articulo Marcela susatama cleaned

Vista previa del material en texto

Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
1 
 
Resumen – Este articulo describe las técnicas más usadas 
en la ingeniería social teniendo en cuenta que las victimas 
latentes son los niños y empleados recién contratados, la 
ingeniería social es uno de los métodos más ingeniosos que 
permite la obtención de información a través de los usuarios 
no capacitados, el objetivo de esta es engañar y que se revele 
información de tal manera que la integridad, confidencialidad 
y disponibilidad puedan verse comprometidas. 
 
El ingeniero social por medio de sus capacidades como lo son 
la empatía y confianza sacara provecho del eslabón más débil 
y de esta manera burlará cualquier protocolo que haya 
implementado la entidad, la concientización constante de los 
usuarios les permitirá estar alertas sobre esta amenaza latente 
que permitirá a cualquier organización proteger sus datos. 
 
Abstract – This article describes the most used techniques 
in social engineering, taking into consideration that the latent 
victims are children and newly hired employees, social 
engineering is one of the most ingenious methods that allows 
obtaining information through naive users, the purpose of this 
technique is to deceive and then reveal information in such a 
way that the integrity, confidentiality and availability may be 
compromised. 
 
The social engineer through his abilities such as empathy, 
trust will take advantage of the weakest link and in this way 
will circumvent any protocol that the entity has implemented, 
the constant awareness of users will allow them to be alert 
about this latent threat that will allow any organization to 
protect their data. 
 
Palabras claves: – ingeniería social, seguridad informática, 
ataque, técnica, usuario, acceso no autorizado, victima, 
riesgo, amenaza. 
 
I. INTRODUCCIÓN 
 
Desde el origen de la pandemia las empresas 
implementaron el trabajo en casa que abrió la puerta a que 
cada persona desde su computador personal estuviera en 
 
 
 
contacto con la información de su empresa en tiempo real lo 
que genero nuevos riesgos y retos para las entidades públicas 
y privadas. Los ataques informáticos a las organizaciones son 
controlados mediante firewall, antivirus, políticas de 
seguridad, equipos con los cuales se asume que la entidad 
estará protegida, pero se deja de lado el eslabón más débil “el 
ser humano” a quien no se le realiza una concientización de la 
seguridad de la información. 
 
La evolución de las tecnologías permite cada día que el 
acceso a esta sea más fácil, también con los nuevos 
desarrollos tenemos redes sociales, mensajerías instantáneas, 
correo electrónico entre otros que permiten el intercambio de 
información cada vez más asequible para los usuarios finales. 
 
De esta manera es simple engañar a los usuarios como por 
ejemplo suplantar la página principal de una entidad bancaria, 
el usuario sin darse cuenta de que es una suplantación se 
autentica dejando su información; como credenciales de 
acceso al ciberdelincuente que esta listo para cometer su 
delito. 
 
Otro claro ejemplo es hacer pensar al usuario que el 
sistema esta pidiendo cambio de contraseña, los usuarios en 
general deben ser capacitados para que no entreguen 
información sensible a personal que no es el indicado y lo que 
realmente hacen es suplantar al administrador del sistema. 
Incluso los usuarios caen abriendo el adjunto de un correo 
electrónico, les ofrecen cualquier información de interés que 
trae códigos maliciosos en su interior que vulnera la 
seguridad de la información. 
 
El propósito de este artículo es generar conciencia y sobre 
los peligros de internet y el desconocimiento de los ataques 
más usados que ponen en riesgo la integridad, la 
confidencialidad y la disponibilidad, mediante el uso de la 
tecnología. 
II. METODOLOGÍA 
 
Para la presente investigación se realiza una búsqueda a 
través de fuentes bibliográficas en la red que permita describir 
los conceptos, herramientas, técnicas que se relacionan en la 
ingeniería social y de esta forma poder analizar cuales son los 
ataques que mas impactan en Colombia. 
Análisis de las técnicas más usadas en la 
ingeniería social 
Susatama Hurtado, Marcela Alejandra 
Especialización en Seguridad Informática 
Universidad Piloto de Colombia 
Marcela-susatama@upc.edu.co 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
2 
III. ¿QUÉ ES LA INGENIERÍA SOCIAL? 
 
Según Kaspersky “La ingeniería social es un conjunto de 
técnicas que usan los cibercriminales para engañar a los 
usuarios incautos para que les envíen datos confidenciales, 
infecten sus computadoras con malware o abran enlaces a 
sitios infectados. Además, los hackers pueden tratar de 
aprovecharse de la falta de conocimiento de un usuario; 
debido a la velocidad a la que avanza la tecnología, 
numerosos consumidores y trabajadores no son conscientes 
del valor real de los datos personales y no saben con certeza 
cuál es la mejor manera de proteger esta información.” [1] 
 
Teniendo en cuenta el concepto anterior la ingeniería 
social podría definirse como las técnicas usadas por medio de 
plataformas que resultan en la manipulación de personal no 
capacitado de esta manera el ingeniero social captura 
información importante como usuarios y claves de acceso, es 
por esta razón que la capacitación o concientización juegan 
un papel importante a la hora de evitar este tipo de ataques. 
 
IV. TÉCNICAS MÁS USADAS EN LA INGENIERÍA SOCIAL 
 
El hecho de que en la actualidad surgen herramientas robustas 
para proteger la información de las organizaciones, se 
minimiza la explotación de las vulnerabilidades técnicas, 
haciendo que los atacantes se vayan por la ingenuidad del ser 
humano. Engañar a una persona y obtener lo que se quiere es 
un arte que usan los ingenieros sociales ya que presenta 
riesgos mínimos. Dentro de los más populares se encuentran: 
 
A. Phising 
 
Es una de las técnicas mas usadas por los 
ciberdelincuentes de manera online, se trata del envió de 
un mail con el fin de instar a la víctima a que por medio 
de un link o un formulario envíe datos personales o 
corporativos; (suplantación de identidad). Para este tipo 
de ataque, y como se puede observar en la figura 1., el 
atacante sigue 5 pasos básicos para completar el circuito 
del ataque. 
Paso 1 – falsificación de un ente de confianza. Es 
decir, un contacto o entidad que genere confianza. 
Paso 2 – envío de mensajes por algún medio de 
propagación. En este punto el atacante establece el tipo 
de repliegue de información que va a hacer por medios 
electrónicos. 
Paso 3 – Un porcentaje de usuarios confía y da click 
en el mensaje enviado previamente. 
Paso 4 – al dar click en el mensaje se abre una página 
web falsa en la que los usuarios ingresan sus datos. 
Paso 5 - el atacante obtiene los datos personales y es 
libre de usarlos a su conveniencia. [2] Ver figura 1 
 
 
 
 
Fig. 1. Ciclo del Phishing [3] 
 
A continuación, en la Figura 2 se puede evidenciar un 
caso de phishing, donde supuestamente la plataforma de 
ventas de la Tienda Falabella le indica al cliente que un 
pedido ha sido entregado de forma exitosa, allí el cliente por 
la simple curiosidad de saber que le han entregado da click e 
ingresa sus credenciales, entregándole en bandeja de plata 
todo lo que necesita el ciberdelincuente. Este tipo de 
ciberdelitos son puestos en conocimiento en la pagina del 
centro cibernético policial de la Policía Nacional donde los 
colombianos pueden poner en conocimiento posibles correos 
falsos, o si fueron victimas poner su respectiva denuncia por 
este canal. 
 
 
Fig. 2. Solicitud de datos, plataformas de venta online [4] 
 
 
B. SmishingUn inocente SMS puede hacer que cualquiera pierda 
su dinero. A la hora de hablar de técnicas de ingeniería 
social, los estafadores informáticos sacan lo mejor de sus 
habilidades y de las herramientas que tienen al alcance 
para manipular a sus víctimas y obtener sus datos 
confidenciales. El smishing es una de las más comunes. 
El smishing es un fraude que se ejecuta a través de 
mensajes de texto o apps de mensajería como Whatsapp. 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
3 
En esta técnica, los estafadores suplantan la identidad 
de una persona, empresa o entidad financiera para 
manipular a los usuarios y motivarlos a hacer clic en 
enlaces peligrosos ¿El objetivo? Obtener la información 
bancaria del cliente u obligarle a hacer pagos. [5] 
 
Un ejemplo claro de esta técnica se evidencia en la 
Figura 3, cuando a la victima le llega un mensaje 
pidiendo que tomen contacto con un tercero haciéndose 
pasar por un familiar lejano y que a esa persona le esta 
sucediendo algo ya sea un secuestro o un arresto y para 
sacar a la persona de ese apuro deben consignar un 
dinero a una cuenta que diga la persona, muchas personas 
caen en este tipo de engaño por no hacer una simple 
llamada corroborando si su familiar se encuentra bien o 
no. 
 
 
 
Fig. 3. Mensaje de texto para ejecutar un ataque de smishing [6] 
 
C. Scareware 
 
El scareware es un software malicioso que se hace 
pasar por software legítimo de seguridad informática y 
pretende detectar una variedad de amenazas en la 
computadora afectada que en realidad no existen. Luego 
se informa a los usuarios que deben comprar un supuesto 
antivirus para reparar sus computadoras que en realidad 
resulta ser un virus y se les bombardea con notificaciones 
agresivas y perturbadoras hasta que proporcionan su 
número de tarjeta de crédito y pagan hasta $129 por el 
producto que en realidad en un producto sin valor. 
 
Para evitar ser engañados con esta técnica se puede 
tener en cuenta las siguientes recomendaciones: 
 
• Las ventanas emergentes de scareware pueden 
parecer advertencias reales de su sistema, pero 
después de una inspección más cercana, algunos 
elementos no son completamente funcionales. Por 
ejemplo, para que parezca auténtico, es posible que 
vea una lista de íconos confiables, como compañías 
de software o publicaciones de seguridad, pero no 
puede hacer clic para ir a esos sitios reales. 
 
• Las ventanas emergentes de scareware son difíciles 
de cerrar, incluso después de hacer clic en el botón 
"Cerrar" o "X". 
 
• Los productos antivirus falsos están diseñados para 
parecer legítimos, con nombres como Virus Shield, 
Antivirus o VirusRemover. 
 
• Y para evitar ser victimizado, asegúrese de que su 
computadora esté utilizando un software antivirus 
legítimo y actualizado, que puede ayudar a detectar y 
eliminar productos de scareware fraudulentos. [7] 
 
 
 
Fig. 4. Scareware [8] 
 
Como se evidencia en la Figura 4 se puede ser engañado 
con un software que muestra que el equipo esta infectado, y 
lo que se le esta dando es acceso a la información de las 
computadoras. 
 
D. Pretexting 
 
El hacker utiliza un escenario inventado asumiendo una 
identidad o un rol para incitar a la víctima a proporcionar 
información confidencial o para provocar que el usuario haga 
algo que no haría en una situación normal. Para un mayor 
éxito en el ataque, el cibercriminal debe convertirse en la 
entidad creada, imitando como habla, como camina, como se 
sienta, como se viste o su lenguaje corporal. La historia debe 
ser creíble y simple; un escenario que haga sentir a la víctima 
cómoda y relajada. [9] 
 
Se puede definir como la práctica de presentarse como 
otra persona para obtener información privada, creando una 
identidad completamente nueva o haciéndose pasar por una 
persona. También se puede utilizar para hacerse pasar por 
personas en ciertos trabajos. La etapa esencial de esta técnica 
se basa en la realización de una buena investigación previa, 
para elaborar un buen pretexto, por lo que se tienden a usar 
dialectos o expresiones familiares en el ámbito de afectación. 
Para protegerse de este tipo de ataques se recomienda: 
 
• Mantener un perfil criterioso: en principio se debe tener 
la astucia de no brindar datos privados, y de solicitar en 
todos los casos datos específicos, que no se encuentren 
publicados en la web. 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
4 
• Doble factor de autenticación: implementar el uso de 
sistemas, mediante medidas de seguridad extra.[10] 
 
 
 
Fig. 5. Ciclo del pretexting [11] 
 
 
En la Figura 10 se observan las principales características 
del pretexting teniendo en cuenta que es una técnica basada 
en el engaño y la experiencia para que la víctima caiga. 
 
E. Vishing 
 
En esta modalidad de estafa informática el agente activo 
utiliza los medios tecnológicos como teléfono y correo 
electrónico. La finalidad es robar la identidad y el dinero de 
los usuarios. El vishing es una de las modalidades más 
comunes usadas por los cibercriminales; mediante el envío de 
correos electrónicos que solicitan que llamen a un número de 
teléfono donde aparece un contestador automático. [12] 
 
Generalmente se usa con el objetivo de realizar trámites 
legales, bancarios o de seguros y compras, como se evidencia 
en la figura 6 hay alguien detrás de un teléfono incitando a 
que el usuario descargue algo o entregue claves y caiga de la 
forma más inocente. 
 
 
Fig. 6. Técnica Vishing [13] 
 
F. Carta Nigeriana 
 
Este tipo de estafa es muy antiguo y en los tiempos modernos 
los estafadores utilizan la tecnología para tratar de engañar a 
más personas, por esta razón hacen uso de correo electrónico. 
Esto funciona de manera similar al phishing y combina 
elementos de la estafa y la suplantación, por lo tanto, las 
mismas recomendaciones expresadas anteriormente son 
efectivas con este tipo de ataque. 
 
 
Fig. 7. Ejemplo técnica carta nigeriana [14] 
 
En la figura 14 se evidencia como supuestamente una 
persona del común se ha hecho acreedora de una fortuna y 
para esto debe enviar datos personales a un correo 
electrónico, la estafa consiste en pedir esta información y 
posteriormente pedir un dinero para poder ser el afortunado se 
recibir una gran suma de dinero. 
 
V. VÍAS DE ATAQUE EN LA INGENIERÍA SOCIAL 
Existen herramientas que ayudan al atacante a tener acceso a 
cualquier sistema, a continuación, se describirán las 
herramientas mas usadas en la ingeniería social. 
 
A. Teléfono 
 
 Es la herramienta mediante la cual el atacante puede 
suplantar cualquier identidad sin ser reconocido por la 
víctima. De esta forma se hacen pasar por personal 
técnico o administradores del sistema donde la victima 
cae entregando sus credenciales. 
 
B. Internet 
 
A través de esta herramienta también se puede 
suplantar cualquier persona, esto se puede ver a través de 
las redes sociales, correo electrónico archivo adjunto 
infectado. 
 
C. La Basura 
 
Las entidades son muy confiadas y no conocen la 
importancia o el valor de su información y se adquiere 
información de clientes, claves de acceso, números de 
teléfono, en archivos que ya se han desechado. 
 
Por ejemplo, en los hogares se arrojan las facturas 
telefónicas, estados de cuenta, tarjetas de crédito, recetas 
médicas, extractos bancarios, material del trabajo y sin 
darse cuenta esta información es muy valiosa para el 
ingeniero social, que al obtener este tipo de información 
puede hasta montar perfiles para llamar y engañar; por 
esto es importante empezar a distinguir la información 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicasmás usadas en la ingeniería social 
 
5 
que es útil para un atacante, de esta manera se debe 
aprender a clasificar la información según el grado de 
sensibilidad de la misma, y así mismo establecer 
mecanismos para cuando se deba descartar esta 
información que ya no es necesaria. 
 
Es recomendable que la documentación de carácter 
confidencial sea triturada, pero no en tiras de papel ya 
que alguien interesado en la información se armaría de 
suficiente paciencia para volverla a construir. 
 
De igual manera para desechar información que este 
almacenada en medios magnéticos como CD, USB, 
discos duros entre otros medios, se debe borrar con 
herramientas que no permitan la recuperación posterior 
del archivo. 
 
D. Ingeniería social inversa 
 
Ocurre cuando el delincuente crea un rol de autoridad, 
en el que se encuentra, de tal modo que le pedirán 
información a el y no al revés. Un claro ejemplo es 
cuando el hacker sabotea un sistema, entonces el mismo 
aprovecha la situación para auto promoverse y hacerse 
parecer que da asistencia a un problema, y lo cual hace 
que requiera pedazos de información de algunas 
personas, y así sustrae tanta información como le es 
posible, y sin darse cuenta nadie sabe que el delincuente 
obtuvo lo que quiso haciéndolo de una manera sutil. [15] 
 
E. Carisma 
 
Se caracteriza por el uso de modales amistosos que les 
haga parecer como una persona correcta. En otros casos 
suelen adular a la victima para ganar de alguna manera 
información por medio de conversaciones que generan 
interés. 
 
F. Shoulder Surging 
 
Es una habilidad donde el atacante usa la observación 
como su herramienta para el robo de información, un 
claro ejemplo es mirar por encima del hombro de 
alguien para obtener información. 
 
VI. CARACTERÍSTICAS DE UN INGENIERO SOCIAL 
 
Son personas que se caracterizan por tener habilidades 
para mentir, pasan desapercibidas, aparentando que son 
personas buenas. Los ingenieros sociales deben conocer el 
perfil de su victima para tener un acercamiento más asertivo y 
hacer que la victima haga lo que ellos quieran tal como 
entregar claves o perfiles de acceso, dejar puertas abiertas 
entre otro tipo de accesos que puede poner en riesgo la 
seguridad de la información de cualquier entidad. 
También poseen destrezas en tecnologías de la 
información, lenguajes de programación y bases de datos para 
poder sacar provecho del descuido de su víctima. 
 
VII. TRUCOS MENTALES USADOS POR UN INGENIERO SOCIAL 
 
El ingeniero social tiene la capacidad de mentir y engañar 
de una manera muy fácil, esto debido a su experiencia, a 
continuación, se describen el tipo de personas que 
normalmente ellos analizan: 
 
A. Vista o pensador visual 
Es una característica de las personas donde toman 
decisiones basados en lo que es visualmente atractivo 
independientemente de lo que sea mejor, una persona con 
este perfil se usan frases como “Veo a que te refieres”, 
“Para mí eso se ve bien”. 
B. Audición o pensador auditivo 
Son aquellas personas que pueden recordar a alguien por 
el sonido de su voz, poseen habilidades de aprender 
cuando se les dice algo y recuerdan por la forma en que 
sonaba algo “algo me dice”, “suena bien para mí”. Estos 
pensadores auditivos pueden formalizar o romper un trato 
de acuerdo a como se les diga algo. 
C. Sensaciones 
Son personas que hasta que no sientan algo a través de 
sus manos no lo van a creer usan frases como “Puedo 
entender esa idea”, “Me pondré en contacto con usted” 
son difíciles de tratar porque no reaccionan a imágenes o 
sonidos, son sus sentimientos o sentidos los que los hace 
reaccionar ante un ingeniero social. 
D. Comprender el sentido dominante 
Se puede obtener información para perfilar a la persona 
que el atacante quiere abordar, con un simple saludo y de 
acuerdo con la reacción que tome esta se puede ir 
identificando el tipo de persona que es: palabras como ver, 
oír, sentir son claves para perfilar. El ingeniero social 
apuntara a hablar con su víctima de una forma asertiva, 
preguntan con moderación y confían en la observación. 
 
VIII. CARACTERÍSTICAS DE LA VICTIMA DE INGENIERÍA 
SOCIAL 
 
Normalmente son personas caracterizadas por su actitud 
de ayudar al prójimo, colaborador ante cualquier situación 
que se pueda presentar en la entidad. Usualmente la victima 
suelen ser niños incrédulos o el empleado nuevo de una 
empresa que por su falta de capacitación se puede ver 
envuelto en esta situación, sin embargo, los empleados 
antiguos de las organizaciones tienden a conocer tanto que 
pueden estar brindando información comprometedora. Son 
fáciles de persuadir ya que normalmente el ingeniero social 
usa palabras bonitas y de acuerdo con el análisis realizado 
pueden caer muy bien a la víctima. 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
6 
IX. CICLO DE LA INGENIERÍA SOCIAL 
 
Según Kevin Mitnick la metodología para tener éxito en 
un ataque de ingeniería social consta de 4 etapas descritas en 
la Tabla 1. 
 
 
Método Descripción 
Investigación A través de fuentes abiertas se busca 
información como formularios e 
informes anuales, material de 
marketing patentes sobre aplicaciones 
entradas de prensa, revistas y 
magazines, contenidos en internet, 
remover la basura, etc. 
Desarrollar 
rapport y 
credibilidad 
Se usa la información interna, s 
reemplazan identidades se reclama a 
la víctima, se le pide ayuda, o se usa 
la autoridad. 
Explotar 
confianza 
Se pregunta o se consigue que te 
pregunten por tal de conseguir el 
objetivo marcado. 
Utilizar 
información 
Si la información es solo una parte se 
vuelve a empezar el ciclo, hasta 
conseguir el objetivo. 
 
Tabla 1. Ciclo de la Ingeniería social [16] 
 
 
Es una metodología simple, se puede resumir en buscar 
información, crear confianza y utilizarla. En donde se 
encuentran con el mismo escenario en donde se encuentran el 
siguiente escenario: atacante, medio, víctima, pretexto. 
X. CIFRAS DE LA INGENIERÍA SOCIAL EN COLOMBIA 
 
Al analizar el comportamiento del cibercrimen en 
Colombia reflejado en el número de denuncias instauradas 
ante el ecosistema de la fiscalía general de la Nación, las 
policías judiciales del CTI y la Policía Nacional (DIJIN-
SIJIN) a través del aplicativo a denunciar, al finalizar el mes 
de noviembre del 2021 se habían registrado 46.527 denuncias 
por distintos delitos lo que equivale a un incremento del 21% 
respecto al 2020. Si se tienen en cuenta comparativamente los 
años 2019 y 2021, es decir sin contabilizar el año de 
pandemia, el incremento alcanzó un 107% acumulado entre el 
incremento suscitado durante el 2020 y el aumento continuo 
durante el 2021. Sin duda el ciberdelito se ha convertido en la 
tipología criminal de mayor crecimiento en Colombia durante 
los últimos tres años; impulsado por aceleradores como la 
pandemia y el consecuente incremento del comercio 
electrónico cuyo crecimiento alcanzó el 59.4% en las 
transacciones durante el periodo de cuarentena obligatoria y 
del 35% durante el 2021 con ventas estimadas en 37 billones 
de pesos al finalizar el año según cifras de la Cámara de 
Comercio electrónico de Colombia CCCE. Lo anterior 
aunado a la rápida adaptación de los cibercriminales a la 
nueva realidad disparó los ciberataques basados en vectores 
de infección como correos electrónicos que continúan 
suplantando a las entidades gubernamentales principalmente a 
la DIAN, fiscalía general de la Nación, Ministerio de Salud, 
Registraduría Nacional del Estado Civil, DANE, Migración 
Colombia y Policía Nacional. [17] 
 
De acuerdo con el Centro Cibernético Policial los ataques 
más comunes en los que caen las personas son los de 
ingeniería social, para evidenciar cuales son los ataques más 
utilizados en Colombia en la figura 6 se muestrauna pequeña 
muestra de los últimos incidentes, modalidad y sector 
impactado. 
 
 
 
Fig 8. Ciclo de la Ingeniería social [18] 
 
Se puede observar que dentro del ranking y de acuerdo con 
las técnicas de ingeniería social se encuentra: Phishing, 
estafa, vishing, smishing, malware y la carta nigeriana, el 
sector mas impactado es el ciudadano, en un segundo lugar se 
encuentra el sector financiero y en el tercero el sector 
gobierno. 
 
A simple vista se evidencia que más de 70% de delitos 
informáticos denunciados tienen que ver con las técnicas de la 
ingeniería social lo que quiere decir que se debe sensibilizar e 
impactar a las personas del común, ya que frecuentemente 
caen más fácil que incluso una compañía. 
 
XI. ¿CÓMO NO CAER EN UN ATAQUE DE 
INGENIERÍA SOCIAL? 
 
• Para navegar en la red y no caer en la trampa de los 
ingenieros sociales, se debe tomar una actitud 
cautelosa y tener cuidado con las personas a las que 
se ayuda, recordar que se puede estar ayudando al 
atacante. 
• Estar pendiente de las personas con las que se habla 
y el tipo de preguntas que se formulan por más 
sencillas que parezcan, pueden estar sacando 
información del sistema. 
• Por seguridad es mejor corroborar la identidad de la 
persona con la cual se está hablando. 
• Romper la cadena de los correos electrónicos “evitar 
responderlos”. 
• Rechace las invitaciones de personas que no conoce 
en las redes sociales. 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
7 
• No publique información que le permita saber al 
atacante como su ubicación, e información privada 
en redes sociales, chats o foros. 
• Tener cuidado de los enlaces que llegan a las 
mensajerías, ya que puede traer disfrazado un sitio 
fraudulento en el que se solicitaran cambios de clave 
y así pueden obtener los datos de cuentas bancarias. 
• Ser precavidos al hacer click en hipervínculos que 
vienen en sms que pueden parecer de fuentes 
confiables, si tiene dudas mejor consulte con la 
fuente real que supuestamente envió el mensaje. 
• Mantener su equipo actualizado, es una buena 
practica que apoya a que el mismo sistema operativo 
o navegador nos alerte de sitios no confiables. 
• Debe ser cultura el manejo de la información en la 
red, desde el colegio deben enseñar como cuidarse 
de estos sitios y en las compañías hacer 
capacitaciones con simulaciones de lo que puede 
pasar en caso de verse envuelto en un ataque de 
ingeniería social. 
 
XII. CONCLUSIONES 
 
La ingeniería social seguirá teniendo éxito entre las personas 
de las instituciones si estas no son capacitadas de la manera 
adecuada, siempre serán vulnerables ofrecerán información 
confidencial sin darse cuenta. Un error es pensar que la 
información solo se extrae por estos medios, pero se debe ser 
consciente de que también se puede dar por las malas 
practicas de los sistemas de información. 
 
La tecnología y los sistemas de información en general 
están teniendo un crecimiento exponencial, lo que permite 
que las técnicas de la ingeniería social también vayan 
evolucionando y con el fin de mitigar este tipo de eventos las 
empresas implementan sistemas de gestión de riesgos de la 
información, implantando políticas que minimicen el impacto 
en las compañías. Por otro lado es importante que no solo las 
compañías se deben concientizar, los niños adolescentes y 
personas que acceden a la web sin imaginar que puede ser tan 
peligroso como andar solo a altas horas de la noche, saber que 
se debe y no se debe publicar en las redes sociales, el simple 
hecho de ser tan confiados y abiertos a hablar con cualquier 
persona que nos saluda en una red social sin saber realmente 
quien se encuentra tras esa pantalla, se cae en ofertas 
engañosas, correos de destinatarios aparentemente confiables, 
links de acceso que parecen ser auténticos en general estos 
factores hacen al ser humano vulnerable y creer que estos 
actos son inocentes y sin consecuencias. 
 
La ingeniería social es un ejercicio de innovación, 
creatividad, mezclando metodologías y factores humanos, 
más allá de la seguridad informática y los sistemas de 
seguridad de la información, se puede deducir dichas 
características a todo aquello que nos rodea, analizando y 
deduciendo acciones con un poco mas de información. 
 
En la actualidad el acceso a las tecnologías permite que los 
ataques cibernéticos y en especial la ingeniería social tome 
mas fuerza, por la ignorancia de quienes la utilizan. 
Una vez verificada la plataforma del centro cibernético 
policial es fácil concluir que la ingeniería social es de los 
ataques mas comunes en Colombia y que impacta en las 
personas del común, sin embargo, no todas las personas 
conocen este tipo de canales tanto para educarse, o para 
denunciar ante las autoridades este tipo de delitos. 
 
XIII. REFERENCIAS 
 
[1] Kaspersky, «Ingenieria Social: definición.,» Kaspersky, [En 
línea]. Available: https://latam.kaspersky.com/resource-
center/definitions/what-is-social-engineering.. [Último acceso: 
08 11 2022]. 
 
[2] N.A.C. Nieto, «Repositorio Institucional Universidad Piloto de 
Colombia,» 10 Octubre 2016. [En línea]. Available: 
http://repository.unipiloto.edu.co/handle/20.500.12277/2712. 
[Último acceso: 13 Noviembre 2022]. 
 
[3] Derten, «Derten,» 16 Mayo 2018. [En línea]. Available: 
https://www.derten.com/es/articulos-generales/siguiendo-el-
hilo-phishing-office-365. [Último acceso: 13 Noviembre 2022]. 
 
[4] Policia Nacional de Colombia, «Centro Cibernético Policial,» 
[En línea]. Available: https://caivirtual.policia.gov.co/mural-
cibercrimen/phishing. [Último acceso: Noviembre 13 2022]. 
 
[5] Banco Pichincha, «BancoPichincha,» 25 Octubre 2021. [En 
línea]. Available: 
https://www.pichincha.com/portal/blog/post/que-es-smishing. 
[Último acceso: 2022 Noviembre 13]. 
 
[6] Policia Nacional de Colombia, «Centro Cibernético Policial,» 
[En línea]. Available: https://caivirtual.policia.gov.co/mural-
cibercrimen/smishing. [Último acceso: 13 Noviembre 2022]. 
[7] Federal Bureau of Investigation FBI, «Federal Bureau of 
Investigation FBI,» 22 Junio 2011. [En línea]. Available: 
https://www.fbi.gov/news/stories/scareware-distributors-
targeted. 
[Último acceso: 13 Noviembre 2022]. 
 
[8] P. K. Puram, «ONLINE SCAMS: TAKING THE FUN OUT 
OF THE INTERNET.,» Indian Journal of Computer Science 
and Engineering, vol. 2, 2 Septiembre 2011. 
 
[9] C. S. Vanrell, Estudio de las Técnicas de la Ingeniería Social 
usadas en ataques de Ciberseguridad y Análisis Sociológico, 
Madrid, España: Universidad Politécnica de Madrid, 2015. 
 
[10] Gabriela Victoria Musso, Buenos Aires: Trabajo de grado, 
Universidad de Buenos Aires., 2019. 
 
[11] Platzi, «Platzi,» [En línea]. Available: 
https://platzi.com/clases/2238-ingenieria-social/37097-que-es-
el-pretexting-y-cual-es-su-proceso-es-ilega/. [Último acceso: 13 
Noviembre 2022]. 
 
[12] M. A. V. Quijano, «La tipificación del phishing, smishing y 
vishing en nuestro sistema penal peruano, para la lucha contra 
la ciberdelincuencia en Lima, 2020,» 29 Octubre 2021. [En 
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 
 
8 
línea]. Available: 
https://repositorio.upn.edu.pe/handle/11537/28942. [Último 
acceso: 14 Noviembre 2022]. 
 
[13] LISA Institute, «Vishing: qué es, modus operandi, ejemplos y 
cómo evitarlo,» 21 Noviembre 2020. [En línea]. Available: 
https://www.lisainstitute.com/blogs/blog/vishing-que-es-
modus-operandi-ejemplos-y-consejos-preventivos. [Último 
acceso: 14 Noviembre 2022]. 
 
[14] Policia Nacional de Colombia, «Centro Cibernético Policial,» 
[En línea]. Available: https://caivirtual.policia.gov.co/mural-
cibercrimen/carta-nigeriana. [Último acceso: Noviembre 13 
2022]. 
 
[15] C. E. S. Sierra, «Respositorio Universidad Piloto deColombia,» 
06 Mayo 2014. [En línea]. Available: 
http://repository.unipiloto.edu.co/handle/20.500.12277/2725. 
[Último acceso: 13 Noviembre 2022]. 
 
[16] S. Arcos Sebastián, “Ingeniería social: psicología aplicada a la 
seguridad informática,” Projecte/Treball Final de Carrera, UPC, 
Facultat d'Informàtica de Barcelona, Departament d'Enginyeria 
de Serveis i Sistemes d'Informació, 2011. 
 
[17] F. B. García, «Tendencias del Cibercrimen 2021-2022 Nuevas 
Amenazas al Comercio Electronico,» Diciembre 2021. [En 
línea]. Available: https://www.ccit.org.co/wp-
content/uploads/informe-safe-tendencias-del-cibercrimen-2021-
2022.pdf. [Último acceso: 14 Noviembre 2022]. 
 
[18] Policia Nacional de Colombia, «Centro Cibernético Policial,» 
[En línea]. Available: 
https://caivirtual.policia.gov.co/ciberincidentes/tiempo-real 
[Último acceso: Noviembre 13 2022].