¿Puedes ser hackeado? Probablemente estés siendo hackeado en este momento, espero que no, pero en serio, todos somos vulnerables a los ataques. Tu mamá, tu hermano, tu hermana, tu amigo y yo, ¿por qué? Porque tenemos un sistema operativo humano que es vulnerable. Hay siete vulnerabilidades que realmente no se pueden solucionar, y es por eso que somos tan susceptibles a los ataques de ingeniería social. Es por eso que caemos en estas trampas, y te digo que no estás seguro. Así que en este artículo vamos a repasar cuáles son esas vulnerabilidades y lo haremos a través de nuestras películas favoritas, nuestras escenas favoritas donde se han explotado estas vulnerabilidades del sistema operativo humano de manera perfecta. Es impresionante. Vamos a analizar y aprender sobre nuestras vulnerabilidades en este momento. ¡Y hey, si te gusta este artículo, dale al botón de me gusta ya, antes de que sea demasiado tarde! Y no olvides suscribirte a nuestro blog, acabamos de alcanzar 600,000 lectores. Eso es increíble. Un agradecimiento especial a nuestro patrocinador, Comptia, que acaba de lanzar su nuevo examen, el Security Plus SY0-601. Es nuevo, es actualizado, incluye todas las nuevas cosas de seguridad, todos los nuevos ataques. De hecho, estamos hablando sobre algunos de ellos en este artículo. Y ellos también han lanzado su nuevo contenido de aprendizaje. Así que, si estás listo para obtener la nueva certificación Security Plus, puedes empezar ahora mismo. Echa un vistazo a los enlaces abajo. Ahora, la primera escena es de una película llamada «Sneakers», una película antigua de 1992. En esa época yo tenía dos años, y la premisa de la película es que hay unos chicos que trabajan para una empresa que prueba la seguridad de otras empresas, suena como pruebas de penetración, ¿verdad? Mira eso. Escucha, lo siento, no tenían nada en el registro. Espera un segundo, mi esposa iba a traerme el pastel, ¿no lo dejó aquí? Sorpresa. Bueno, volvamos al tema. Este chico aquí es parte de la empresa y están probando la seguridad de este lugar en particular. De todas formas, sigamos. ¿Mi esposa dejó aquí el pastel? No hay pastel, fiesta sorpresa en el segundo piso. Debía dejar el pastel, no me importa. Allí está. Damas y caballeros. Ok, ya se quedará aquí. ¿Qué pasó allí? Este fue un caso clásico de pretexto. Están teniendo una fiesta en el segundo piso y él debía dejar un pastel. Su esposa llegó tarde, creando la historia de que él debía estar en el segundo piso. Así que se inventó una razón para entrar al edificio. Ahora, durante este diálogo, este chico está tratando de entregar algo, pero este chico no lo deja entrar. No está en la lista, por lo que en su mayoría se está ateniendo a las normas de seguridad, hasta que en un momento muy claro se revela que debe entregar 36 cajas de drenaje líquido a esta dirección y el guardia de seguridad no lo deja entrar. Él tiene un problema con eso, así que el guardia lo deja entrar. Lo único que estaba esperando era que el tipo mencionara una fiesta de cumpleaños en el segundo piso para que le permitieran entrar. Entonces, él ya ha desarrollado cierto nivel de confianza con el guardia de seguridad, quien cree que él conoce a alguien llamado Marge que está arriba y que hay una fiesta de cumpleaños. Así que él piensa que este chico pertenece al lugar. La confianza es una de las razones por las que caemos en ataques de ingeniería social, así como la familiaridad. Al principio, este chico no era familiar para el guardia, pero el chico ya había inventado la historia y también el concepto de una fiesta de cumpleaños y el pastel, el guardia pensó, «sí, sí, él tiene que ir a esa fiesta de cumpleaños». Vamos a ver lo que sucede. No puedo llegar a mi coche, ¿podrías abrirme esta puerta? No puedo llegar a mi coche, espérate un minuto, chicos, estamos atrasados para el objetivo en el segundo piso. ¿Puedes creerlo? Volvamos un poco, al principio, este chico estaba dudando, no sabía, pero ahora está apurado tratando de evitar que este chico entre y ahora este chico viene con la historia, tiene globos, tiene pastel en sus manos y, ¿notaron que dio otra historia? Dijo que no podía llegar a su coche, así que está construyendo esa confianza, está diciendo, «hey, soy un empleado, mi tarjeta está en mi billetera abajo, mis manos están llenas, ayúdame, tienes que dejarme pasar», y eso es otra cosa a la que siempre caemos, una de las principales razones por las que siempre caemos en ataques de ingeniería social, es que creamos una sensación de urgencia como, «oye, tienes que dejarme entrar porque ya llego tarde a la fiesta», ya ha desarrollado esa historia, me encanta, y luego se pone un poco autoritario, «oye, déjame entrar ahora mismo», usa un poco de intimidación y nosotros somos susceptibles a la intimidación también, y también diría que tenía un poco de autoridad, como «hey, soy un empleado, déjame entrar, hazme un favor, ayúdame», y así consigue entrar con la seguridad violada. Ahora, esto fue en 1992, pero este ataque funcionaría perfectamente en 2023, 2023 o cualquier año en que estés viendo esto. Prueba rápida, ¿conoces tus trucos? Nuestro patrocinador, Comptia, te va a poner a prueba. Veamos, tengo un enlace abajo, ve y navega por ese enlace. En honor al mes de la ciberseguridad, veamos cuánto sabes sobre estos 10 hacks famosos en un cuestionario y déjame saber cómo te fue en los comentarios. Listo, estudia, ve el cuestionario y vuelve al artículo. Este es un video divertido, pero un poco aterrador. El equipo de Jimmy Kimmel simplemente preguntó a la gente cuál es su contraseña en línea. Estamos hablando de ciberseguridad hoy y qué tan seguras son las contraseñas de las personas. ¿Cuál es una de tus contraseñas en línea actual? Es el nombre de mi perro y el año en que me gradué de la escuela secundaria. ¿Qué tipo de perro? Por cierto, tu contraseña no debería ser algo tan personal sobre ti que las personas puedan aprender fácilmente. De todos modos, mira esto, es genial. ¿Tienes un perro chihuahua y cómo se llama? Jamison. Y ¿a qué escuela fuiste? Fui a la escuela en Greensburg, Pensilvania. ¿Qué escuela? Área senior de escuela secundaria de Hempfield. ¿Cuándo te graduaste? En 2009. Oh, genial, ves que acaban de obtener la contraseña. No voy a decirla aquí, déjame saber en los comentarios cuál es. Esto fue un ataque de ingeniería social y sé que fue por diversión, en la televisión, pero obtuvieron información de estas personas. Hay dos tácticas que se utilizaron aquí, primero es un poco de autoridad. Cuando eres entrevistado por el show de Jimmy Kimmel, una figura pública en televisión, sientes la obligación de escuchar lo que dicen. También hay un poco de confianza involucrada, Jimmy Kimmel y su show, y la televisión en general, no deberíamos confiar en ellos, pero porque los vemos a diario, inherentemente confiamos en ellos si nos encontramos con ellos y nos hablan. Y eso se relaciona directamente con la familiaridad. Creo que también un poco de urgencia. Cuando eres entrevistado así, sientes la presión de a) dar la información que te están pidiendo y b) darla rápidamente y tratar de no avergonzarte. Estamos tan enfocados en todas esas cosas diferentes, y honestamente, creo que también da un poco de intimidación. Esta fue otra forma de ingeniería social, simplemente tienes que hacer las preguntas correctas, tal vez pasear con un micrófono y una cámara, probablemente puedas obtener información de la gente. Atrápame si puedes es una de las mejores películas sobre ingeniería social que puedes ver. Si no la has visto, mírala ahora mismo, es una historia real. Un tipo llamado Frank Abagnale se hizo pasar por piloto, abogado y doctor por mucho tiempo y ganó millones de dólares con ello. Todavía está por aquí y tiene una exitosa empresa de seguridad. Pero mira esta escena fantástica. La escena aquí donde Tom Hanks interpreta a un agente del FBI y Leonardo DiCaprio interpreta a Frank, mister Hanks lo ha encontrado y está a punto de atraparlo en su habitación de hotel. Las pruebas están por todas partes, tiene su pistola lista. Pon tus manos en tu cabeza. Ese es el nuevo interruptor eléctrico de IBM. Pon tus manos en tu cabeza. ¿Sabes qué? Ese es él, ese es Frank, para la mayoría de las personas, lo sorprende, levantan las manos. No, él va a mantener su actuación y lo que está a punto de hacer es construir mucha confianza y familiaridad, está aprovechando estas dos cosas que nos hacen caer en los ataques de ingeniería social y está construyendo una historia de pretexto en vivo. Mira esto. ¿Imprimiste, escribiste en cinco segundos? Cálmate por el balón, pon tus manos en tu cabeza. Sabes que tengo más de 200 cheques aquí, encabezados por una cabeza de la india. Oh, sí, sacando el proyecto también tiene un sobre de nómina para él mismo. Ponlo, déjalo, relájate, te retrasaste. Bueno, mi nombre es Alan Barry, Alan Barry de los servicios secretos de los Estados Unidos. Tu amigo trató de saltar por la ventana y mi compañero lo tiene bajo custodia. No sé de qué estás hablando, ¿crees que el FBI es el único que lo está buscando? Vamos, vamos, está haciendo trampas con cheques del gobierno aquí. Lo hemos estado rastreando durante meses, por supuesto que sabe todo sobre esto. Es su material, pero está actuando como si hubiera estado investigándose a sí mismo. Perfecto, me encanta. Suena familiar, ¿no? Me parece que aquí Mr. Hanks es del FBI, aunque no lo recuerdo muy bien, pero él está fingiendo ser del servicio secreto y eso le da un poco de peso y autoridad, así que está confiando en la autoridad del servicio secreto y construyendo a partir de eso. ¿Debería decir? «Hey, sabes que, pon tu arma fuera de mi cara, por favor» realmente me pone nervioso. Mira la autoridad que tiene, y esa es otra táctica que está utilizando en este momento, seguro que Mr. Hanks aquí es del FBI, creo que no lo pensó bien, sino que afirmaba ser del Servicio Secreto, y eso le da un poco de peso y autoridad, así que está construyendo a partir de la autoridad del Servicio Secreto. Debería decir, «hey, ¿sabes qué, pon tu arma abajo, hombre? ¿Qué estás haciendo? Hemos estado investigando a este tipo, llegamos primero y también creo que es un poco intimidante, como «hombre, vas a dejar mi escena del crimen» porque no quiero que la gente esté caminando por aquí. En fin, ¿cuál es tu nombre? Ann? Carol? Hannah? ¿Te importa mostrarme una identificación? Mira eso, ahora le está pidiendo su identificación. Bien por ti, Carl, hace un rato te habrías llevado una buena. Está bien, diez segundos más tarde, te habrían disparado. ¿Te importaría si bajo contigo? Tengo que echar un vistazo a este tipo. Seguro, solo hazme un favor y espera un segundo mientras bajo esta evidencia. No quiero que alguna empleada entre aquí y haga la cama. La policía de Los Ángeles estará aquí en cualquier momento, espera, espero, pensé que lo teníamos justo aquí. Oh, se fue. Tu cartera, quédate con ella por un minuto. Confío en ti, tienes confianza. Caminando fuera de allí, voy a adelantar un poco, Mr. Hanks pensando en las cosas sentado allí, ya lo extrañó, elige un poco. Está a punto de abrir la cartera, me encanta. Así que fue un balance muy delicado, si Mr. Hanks hubiera revisado la cartera, habría terminado, está indignado, sabe que se le escapó ahí, lo persigue. Ya tomaste tu cartera, quédate con ella por un minuto, te confío. Tienes confianza. Ahí va, saliendo de ahí. Voy a avanzar rápidamente, Mr. Hanks está pensando en las cosas sentado allí, sí, lo extrañó. Mira esto. Bien, hora de un descanso rápido para otro cuestionario de Comptia. Veamos si estás prestando atención. Vamos a ver si sabes algo sobre ataques de ingeniería social. Aquí está la pregunta, un ingeniero social interceptó una llamada telefónica de un usuario final a un ISP sobre una interrupción del servicio de Internet en casa y fingiendo ser el llamante que informaba sobre la interrupción, el atacante se puso en contacto inmediatamente con el ISP para cancelar la llamada de servicio disfrazado de técnico de Internet y procedió a entrar en la casa con el permiso del usuario final. ¿Qué tipo de ataque de ingeniería social sufrieron la ISP y el usuario final? Bastante loco, esto sucede todo el tiempo, ¿verdad? ¿Qué crees? Pausa el video y ve lo que obtuviste. ¿Qué me parece que el hacker se vistió para hacerse pasar por un técnico de Internet? «Impersonation» me suena como la respuesta correcta. Seleccionémosla, estoy seguro y la envié.¡Sí, lo logré! ¿Y tú? Déjame saber, y gracias de nuevo a Comptia por patrocinar esta serie. Y si quieres más preguntas como esta para ayudarte a prepararte para la certificación Security Plus, enlace abajo, obtendrás acceso a todo eso. Sigue viendo, tendrás otra oportunidad para responder una pregunta más tarde en el artículo. De todos modos, sigue leyendo ahora. Una de mis series favoritas, «Breaking Bad», Walter White hace algunos buenos trucos de ingeniería social hacia el final. De hecho, es en el último episodio de la serie. No te preocupes, no habrá spoilers, pero aquí está tratando de encontrar la dirección de un antiguo colega, así que coge el teléfono y hace uso de algunas habilidades astutas. Mira esto. Sí, hola, soy David Lynn del New York Times. No, no lo soy. Habla con Susan, por favor. Gracias. Hola Susan, otra vez soy David. Solo llamaba para ver si podemos configurar… bueno, sí, bueno, supongo que tendríamos que hacer la entrevista por teléfono ya que ya se fueron de Nueva York, pero lo que realmente nos encantaría es obtener una foto del Sr. y la Sra. Schwartz para incluir en el artículo. ¿Cuándo está previsto que lleguen a casa? Oh, así que van a llegar a casa esta noche, entendido. Ahora, la dirección que tengo de ellos es Upper Canyon Road, ¿sigue…? No, no es así. Oye, déjame coger un bolígrafo. Eso es tan bueno. ¿Dónde fueron ellos? ¿Sookie? Entiendo, ¿y la dirección? ¿Es cerca del teatro de la ópera? He oído que es bonito. Bueno, me pondré en contacto con mi fotógrafo para verificar su horario. No, no, es su elección. Sé lo ocupados que están el Sr. y la Sra. Schwartz. Esto será una historia increíble. Así que básicamente llamó al New York Times fingiendo ser un reportero. Este fue un caso clásico de suplantación de identidad y también pretexto, ya tenía esa historia preparada y confió en la autoridad de ser David, el reportero del New York Times, para solicitar información, y así obtuvo la dirección y el horario de cuando estarán en casa. Eso es increíble. Si no has visto esta próxima película, ¿en qué has estado? Vete a verla ahora mismo, Hackers, una joya imprescindible para cualquier persona en tecnología de la información, y, por supuesto, tiene un gran ejemplo de un ataque de ingeniería social. Echemos un vistazo a esto. Mira esa música de fondo. Norman, seguridad, Norman hablando. Norman, soy el Sr. Eddie Better de contabilidad. Acabo de tener un apagón aquí en casa que borró un archivo en el que estaba trabajando. Escucha, estoy en un gran problema. Sabes algo sobre computadoras, uh, uh, uh, puedo, ui, right, bueno, sabes que tengo este dispositivo de disquetera en mi computadora y simplemente desapareció, uh, tengo este gran proyecto debido mañana para el Sr. Kawasaki y si no lo entrego, me pedirá que cometa harakiri. Ahí está, ahí está. Eso fue bueno. Donde estuvo todo este tiempo, Norman, con esos conocimientos sobre las técnicas de gestión japonesas? ¿Podrías leerme el número del módem? Es esa cosita rectangular, Norman, con interruptores eso permite que mi computadora hable con la del otro lado, uh, se marcaba al dos uno, dos cinco, cinco, cinco, cinco, cuatro, dos, núcleo cero. Mira la tecnología en esta película, pero obtuvo lo que necesitaba, ¿verdad? Y este último ejemplo que quiero mostrarte no es de una película, pero tampoco de alguno de mis videos. Hice un video llamado «Hacking de contraseñas: cómo hackear una contraseña», el problema es que este tipo de videos, si mencionas la palabra «hackear» o «contraseña», atraen toneladas de comentarios de spam, lo cual no sabía. Recibo estos comentarios tres o cuatro veces al día y normalmente son así, muchos comentarios sobre cómo hackear Instagram, cómo hackear Facebook, cualquier cosa para obtener tu contraseña o cómo hackear las cuentas de tu pareja, hay muchas herramientas, en realidad este es el tipo de comentarios más reciente, muchos en este, recientemente, el Facebook Password Sniper, y lo que están haciendo aquí es esperar que debido a que estás viendo todos estos comentarios que dicen «sí, esta herramienta funciona» y diferentes personas comentan que sí, esta herramienta funciona, asumes «oh, bueno, todos están de acuerdo en que esta herramienta es genial, voy a intentar usarla». Las mismas tácticas se utilizan para cualquier cosa que puedas comprar en Amazon, si tienen muchas buenas críticas, asumes que es bueno, a veces las personas pagan por esas críticas y es una forma de ingeniería social a la que caemos todo el tiempo. Confiamos en las críticas y no solo en las críticas, sino también en las normas sociales, por ejemplo, cuando piensas en seguir el coche de alguien para ingresar al edificio, todo lo que tienes que hacer es fingir que perteneces allí, esperar que alguien empiece a caminar hacia la puerta y simplemente seguirlo, y la mayoría de las veces te dejarán la puerta abierta, la sostendrán para ti, esa es una norma social a la que nos adherimos, que sienten la presión de obedecer esos estándares. Así es como los hackers se aprovechan de eso para hackear a alguien, es una forma de ingeniería social. Tiempo de otro quiz de Comptia. Vamos a ver si estás prestando atención, esta es la pregunta número dos en el video y está relacionada con lo que estamos hablando en este momento. Aquí está la pregunta: un grupo de estudiantes universitarios recibe una llamada telefónica de alguien que afirma ser de una empresa de consolidación de deudas, su solicitante intentó convencer a los estudiantes de que, por un tiempo limitado, una oferta única expirará, lo que podría eliminar su deuda de préstamos estudiantiles si proporcionan su número de seguridad social y otra información personal identificable. ¿Qué tácticas utilizó el solicitante? Pausa el video, ve lo que obtuviste, listo, asó que lo que me suena aquí es que el hacker utilizó la escasez y la urgencia. Gritos a mí, así que creo que esas son las respuestas correctas. Vamos a seleccionarlas, estoy seguro y lo enviamos. ¡Sí, lo conseguí! ¿Qué tal te fue a ti? Déjame saber, y gracias nuevamente a Comptia por patrocinar esta serie. Y si quieres más preguntas como esta para ayudarte a prepararte para la certificación Security Plus, enlace abajo, obtendrás acceso a todo eso. Sigue leyendo, todavía te queda un poco más para leer en este artículo. Mi café está delicioso, qué lástima que solo quede un paquete, solo queda un paquete de este café. Así que ve y cómpralo. No, solo estoy bromeando, realmente hay suficiente para todos. Cada uno de ustedes puede obtener uno, así que cómpralo. Esto ocurre muy a menudo, no solo en situaciones de pirateo, sino también en situaciones cotidianas. El concepto de escasez se utiliza para hacer que tomes decisiones rápidamente que tal vez no quieras tomar si tuvieras tiempo para pensarlo. Siempre aplico esta mentalidad en cualquier situación, lo que es una buena oferta hoy, seguirá siendo una buena oferta mañana. A veces no se cumple porque existen ventas especiales como el Black Friday, pero generalmente esas ventas se extienden más allá, así que creo que esa frase sigue siendo verdadera. Entonces, ¿por qué funciona la ingeniería social? Bueno, se reduce a estas siete debilidades psicológicas o vulnerabilidades del sistema operativo humano: autoridad, intimidación, consenso, escasez, familiaridad, confianza y urgencia. Todas son vulnerabilidades en el sistema operativo humano que los hackers explotan para su beneficio. En este video vimos cómo estas vulnerabilidades se explotan en nuestras películas favoritas, pero ¿me perdí alguna buena película? ¿Me perdí alguna buena escena? Déjame saber en los comentarios. Espero que termines este artículo con el entendimiento de que puedes ser hackeado de esta manera, al igual que tus amigos, cualquier persona puede ser hackeada utilizando estas técnicas de ingeniería social. El primer paso es simplemente ser consciente de que puedes ser hackeado, pero incluso entonces tienes vulnerabilidades, y hasta ahora no hemos encontrado una solución para ellas. No hay actualizaciones ni parches. Considera esto como una pequeña solución rápida, estoy actualizando tu sistema operativo en este momento. No caigas en estas trampas. Creo que una de las formas principales de protegerte es estar al tanto de los últimos ataques, de los últimos métodos que utilizan los hackers. Si estás familiarizado con los patrones de ataque, puedes detectarlos más fácilmente. Eso es lo que hacen los antivirus y los firewalls, obtienen firmas o patrones de cómo puede verse un virus o un ataque y eso nos ayuda a evitar, detectar y detener las cosas. Lo mismo se puede aplicar a nuestro cerebro. De todos modos, eso es todo lo que tengo hoy. Si te gustó este artículo, si te gusta nuestro blog, por favor, dale me gusta y no te olvides de suscribirte. Ya alcanzamos los 600,000 lectores, eso es increíble. Un agradecimiento especial a nuestro patrocinador, Comptia, por lanzar su nuevo curso Security Plus. También estamos publicando contenido diario en nuestro blog, así que hay mucho más de lo que ves aquí en YouTube. Recuerda que el curso también estará completamente gratis en YouTube, publicaremos un video por semana. Bueno, eso es todo por hoy. Presta atención ahí fuera, es un mundo peligroso. Nos vemos la próxima vez. ¡Adiós! Y no te olvides de echar un vistazo a nuestros artículos relacionados.
Tabla de contenido resumen
Película/Escena | Vulnerabilidad explotada |
---|---|
«Sneakers» | Pretexting, Confianza, Familiaridad |
«Jimmy Kimmel» | Autoridad, Familiaridad, Urgencia, Intimidación |
«Catch Me If You Can» | Confianza, Autoridad, Intimidación, Autoridad |
«Hackers» | Pretexting, Autoridad, Scarcity, Familiaridad, Intimidación |
«Breaking Bad» | Autoridad, Consenso, Confianza, Urgencia |
Comentarios de spam en videos | Consensus, Scarcity, Urgencia |
Preguntas frecuentes
1. ¿Podemos protegernos por completo de los ataques de ingeniería social?
R: Aunque no existe una solución infalible para protegerse por completo, podemos ser conscientes de las técnicas utilizadas y tomar precauciones para reducir los riesgos.
2. ¿Cómo podemos detectar un intento de ingeniería social?
R: Ser consciente de las tácticas comunes utilizadas en los ataques de ingeniería social y mantenernos actualizados sobre los últimos métodos y tendencias puede ayudarnos a detectar las señales de advertencia.
3. ¿Qué podemos hacer para proteger nuestras contraseñas?
R: Es importante utilizar contraseñas únicas y seguras, evitar compartir demasiada información personal en línea y utilizar medidas adicionales de seguridad como la autenticación de dos factores.
Espero que hayas disfrutado de este artículo y hayas aprendido sobre las vulnerabilidades de la ingeniería social en el sistema operativo humano. Recuerda estar alerta y tomar medidas para proteger tu información personal. Si te gustó este artículo, consulta nuestros artículos relacionados para obtener más información sobre ciberseguridad. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!