad: el factor humano.
http://www.ticsconsulting.es/blog/generar-claves-seguras-3
Ataques producidos por la Ingeniería Social
Página 72
37. Oviedo, V. Febrero 2012. Que es la ingeniería social y cómo
protegerse.http://www.ingeniaup.com/negocios/2012/02/16/que-es-la-ingenieria-socialy-como-protegerse-de-ella/
38. Perez, S. 21 de octubre de 2011.Cómo protegerse contra ataques de ingeniería social.
http://santt31-seg.blogspot.com/2011/10/como-protegerse-contra-ataques-de.html
39. Prensa Libre. 21 de Junio de 2011. Banca guatemalteca advierte sobre correos
maliciosos. http://prensalibre.com.gt/economia/Banca-advierte-correosmaliciosos_0_503349673.html
40. Prensa Libre. Abril 2012. Los bancos tienen barreras exitosas (contra
phishing)http://www.revistasumma.com/finanzas/24685-los-bancos-tienen-barrerasexitosas-(contra-phishing).html
41. Prensa Libre (2012). Van en ascenso robos cibernéticos en el país.
http://www.prensalibre.com/noticias/justicia/Van-ascenso-robos-ciberneticospais_0_679732051.html
42. Stickley, J. 26 Octubre de 2011. Como robar un
banco.http://www.csoonline.com/article/692551/how-to-rob-a-bank-a-socialengineering-walkthrough?page=1
43. Tecnometro. (2011).Ataque por ingeniería
social.http://tecnometro.blogspot.com/2008/08/ataque-por-ingenieria-social.html
44. PC World. (2013). Ataques DDoS y de ingeniería social amenazan la seguridad
bancaria. http://www.pcworld.com.mx/Articulos/27896.htm
45. Ranchal, J. (2012). Gauss, nuevo troyano espía especializado en ataques a cuentas
bancarias (detección y desinfección)http://muyseguridad.net/2012/08/11/gauss-nuevotroyano-espia-especializado-cuentas-bancarias/
46. Ruiz, Y. 26 septiembre de 2012. Sales en un vídeo en Facebook: nuevo ataque de
ingeniería social a través de Twitter utilizando YouTube como gancho.
http://blogs.protegerse.com/laboratorio/category/ingenieria-social/page/2/
47. Sanabria, J. S. (2012, 16 de enero) UNAM. Redes sociales, entre la ingeniería social y los
riesgos a la privacidad.http://revista.seguridad.unam.mx/numero-12/redes-sociales-entrela-ingenier%C3%AD-social-y-los-riesgos-la-privacidad
48. Scott, J. (2013). Ingeniería Social: eludiendo el “firewall
humano”.http://www.magazcitum.com.mx/?p=1173
Ataques producidos por la Ingeniería Social
Página 73
49. Soler, M. (2010). Ingeniería Social técnica no tan técnica.
http://www.slideshare.net/maxisoler/ingenieria-social-una-tecnica-no-tan-tecnicapampaseg-2010-la-pampa-argentina
50. Solución a virus. Febrero 2013. Los ataques DDoS y de ingeniería social amenazan la
seguridad bancaria.http://solucionavirus.blogspot.com/2013/02/los-hackers-estanadaptando-los-ataques.html
51. Spencer, James Scott. (2011). Ingeniería Social: eludiendo el “firewall
humano”.http://www.magazcitum.com.mx/?p=1173
52. SurveyMonkey. (1999 - 2013). Sugerencias sobre las pruebas piloto: Cómo verificar el
diseño y la configuración.http://help.surveymonkey.com/articles/es/kb/Pilot-Test-TipsHow-to-verify-the-design-and-settings
53. Symantec. 3 de noviembre 2010. Fundamentos de ingeniería social.
http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-ihacker-tactics
54. Symantec. 3 de Noviembre de 2010. Fundamentos de ingeniería social, parte II:
Estrategias de combate. http://www.symantec.com/connect/articles/social-engineeringfundamentals-part-ii-combat-strategies
55. TechTarget. (2012-2013). Pruebas de penetración en ingeniería social.
http://searchdatacenter.techtarget.com/es/consejo/Pruebas-de-penetracion-en-ingenieriasocial-cuatro-tecnicas-efectivas
56. Tecnológico. (2009-2010). La ingeniería social se traslada de los chats a las redes
sociales. http://www.blogtecnologico.net/ingenieria-social-traslada-redes-sociales/
57. Universidad Católica de Chile. (2010). Ingeniería social, phishing, contraseñas y
fraudes.http://informatica.uc.cl/Seguridad/ingenieria-social-phishing-contrasenas-yfraudes.html
Ataques producidos por la Ingeniería Social
Página 74
9 GLOSARIO
Hackers: En la actualidad se usa de forma corriente para referirse mayormente a los criminales
informáticos, debido a su utilización masiva por parte de los medios de comunicación desde la
década de 1980.
Phishing: consiste en el envío de correos electrónicos que, aparentando provenir de fuentes
fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario, que
posteriormente son utilizados para la realización de algún tipo de fraude.
Spam:Se define a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en
forma masiva.
Keylogger: es un tipo de software o un dispositivo hardware específico que se encarga de
registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un
fichero o enviarlas a través de internet.
Firewalls: es un dispositivo que funciona como cortafuegos entre redes, permitiendo o
denegando las transmisiones de una red a la otra.
Hoax: es un mensaje de correo electrónico con contenido falso o engañoso y normalmente
distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad
con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse
millonario o crean cadenas de la suerte como las que existen por correo postal.
HTML: es el lenguaje de marcado predominante para la elaboración de páginas web. Es usado
para describir la estructura y el contenido en forma de texto, así como para complementar el
texto con objetos tales como imágenes.
Ataques producidos por la Ingeniería Social
Página 75
10 SIGLAS
CD: Compact Disc (Disco Compacto)
DVD: Digital Versatile Disc (disco versátil digital).
HTML: HyperTextMarkupLanguage (lenguaje de marcado de hipertexto)
IRC: Internet Relay Chat.
SMS: Short MessaginsService (servicio de mensajes cortos)
SSL: Secure Socket Layer (capa de conexión segura).
TI: Tecnología de información
URL: UniformResourceLocator (Localizador de Recurso Uniforme).
USB: Universal Serial Bus
HTTPS: Hypertext Transfer Protocol Secure
Ataques producidos por la Ingeniería Social
Página 76
11 ANEXOS
2. Advertencias bancarias en la web
Ataques producidos por la Ingeniería Social
Página 77
Ataques producidos por la Ingeniería Social
Página 78
3. Mensajitos de Texto
5 Enviado por Whatsapp
Ataques producidos por la Ingeniería Social
Página 79
4. Phishing Bancario
Ataques producidos por la Ingeniería Social
Página 80
Ataques producidos por la Ingeniería Social
Página 81
Ataques producidos por la Ingeniería Social
Página 82
5. Phishing Empresarial
Ataques producidos por la Ingeniería Social
Página 83
6. Paginas emergentes
Ataques producidos por la Ingeniería Social
Página 84
5 Mensajes multimedia por correo electrónico descargan applet malicioso
El correo electrónico tiene como asunto “Te han enviado un mensaje multimedia✔”, y se
incluyen los logos de una compañía de telefonía móvil. Para darle más legitimidad, los atacantes
insertan un número de teléfono falso y el mensaje se dirige a la potencial víctima incluyendo la
dirección de correo del destinatario en el cuerpo del texto:
6 Postal navideña propaga malware en nombre de grupo de Facebook
En el día de hoy, hemos detectado una campaña de propagación que llega a través de un correo
electrónico que utiliza como tema de Ingeniería Social, una postal de amor navideña. El
mensaje intenta seducir al usuario invitándolo a leer el texto completo tal como puede apreciarse
en la siguiente línea: “Aquí osdejo una tarjeta de Navidad muy simpática con Papá Noel
repartiendo bueno deseos y felicitaciones… [Leer Completo]”. Para generar mayor interés y
confianza en el destinatario, los cibercriminales firmaron el correo haciéndose pasar por los
administradores de un sitio de GIF animados en Facebook. A continuación se muestra una
captura de la campaña en cuestión. Asimismo, se marcan en cuadrados rojos todos los enlaces
maliciosos que incluyeron los ciberdelincuentes para intentar infectar a las posibles víctimas:
Ataques producidos por la Ingeniería Social
Página 85
Tal como puede observarse, los atacantes incluyeron seis enlaces maliciosos que dirigen al
usuario hacia el mismo sitio comprometido. El uso de un servidor web vulnerado es una técnica
que está utilizándose ampliamente para propagar amenazas. De hacerse clic, se comienza con la
descarga del archivo Setup_Home.exe. Otra técnica de Ingeniería Social que utilizaron los
cibercriminales para generar legitimidad ante el usuario es el uso del logo de Facebook como
icono para este código malicioso
7. Correos
5 Correo de premio bancario
6 Correo de WesterUnion
Ataques producidos por la Ingeniería Social
Página 86
7 La venta del teléfono móvil (celular) en eBay
En este fraude, los timadores localizan a usuarios particulares de eBay que ofrezcan teléfonos
móviles. Ofrecen una puja muy alta en el último momento, ganando así la subasta. Luego
contactan al vendedor para explicarle que desean enviar el móvil a un supuesto hijo que trabaja
como misionero en Nigeria, y que necesitan conocer la cuenta Paypal del vendedor para pagar
(en vez de pagar directamente vía Paypal, a través de los enlaces proporcionados por eBay al
final de cada subasta).
A continuación envían un mensaje con las cabeceras falsificadas para que parezca provenir de
Paypal, en que se confirma que el pago se ha realizado. Cuando el vendedor intenta comprobar el
pago desde el enlace en el mensaje, será dirigido a una web falsa, con la apariencia de ser de
Paypal. En esta página se le explica que por seguridad, el pago será transferido a su cuenta solo
cuando se realice el envío. Obviamente, si envía el móvil al comprador, nunca recibirá el dinero.
8. Detenidos estafaban a sus víctimas con mensajes de texto
Nueve presuntos estafadores, integrantes de la banda denominada Hilux, fueron detenidos la
mañana de este miércoles durante diez allanamientos que la Fuerza de Tarea Contra Extorsiones
desarrolló en Izabal, Jutiapa, Guatemala y Sacatepéquez.
Cuando no engañaban a sus víctimas, las extorsionaban. (Foto Prensa Libre: Archivo)
Ataques producidos por la Ingeniería Social
Página 87
Según
investigaciones,
los
sospechosos enviaban a sus víctimas mensajes
de texto en las cuales les hacían creer que
ganaron un picop Hilux o Q50 mil, si la
persona no caía en el engaño, la extorsionaban
bajo amenazas de muerte.
La detección de los reos se logró por medio de
un análisis de voz del discurso del negociador.Se
determinó que el dinero recaudado por medio de las extorsiones lo lavaban comprando mototaxis
que operan en diferentes partes del país.A una de sus víctimas le robaron Q800 mil a cambio de
una visa norteamericana, el afectado usó sus ahorros, pidió préstamos y vendió sus terrenos para
juntar el dinero.
9. Comparación de Ataques de Ingeniería social vrs otros.
10. Porcentaje de ataques de Ingeniería social utilizando phishing por sector.
Ataques producidos por la Ingeniería Social
Página 88
11. Cuestionario Primario
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
3ª. Avenida 9-00 zona 2, 01002 Interior Finca el Zapote, apartado postal 1811
PBX (502) 2411-1800 FAX (502) 2288-4040
CUESTIONARIO
Objetivo del Cuestionario. Determinarel nivel de conocimiento que tienen los usuarios
bancarios en el área metropolitana sobre la ingeniería social, si conocen algunos de los ataques
que esta proporciona y si en algún momento han sido víctimas tanto de forma física como
computacional al navegar en la internet.
Fecha:
Género:
Instrucciones: El presente es un cuestionario que consiste en una serie única de 10 preguntas
cerradas. Por favor, sírvase responder y marcar con una x las interrogantes de acuerdo a su
experiencia y conbase a su propio criterio.
1. ¿Sabe usted qué es la ingeniería social?
Si
No
2. ¿Usted utiliza la banca electrónica de algún banco de Guatemala?
Si
No
3. ¿Sabía usted que la ingeniería social no se da solamente en los sistemas computacionales
al navegar en la web, sino que también de forma física?
Si
No
4. Seleccione de acuerdo a su criterio ¿Cuál de los siguientes ataques físicos de la ingeniería
social,considera usted que es el más común en la actualidad para los usuarios bancarios
en Guatemala?
 Suplantación de identidad de un personal bancario
 Llamadas telefónicas “bancarias”
 Ayuda de extraños en cajeros
 Problemas en cajeros para llamar al atacante
 Dejar objetos olvidados
 Otros
 Desconoce
5. ¿Cuál de las siguientes herramientas de la ingeniería social cree usted que es la más
utilizada según su conocimiento o experiencia?
Ataques producidos por la Ingeniería Social
Página 89





Cookies envenenadas
Código malicioso
Ataques CGI
Keylooger
Otros
6. ¿Cuál de los siguientes ataques computacionales de la ingeniería social consideraque es el
más común en la actualidad para los usuarios bancarios en la actualidad al navegar en la
web?
 Phishing (suplantación de identidad)
 Spam
 Recepción de correo solicitando ayuda
 Correo electrónico o por red social ganándonos premios
 Ventanas emergentes
 Descarga de software infectado
 Otros
7. ¿Alguna vez ha sido víctimaal navegar en la web por alguna de las técnicas de la
ingeniería social?
Si
No
8. ¿Cuál de las siguientes medidas de seguridad cree usted que es la más efectiva para
mitigar el riesgo de ser víctima de la ingeniería social al navegar en la web?





Utilizar el sentido común antes de dar clic
Utilizar software de seguridad (antivirus, antiphising, antispyware y antimalware)
Visitar sitios seguros
Precaución en la información colocada en las Redes Sociales
Otros
9. ¿El banco de donde usted es cuenta habiente ya le había informado acerca de los riesgos
que tiene la ingeniería social y como es que esta ópera?
Si
No
10. ¿Usted cree que la seguridad de un sistema puede ser vulnerada por un usuario al ser
engañado por la ingeniería social, a pesar de todas las tecnologías de seguridad que se
tengan implementadas?
Si
No
12. Cuestionario electrónico
Ataques producidos por la Ingeniería Social
Página 90
Universidad Mariano Gálvez
Objetivo del Cuestionario. Determinar el nivel de conocimiento que tienen los usuarios bancarios
en el área metropolitana sobre la ingeniería social, si conocen algunos de los ataques que esta
proporciona y si en algún momento han sido víctimas tanto de forma física como computacional
al navegar en la internet.
Ingeniería Social: La Ingeniería Social es el acto de manipular a una persona a través de técnicas
psicológicas y habilidades sociales para cumplir metas específicas, como el robo de información.
*En algunas preguntas puede seleccionar una o varias respuestas
Edad *
o
18 - 24
o
25 - 29
o
30 - 34
o
35 en adelante
Género *
o
Femenino
o
Masculino
1.¿Seleccione la razón más importante por la que no se utiliza la banca electrónica en
línea? *
o
Desconfianza en la red
o
Ataques de cibernéticos
o
Suplantación de identidad (phishing)
o
Robo de información
o
Ninguna
o
Otra
2.¿El banco de donde usted es cuentahabiente ya le ha informado de las medidas de
seguridad al utilizar la banca en línea? *
o
Si
o
No
Ataques producidos por la Ingeniería Social
Página 91
3. Según su criterio pondere la importancia que le han dado los bancos del sistema
respecto a la seguridad hacia la ingeniería social para proteger a sus cuentahabientes. *
o
Muy Buena
o
Buena
o
Mala
o
Ninguna
4.¿Sabía usted que la ingeniería social no se da solamente en los sistemas
computacionales al navegar en la web, sino que también de forma física? *
o
Si
o
No
5. De acuerdo a su experiencia seleccione alguno de los ataques de ingeniería social física
que usted identifique que le haya pasado alguna vez. *
o
Llamadas telefónicas “bancarias”
o
“Ayuda” de extraños en cajeros
o
Calcomanías en cajeros con números telefónicos fraudulentos de "ayuda"
o
Llamadas o mensajes de “premios” ganados
o
Otros
o
Desconoce
6. De los siguientes ataques seleccione cuál de ellos usted considera que haya sido
víctima en algún momento al navegar en la web *
o
Links hacia sitios con descarga automática de archivos
o
Descarga de software o archivo malicioso
o
Robo de cuentas de correo y red social
o
Robo de la cuenta de banca en línea
o
Robo de datos personales en línea
o
Otros
o
Ninguno
7. Seleccione más de algún ataque computacional de ingeniería social que le sea familiar
o le haya pasado en algún momento al navegar en la web *
Ataques producidos por la Ingeniería Social
Página 92
o
Recepción de correo para actualizar datos bancarios (phishing)
o
Recepción de correo solicitando “ayuda de caridad”
o
Mensajes por correo electrónico o red social ofreciendo premios increíbles
o
Ventanas emergentes al navegar en sitios no seguros
o
Ofrecimiento de software de interés fácil de descargar en sitios que a la vista
no son seguros
o
Otros
o
Ninguno
8. ¿Cuál de las siguientes medidas de seguridad aplica usted para mitigar el riesgo de ser
víctima de la ingeniería social al navegar en la web? *
o
o
Tomar precaución antes de dar clic
Utilizar software de seguridad (antivirus, antiphising, antispyware y
antimalware)
o
Visitar sitios seguros
o
Precaución en la información colocada en Redes Sociales
o
Otros
o
Ninguno
9. ¿Usted cree que la seguridad de un sistema puede ser vulnerada por un usuario al ser
engañado por la ingeniería social, a pesar de todas las tecnologías de seguridad que se
tengan implementadas? *
o
Si
o
No
10. Seleccione la consecuencia más crítica e importante para usted como resultado de los
ataques producidos por la ingeniería social descritos a continuación *
o
Robo de identidad
o
Robo de dinero
o
Ser objeto de estafas
o
Ser objeto de extorsiones
o
Otro
Ataques producidos por la Ingeniería Social
Página 93