INSTITUTO TECNOLÓGICO DE SAN MARCOS

“RESUMEN SEMANAL CAPÍTULO 10”

INGENIERÍA INFORMÁTICA
 ASIGNATURA
SEGURIDAD INFORMÁTICA

PRESENTA
RODRIGO MALDONADO SORIANO 181230059

DOCENTE
GEINER ALFONSO NIÑO SALGADO

PERIODO: 30 DE ENERO AL 14 DE JUNIO DE 2023

SAN MARCOS GUERRERO, MEX. 03 DE FEBRERO DE 2023.

ÍNDICE
RESUMEN........................................................................................................................................2
UN INGENIERO SOCIAL MANOS A LA OBRA......................................................................2
LOS RASGOS DE UN ROL.......................................................................................................8
DESVIAR LA ATENCIÓN DEL PENSAMIENTO SISTEMÁTICO.........................................9

1
2
 RESUMEN
El ingeniero social emplea las mismas técnicas de persuasión que utilizamos
todos los demás a diario. Adquirimos normas. Intentamos ganar credibilidad.
Exigimos obligaciones recíprocas. Pero el ingeniero social aplica estas técnicas de
una manera manipuladora, engañosa y muy poco ética, a menudo con efectos
devastadores.

El ingeniero social, o atacante diestro en el arte del engaño, se alimenta de las

mejores cualidades de la naturaleza humana: nuestra tendencia natural a servir
de ayuda y de apoyo, a ser educado, a colaborar y el deseo de concluir un
trabajo.

UN INGENIERO SOCIAL MANOS A LA OBRA

En el verano de 2002, un consultor de seguridad que utiliza el sobrenombre
"Whurley" fue contratado por un grupo de centros turísticos de Las Vegas para
realizar diferentes auditorías de seguridad. Estaban rediseñando su sistema de
seguridad y lo contrataron para "intentar burlar todas y cada una de las medidas"
para ayudarles a construir una mejor infraestructura de seguridad. Whurley tenía
una vasta experiencia técnica, pero poca experiencia en casinos.

Después de una semana de inmersión e investigación en la cultura de Strip, el

boulevard en el que se suceden hoteles y casinos, llegó la hora de conocer Las
Vegas en persona. Había tomado la costumbre de comenzar un trabajo con
anticipación y terminar antes de la fecha oficial de comienzo. A lo largo de los
años había observado que los directores no informan a los empleados de las
auditorías hasta la semana en que creen que realmente va a tener lugar ("A pesar
de que no deberían lanzar ninguna advertencia a nadie, lo hacen") y para sortear
con facilidad este inconveniente, lo que hacía era realizar la auditoría en las dos
semanas previas a la fecha prevista.

Aunque eran las nueve de la noche cuando llegó y se ubicó en su habitación del
hotel, Whurley se fue directamente al primer casino de su lista para comenzar su
investigación sobre el terreno. Como no había pasado demasiado tiempo en

3
casinos, esta experiencia fue bastante reveladora para él. Lo primero que observó
era contrario a lo que había visto en el canal de viajes de la televisión, donde
todos los empleados de casinos aparentaban o los mostraban como especialistas
de élite en seguridad. La mayoría de los empleados que vio parecía "o que se
hubieran quedado dormidos de pie o absolutamente displicentes en su trabajo".
Ambas actitudes los convertían en blancos fáciles hasta para el timo más simple,
que ni siquiera se aproximaba a lo que él había planeado.

Se acercó a un empleado que parecía muy relajado y bastó animarlo un poco

para que se mostrara voluntarioso a comentar los detalles de su trabajo.
Curiosamente, había trabajado anteriormente para el casino que había contratado
a Whurley. "Apuesto que el otro era mucho mejor, ¿a que sí?", preguntó Whurley.

El empleado respondió: "La verdad es que no. Aquí tenemos auditorías en la sala
todo el tiempo. En el otro sitio, apenas se enteraban si llegabas un poco tarde y
así en todo... relojes, tarjetas de identificación, cuadrantes, etc. La mano derecha
no sabía lo que hacía la izquierda".

Aquel hombre explicó también que perdía con frecuencia su placa de empleado y
que a veces un compañero se la prestaba para que entrara por la comida gratis
que daban a los empleados en las cafeterías de personal que había en los
sótanos del casino.

A la mañana siguiente, Whurley definió su objetivo, muy sencillo: entrar en todas

las zonas protegidas del casino que pudiera, dejar constancia de su presencia e
intentar penetrar en tantos sistemas de seguridad como pudiera. Además, quería
averiguar si podría acceder a cualquiera de los sistemas dedicados a la
contabilidad o capturar información confidencial, como los datos de los visitantes.

Aquella noche, de camino al hotel, después de haber visitado el casino, oyó un

anuncio publicitario en la radio de un gimnasio que hacía una oferta especial a los
trabajadores del sector de servicios. Durmió un poco y por la mañana emprendió
camino hacia el gimnasio.

4
Al llegar, eligió como blanco a una chica que se llamaba Lenore. "En 15 minutos
establecimos una 'conexión espiritual'". Algo que resultó genial porque Lenore era
auditora financiera y él quería saber todo lo que tuviera que ver con las palabras
"finanzas" y "auditoría" en el casino que debía examinar. Si pudiera penetrar en
los sistemas financieros durante su auditoría, lograría con toda certeza que el
cliente considerara enormes las deficiencias.
Uno de los trucos preferidos de Whurley cuando aplica la ingeniería social es el
arte de la lectura en frío. Mientras hablaban, él observaba las señales no verbales
que ella lanzaba y, entonces, soltó algo que le hiciera a ella pensar "vaya, yo
también". Congeniaron bien y él la invitó a cenar.

Durante la cena, Whurley le dijo que era nuevo en Las Vegas y que estaba
buscando un trabajo, que había ido a una universidad importante y que se había
licenciado en economía, pero que se había mudado a Las Vegas después de
romper con su novia. El cambio de vida le ayudaría a superar la ruptura.
Entonces, él confesó que le intimidaba intentar conseguir un trabajo de auditoría
en Las Vegas porque no quería acabar "nadando con los tiburones". Ella pasó las
dos horas siguientes insuflándole confianza y asegurándole que no debería
resultarle difícil conseguir un trabajo de economista. Con la intención de ayudarle,
Lenore le facilitó más detalles sobre su trabajo y su empresa de los que él
necesitaba. "Ella fue lo mejor que me ha pasado hasta ahora en toda esta
experiencia y le pagué la cena con mucho gusto, que de todos modos iba a
pagar".

Cuando piensa sobre ello ahora, dice, se da cuenta de que estaba excesivamente
seguro de su capacidad y "eso me costó caro después". Era hora de empezar.
Llenó una bolsa con "unas cuantas cosas imprescindibles, como mi portátil, una
pasarela inalámbrica de banda ancha Orinoco, una antena y algunos accesorios
más". El objetivo era sencillo: intentar entrar en la zona de oficinas del casino,
tomar algunas fotos digitales (con la marca de hora y día) de sí mismo en sitios
en los que no debería estar y, a continuación, instalar un punto de acceso
inalámbrico en la red para intentar penetrar remotamente en sus sistemas para

5
recabar información confidencial. Para concluir su trabajo, tendría que volver a
entrar para recuperar el punto de acceso inalámbrico.

"Me sentía como James Bond". Whurley llegó al casino, justo a la puerta de
entrada de los empleados a la hora exacta del cambio de turno y se colocó en un
lugar en el que podía observar la entrada. Pensó que tendría tiempo para
observar la situación durante unos minutos, pero parecía que la mayoría había
llegado ya y allí estaba plantando queriendo entrar por sus propios medios.

Unos minutos de espera y la entrada se qudó sola... lo que no era lo que él

buscaba. Pero Whurley se fijó en un guardia que parecía que se iba cuando otro
guardia lo paró y se quedaron un rato hablando y fumando justo en la puerta del
edificio. Cuando acabaron los cigarrillos, se separaron y cada uno tomó una
dirección.

Entonces le dijo: "Perdone, perdone, ¿tiene hora?" Ése era el plan. "Algo que he
notado es que cuando te diriges a las personas de frente, casi siempre están más
a la defensiva que si las dejas pasar a tu lado antes de dirigirte a ellas". Mientras
el guardia le decía la hora a Whurley, éste lo examinaba en detalle. En la tarjeta
de identificación ponía Charlie. "Estando allí, tuve un golpe de suerte. Otro
empleado salía y llamó a Charlie por su apodo, Cheesy. Entonces le pregunté a
Charlie si tenía que aguantar muchas cosas como ésa {cheesy significa "de mala
calidad") y él me explicó por qué le habían puesto ese mote".

Entonces Whurley se dirigió hacia la puerta de empleados a paso rápido. Se dice

con frecuencia que la mejor defensa es una buena ofensiva y ése era su plan.
Cuando llegó a la entrada, donde había visto antes que los empleados mostraban
sus placas, se fue directo al guardia del mostrador y le dijo: "¡Eh! ¿Has visto a
Cheesy? Me debe 20 dólares del juego y necesito el dinero para comer algo en el
descanso".

Recordando aquél momento, exclama: "¡Uff! Ahí es donde me llevé el primer

chasco". Había olvidado que los empleados tienen la comida gratis. Pero no se
desalentó por eso; aunque otros que sufran el trastorno de déficit de

6
atención/hiperactividad puedan verlo como un problema, él define su trastorno
como "muy pronunciado" y añade que, en consecuencia, "puedo pensar mucho
más rápido que el 90 por ciento de la gente que me cruzo". Esa habilidad le
resultó muy útil.

Pero las cosas no estaban saliendo tan bien como Whurley pensaba, porque
cuando se alejaba, el guardia se dio cuenta de que no le había enseñado la placa
de identidad y le dio el alto. "Le dije: 'Está en mi bolsa, perdona'. Y empecé a
escarbar entre mis cosas mientras me alejaba de él. Había sido un toque de
atención, porque si hubiera insistido en ver la identificación, habría estado en un
aprieto".

Whurley había cruzado entonces la entrada de empleados, pero no tenía ni idea

de hacia dónde ir. No había demasiada gente a la que seguir, entonces se limitó a
caminar con seguridad y a tomar notas mentales de las zonas por las que
pasaba. No le preocupaba demasiado que lo pararan en ese momento. "Curioso,
cómo la psicología del color puede servir de tanta ayuda. Iba de azul, el color de
la verdad, e iba vestido como un joven ejecutivo. La mayoría de la gente que se
movía por allí llevaba la ropa de trabajo, así que era muy improbable que me
preguntaran", explica.

Cuando se preparaba para salir, anunció: "¡Ah! Me he metido tanto en la situación

que casi se me olvida presentarme. Soy Walter, estoy con Auditoría Interna. Me
acaban de contratar para el departamento de Dan Moore", dijo utilizando el
nombre del director de Auditoría Interna que había obtenido en una de sus
conversaciones. "Nunca he estado en este centro y estoy un poco perdido.
¿Podrían decirme cómo llegar a las oficinas de administración?"

Mientras ella estaba fuera, él instaló el punto de acceso inalámbrico y reinició el

ordenador. Entonces se dio cuenta que él tenía una unidad flash USB (bus serie
universal) de 256MB en el llavero y acceso total al ordenador de Megan. "Empecé
a navegar por su disco duro y encontré un montón de material interesante".
Resultó que Megan era la secretaria de dirección de todos los directivos y que
tenía organizados sus archivos por nombre, "todo bien bonito y ordenado". Tomó

7
una foto de él mismo sentado en la oficina principal de administración, con la
función de fecha y hora activada. Unos minutos después, Megan volvió y él pidió
algunas direcciones del Centro de Operaciones de Red (COR).

Ya era la hora de la comida. Whurley aprovechó la oportunidad para proponerle

que lo hablaran durante la comida, a Richard le pareció una buena idea y juntos
se fueron hacia la cafetería de la plantilla. "Observen que todavía no habíamos
llamado a nadie, así que le sugerí que hiciera la llamada y él contestó: 'Tienes
una tarjeta, sé quién eres'". Comieron juntos en la cafetería, donde Whurley tuvo
la comida gratis e hizo un nuevo "amigo".

Whurley volvió a las explicaciones de Larry sobre los sistemas y la descripción de

las medidas de seguridad que habían tomado recientemente. Entró una llamada
para Larry, era su esposa, aparentemente enfadada y disgustada por algún
motivo. Whurley se agarró bien a esta situación volátil al darse cuenta de que
podía sacar beneficio. Larry dijo a su esposa: "Escucha, no puedo hablar ahora.
Tengo a alguien en la oficina". Whurley hizo un gesto indicando a Larry que
pusiera en espera a su esposa un segundo y después le ofreció consejo sobre lo
importante que era para él tratar el problema con su esposa. Y se prestó a tomar
una de las tarjetas si Larry le mostraba dónde estaban.

Cualquiera que haya trabajado alguna vez en un departamento de informática

sabrá que las tarjetas de identificación están vinculadas a un sistema informático;
teniendo acceso al PC adecuado, se puede ampliar el acceso a cualquier lugar
del edificio. Whurley esperaba descubrir el ordenador desde el que se
controlaban los privilegios de acceso de las tarjetas para poder modificar el
acceso de las dos que tenía. Caminó por los pasillos buscando en las oficinas el
sistema de control de las tarjetas. Pero resultó más difícil de lo que había
pensado. Se sintió frustrado y bloqueado.

Optó por preguntar a alguien y se decidió por el guardia que había sido tan amable
en la entrada de los empleados. Para entonces, ya lo había visto mucha gente con
Richard, de modo que las sospechas eran casi inexistentes. Whurley se dirigió al
guardia, el primo que necesitaba, y le dijo que tenía que ver el sistema de control

8
de acceso al edificio. El guardia ni siquiera le preguntó para qué. No había ningún
problema. Le dijo exactamente dónde encontraría lo que buscaba.

Cuando Whurley entró, Megan estuvo tan simpática como siempre. Él le explicó
que ya había terminado la prueba y que necesitaba retirar su equipo. Entonces le
dijo que necesitaba su ayuda. "La mayoría de los ingenieros sociales estarán de
acuerdo en que la gente está demasiado dispuesta a ayudar". Necesitaba ver la
placa de Megan para verificarla con la lista que tenía. Unos minutos después,
Megan tenía una placa que enredaría las cosas más todavía, mientras Whurley
tenía la placa de la chica más la que lo identificaría a él en los registros como
directivo.

En la reunión de revisión, el jefe de Auditoría Interna se quejó de que Whurley no

tenía derecho a intentar acceder a los sistemas físicamente porque "no iba a ser
así como los atacaran". También dijeron a Whurley que lo que hizo rayaba en lo
"ilegal" y que el cliente no había apreciado en absoluto sus acciones.

En líneas generales, Whurley considera la experiencia en Las Vegas como un

éxito en la parte experimental, pero un desastre en la parte de relaciones con el
cliente. "Probablemente no vuelva a trabajar en Las Vegas", lamenta.

Quién sabe si la Comisión de Juego necesita los servicios de consultoría de un

hacker técnico que ya conozca los entresijos de un casino.

LOS RASGOS DE UN ROL

El ingeniero social exhibe algunas características de conducta del papel que
interpreta. Muchos de nosotros tendemos a completar las lagunas de información
cuando sólo recibimos algunas características de un rol, por ejemplo, si vemos a
un hombre vestido de ejecutivo, suponemos que es inteligente, centrado y de
confianza.

En prácticamente todos los ataques de ingeniería social, el atacante utiliza los

rasgos (que pueden ser de actitud, de comportamiento, de apariencia, del habla,
etc.) de un rol para que el blanco infiera el resto de características del rol y actúe
en consonancia. El rol que desempeñe podría ser el de técnico de informática,

9
cliente, recién contratado o cualquier otro que normalmente induzca a la víctima a
responder a una petición. Algunos trucos comunes incluyen la mención del
nombre del jefe de la persona a la que se dirige el engaño, el nombre de otros
empleados, el uso de la terminología o jerga de la empresa o del sector, etc. Para
los ataques en persona, la vestimenta, las joyas (un pin de la empresa, un reloj de
pulsera de atleta, un bolígrafo caro, un anillo de algún colegio) o el acicalamiento
(por ejemplo, el corte de pelo) también son rasgos que infieren la credibilidad del
rol que está representando el atacante. La fuerza de este método nace del hecho
de que una vez que aceptamos a alguien en su rol (de ejecutivo, cliente, colega),
extraemos conclusiones y atribuimos otras características (un ejecutivo es rico y
poderoso, un desarrollador de software entiende de tecnología, pero quizás se
sienta incómodo entre la gente, un colega de trabajo es de confianza).

DESVIAR LA ATENCIÓN DEL PENSAMIENTO SISTEMÁTICO

Los psicólogos sociales han determinado que los seres humanos procesan la
información entrante de dos formas, que han calificado como sistemática y
heurística.

El Dr. Sagarin explica: "Cuando procesamos la información sistemáticamente,

pensamos con detenimiento y de forma racional una petición antes de tomar una
decisión. Por el contrario, si la procesamos heurísticamente, tomamos atajos
mentales para tomar las decisiones. Por ejemplo, podemos acceder a una petición
en función de quién afirma ser el que hace la petición, en lugar de fijarnos en la
confidencialidad de la información que ha solicitado. Intentamos funcionar en el
modo sistemático cuando el tema es importante para nosotros. Pero la presión del
tiempo, la distracción o una emoción fuerte nos hace cambiar al modo heurístico".

Nos gusta pensar que normalmente trabajamos de forma racional y lógica,

tomando decisiones basadas en los hechos. Gregory Neidert, doctor en
psicología, afirma: "los humanos dejamos el cerebro ocioso en el 90 ó 95 por
ciento de los casos".22 Los ingenieros sociales intentan aprovechar esta
característica utilizando diferentes métodos de influencia para obligar a sus
víctimas a abandonar el modo sistemático, conscientes de que es mucho menos

10
probable que la gente que trabaja en modo heurístico tenga acceso a sus
defensas psicológicas; es menos probable que desconfíen, hagan preguntas o
presenten objeciones a un atacante.

11