{"id":2293,"date":"2022-02-24T16:11:57","date_gmt":"2022-02-24T16:11:57","guid":{"rendered":"https:\/\/familiasciberseguras.com\/blog\/?p=2293"},"modified":"2022-02-24T16:11:57","modified_gmt":"2022-02-24T16:11:57","slug":"ingenieria-social-merolicos-digitales","status":"publish","type":"post","link":"https:\/\/familiasciberseguras.com\/blog\/ingenieria-social-merolicos-digitales\/","title":{"rendered":"Ingenier\u00eda social: merolicos digitales"},"content":{"rendered":"\n

\u00bfQu\u00e9 es la ingenier\u00eda social?<\/h2>\n\n\n\n

No, no se trata de alg\u00fan tipo de sofisticada ingenier\u00eda gen\u00e9tica que modifica a las personas, ni de matem\u00e1ticas aplicadas para modificar a la sociedad, en realidad es un t\u00e9rmino que se utiliza recurrentemente  en la jerga de la ciberseguridad para hacer referencia al \u201carte de enga\u00f1ar\u201d.<\/strong> Es importante se\u00f1alar que no es un t\u00e9rmino exclusivo de esta materia y que adem\u00e1s de que es usado en diferentes contextos se trata de una t\u00e9cnica muy antigua.<\/p>\n\n\n\n

\u00bfTe acuerdas de los famosos \u201cmerolicos\u201d?<\/strong> Son esos vendedores ambulantes que encontramos en las calles, usualmente en los tianguis o en las plazas p\u00fablicas vendiendo medicamentos pero con la peculiaridad de utilizar una estrategia de marketing sustentada en un discurso que envuelve y confunde a su clientela, lleno de relatos maravillosos que logran que le compren alg\u00fan producto \u201cmilagroso\u201d. Usualmente, los merolicos preparan meticulosamente un script con sus secuaces que se hacen pasar como posibles compradores, y que en el escenario cuando les dan una\u201dprobadita\u201d del prodigioso medicamento se curan todos sus males de inmediato, apalancando el discurso y convenciendo de esta manera a los otros oyentes de la eficiencia del brebaje en cuesti\u00f3n, es todo un dechado de actuaci\u00f3n. Bueno, pues ellos de alguna manera hacen justamente uso del arte de enga\u00f1ar y manipular.<\/p>\n\n\n\n

\"\"
Merolico ofrece art\u00edculos a campesinos<\/em>, ca. 1900, placa seca de gelatina, Fondo Casasola, inv. 164993, Sinafo, Conaculta, INAH-MEX; reproducci\u00f3n autorizada por el Instituto Nacional de Antropolog\u00eda e Historia<\/figcaption><\/figure><\/div>\n\n\n\n

En palabras simples, la ingenier\u00eda social es el arte de manipulaci\u00f3n de personas para confiar completamente en quien la ejerce y que de esta manera logre que se le comparta informaci\u00f3n clave para cumplir con su cometido<\/strong>. Habitualmente, ciberdelincuentes y estafadores son quienes aplican estas t\u00e9cnicas ya que buscan informaci\u00f3n confidencial, por ejemplo contrase\u00f1as o informaci\u00f3n bancaria, ya sea que con esos datos logren su objetivo o que a trav\u00e9s de ellos puedan abrir otras puertas como pueden ser acceder a redes, a aplicaciones o a otros sistemas de informaci\u00f3n que les llevar\u00e1n a su destino final, por lo tanto cuando hablamos de ciberseguridad ya sea en casa, en la escuela o en la oficina es crucial que conozcamos que estas situaciones existen y que son m\u00e1s comunes de lo que consideramos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Seg\u00fan datos del informe anual de investigaciones de brechas de datos de Verizon, los ataques de ingenier\u00eda social, incluidos phishing y otros vectores, son responsables del m\u00e1s del 90% de los incidentes exitosos. Y es incre\u00edble porque a pesar de la sofisticaci\u00f3n que existe en los ciberataques de hoy, el grueso de estos eventos no se realizan con tecnolog\u00eda de punta o con habilidades de un genio de la inform\u00e1tica, es la ingenier\u00eda social la responsable de manea que sigue siendo la  t\u00e9cnica m\u00e1s usada por el cibercrimen, ya que a trav\u00e9s de ella es m\u00e1s f\u00e1cil explotar esa caracter\u00edstica que tenemos los humanos de confiar en las personas<\/strong>, es parte de nuestra naturaleza, por ejemplo, es m\u00e1s sencillo que un cibercriminal enga\u00f1e a una persona que intentar \u201chackear\u201d su contrase\u00f1a -a menos que sea demasiado d\u00e9bil-. Y esta situaci\u00f3n la vemos incluso en ambientes controlados como son los grandes corporativos, que a pesar de contar con importantes inversiones en controles de ciberseguridad, todo se derrumba cuando por ejemplo, una asistente comete un error y brinda informaci\u00f3n v\u00eda telef\u00f3nica o por correo electr\u00f3nico a un ciberdelincuente que la enga\u00f1\u00f3. Imagina que en tu casa tienes un bunker<\/em> con un circuito cerrado, con protecciones en todas las ventanas y puertas, con dobles candados y cerraduras de \u00faltima generaci\u00f3n, con cercas con alambres de p\u00faas y sistemas de alarmas, y al final llega el mensajero a dejar un paquete y nadie verifica quien es en realidad y se le permite que ingrese a tu casa\u2026 ah\u00ed est\u00e1 el riesgo de la ingenier\u00eda social.<\/p>\n\n\n\n

Tipos de ataques de ingenier\u00eda social<\/h2>\n\n\n\n

Existen diferentes tipos y t\u00e9cnicas que utilizan estos atacantes, muchos de los cuales ya hemos hablado en episodios anteriores y por lo tanto no invertiremos tiempo en ellos, pero s\u00ed vale la pena mencionarlos para no perderlos de vista. Una de las formas m\u00e1s comunes es por supuesto el phishing<\/em>, que recordemos que es ese intento de convencer a una persona para que realice alguna acci\u00f3n haci\u00e9ndose pasar por una entidad conocida o confiable que te solicita que realices alguna acci\u00f3n, la cual desencadena todo un proceso de ataque. Pero no es el \u00fanico, recordemos que tambi\u00e9n existen t\u00e9cnicas como correos electr\u00f3nicos de spear-phishing -el correo dirigido y dise\u00f1ado estrat\u00e9gicamente para atacar a una persona especifica-, el smishing que es el enga\u00f1o a trav\u00e9s de sistemas de mensajer\u00eda, el vishing que se realiza a trav\u00e9s de una llamada, y el popular BEC o fraude de CEO, del cual hablamos hace algunos d\u00edas.<\/p>\n\n\n\n

Ahora bien, las noticias que no son tan buenas y que tambi\u00e9n comentamos en episodios anteriores, es que la evoluci\u00f3n de la tecnolog\u00eda genera escenarios cada vez m\u00e1s complejos para enga\u00f1ar y manipular a la gente, como son los casos de deep fake<\/em>, as\u00ed que toma mayor importancia que aprendamos de esta amenaza y nos protejamos.https:\/\/www.youtube.com\/embed\/cQ54GDm1eL0?start=54&feature=oembed<\/p>\n\n\n\n

Para muestra un bot\u00f3n, uno de los ciberataques recientes fue la estafa de Bitcoin en Twitter, lo que pone en evidencia que ni siquiera los gigantes de las redes sociales son inmunes.<\/p>\n\n\n\n

Fuimos testigos de c\u00f3mo desde las cuentas de algunos usuarios destacados de Twitter -los que tienen la \u201cpalomita\u201d con la verificaci\u00f3n azul de confianza- de la talla de Barack Obama, Joe Biden o Mike Bloomberg, tuitearon inform\u00e1ndole a sus seguidores que duplicar\u00edan las donaciones realizadas en un enlace espec\u00edfico. Al final, millones de personas contribuyeron a la estafa que concluy\u00f3 en m\u00e1s de 100K USD en bitcoins.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

\u00bfC\u00f3mo fue posible esto?<\/strong> <\/a>A trav\u00e9s de una serie de ataques de ingenier\u00eda social dirigidos. Los cibercriminales enga\u00f1aron a empleados de Twitter y los infectaron con malware. Despu\u00e9s se abrieron paso a trav\u00e9s de los sistemas internos de Twitter y obtuvieron acceso administrativo a una gran cantidad de contrase\u00f1as de usuarios verificados.<\/p>\n\n\n\n

Y probablemente ustedes nos cuestionen si esto solo les sucede a las figuras p\u00fablicas con recursos o a empresas donde se mueven grandes cantidades de dinero, pero no es exclusivo de ellos. \u00bfCu\u00e1ntas veces hemos escuchado de personas que han sido estafadas por supuestas llamadas de sus hijos siendo secuestrados pidi\u00e9ndoles un rescate, o el cl\u00e1sico caso del familiar que est\u00e1 en la aduana retenido y que necesita que le apoyes con una cantidad de dinero para que pueda pagar una multa? Y al final caemos. D\u00eda tras d\u00eda escuchamos de amigos o familiares que han sido v\u00edctimas de estafas a trav\u00e9s de diversas historias a trav\u00e9s de WhatsApp, todo a trav\u00e9s de ingenier\u00eda social. Es una situaci\u00f3n lamentablemente m\u00e1s com\u00fan de lo que pensamos.<\/p>\n\n\n\n

\u00bfCu\u00e1les son los peligros de la ingenier\u00eda social?<\/h2>\n\n\n\n

Puede ser evidente despu\u00e9s de escuchar todas estas historias de la importancia de protegernos de la ingenier\u00eda social, sin embargo no queremos dejar de comentar que TODAS las personas, TODAS las escuelas y TODA organizaci\u00f3n son v\u00edctimas potenciales de la ingenier\u00eda social, y \u00e9sta puede traer graves consecuencias, por lo tanto todo es posible, los ingenieros sociales est\u00e1n limitados solo por su imaginaci\u00f3n y pueden obtener informaci\u00f3n como:<\/p>\n\n\n\n