Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 1 Resumen – Este articulo describe las técnicas más usadas en la ingeniería social teniendo en cuenta que las victimas latentes son los niños y empleados recién contratados, la ingeniería social es uno de los métodos más ingeniosos que permite la obtención de información a través de los usuarios no capacitados, el objetivo de esta es engañar y que se revele información de tal manera que la integridad, confidencialidad y disponibilidad puedan verse comprometidas. El ingeniero social por medio de sus capacidades como lo son la empatía y confianza sacara provecho del eslabón más débil y de esta manera burlará cualquier protocolo que haya implementado la entidad, la concientización constante de los usuarios les permitirá estar alertas sobre esta amenaza latente que permitirá a cualquier organización proteger sus datos. Abstract – This article describes the most used techniques in social engineering, taking into consideration that the latent victims are children and newly hired employees, social engineering is one of the most ingenious methods that allows obtaining information through naive users, the purpose of this technique is to deceive and then reveal information in such a way that the integrity, confidentiality and availability may be compromised. The social engineer through his abilities such as empathy, trust will take advantage of the weakest link and in this way will circumvent any protocol that the entity has implemented, the constant awareness of users will allow them to be alert about this latent threat that will allow any organization to protect their data. Palabras claves: – ingeniería social, seguridad informática, ataque, técnica, usuario, acceso no autorizado, victima, riesgo, amenaza. I. INTRODUCCIÓN Desde el origen de la pandemia las empresas implementaron el trabajo en casa que abrió la puerta a que cada persona desde su computador personal estuviera en contacto con la información de su empresa en tiempo real lo que genero nuevos riesgos y retos para las entidades públicas y privadas. Los ataques informáticos a las organizaciones son controlados mediante firewall, antivirus, políticas de seguridad, equipos con los cuales se asume que la entidad estará protegida, pero se deja de lado el eslabón más débil “el ser humano” a quien no se le realiza una concientización de la seguridad de la información. La evolución de las tecnologías permite cada día que el acceso a esta sea más fácil, también con los nuevos desarrollos tenemos redes sociales, mensajerías instantáneas, correo electrónico entre otros que permiten el intercambio de información cada vez más asequible para los usuarios finales. De esta manera es simple engañar a los usuarios como por ejemplo suplantar la página principal de una entidad bancaria, el usuario sin darse cuenta de que es una suplantación se autentica dejando su información; como credenciales de acceso al ciberdelincuente que esta listo para cometer su delito. Otro claro ejemplo es hacer pensar al usuario que el sistema esta pidiendo cambio de contraseña, los usuarios en general deben ser capacitados para que no entreguen información sensible a personal que no es el indicado y lo que realmente hacen es suplantar al administrador del sistema. Incluso los usuarios caen abriendo el adjunto de un correo electrónico, les ofrecen cualquier información de interés que trae códigos maliciosos en su interior que vulnera la seguridad de la información. El propósito de este artículo es generar conciencia y sobre los peligros de internet y el desconocimiento de los ataques más usados que ponen en riesgo la integridad, la confidencialidad y la disponibilidad, mediante el uso de la tecnología. II. METODOLOGÍA Para la presente investigación se realiza una búsqueda a través de fuentes bibliográficas en la red que permita describir los conceptos, herramientas, técnicas que se relacionan en la ingeniería social y de esta forma poder analizar cuales son los ataques que mas impactan en Colombia. Análisis de las técnicas más usadas en la ingeniería social Susatama Hurtado, Marcela Alejandra Especialización en Seguridad Informática Universidad Piloto de Colombia Marcela-susatama@upc.edu.co Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 2 III. ¿QUÉ ES LA INGENIERÍA SOCIAL? Según Kaspersky “La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. Además, los hackers pueden tratar de aprovecharse de la falta de conocimiento de un usuario; debido a la velocidad a la que avanza la tecnología, numerosos consumidores y trabajadores no son conscientes del valor real de los datos personales y no saben con certeza cuál es la mejor manera de proteger esta información.” [1] Teniendo en cuenta el concepto anterior la ingeniería social podría definirse como las técnicas usadas por medio de plataformas que resultan en la manipulación de personal no capacitado de esta manera el ingeniero social captura información importante como usuarios y claves de acceso, es por esta razón que la capacitación o concientización juegan un papel importante a la hora de evitar este tipo de ataques. IV. TÉCNICAS MÁS USADAS EN LA INGENIERÍA SOCIAL El hecho de que en la actualidad surgen herramientas robustas para proteger la información de las organizaciones, se minimiza la explotación de las vulnerabilidades técnicas, haciendo que los atacantes se vayan por la ingenuidad del ser humano. Engañar a una persona y obtener lo que se quiere es un arte que usan los ingenieros sociales ya que presenta riesgos mínimos. Dentro de los más populares se encuentran: A. Phising Es una de las técnicas mas usadas por los ciberdelincuentes de manera online, se trata del envió de un mail con el fin de instar a la víctima a que por medio de un link o un formulario envíe datos personales o corporativos; (suplantación de identidad). Para este tipo de ataque, y como se puede observar en la figura 1., el atacante sigue 5 pasos básicos para completar el circuito del ataque. Paso 1 – falsificación de un ente de confianza. Es decir, un contacto o entidad que genere confianza. Paso 2 – envío de mensajes por algún medio de propagación. En este punto el atacante establece el tipo de repliegue de información que va a hacer por medios electrónicos. Paso 3 – Un porcentaje de usuarios confía y da click en el mensaje enviado previamente. Paso 4 – al dar click en el mensaje se abre una página web falsa en la que los usuarios ingresan sus datos. Paso 5 - el atacante obtiene los datos personales y es libre de usarlos a su conveniencia. [2] Ver figura 1 Fig. 1. Ciclo del Phishing [3] A continuación, en la Figura 2 se puede evidenciar un caso de phishing, donde supuestamente la plataforma de ventas de la Tienda Falabella le indica al cliente que un pedido ha sido entregado de forma exitosa, allí el cliente por la simple curiosidad de saber que le han entregado da click e ingresa sus credenciales, entregándole en bandeja de plata todo lo que necesita el ciberdelincuente. Este tipo de ciberdelitos son puestos en conocimiento en la pagina del centro cibernético policial de la Policía Nacional donde los colombianos pueden poner en conocimiento posibles correos falsos, o si fueron victimas poner su respectiva denuncia por este canal. Fig. 2. Solicitud de datos, plataformas de venta online [4] B. SmishingUn inocente SMS puede hacer que cualquiera pierda su dinero. A la hora de hablar de técnicas de ingeniería social, los estafadores informáticos sacan lo mejor de sus habilidades y de las herramientas que tienen al alcance para manipular a sus víctimas y obtener sus datos confidenciales. El smishing es una de las más comunes. El smishing es un fraude que se ejecuta a través de mensajes de texto o apps de mensajería como Whatsapp. Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 3 En esta técnica, los estafadores suplantan la identidad de una persona, empresa o entidad financiera para manipular a los usuarios y motivarlos a hacer clic en enlaces peligrosos ¿El objetivo? Obtener la información bancaria del cliente u obligarle a hacer pagos. [5] Un ejemplo claro de esta técnica se evidencia en la Figura 3, cuando a la victima le llega un mensaje pidiendo que tomen contacto con un tercero haciéndose pasar por un familiar lejano y que a esa persona le esta sucediendo algo ya sea un secuestro o un arresto y para sacar a la persona de ese apuro deben consignar un dinero a una cuenta que diga la persona, muchas personas caen en este tipo de engaño por no hacer una simple llamada corroborando si su familiar se encuentra bien o no. Fig. 3. Mensaje de texto para ejecutar un ataque de smishing [6] C. Scareware El scareware es un software malicioso que se hace pasar por software legítimo de seguridad informática y pretende detectar una variedad de amenazas en la computadora afectada que en realidad no existen. Luego se informa a los usuarios que deben comprar un supuesto antivirus para reparar sus computadoras que en realidad resulta ser un virus y se les bombardea con notificaciones agresivas y perturbadoras hasta que proporcionan su número de tarjeta de crédito y pagan hasta $129 por el producto que en realidad en un producto sin valor. Para evitar ser engañados con esta técnica se puede tener en cuenta las siguientes recomendaciones: • Las ventanas emergentes de scareware pueden parecer advertencias reales de su sistema, pero después de una inspección más cercana, algunos elementos no son completamente funcionales. Por ejemplo, para que parezca auténtico, es posible que vea una lista de íconos confiables, como compañías de software o publicaciones de seguridad, pero no puede hacer clic para ir a esos sitios reales. • Las ventanas emergentes de scareware son difíciles de cerrar, incluso después de hacer clic en el botón "Cerrar" o "X". • Los productos antivirus falsos están diseñados para parecer legítimos, con nombres como Virus Shield, Antivirus o VirusRemover. • Y para evitar ser victimizado, asegúrese de que su computadora esté utilizando un software antivirus legítimo y actualizado, que puede ayudar a detectar y eliminar productos de scareware fraudulentos. [7] Fig. 4. Scareware [8] Como se evidencia en la Figura 4 se puede ser engañado con un software que muestra que el equipo esta infectado, y lo que se le esta dando es acceso a la información de las computadoras. D. Pretexting El hacker utiliza un escenario inventado asumiendo una identidad o un rol para incitar a la víctima a proporcionar información confidencial o para provocar que el usuario haga algo que no haría en una situación normal. Para un mayor éxito en el ataque, el cibercriminal debe convertirse en la entidad creada, imitando como habla, como camina, como se sienta, como se viste o su lenguaje corporal. La historia debe ser creíble y simple; un escenario que haga sentir a la víctima cómoda y relajada. [9] Se puede definir como la práctica de presentarse como otra persona para obtener información privada, creando una identidad completamente nueva o haciéndose pasar por una persona. También se puede utilizar para hacerse pasar por personas en ciertos trabajos. La etapa esencial de esta técnica se basa en la realización de una buena investigación previa, para elaborar un buen pretexto, por lo que se tienden a usar dialectos o expresiones familiares en el ámbito de afectación. Para protegerse de este tipo de ataques se recomienda: • Mantener un perfil criterioso: en principio se debe tener la astucia de no brindar datos privados, y de solicitar en todos los casos datos específicos, que no se encuentren publicados en la web. Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 4 • Doble factor de autenticación: implementar el uso de sistemas, mediante medidas de seguridad extra.[10] Fig. 5. Ciclo del pretexting [11] En la Figura 10 se observan las principales características del pretexting teniendo en cuenta que es una técnica basada en el engaño y la experiencia para que la víctima caiga. E. Vishing En esta modalidad de estafa informática el agente activo utiliza los medios tecnológicos como teléfono y correo electrónico. La finalidad es robar la identidad y el dinero de los usuarios. El vishing es una de las modalidades más comunes usadas por los cibercriminales; mediante el envío de correos electrónicos que solicitan que llamen a un número de teléfono donde aparece un contestador automático. [12] Generalmente se usa con el objetivo de realizar trámites legales, bancarios o de seguros y compras, como se evidencia en la figura 6 hay alguien detrás de un teléfono incitando a que el usuario descargue algo o entregue claves y caiga de la forma más inocente. Fig. 6. Técnica Vishing [13] F. Carta Nigeriana Este tipo de estafa es muy antiguo y en los tiempos modernos los estafadores utilizan la tecnología para tratar de engañar a más personas, por esta razón hacen uso de correo electrónico. Esto funciona de manera similar al phishing y combina elementos de la estafa y la suplantación, por lo tanto, las mismas recomendaciones expresadas anteriormente son efectivas con este tipo de ataque. Fig. 7. Ejemplo técnica carta nigeriana [14] En la figura 14 se evidencia como supuestamente una persona del común se ha hecho acreedora de una fortuna y para esto debe enviar datos personales a un correo electrónico, la estafa consiste en pedir esta información y posteriormente pedir un dinero para poder ser el afortunado se recibir una gran suma de dinero. V. VÍAS DE ATAQUE EN LA INGENIERÍA SOCIAL Existen herramientas que ayudan al atacante a tener acceso a cualquier sistema, a continuación, se describirán las herramientas mas usadas en la ingeniería social. A. Teléfono Es la herramienta mediante la cual el atacante puede suplantar cualquier identidad sin ser reconocido por la víctima. De esta forma se hacen pasar por personal técnico o administradores del sistema donde la victima cae entregando sus credenciales. B. Internet A través de esta herramienta también se puede suplantar cualquier persona, esto se puede ver a través de las redes sociales, correo electrónico archivo adjunto infectado. C. La Basura Las entidades son muy confiadas y no conocen la importancia o el valor de su información y se adquiere información de clientes, claves de acceso, números de teléfono, en archivos que ya se han desechado. Por ejemplo, en los hogares se arrojan las facturas telefónicas, estados de cuenta, tarjetas de crédito, recetas médicas, extractos bancarios, material del trabajo y sin darse cuenta esta información es muy valiosa para el ingeniero social, que al obtener este tipo de información puede hasta montar perfiles para llamar y engañar; por esto es importante empezar a distinguir la información Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicasmás usadas en la ingeniería social 5 que es útil para un atacante, de esta manera se debe aprender a clasificar la información según el grado de sensibilidad de la misma, y así mismo establecer mecanismos para cuando se deba descartar esta información que ya no es necesaria. Es recomendable que la documentación de carácter confidencial sea triturada, pero no en tiras de papel ya que alguien interesado en la información se armaría de suficiente paciencia para volverla a construir. De igual manera para desechar información que este almacenada en medios magnéticos como CD, USB, discos duros entre otros medios, se debe borrar con herramientas que no permitan la recuperación posterior del archivo. D. Ingeniería social inversa Ocurre cuando el delincuente crea un rol de autoridad, en el que se encuentra, de tal modo que le pedirán información a el y no al revés. Un claro ejemplo es cuando el hacker sabotea un sistema, entonces el mismo aprovecha la situación para auto promoverse y hacerse parecer que da asistencia a un problema, y lo cual hace que requiera pedazos de información de algunas personas, y así sustrae tanta información como le es posible, y sin darse cuenta nadie sabe que el delincuente obtuvo lo que quiso haciéndolo de una manera sutil. [15] E. Carisma Se caracteriza por el uso de modales amistosos que les haga parecer como una persona correcta. En otros casos suelen adular a la victima para ganar de alguna manera información por medio de conversaciones que generan interés. F. Shoulder Surging Es una habilidad donde el atacante usa la observación como su herramienta para el robo de información, un claro ejemplo es mirar por encima del hombro de alguien para obtener información. VI. CARACTERÍSTICAS DE UN INGENIERO SOCIAL Son personas que se caracterizan por tener habilidades para mentir, pasan desapercibidas, aparentando que son personas buenas. Los ingenieros sociales deben conocer el perfil de su victima para tener un acercamiento más asertivo y hacer que la victima haga lo que ellos quieran tal como entregar claves o perfiles de acceso, dejar puertas abiertas entre otro tipo de accesos que puede poner en riesgo la seguridad de la información de cualquier entidad. También poseen destrezas en tecnologías de la información, lenguajes de programación y bases de datos para poder sacar provecho del descuido de su víctima. VII. TRUCOS MENTALES USADOS POR UN INGENIERO SOCIAL El ingeniero social tiene la capacidad de mentir y engañar de una manera muy fácil, esto debido a su experiencia, a continuación, se describen el tipo de personas que normalmente ellos analizan: A. Vista o pensador visual Es una característica de las personas donde toman decisiones basados en lo que es visualmente atractivo independientemente de lo que sea mejor, una persona con este perfil se usan frases como “Veo a que te refieres”, “Para mí eso se ve bien”. B. Audición o pensador auditivo Son aquellas personas que pueden recordar a alguien por el sonido de su voz, poseen habilidades de aprender cuando se les dice algo y recuerdan por la forma en que sonaba algo “algo me dice”, “suena bien para mí”. Estos pensadores auditivos pueden formalizar o romper un trato de acuerdo a como se les diga algo. C. Sensaciones Son personas que hasta que no sientan algo a través de sus manos no lo van a creer usan frases como “Puedo entender esa idea”, “Me pondré en contacto con usted” son difíciles de tratar porque no reaccionan a imágenes o sonidos, son sus sentimientos o sentidos los que los hace reaccionar ante un ingeniero social. D. Comprender el sentido dominante Se puede obtener información para perfilar a la persona que el atacante quiere abordar, con un simple saludo y de acuerdo con la reacción que tome esta se puede ir identificando el tipo de persona que es: palabras como ver, oír, sentir son claves para perfilar. El ingeniero social apuntara a hablar con su víctima de una forma asertiva, preguntan con moderación y confían en la observación. VIII. CARACTERÍSTICAS DE LA VICTIMA DE INGENIERÍA SOCIAL Normalmente son personas caracterizadas por su actitud de ayudar al prójimo, colaborador ante cualquier situación que se pueda presentar en la entidad. Usualmente la victima suelen ser niños incrédulos o el empleado nuevo de una empresa que por su falta de capacitación se puede ver envuelto en esta situación, sin embargo, los empleados antiguos de las organizaciones tienden a conocer tanto que pueden estar brindando información comprometedora. Son fáciles de persuadir ya que normalmente el ingeniero social usa palabras bonitas y de acuerdo con el análisis realizado pueden caer muy bien a la víctima. Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 6 IX. CICLO DE LA INGENIERÍA SOCIAL Según Kevin Mitnick la metodología para tener éxito en un ataque de ingeniería social consta de 4 etapas descritas en la Tabla 1. Método Descripción Investigación A través de fuentes abiertas se busca información como formularios e informes anuales, material de marketing patentes sobre aplicaciones entradas de prensa, revistas y magazines, contenidos en internet, remover la basura, etc. Desarrollar rapport y credibilidad Se usa la información interna, s reemplazan identidades se reclama a la víctima, se le pide ayuda, o se usa la autoridad. Explotar confianza Se pregunta o se consigue que te pregunten por tal de conseguir el objetivo marcado. Utilizar información Si la información es solo una parte se vuelve a empezar el ciclo, hasta conseguir el objetivo. Tabla 1. Ciclo de la Ingeniería social [16] Es una metodología simple, se puede resumir en buscar información, crear confianza y utilizarla. En donde se encuentran con el mismo escenario en donde se encuentran el siguiente escenario: atacante, medio, víctima, pretexto. X. CIFRAS DE LA INGENIERÍA SOCIAL EN COLOMBIA Al analizar el comportamiento del cibercrimen en Colombia reflejado en el número de denuncias instauradas ante el ecosistema de la fiscalía general de la Nación, las policías judiciales del CTI y la Policía Nacional (DIJIN- SIJIN) a través del aplicativo a denunciar, al finalizar el mes de noviembre del 2021 se habían registrado 46.527 denuncias por distintos delitos lo que equivale a un incremento del 21% respecto al 2020. Si se tienen en cuenta comparativamente los años 2019 y 2021, es decir sin contabilizar el año de pandemia, el incremento alcanzó un 107% acumulado entre el incremento suscitado durante el 2020 y el aumento continuo durante el 2021. Sin duda el ciberdelito se ha convertido en la tipología criminal de mayor crecimiento en Colombia durante los últimos tres años; impulsado por aceleradores como la pandemia y el consecuente incremento del comercio electrónico cuyo crecimiento alcanzó el 59.4% en las transacciones durante el periodo de cuarentena obligatoria y del 35% durante el 2021 con ventas estimadas en 37 billones de pesos al finalizar el año según cifras de la Cámara de Comercio electrónico de Colombia CCCE. Lo anterior aunado a la rápida adaptación de los cibercriminales a la nueva realidad disparó los ciberataques basados en vectores de infección como correos electrónicos que continúan suplantando a las entidades gubernamentales principalmente a la DIAN, fiscalía general de la Nación, Ministerio de Salud, Registraduría Nacional del Estado Civil, DANE, Migración Colombia y Policía Nacional. [17] De acuerdo con el Centro Cibernético Policial los ataques más comunes en los que caen las personas son los de ingeniería social, para evidenciar cuales son los ataques más utilizados en Colombia en la figura 6 se muestrauna pequeña muestra de los últimos incidentes, modalidad y sector impactado. Fig 8. Ciclo de la Ingeniería social [18] Se puede observar que dentro del ranking y de acuerdo con las técnicas de ingeniería social se encuentra: Phishing, estafa, vishing, smishing, malware y la carta nigeriana, el sector mas impactado es el ciudadano, en un segundo lugar se encuentra el sector financiero y en el tercero el sector gobierno. A simple vista se evidencia que más de 70% de delitos informáticos denunciados tienen que ver con las técnicas de la ingeniería social lo que quiere decir que se debe sensibilizar e impactar a las personas del común, ya que frecuentemente caen más fácil que incluso una compañía. XI. ¿CÓMO NO CAER EN UN ATAQUE DE INGENIERÍA SOCIAL? • Para navegar en la red y no caer en la trampa de los ingenieros sociales, se debe tomar una actitud cautelosa y tener cuidado con las personas a las que se ayuda, recordar que se puede estar ayudando al atacante. • Estar pendiente de las personas con las que se habla y el tipo de preguntas que se formulan por más sencillas que parezcan, pueden estar sacando información del sistema. • Por seguridad es mejor corroborar la identidad de la persona con la cual se está hablando. • Romper la cadena de los correos electrónicos “evitar responderlos”. • Rechace las invitaciones de personas que no conoce en las redes sociales. Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 7 • No publique información que le permita saber al atacante como su ubicación, e información privada en redes sociales, chats o foros. • Tener cuidado de los enlaces que llegan a las mensajerías, ya que puede traer disfrazado un sitio fraudulento en el que se solicitaran cambios de clave y así pueden obtener los datos de cuentas bancarias. • Ser precavidos al hacer click en hipervínculos que vienen en sms que pueden parecer de fuentes confiables, si tiene dudas mejor consulte con la fuente real que supuestamente envió el mensaje. • Mantener su equipo actualizado, es una buena practica que apoya a que el mismo sistema operativo o navegador nos alerte de sitios no confiables. • Debe ser cultura el manejo de la información en la red, desde el colegio deben enseñar como cuidarse de estos sitios y en las compañías hacer capacitaciones con simulaciones de lo que puede pasar en caso de verse envuelto en un ataque de ingeniería social. XII. CONCLUSIONES La ingeniería social seguirá teniendo éxito entre las personas de las instituciones si estas no son capacitadas de la manera adecuada, siempre serán vulnerables ofrecerán información confidencial sin darse cuenta. Un error es pensar que la información solo se extrae por estos medios, pero se debe ser consciente de que también se puede dar por las malas practicas de los sistemas de información. La tecnología y los sistemas de información en general están teniendo un crecimiento exponencial, lo que permite que las técnicas de la ingeniería social también vayan evolucionando y con el fin de mitigar este tipo de eventos las empresas implementan sistemas de gestión de riesgos de la información, implantando políticas que minimicen el impacto en las compañías. Por otro lado es importante que no solo las compañías se deben concientizar, los niños adolescentes y personas que acceden a la web sin imaginar que puede ser tan peligroso como andar solo a altas horas de la noche, saber que se debe y no se debe publicar en las redes sociales, el simple hecho de ser tan confiados y abiertos a hablar con cualquier persona que nos saluda en una red social sin saber realmente quien se encuentra tras esa pantalla, se cae en ofertas engañosas, correos de destinatarios aparentemente confiables, links de acceso que parecen ser auténticos en general estos factores hacen al ser humano vulnerable y creer que estos actos son inocentes y sin consecuencias. La ingeniería social es un ejercicio de innovación, creatividad, mezclando metodologías y factores humanos, más allá de la seguridad informática y los sistemas de seguridad de la información, se puede deducir dichas características a todo aquello que nos rodea, analizando y deduciendo acciones con un poco mas de información. En la actualidad el acceso a las tecnologías permite que los ataques cibernéticos y en especial la ingeniería social tome mas fuerza, por la ignorancia de quienes la utilizan. Una vez verificada la plataforma del centro cibernético policial es fácil concluir que la ingeniería social es de los ataques mas comunes en Colombia y que impacta en las personas del común, sin embargo, no todas las personas conocen este tipo de canales tanto para educarse, o para denunciar ante las autoridades este tipo de delitos. XIII. REFERENCIAS [1] Kaspersky, «Ingenieria Social: definición.,» Kaspersky, [En línea]. Available: https://latam.kaspersky.com/resource- center/definitions/what-is-social-engineering.. [Último acceso: 08 11 2022]. [2] N.A.C. Nieto, «Repositorio Institucional Universidad Piloto de Colombia,» 10 Octubre 2016. [En línea]. Available: http://repository.unipiloto.edu.co/handle/20.500.12277/2712. [Último acceso: 13 Noviembre 2022]. [3] Derten, «Derten,» 16 Mayo 2018. [En línea]. Available: https://www.derten.com/es/articulos-generales/siguiendo-el- hilo-phishing-office-365. [Último acceso: 13 Noviembre 2022]. [4] Policia Nacional de Colombia, «Centro Cibernético Policial,» [En línea]. Available: https://caivirtual.policia.gov.co/mural- cibercrimen/phishing. [Último acceso: Noviembre 13 2022]. [5] Banco Pichincha, «BancoPichincha,» 25 Octubre 2021. [En línea]. Available: https://www.pichincha.com/portal/blog/post/que-es-smishing. [Último acceso: 2022 Noviembre 13]. [6] Policia Nacional de Colombia, «Centro Cibernético Policial,» [En línea]. Available: https://caivirtual.policia.gov.co/mural- cibercrimen/smishing. [Último acceso: 13 Noviembre 2022]. [7] Federal Bureau of Investigation FBI, «Federal Bureau of Investigation FBI,» 22 Junio 2011. [En línea]. Available: https://www.fbi.gov/news/stories/scareware-distributors- targeted. [Último acceso: 13 Noviembre 2022]. [8] P. K. Puram, «ONLINE SCAMS: TAKING THE FUN OUT OF THE INTERNET.,» Indian Journal of Computer Science and Engineering, vol. 2, 2 Septiembre 2011. [9] C. S. Vanrell, Estudio de las Técnicas de la Ingeniería Social usadas en ataques de Ciberseguridad y Análisis Sociológico, Madrid, España: Universidad Politécnica de Madrid, 2015. [10] Gabriela Victoria Musso, Buenos Aires: Trabajo de grado, Universidad de Buenos Aires., 2019. [11] Platzi, «Platzi,» [En línea]. Available: https://platzi.com/clases/2238-ingenieria-social/37097-que-es- el-pretexting-y-cual-es-su-proceso-es-ilega/. [Último acceso: 13 Noviembre 2022]. [12] M. A. V. Quijano, «La tipificación del phishing, smishing y vishing en nuestro sistema penal peruano, para la lucha contra la ciberdelincuencia en Lima, 2020,» 29 Octubre 2021. [En Universidad Piloto de Colombia, Susatama Hurtado Marcela, Análisis de las técnicas más usadas en la ingeniería social 8 línea]. Available: https://repositorio.upn.edu.pe/handle/11537/28942. [Último acceso: 14 Noviembre 2022]. [13] LISA Institute, «Vishing: qué es, modus operandi, ejemplos y cómo evitarlo,» 21 Noviembre 2020. [En línea]. Available: https://www.lisainstitute.com/blogs/blog/vishing-que-es- modus-operandi-ejemplos-y-consejos-preventivos. [Último acceso: 14 Noviembre 2022]. [14] Policia Nacional de Colombia, «Centro Cibernético Policial,» [En línea]. Available: https://caivirtual.policia.gov.co/mural- cibercrimen/carta-nigeriana. [Último acceso: Noviembre 13 2022]. [15] C. E. S. Sierra, «Respositorio Universidad Piloto deColombia,» 06 Mayo 2014. [En línea]. Available: http://repository.unipiloto.edu.co/handle/20.500.12277/2725. [Último acceso: 13 Noviembre 2022]. [16] S. Arcos Sebastián, “Ingeniería social: psicología aplicada a la seguridad informática,” Projecte/Treball Final de Carrera, UPC, Facultat d'Informàtica de Barcelona, Departament d'Enginyeria de Serveis i Sistemes d'Informació, 2011. [17] F. B. García, «Tendencias del Cibercrimen 2021-2022 Nuevas Amenazas al Comercio Electronico,» Diciembre 2021. [En línea]. Available: https://www.ccit.org.co/wp- content/uploads/informe-safe-tendencias-del-cibercrimen-2021- 2022.pdf. [Último acceso: 14 Noviembre 2022]. [18] Policia Nacional de Colombia, «Centro Cibernético Policial,» [En línea]. Available: https://caivirtual.policia.gov.co/ciberincidentes/tiempo-real [Último acceso: Noviembre 13 2022].
Compartir