CIBERSEGURIDAD PARA

AUTÓNOMOS Y
MICROEMPRESAS

Unidad 5
Ingeniería social
Parte teórica
índice

1 DEFINICIÓN DE INGENIERÍA SOCIAL

2
2 ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
3 TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

A BASADOS EN COMPONENTE HUMANO

B BASADOS EN SOFTWARE MALICIOSO

4 CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

5 CONCLUSIONES

2
Objetivos

Conocer en qué consiste la ingeniería social y su relación

con la seguridad informática.

Comprender cómo ganan dinero los ciberdelincuentes y

las formas que tienen de monetizar los ataques.

Reconocer, con ejemplos, los distintos tipos de

ataques que utilizan la ingeniería social y aprender a
detectarlos.

Concienciar de las consecuencias de los ataques de

Ingeniería social.

Explicar las formas de detectar los ataques

relacionados con este fenómeno para disminuir
sus consecuencias.

3
1. DEFINICIÓN DE INGENIERÍA SOCIAL
1. DEFINICIÓN DE INGENIERÍA SOCIAL

Definición

La ingeniería social es la práctica de engañar/manipular a un usuario

para conseguir que él mismo revele información confidencial.

Los autores de este hecho (criminales, terceros malintencionados, timadores, falsos técnicos, etc.) engañan
a sus victimas para que hagan algo por ellos (enviar correo, hacer clic, comprar algo…) o les den
información confidencial o sensible como:

sus contraseñas de acceso a equipos informáticos,

sus credenciales bancarias,
información relacionada con productos y servicios,
información y datos de proveedores y clientes, etc.

La obtención de las credenciales (usuario y contraseña) de acceso a nuestros equipos y

aplicaciones puede ser utilizada para suplantarnos e instalar secretamente
software malicioso. Este software podrá, por ejemplo, darles:
1. EL USO DE LAS
• acceso TIC
a otras EN LA(deEMPRESA:
credenciales ELEMENTOS
aplicaciones, cuentas de correo o de acceso a

TECNOLÓGICOS PRESENTES EN LA EMPRESA ACTUAL

entidades financieras,…)
• el control sobre nuestros equipos y aplicaciones que pondrán a trabajar a su
servicio

5
1. DEFINICIÓN DE INGENIERÍA SOCIAL

No creo que haya mucha gente que se deje engañar por este tipo de prácticas.

En realidad son engaños sutiles pues los diseñan de manera que parecen
proceder de un sitio o una persona de confianza. En algunos casos utilizan
información que nos resulta familiar o relacionada con nosotros para que
bajemos la guardia y no sospechemos. Luego veremos algunos ejemplos.

Las tácticas de ingeniería social son más eficaces y menos costosas, en relación al tiempo y
esfuerzo que requieren, que los ataques informáticos complejos necesarios para obtener el mismo
resultado.

Es decir, es más fácil convencer a alguien para que te de sus contraseñas que intentar romper la
contraseña por medios informáticos (a menos que la contraseña sea muy débil).

6
1. DEFINICIÓN DE INGENIERÍA SOCIAL

«Una cadena es tan fuerte como su eslabón más débil»

«El usuario es el eslabón más importante de la cadena de la seguridad»

[1]

Estas premisas subrayan que el usuario es el elemento más

importante de la cadena de seguridad.

Aunque invirtamos en recursos tecnológicos debemos ser conscientes

de que es necesario aumentar la formación y concienciación en
materia de seguridad de todos los miembros que utilicen y gestionen
los sistemas de información en la empresa, para evitar o reducir los
incidentes y engaños.

7
1. DEFINICIÓN DE INGENIERÍA SOCIAL

Los miembros de nuestra empresa deberían tener unas nociones

básicas para poder identificar este tipo de engaños. ¿Eso es posible?

¡Efectivamente! Es importante que nuestros empleados cuenten con

nociones que les permitan identificar posibles engaños que
representen una amenaza para el negocio.

Como veremos a lo largo de esta unidad, podremos alcanzar este

objetivo a través de su concienciación en materia de seguridad.

8
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN
INTERNET?
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?

¿Alguna vez te has parado a pensar por qué las redes sociales, los
servicios de correo electrónico u otros servicios ofrecidos a través de
Internet, son gratuitos? ¿Cómo ganan dinero? [2]

La información de los usuarios es «el oro de Internet» por los ingresos que se
generan en publicidad aprovechando que conocen qué buscamos, qué
compramos, etc. Cada vez que un usuario accede a algún tipo de información,
haciendo clic en un link o un anuncio, está revelando información sobre sus
preferencias, intereses y gustos.

Los usuarios ofrecen información y la información es poder.

En este tipo de servicios en Internet debemos revisar la configuración de la

privacidad, para ser conscientes de los datos que recopilan y del uso que les van a
dar. La legislación Europea vigente protege de forma especial a los consumidores
en cuanto a la protección de datos personales, es decir, por ley deben avisarnos si
toman datos personales y para que van a usarse, además debemos consentir su
uso y la cesión de los mismos a terceros.

10
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?

La información de los usuarios se ha convertido en la pieza fundamental de las

estrategias utilizadas por distintas organizaciones y negocios con el objetivo de mejorar
la selección de las ofertas de productos y servicios ofrecidos a sus clientes.

Conocer las preferencias de mis clientes me permite, sin duda,

ofrecerles productos y servicios más adaptados a sus necesidades
concretas.

Por otra parte, a través de Internet también hay quien trafica con información
obtenida ilegalmente y podemos encontrar información (páginas web, mensajes,
etc.) relacionada con actividades o acciones ilícitas.

11
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?

Los ciberdelincuentes tienen formas de hacer negocio con la información que roban.
Utilizan la ingeniería social para engañarnos y robarnos información para venderla o
pedirnos un rescate, suplantarnos, realizar acciones ilícitas en nuestro nombre o
infectarnos para aprovechar nuestros recursos para su propio interés.

Además del fraude y del robo de información, otras actividades ilegales también tienen su
base en la red aunque no sean evidentes. Esto es porque utilizan los bajos fondos de
internet, la Darknet, a la que sólo se accede con software específico que permite el
anonimato y la confidencialidad. Es dónde se encuentran los mercados negros de Internet.
La Darknet es el sitio ideal para todo tipo de actividades maliciosas y delictivas. También la
usan activistas y periodistas de regímenes con limitada libertad de expresión.

La Darknet es una parte de la Internet profunda o Deep Web, la que no indexan los
buscadores. No debemos confundirlas pues en la Deep Web no todo es delictivo
también existen blogs, revistas académicas o bases de datos no indexados, es decir
que no se accede con los navegadores de uso común.

En la Darknet se encuentran todo tipo de contenidos y actividades ilegales que

van desde la pornografía infantil, la venta de armas, el desarrollo de software
malicioso y los mercados de información robada (credenciales bancarias, tarjetas de
crédito,…).

¿Qué hacen los ciberdelicuentes con los datos robados? [3]

12
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
EL MERCADO NEGRO DE DATOS ROBADOS EN INTERNET
En los siguientes extractos de noticias puede verse la relevancia que tiene
este fenómeno en la vida real.
REVELAN EL PRECIO EN EL MERCADO NEGRO
POR DATOS ROBADOS EN INTERNET
En internet existe un mercado clandestino o
«mercado negro» en el que se vende nuestra
información, y es en este lugar donde los
cibercriminales compran o venden servicios y
datos como: números de tarjetas de crédito
robadas, cuentas de redes sociales, malware y
direcciones de correo electrónico, entre otros.
Fuente: Univision.com (13-01-2015) [4]
¿CUÁNTO CUESTA EN LA DEEP WEB UNA
TARJETA DE CRÉDITO ROBADA?
Existen multitud de «tiendas» en la deep web
que nos ofrecen todo tipo de artículos
robados, aunque predominan los productos
relacionados con la tecnología y los servicios
financieros. Además de todos estos artículos,
también hay disponibles todo tipo de drogas,
armas y documentación falsificada o robada de
todos los países del mundo.
Fuente: Cincodias.com (30-11-2015) [5]
13
 2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?

Como ya hemos mencionado, los ataques de ingeniería social también pueden terminar
con la infección de ordenadores que luego serán utilizados sin el consentimiento de sus
propietarios para realizar actividades ilícitas.

Las botnets son redes de ordenadores infectados sin que los usuarios legítimos lo sepan. Actúan de forma
sincronizada bajo las órdenes de un C&C (ordenador de mando y control) – controlado por la persona u
organización que infectó esos ordenadores.

Los ciberdelincuentes o las organizaciones criminales que están detrás de estos botnets se lucran con ello pues
utilizan nuestros recursos para actividades por las que obtienen dinero: distribuir malware, enviar spam, alojar
páginas fraudulentas, lanzar denegaciones de servicio, etc.

Tu conexión a Internet puede ir muy

¿Qué consecuencias lenta.
tiene esto para mi
negocio?
Tu IP puede bloquearse por envío
masivo de spam.

Tus equipos pueden ser utilizados (en

remoto) para la comisión de hechos
delictivos.

14
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

Veamos ahora los tipos de ataques que pueden cometerse

mediante técnicas de ingeniería social y luego os daremos
algunas recomendaciones para poder identificarlos.

Los ataques por ingeniería social se pueden dividir en dos tipos:

A BASADOS EN B
BASADOS EN
COMPONENTE HUMANO SOFTWARE MALICIOSO
Engañar y conseguir la confianza del usuario Engañar al usuario para que instale
para conseguir: en su ordenador software malicioso
que:
que revelemos datos confidenciales
que compremos productos/servicios • extraerá datos confidenciales
fraudulentos (falsos antivirus, del usuario
adware,…) que contribuyan a sus • le hará pertenecer a una
objetivos de distribuir malware, botnet para enviar spam,
redireccionar tráfico,… distribuir malware,…
ingresos directos a través del engaño:
fraude pago por clic, suscripción a
servicios Premium,…
secuestrar datos y pedir un rescate

16
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

A. EJEMPLOS DE ATAQUES BASADOS EN COMPONENTE HUMANO

Suplantación de la empresa de servicios

Un atacante se hace pasar por su compañía de internet o su

compañía de transportes para pedirle sus datos de conexión,
contraseñas, cuentas bancarias, etc.

Suplantación de un operador autorizado

Un atacante se hace pasar por un ayudante de un empleado

autorizado de uno de sus proveedores, que se encuentra enfermo
o de vacaciones, para pedirle sus datos de conexión, contraseñas,
etc.

Suplantación de una Autoridad del Estado

Un atacante se hace pasar por un agente de la policía, bombero o

técnico de hacienda para solicitarle datos como nombres,
teléfonos, etc.

Suplantación de una empresa de encuestas

Un atacante se hace pasar por una empresa de encuestas,

solicitando sus datos para verificar la encuesta.

17
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

Para entender mejor en qué consisten este tipo de ataques, a continuación veremos un
caso de suplantación de la identidad de nuestra entidad bancaria pidiendo nuestros
datos a través de una llamada telefónica…

EJEMPLO DE SUPLANTACIÓN DE IDENTIDAD

“Buenos días, le llamamos de su banco XXX.

Parece que alguien ha intentado acceder a su cuenta y necesitamos

verificar sus datos para saber que es usted el legítimo titular…”

Si nos ocurre esto, debemos sospechar. En este caso lo más prudente es no dar ningún
dato y llamar a nuestro banco para confirmar la veracidad de la llamada recibida.

18
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

Veamos otros ejemplos que utilizan el mismo sistema de engaño, aprovechando

el auge del uso de los dispositivos móviles (smartphones ) .

MÁS EJEMPLOS DE SUPLANTACIÓN DE IDENTIDAD

VISHING

Este tipo de suplantación se parece bastante al ejemplo anterior, sólo que en este
caso, a la persona que contesta, se le pide comunicarse con un número específico
de su entidad bancaria donde una locución le pedirá datos (tarjeta bancaria,
credenciales generalmente); o simplemente se le solicita verificar algunos datos
personales llamando a un número telefónico específico.

SMISHING

En este caso, la estafa se realiza mediante mensajes SMS, en los que se solicitan
datos, se pide que se llame a un número o se pide que se acceda a una web.

19
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

B. EJEMPLOS DE ATAQUES BASADOS EN SOFTWARE MALICIOSO

VENTANAS POP-UP
Ventanas emergentes que piden instalar software o complementos en el
ordenador para que puedan verse videos o programas, pero que
realmente esconden software malicioso.

PHISHING
Un correo electrónico o web falsa que se hace pasar por una persona o
empresa de confianza (banco, Hacienda, etc.) en una aparente
comunicación oficial electrónica. Al seguir las instrucciones que esta
comunicación proporciona acabamos siendo infectados o enviándoles
nuestras credenciales de acceso al servicio.

WEBS ENGAÑOSAS
Ofrecen una publicidad engañosa sobre un servicio gratis o un premio de un concurso en el que para solicitar el
servicio es necesario registrarse. Muy a menudo utilizamos las mismas contraseñas para registrarnos en varios
servicios, por lo que probablemente estemos aportando sin darnos cuenta las credenciales de acceso a nuestro
banco o nuestra red social.

SPAM CON ADJUNTOS MALICIOSOS

Son correos electrónicos con publicidad engañosa que también pueden contener archivos adjuntos que instalan
software malicioso en nuestros equipos.

20
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

POP-UP

A veces, cuando navego en internet

por diversas webs, me solicitan que
instale algo: un complemento
(plugin), un antivirus… ¿Puede
tratarse de un ataque?

Pues sí. Es lo más probable si no proviene de una fuente oficial o de

confianza. Este tipo de mensajes son muy frecuentes y hay que
asegurarse bien antes de realizar la instalación.

Al acceder a estos enlaces o instalar el elemento que nos indica,

nuestro ordenador puede resultar infectado pasando a formar parte de
una botnet, permitiendo al atacante acceder a la información confidencial o
sensible almacenada en el equipo y controlar nuestro equipo.

21
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

Es importante que nuestros empleados sean conscientes de la existencia de

este riesgo y sepan detectar, en caso de indicio, qué equipos han podido ser
infectados.

Y… ¿qué medidas puedo tomar para evitar

este tipo de ataques?

Lo mejor es bloquear las ventanas emergentes del navegador de internet.

A través de las opciones de configuración podemos saber cómo bloquear las ventanas emergentes
en los distintos navegadores de Internet. [6]

PRINCIPALES NAVEGADORES DE INTERNET

Chrome Firefox Explorer

22
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

PHISHING

¿Y qué pasa con los casos en los que En estos casos hay que
recibes emails de empresas que observar el mail en detalle
conoces y que a simple vista para detectar cualquier

parecen legítimos? elemento sospechoso.

CÓMO DETECTAR UN ATAQUE DE PHISHING

Direcciones sospechosas.

Errores ortográficos.

Fallos en logos o imágenes copiadas.

Comprobar la identidad del remitente o del

departamento.

Y, sobre todo, sospechar si nos piden datos

confidenciales sin que nosotros hayamos realizado
ninguna solicitud.

RECUERDA: nadie ha de pedirte por email, por

mensajes ni por teléfono datos como: tus contraseñas,
claves o coordenadas de cuentas corrientes, PIN o SVN
de las tarjetas de crédito, etc.

23
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

Si, a pesar de estas indicaciones, no lo tenemos claro y pinchamos en el

enlace proporcionado en el mail, debemos comprobar que se trata de
una dirección web real y segura.

¿SABES IDENTIFICAR LOS 10 PHISING MÁS UTILIZADOS POR LOS CIBERDELINCUENTES? [7]

24
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

WEB MALICIOSA

Al navegar por internet, si no somos cuidadosos, podemos estar expuestos a diversos

riesgos como el robo de información, la pérdida de privacidad o algún tipo de perjuicio
económico.

Un caso muy común, son la páginas de descargas de

contenido. En ellas, a través de diferentes banners y botones
(que generalmente llevan la palabra «Descarga» o «Download»)
se instala en nuestro equipo software malicioso.

También es muy común en este tipo de páginas la solicitud de

descarga de complementos del navegador para poder visualizar
contenidos multimedia que son, en realidad, software malicioso.

En ocasiones, para la descarga de estos contenidos multimedia, se solicita

al usuario el número de teléfono como paso previo a su visualización.

Con este método, un ciberdelincuente puede conseguir dinero de forma

relativamente fácil ya que al introducir nuestro número de teléfono se
realizará una suscripción a un servicio de tarificación especial (SMS
Premium) [8] que supondrá un coste económico al usuario.

Generalmente «aceptamos» sin darnos cuenta las condiciones del servicio

premium que están indicadas de forma poco visible o que no nos paramos
a leer con detenimiento.
25
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

SPAM

Se conoce como spam los mensajes no solicitados, no deseados o con remitente

desconocido, habitualmente de tipo publicitario, que son generalmente enviados de
forma masiva y que perjudican de alguna manera al receptor.

¡¡Sí!! He visto algunos de los ejemplos de spam más típicos: los de Rolex, Viagra,
Omega, o la transferencia millonaria desde un país extranjero entre otros.

Los archivos adjuntos a estos correos pueden instalar en

nuestros equipos código malicioso (malware).
Estos correos pueden llevar enlaces a sitios fraudulentos que
pueden comprometer nuestro equipo.
Si nuestros equipos han sido infectados pueden ser utilizados
para, por ejemplo, enviar enormes cantidades de spam.
Podemos evitar el spam recibido utilizando los filtros que los
propios servidores de correos ofrecen al usuario.

26
 3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

SPAM

Por otra parte si vamos a realizar un envío de correos masivo como una campaña de marketing, ante todo
debemos cumplir la ley (LSSI) en cuanto a comunicaciones comerciales. Si bombardeamos a nuestros clientes
con mensajes, sus equipos pueden considerarnos como spammers y nuestro correo terminará en el buzón de
spam.

Consulta la web LSSI para ampliar información sobre la ley y sobre cómo enviar comunicaciones
comerciales a tus clientes de manera segura. [9]

27
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

A continuación, veremos varios ejemplos frecuentes de correo spam, en los que

nos intentan engañar con promesas de dinero fácil. Generalmente mediante esta
técnica se solicita una cantidad de dinero con la promesa de incrementarla.

Lotería
A la persona le llega un correo haciéndole saber que ha ganado un premio de
Lotería, aún cuando no haya participado en sorteo alguno.

Un tío en América
En este caso, el correo indica que eres el único descendiente de una fortuna y
para adelantar la gestión de esa herencia, te solicita dinero por adelantado.

El nuevo amor
Es una de las más comunes. Consiste en que una supuesta mujer,
generalmente extranjera, envía un correo electrónico con una solicitud de
amistad y fotografías personales. Al final te pedirán dinero.

Nuevo trabajo
Te ofrecen un trabajo con un sueldo muy elevado, pero requieren que
adelantes dinero para gestiones.

¡¡ TODOS SON CASOS DE ESTAFA !!

28
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

USB O CD CON CONTENIDO MALICIOSO

La infección de nuestros equipos y dispositivos puede realizarse también a través de

acciones tan sencillas e «inocentes» como insertar un USB. Si estos dispositivos
contienen malware podrían infectar nuestros equipos.

¿SABÍAS QUÉ?

En la actualidad los dispositivos de almacenamiento externo son la principal vía de contagio y

transmisión de programas malignos debido a la inmensa popularidad y auge de todo tipo de tarjetas
de memoria, pendrives (USB), discos duros…

Los virus que afectan a las memorias flash del tipo USB se propagan por
medio de un archivo autoejecutable, que como su propio nombre indica,
se ejecuta automáticamente cada vez que la memoria comienza a funcionar
al conectarse a nuestro PC.

Este tipo de ataques pueden llegar a bloquear los equipos pidiendo a través
de un mensaje una cantidad de dinero para proceder a desbloquearlo.

29
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

Recuerda las dos premisas que hemos mencionado al comienzo de esta unidad:

«Una cadena es tan fuerte como su eslabón más débil» y

«El usuario es el eslabón más importante de la cadena de la seguridad»

¿Cómo podemos, entonces, reforzar la seguridad de nuestra organización?

REFUERZO DE LA SEGURIDAD

Desarrollo de políticas y
Concienciación de Formación en materia
documentos internos
los empleados de seguridad
de seguridad

En relación con las Para fortalecer las capacidades Para empleados de la

amenazas y los riesgos de prevención, defensa, organización y terceros que
relevantes para la detección, análisis y respuesta pudieran resultar afectados:
organización. a los ciberataques. proveedores, clientes etc.

31
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

¿Y cómo puedo aprender a identificar las amenazas y los incidentes realizados a través
de técnicas de ingeniería social?

Aquí presentamos una serie de recomendaciones dirigidas a facilitar la identificación de

estos ataques para evitar y reducir posibles incidentes de seguridad de este tipo.

RECOMENDACIONES IMPORTANTES

Recuerda: ni los bancos, ni ninguna empresa con la que tenga un contrato en

vigor, llamará directamente para pedir datos confidenciales.

No instalar en los equipos programas de origen desconocido.

Al iniciar sesión en cualquier web, comprobar que la URL es correcta.

32
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

Pero…hay casos en los que es difícil reconocer que la página web es falsa y que
se trata de un engaño, ¿no?

En estos casos, recuerda las indicaciones que hemos ido viendo a lo

largo de esta unidad:

Comprobar el contenido de la web y si resulta sospechoso, no acceder a ningún enlace de dicha web.

Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.

Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas
web.

Si a pesar de estas indicaciones aún sigues con dudas, puedes verificar la

legitimidad de una web mediante la comprobación de su certificado digital.
Esto es un elemento de seguridad por el cual se garantiza que la identidad de una
web se corresponde con la que dice ser. [10]

33
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

En el caso del correo electrónico, es importante seguir estas recomendaciones para

evitar ser víctima de un ataque de ingeniería social:

Comprobar que la dirección de los correos es legítima, y en caso contrario no leerlos ni acceder a sus
enlaces.

Desconfiar de los correos genéricos que no están dirigidos a tu nombre.

Desconfiar de los enlaces en color azul que indican una dirección y al acceder a ellos abren una web con
una URL distinta.

34
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA

Por último, es importante tener instalado un ANTIVIRUS en los equipos con la

característica ANTIPHISHING para email y navegación web. Así, cuando
visitemos por error un página web maliciosa nos saldrá un mensaje como este:

35
CONCLUSIONES

El factor humano es el eslabón más importante de la cadena de la seguridad de la

información de las empresas.

La ingeniería social consiste en técnicas de engaño de todo tipo, tanto en el mundo

físico como en el virtual.

Actualmente la ingeniería social es uno de los vectores de ataque más peligrosos y que
más se está utilizando para acceder a las redes de las empresas, aprovechándose de la
ingenuidad o buena disposición de los empleados no concienciados.

Los ciberdelincuentes diseñan acciones orientadas a intentar hacer vulnerable esa

línea de defensa (el empleado) y abren vías de ataque que apuntan directamente a ese
eslabón.

La concienciación de los empleados de la organización es fundamental para evitar

que estos ataques tengan consecuencias en el negocio. Todos los empleados deben
conocer los elementos básicos para reducir las consecuencias de estos ataques en la
empresa que pueden provocar desde la infección de equipos hasta su bloqueo e
inutilización.
Referencias

[1] La ingeniería social en la empresa:

https://www.incibe.es/protege-tu-empresa/blog/ingenieria-social-en-empresas

[2] Servicios gratuitos en Internet. ¿Cuál es el precio de tu privacidad?

https://www.osi.es/es/actualidad/blog/2014/01/31/servicios-gratuitos-en-internet-cual-es-el-precio-de-tu-
privacidad

[3] ¿Qué hacen los ciberdelicuentes con los datos robados?

https://www.incibe.es/protege-tu-empresa/blog/que-hacen-los-ciberdelincuentes-con-los-datos-
robados

[4] Revelan el precio en el mercado negro por datos robados en internet:

http://www.univision.com/noticias/prosperidad-economica/revelan-el-precio-en-el-mercado-negro-
por-datos-robados-en-internet

[5] ¿Cuánto cuesta en la deep web una tarjeta de crédito robada?

http://cincodias.com/cincodias/2015/11/30/lifestyle/1448895784_988118.html

[6] Configuración ventanas emergentes:

CHROME - https://support.google.com/chrome/answer/95472?hl=es-419

FIREFOX - https://support.mozilla.org/es/kb/configuracion-excepciones-y-solucion-
de-problemas-
EXPLORER - http://windows.microsoft.com/es-es/internet-explorer/ie-security-
privacy-settings
Referencias

[7] 10 PHISING más utilizados:

https://www.osi.es/es/actualidad/blog/2014/04/11/aprendiendo-identificar-los-10-phishing-mas-
utilizados-por-ciberdelincuen

[8] Conoce los fraudes utilizados en Internet: SMS Premium

https://www.osi.es/actualidad/blog/2012/07/05/conoce-los-fraudes-utilizados-en-internet-ii-los-sms-
premium

[9] LSSI: http://www.lssi.gob.es/paginas/Index.aspx

[10] Aprendiendo a verificar la legitimidad de un sitio web

https://www.osi.es/es/actualidad/blog/2014/03/28/aprendiendo-verificar-la-legitimidad-de-un-sitio-
web