Cuando el factor humano es clave en materia de ciberseguridad, la ingeniería social despliega todo su esplendor, todas las técnicas para lograr el objetivo marcado que por desgracia en estos términos suele ser el engaño para conseguir dinero, información, poder…
Como la ingeniería social existe desde prácticamente el origen de los tiempos, hoy en día se aplica con maestría en el ámbito tecnológico donde este arte ha encontrado un buen caldo de cultivo para lograr manipular al usuario con todo tipo de técnicas.
Es algo que se trató en Palabra de hacker en el ciberdebate ‘Ingeniería social: el arte de atacar al eslabón más débil‘ y en el dedicado a ‘Fraudes online. Cómo identificarlos y evitarlos‘ así como en numerosas charlas: ‘Prevención de ataques de ingeniería social‘, ‘Ingeniería social: repaso a la evolución del phishing avanzado‘, ‘La curiosa historia del spam. Cómo protegerse del phishing‘, ‘Voy a cruzar la línea… haciendo uso del hacking y la ingeniería social‘ o ‘PaaS: Phishing as a service, un repaso a técnicas de phishing avanzado‘.
En las jornadas de ciberseguridad BitUp celebradas en Alicante, Javier Caballero realizó una breve introducción a diversas técnicas de ingeniería social que se pueden aplicar en la universidad y que pueden ir desde ‘llorar a los profesores a realizar un phishing en toda regla‘ sabiendo que esto último y un gran abanico de posibilidades intermedias, no dejan de ser un delito. Así que en el plano teórico están muy bien pero ir más allá tiene sus consecuencias y eso siempre conviene resaltarlo y recordarlo. La charla está disponible a continuación tanto en vídeo como en podcast.
Javier Caballero es estudiante de Ingeniería informática, especialista en el desarrollo de aplicaciones multiplataforma y web y trabaja como asesor comercial de soluciones tecnológicas para empresas.
¿Qué técnicas de ingeniería social son las más utilizadas?
Javier inicia su charla recordando algunos de hackers españoles que empezaron a emplear con éxito técnicas de ingeniería social en los años 80 y 90 y que aparecen recogidos en el libro de Mercè Molins ‘Hackstory. La historia nunca contada del underground hacker en la Península Ibérica‘, un libro recomendable que está disponible para su descarga gratuita en diversos formatos.
Entre los hackers que menciona en la charla, destaca Lester the teacher que escribió el libro ‘Ingeniería social 1.0‘ en el que incluye varias anécdotas y técnicas de ingeniería social empleadas en la época.
En cuanto a los tipos de ingeniería social que más se utilizan en la actualidad, en la charla se mencionan cuatro técnicas en particular:
- Roleplay. Consiste en hacerte pasar por otra persona como por ejemplo un directivo o trabajador de una empresa, para alcanzar el objetivo.
- Dumpster diving. Lo que viene siendo buscar en la basura de manera física con el fin de obtener información. Hay que tener muy presente que la mayoría de los usuarios no le presta atención a lo que lanza al cubo de la basura entre otras cosas documentación, correo postal, embalajes con todos los datos… y eso puede ser oro para los rastreadores de información que planean un ataque de ingeniería social.
- Baiting. Por mucho que se insista en los peligros de andar conectando pendrives desconocidos en los dispositivos esta técnica de ‘salir de pesca’ sigue siendo efectiva y es que son pocos los usuarios que se resisten a revisar/curiosear un usb que se han podido encontrar en la calle, perdido en la oficina, en un aparcamiento… y claro ese usb puede resultar un huevo de pascua con sorpresa.
- Phishing. La técnica de ingeniería social por excelencia que generalmente llega a través del llamado correo spam pero no solo el email, también las redes sociales y los servicios de mensajería instantánea son el caldo de cultivo ideal para mediante enlaces maliciosos tratar de hacerse con las credenciales de acceso a un servicio web, al banco, a redes sociales o lo que sea.
En la charla se recomienda la película ‘Underc0de‘ que cuenta la historia de Kevin Mitnick un reconocido hacker y en la que se muestran muchas técnicas de ingeniería social. Esta parte de su charla por contener imágenes protegidas por derecho de autor no se refleja y quedó solo para los asistentes presenciales al evento, una de las ventajas de asistir de manera presencial a este tipo de eventos relacionados con la ciberseguridad 😉
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!