Ingenieria Social 2-20.en - Es

Traducido del inglés al español - www.onlinedoctranslator.
com
Vea discusiones, estadísticas y perfiles de autor para esta publicación en:https://www.researchgate.net/publication/339676784
Ingeniería social
Capítulo· Marzo 2020

DOI: 10.1007/978-3-319-90307-1_38-1
CITAS LEE
3 11,136
2 autores:
Jan-Willem H. Bullée mariana junger

Universidad de Twente
18PUBLICACIONES197CITAS
233PUBLICACIONES3,698CITAS
VER EL PERFIL
VER EL PERFIL
Algunos de los autores de esta publicación también están trabajando en estos proyectos relacionados:
PecadoVer Proyecto
El éxito del phishing por correo electrónicoVer Proyecto
Todo el contenido que sigue a esta página fue subido pormariana jungerel 04 de marzo de 2020.
El usuario ha solicitado la mejora del archivo descargado.

Ingeniería social
Jan-Willem Bullée y Marianne Junger
Contenido
¿Qué es la ingeniería social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Historia de la Ingeniería Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Diferentes tipos de ingeniería social, su éxito y contramedidas. . . . . . . . . . . . . . . . . . 4
Llamada de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Correo 5
electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cara a 6
cara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensaje de 7
texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Qué hacer contra la ingeniería 8
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Quién es más vulnerable a la ingeniería 9
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Por qué es exitosa la ingeniería 10
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Características del objetivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Estrategias del delincuente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dificultad de la Investigación en Ingeniería Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Estudios de caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Encuestas (Entrevistas y Reportajes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
experimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Referencias cruzadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
J.-W. Bulle (*)

Universidad de Linköping, Linköping, Suecia
Correo electrónico:jan-willem.bullee@liu.se
m. junger
Universidad de Twente, Enschede, Países Bajos Correo
electrónico:m.junger@utwente.nl
© Los autores, bajo licencia exclusiva de Springer Nature Switzerland AG 2019 T. Holt, AM 1
Bossler (eds.),El Manual Palgrave de Ciberdelincuencia Internacional y Ciberdesviación,
https://doi.org/10.1007/978-3-319-90307-1_38-1
2 J.-W. Bullée y M. Junger
Resumen
La ingeniería social es el uso de manipulación social y trucos psicológicos para
hacer que los objetivos ayuden a los delincuentes en su ataque. Entre los
informáticos, la ingeniería social se asocia con llamar a un objetivo y pedirle su
contraseña. Sin embargo, esta amenaza puede manifestarse de muchas formas.
En este capítulo, se analizan cuatro modalidades de ingeniería social (es decir,
llamada de voz, correo electrónico, cara a cara y mensaje de texto). Explicamos
los conceptos psicológicos que intervienen en la ingeniería social. Incluyendo (i)
por qué las personas son victimizadas y (ii) cómo los delincuentes abusan de las
leyes del razonamiento humano. Una serie de estudios de campo ilustra el éxito
de la ingeniería social. Además, qué grupo es más vulnerable a la ingeniería
social y a qué ¿Hasta qué punto las intervenciones contrarrestan el ataque?
Palabras clave
Concienciación · Sesgo cognitivo · Engaño · Fraude · Intervención · Manipulación ·

Phishing · Estafa
Acrónimos
2FA Autenticación de dos factores
CMC Comunicación mediada por
RCP computadora Resucitación
F2F cardiopulmonar Presencial
PBX Intercambios de sucursales privadas Ataque de
VCFA reenvío de código de verificación
¿Qué es la ingeniería social?
Ha estado de viaje y acaba de registrarse en su habitación de hotel. Cuando entra a su habitación y

deja su bolso, suena el teléfono de su habitación. Una buena chica se presenta como Rebecca de la
recepción del hotel. Ella explica que hubo un problema durante el check-in y que necesita volver a
confirmar la información de su tarjeta de crédito. Suponiendo que llama desde la recepción del hotel,
usted proporciona la información de su tarjeta de crédito. Luego le informa que todo se resolvió y
que disfrute de su estadía.
La persona que llamó al viajero no fue Rebecca de la recepción. En cambio, era un delincuente
que llamaba a cada habitación de hotel en un intento de victimizar a alguien. ¿Qué sucedió que hizo
que el viajero le diera los datos de su tarjeta de crédito a un extraño? El escenario (Instituto SANS
2012) ilustra lo que se conoce como un ataque de ingeniería social. Abraham y Chengalur-Smith (
2010) propuso la siguiente definición: “El uso de disfraces sociales, estratagemas culturales y trucos
psicológicos para lograr que los usuarios de computadoras (es decir, los objetivos) ayuden a los
piratas informáticos (es decir, los delincuentes) en su intrusión o uso ilegal de sistemas y redes
informáticas”.La ingeniería social puede concebirse como un tipo de ataque no técnico basado en la
interacción humana que complementa la tecnología.
Ingeniería social 3
ataques Uno de los peligros de los ataques de ingeniería social es su apariencia

inofensiva y legítima, de modo que los objetivos (es decir, una persona y no el objetivo
del ataque) no se dan cuenta de que están siendo víctimas (La Oficina Federal de
Investigaciones2015; hadnagy y wilson2010). El uso de violencia física, extorsión,
soborno, chantaje y similares no se consideran ingeniería social.
Los incidentes de ciberseguridad son causados con mayor frecuencia por fallas humanas (Chan
et al. 2005) que por falla tecnológica (Schneier2000b). En consecuencia, los humanos son el eslabón
más débil en la seguridad de la información (Happ et al.2016). Para decirlo sin rodeos: "sólo los
aficionados atacan a las máquinas, los profesionales atacan a los humanos” (Schneier2000a). Los
delincuentes utilizan el engaño y la manipulación para que los objetivos ayuden en su victimización
(Bosworth et al.2014). El vector de ataque de ingeniería social se considera la mayor amenaza para
los sistemas de información (Rouse2006).
En este capítulo, explicamos qué es la ingeniería social, incluido cómo funciona este
ataque, qué tan exitoso es y qué se puede hacer para reducir la victimización. El uso del
engaño y el fraude ha existido durante mucho tiempo. La siguiente sección proporciona una
breve descripción de algunos de los casos notables.
Historia de la Ingeniería Social
La ingeniería social ya se ha utilizado durante bastante tiempo como vector de ataque. A

continuación se muestra una breve descripción de seis casos notorios de ingeniería social de la
historia antigua (y no tan antigua).
guerra troyanaQuizás uno de los relatos más antiguos de ingeniería social es de Odiseo del
antiguo ejército griego. Después de una larga década de guerra con los troyanos, el ejército
griego se retiró de la arena y dejó a los troyanos una colosal estatua de un caballo de madera.
Los troyanos dieron la bienvenida a su regalo en su ciudad y celebraron la victoria. Durante la
noche, soldados griegos aparecieron desde dentro del caballo y conquistaron la ciudad
(Graves1992). Mito o no, este ejemplo ilustra cómo se engaña al elemento humano para lograr
un objetivo que era imposible solo por medios técnicos.
franco abagnaleLa historia del ex estafador Frank Abagnale se ha contado muchas veces
en libros, musicales y la película.Atrápame si puedes (Base de datos de películas de Internet
2002). Después del divorcio de sus padres, el adolescente Frank se escapó de casa y se quedó
solo en el mundo. Lo que comenzó como una forma creativa de sobrevivir se convirtió en un
juego. Cuando solo tenía 16 años, Frank logró hacerse pasar por piloto de Pan Am Airlines.
Más tarde se hizo pasar por pediatra residente, abogado y supuestamente asistente de
enseñanza. Frank dominó la habilidad de falsificar cheques y, al defraudar a los bancos entre
los 16 y los 21 años, ganó 2,5 millones de dólares. Eventualmente, sin embargo, fue capturado
y encarcelado. Desde su liberación, ha trabajado en estrecha colaboración con el FBI durante
casi 40 años (Solon2017).
Stanley Mark RifkinStanley Mark Rifkin trabajó como consultor informático para Security
Paci!c Bank en Los Ángeles, en 1978. Estaba trabajando en el desarrollo de un sistema de
respaldo para la sala de cables, que le dio acceso a los procedimientos sobre cómo el banco
transfiere dinero. . Se necesitaba un código rotatorio diario secreto para realizar una
transferencia. Stanley se enteró de que los empleados escribieron el código en
una nota adhesiva para evitarles la molestia de memorizarla. Al aprender este código, Stanley
logró transferir $10,2 millones a una cuenta en el extranjero en Suiza. Había llevado a cabo el
mayor atraco a un banco de la historia, sin usar ningún tipo de violencia o computadora
(Mitnick y Simon2002).
ABN-AMROEn Amberes (Bélgica), la capital mundial del diamante, se robaron
diamantes por valor de 21,5 millones. Sin el uso de ningún tipo de violencia, el
delincuente logró llevar a cabo este atraco. ¿Su arma? El infractor, un cliente habitual,
conoció a los empleados. Usando hechizos y comprando chocolates para el personal,
logró copiar las llaves de la bóveda (Castillo2007).
Kevin MitnickKevin Mitnick es conocido como el hacker más famoso del mundo y como la
persona que popularizó el término “ingeniería social”. En uno de sus primeros relatos, diseñó
socialmente a un conductor de autobús, lo que combinado con un poco de buceo en la
basura, resultó en viajes gratis en autobús (Gots2011). En años posteriores, Kevin aplicó sus
habilidades de ingeniería social a través del teléfono. Al preparar cuidadosamente los ataques,
pudo obtener acceso a partes de muchos sistemas telefónicos de Private Branch Exchanges
(PBX), que, entre otras cosas, le permitieron hacer llamadas gratuitas de larga distancia. En
1993, Kevin fue investigado por el FBI y condenado por varios delitos informáticos (Mitnick y
Simon2002; tiene2011).
Violación de RSA Security LLCEn marzo de 2011, un grupo de delincuentes utilizó técnicas
de ingeniería social para piratear RSA Security, la empresa (llamada así por las iniciales de los
cofundadores Ron Rivest, Adi Shamir y Leonard Adleman) conocida por los tokens de
autenticación de dos factores RSA. Mediante el uso de ingeniería social a través del correo
electrónico (es decir, phishing por correo electrónico), el delincuente persuadió a un empleado
para que abriera un archivo de hoja de cálculo adjunto que contenía malware. El malware
instaló una puerta trasera que permitía al delincuente acceder a la máquina. Desde allí, el
delincuente pudo navegar por la red (Richmond2011). El costo estimado de la brecha fue de $
66,3 millones. En el período posterior a la infracción, los márgenes brutos de RSA se redujeron
del 67,6 % al 54,1 % (King2011). Otro aspecto de la infracción es el daño a la reputación que
encontró RSA Security. En el negocio de la seguridad, uno es tan bueno como su reputación.
Se desconoce el impacto real de este ataque; sin embargo, le dio a la competencia una
oportunidad para cerrar (Savage2012).
Estos seis escenarios muestran que la ingeniería social existe desde hace algún tiempo y
puede ocurrir de diferentes maneras. La siguiente sección discute en qué formas puede
ocurrir la ingeniería social.
Diferentes tipos de ingeniería social, su éxito y

contramedidas
Hay infinitas formas en que los atacantes pueden engañar a otros humanos para su beneficio. El
servicio de asistencia para el fraude de los Países Bajos detecta 99 tipos de fraude; Siendo 12
conceptos amplios (por ejemplo, lavado de dinero), 28 tipos están relacionados con ciber
(Información disponible en www.fraudehelpdesk.nl.). El FBI discierne 33 tipos de delitos (Centro de
Quejas de Internet (IC3)2018a) y describe 18 esquemas de delitos en línea (Centro de quejas de
Internet (IC3)2018b) (A saber: (1) Fraude en Subastas; (2) Fraude en Subastas – Rumania; (3)
cheque de caja falsificado; (4) fraude con tarjetas de crédito; (5) Eliminación de Deuda; (6) esquema
de correo electrónico de mensajería de paquetes; (7) Oportunidades de Empleo/Negocios; (8) fraude
de servicios de depósito en garantía; (9) Robo de Identidad; (10) Extorsión por Internet; (11) Fraude
de inversiones; (12) Loterías; (13) Carta nigeriana o “419”; (14) Phishing/Spoo!ng; (15) Ponzi/Pirámide;
(16) Reenvío; (17) correo basura; (18) Receptor de fondos de terceros). Una forma de categorizar la
ingeniería social es por el tipo de comunicación con la víctima. En esta sección, exploramos cuatro
modalidades que los delincuentes pueden usar en la ingeniería social, qué tan exitosos son y el éxito
de sus contramedidas.
Llamada de voz
La ingeniería social a través del teléfono también se conoce como estafa telefónica, estafa de soporte
técnico o llamada en frío. Por ejemplo, desde 2008, “la estafa de Microsoft” la llevan a cabo a nivel
mundial delincuentes que afirman ser empleados del departamento técnico de Microsoft (Arthur
2010). Al principio, el objetivo eran los países de habla inglesa nativa y, más tarde, el resto del
mundo. El guión de la estafa es el siguiente: el objetivo recibe una llamada telefónica en su casa, el
delincuente se presenta como un empleado del departamento técnico de Microsoft y le informa que
la integridad de esta PC y los datos están en riesgo. Para verificar el reclamo del infractor, se
persuade al objetivo para que abra una conexión de escritorio remoto para revisar algunos de los
archivos de registro como evidencia (Arthur2010). Afortunadamente, el delincuente tiene una
solución que resolverá el problema. Una pequeña herramienta de software que se puede comprar
para evitar la pérdida de datos y el pago es posible mediante tarjeta de crédito o PayPal. Cuando
luego revisa el saldo de la cuenta bancaria, el objetivo se da cuenta de que sus ahorros se han ido.
Mientras que el objetivo piensa que está haciendo lo correcto al asegurar su sistema informático, en
cambio, se convierte en víctima.
Es difícil determinar el éxito de este tipo de ataque. En un intento de obtener una indicación de la
prevalencia, se contactó con el servicio de asistencia para fraudes holandés (una organización que
recopila informes sobre fraudes). En el período comprendido entre 2015 y 2018, se reportaron 4507
incidentes, mientras que 499 fueron victimizados (11,1%). El daño total informado fue de !850.701, un
promedio de más de !1700 por víctima. Estos números deben considerarse como una estimación
aproximada, ya que este método de recopilación de datos es propenso a sesgos (p. ej., recordar mal
la cuenta o sentirse demasiado avergonzado para informar; consulte la sección "Encuestas
(Entrevistas y Reportajes)”para más detalles).
En un entorno experimental, se realizó una estafa de soporte técnico a 92 empleados
(Bullée et al.2016). Dos semanas antes del simulacro de ataque, un tercio de los objetivos (
norte =28) recibió una intervención. Otro tercio de los objetivos (norte =29) recibió 1 semana
antes de la prueba de campo una intervención. La intervención constaba de dos partes: (i) un
"yo" explicando qué era una estafa telefónica, por qué era peligrosa y cómo protegerse; y (ii)
un tarjetahabiente que contenía el texto "Cuidado con las estafas. Verifique todas las
solicitudes. Informe todos los incidentes.” El resultado fue que el 40% (norte =14) de los
empleados del grupo de control siguieron todas las instrucciones del infractor para instalar el
software, frente al 17,2% (norte =5) de los del grupo de 1 semana (!2= 3.935, df =1,p =0,047).
Sin embargo, de los del grupo de 2 semanas, el 42,9% (norte =12) cumplió con el infractor (!2=
0.052,df =1,p =0,819); consulte la Fig.1(Bullee et
Figura 1Cambio en el cumplimiento del

infractor a lo largo del tiempo 100 cumplió
80
Porcentaje de cumplimiento
60
40 42,9
40
20 17.2
0 1 2
Tiempo (semanas) desde el sujeto
intervención experimentada
Alabama.2016). Esto significa que hubo una reducción significativa en la victimización para aquellos que
recibieron la intervención 1 semana antes del simulacro de ataque; sin embargo, este efecto no estuvo
presente para el grupo de 2 semanas.
Correo electrónico
La ingeniería social a través del correo electrónico a menudo se conoce como "phishing". En el phishing por
correo electrónico, el objetivo recibe un correo electrónico malicioso que intenta convencerlo de que visite
un sitio web fraudulento. Estos sitios web a menudo tienen un solo objetivo: engañar a las personas para
que compartan información confidencial (por ejemplo, contraseñas o números de seguro social) (Ramzan
2010). El phishing se define como “unacto escalable de engaño mediante el cual se utiliza la suplantación de
identidad para obtener información de un objetivo” (últimodrager2014, pag. 8). La primera parte de la
definición (“acto escalable”) se relaciona con la distribución masiva de mensajes. La segunda parte (“engaño
mediante el cual se utiliza la suplantación de identidad”) es necesaria para hacerlo fraudulento.
Los evaluadores de penetración argumentaron que el 80% de los empleados caen en el phishing
cuando el correo electrónico dice que hay un iPad gratis para la persona que hace clic en el enlace
(de una conversación con el segundo autor). Por otra parte, un rápido análisis dek =16 estudios, que
contienennorte =25.890 sujetos de investigación, muestran que el éxito promedio de las campañas
de phishing está en el rango de 2 a 93 % (promedio de 30,9 % y promedio ponderado de 17,2 %).
Cada uno de los estudios antes mencionados utilizó un correo electrónico simulado diferente y hubo
diferentes tipos de usuarios involucrados (por ejemplo, estudiantes o empleados). Además, podría
haber un aspecto cultural que influya en los resultados, ya que los estudios se realizan en Europa y
América del Norte en diferentes institutos. La conclusión es que el éxito del phishing por correo
electrónico es inestable y depende en gran medida tanto del mensaje como del contexto. Aunque
hay muchas diferencias entre los estudios, esto da una primera indicación del éxito general del
phishing por correo electrónico.
Con respecto a las contramedidas del phishing de correo electrónico, el efecto de entrenar o
jugar un juego se ha investigado tanto en un entorno de laboratorio (consulte Kumaraguru et al.
2007a,b; Alnajim y Munro2009; Sheng et al.2010; Parsons et al.2015; Kunz et al.2016;

Lastdrager et al.2017; pares2017) y en un entorno de campo (consulte Kumaraguru et al.2008,
2009; Caputo et al.2014; Jensen et al.2017; Jansson y Von Solms2013; Bullée y Junger2019). Una
campaña de concientización muy conocida es PhishGuru, un cómic que explica qué es el
phishing, cómo reconocerlo y tiene como objetivo reducir la victimización (Kumaraguru et al.
2007a). PhishGuru se probó tanto en un laboratorio como en un entorno de campo. Los
resultados mostraron que fue capaz de reducir la victimización y que esta reducción se
mantuvo estable en el tiempo (Kumaraguru et al.2007a,b, 2008,2009). Otro entrenamiento de
concientización es NoPhish, que es una aplicación web interactiva, donde el jugador es
educado en ocho niveles sobre cómo reconocer un correo electrónico de phishing (Kunz et al.
2016). Después de jugar el juego, los sujetos reconocieron mejor los correos electrónicos de
phishing que antes del juego (p =0,004). Finalmente, PHREE es un entrenamiento basado en
juegos que tiene como objetivo aumentar la habilidad de detectar correos electrónicos de
phishing (Pars 2017). Antes de jugar, se reconoció el 52 % de los correos electrónicos de
phishing, en comparación con el 92 % en la prueba posterior directa después de jugar (pag <
0.01) y 87% 1 semana después (pag <0,01) (par2017).
Cara a cara
Hemos visto ingeniería social a través de una llamada telefónica; el delincuente llama a los objetivos
y, por ejemplo, trata de convencerlos de que descarguen software malicioso. También hemos visto
ingeniería social a través del correo electrónico (es decir, phishing), donde el delincuente envía un
correo electrónico a su objetivo y lo convence para que visite un sitio web malicioso. El delincuente
también puede decidir visitar físicamente al objetivo y realizar la ingeniería social cara a cara (F2F). En
lugar de llamar al objetivo por teléfono o enviar un correo electrónico, lo visitan en persona.
En una universidad de los Países Bajos, se instruyó a un grupo de estudiantes para que
aprendieran un guión y realizaran un ataque de ingeniería social F2F (Bullée et al.2015). En
este ataque, el delincuente tenía que ir y hablar con el objetivo en persona. El ataque tenía
como objetivo hacer que el objetivo entregara la llave de la oficina al infractor (es decir, a un
extraño). parte de las materias (norte =46) recibió, mediante asignación aleatoria, una
intervención que constaba de tres elementos: (i) un "yer" explicando qué es la ingeniería
social, por qué es peligrosa y cómo protegerse; (ii) un llavero negro con el logo de la
universidad por un lado y el texto “No me entregues a un extraño” por el otro lado (ver Fig.2a,
b); (iii) un cartel que le indique que no comparta su PIN, claves o contraseñas.
El resultado fue que el 62,5% (norte =45) de los sujetos del grupo de control entregó la llave de su
oficina, en comparación con el 37,0% (norte =17) de los del grupo de intervención (!2= 7,34,df =1,p =
0,007) (Bullée et al.2015). En muchos casos, la llave de la oficina se adjuntaba a otras llaves y se
entregaba todo el conjunto, incluidas las llaves de la bicicleta, las llaves de la casa, las llaves del
automóvil, las llaves maestras, las tarjetas de fidelización y los dispositivos de almacenamiento USB.
Figura 2Llavero. (Adoptado de Bullée et al.2015)
Mensaje de texto
Finalmente, analizamos la ingeniería social a través de mensajes de texto, también conocida como
smishing o phishing por SMS. A través de mensajes SMS (o aplicaciones móviles de mensajería, por
ejemplo, WhatsApp), el delincuente intenta imitar las comunicaciones legítimas, a menudo con el
objetivo de recopilar información personal o dinero. Esta sección describe tres ataques de ingeniería
social a través de mensajes de texto, un ataque razonablemente simple y dos ataques más
sofisticados.
Primero: en una cuenta, el objetivo recibe un mensaje a través de WhatsApp de uno
de sus contactos que lo anima a hacer clic y recibir vales de £ 100 para el supermercado.
Al hacer clic en el enlace, el delincuente puede instalar software malicioso en el teléfono
(McGoogan2016).
Segundo: Un escenario de ataque, usando WhatsApp, tiene como objetivo robar dinero
haciéndose pasar por un miembro de la familia. Se utiliza el siguiente MO: El delincuente
informa al objetivo de tener un nuevo número de teléfono. Esto incluye una imagen de perfil
coincidente de la persona suplantada. La imagen se extrae de las redes sociales, así como de
las relaciones familiares y de cómo las personas interactúan entre sí (Fraudehelpdesk.nl).
2018a). A menudo, primero hay una pequeña charla, seguida de una llamada de ayuda. Hay
facturas que deben pagarse lo antes posible y hay problemas con el sistema bancario en línea.
Para ayudar al familiar necesitado, usted paga las facturas (Radar2019). Mientras piensas que
estás ayudando, en cambio te victimizan.
Durante los primeros 6 meses de 2018, Dutch Fraud Help Desk recibió 160 informes de
incidentes relacionados con intentos de fraude a través de WhatsApp (Majid2018). Esto es
cuatro veces más que durante el mismo período en 2017 (Fraudehelpdesk.nl2018b), lo que
sugiere un gran aumento en este tipo de ataques. Las cuentas reportadas involucraban fraude
de identidad donde un delincuente fingía ser un miembro de la familia (generalmente un hijo
o una hija) y le pedía al objetivo (generalmente un padre) que enviara dinero para una
emergencia. En promedio, el daño fue de !2000 por caso (Fraudehelpdesk.nl2018b).
Aunque, hasta donde sabemos, no se conoce una tasa de éxito de esta estafa, los
números indican que se está disparando. Se requiere más investigación para obtener
una comprensión más profunda de este ataque.
Tercero: este escenario describe cómo un delincuente usa SMS para eludir una capa de seguridad
adicional (es decir, autenticación de dos factores (2FA)). En 2FA, junto a un nombre de usuario y
contraseña, se requiere un segundo factor (p. ej., código de verificación de SMS) para iniciar sesión.
El proveedor de servicios envía el código de verificación al número de teléfono que registró, lo que
proporciona una capa adicional de seguridad. Sin embargo, el delincuente puede “pasar por alto”
este segundo factor enviando un SMS hábilmente construido al objetivo; este ataque es
también conocido como ataque de reenvío de código de verificación (VCFA) (Siadati et al.2017;
Jakobsson2018). Este ataque requiere tres partes: (i)O =delincuente, (ii)S =proveedor de
servicios y (iii)T =objetivo y cinco pasos:
1.¡Oh! S:El infractor solicita al proveedor de servicios que entregue el código de verificación;
2.S ! T:El proveedor de servicios envía un código de verificación al objetivo;
3.¡Oh! T:El delincuente engaña al objetivo para que envíe el código de verificación;
4.T! O:El objetivo reenvía el código de verificación al infractor;
5.¡Oh! S:El infractor inicia sesión proporcionando un código de verificación.
En el caso de iniciar sesión en Gmail, así es como se vería el intercambio de mensajes en

los pasos 2 y 3 (adoptado de Siadati et al.2017):
2.S ! T: "Su código de verificación de Google es 175197".

3.¡Oh! T: “¿Solicitó un restablecimiento de contraseña para su cuenta de Gmail? Borra este mensaje si
lo hiciste. De lo contrario, envía Cancelar + el código de verificación que te enviamos.”
Se prueba que el éxito de este ataque es del 50%.

El proveedor es cómplice involuntario de este tipo de ingeniería social. Para evitar
este ataque, se puede agregar un mensaje adicional al mensaje que generalmente
reciben los usuarios cuando se les envía un código de verificación. Al incluir una
advertencia adicional en el mensaje de verificación (es decir, “Ignore este mensaje si no
solicitó un código. Su código de verificación de Google es 175197.”),aquellos que
reenviaron su código se redujo al 8% (Siadati et al.2017).
¿Qué hacer contra la ingeniería social?
La sección anterior discutió cuatro modalidades de ingeniería social, su éxito y contramedidas.

Hay otras contramedidas, más generales, que podrían usarse. Se han desarrollado varios
métodos para ayudar a los expertos (p. ej., profesionales encargados de hacer cumplir la ley) a
distinguir a los mentirosos de los que dicen la verdad. Estos métodos se basan en hallazgos en
la literatura; sin embargo, los tamaños del efecto suelen ser pequeños. Se discutirá el uso de
(i) aumento de la carga cognitiva y (ii) microexpresiones.
Aumentar la carga cognitiva se relaciona con hacer una entrevista mentalmente más difícil. La
razón es que mentir requiere más recursos cognitivos que decir la verdad. Cuando la carga cognitiva
aumenta aún más, por ejemplo, al hacer una solicitud adicional, los mentirosos tienen más
dificultades para hacer frente a estas solicitudes que los que dicen la verdad. Una de las formas de
aumentar esta carga cognitiva es pedir que se cuente la historia en orden inverso (Evans et al. 2013;
Vrij et al.2015). Sin embargo, esta técnica también ha sido criticada por no ser muy útil en la práctica.
Además, se argumentó que el aumento de la carga cognitiva podría obstaculizar la memoria de
trabajo y hacer que los que dicen la verdad también tengan dificultades para contar su historia
(Verschuere et al.2018).
Las microexpresiones son reflejos de emociones que queremos ocultar (Ekman2001; Wu et al.2017).
Mediante el uso de una combinación de (i) funciones de movimiento (es decir, grabación de video),
(ii) características de audio (es decir, grabación de voz) y (iii) características de transcripción (es decir,
texto escrito), los investigadores lograron llegar a un predictor de engaño. En el contexto de los
videos de juicios en la sala del tribunal, demostraron que el predictor se desempeñó un 11 % mejor
que los humanos a quienes se les pidió que hicieran una clasificación (verdad o mentira) sobre los
mismos datos (Wu et al.2017). Sin embargo, el uso de microexpresiones también ha sido criticado
por no ser lo suficientemente efectivo en la práctica (Burgoon2018).
Se han realizado estudios sobre las características lingüísticas de los relatos verbales.
Algunos estudios presentaron una descripción optimista de las posibilidades de los programas
de computadora para discernir características en un texto que ayudarían a distinguir las
mentiras de las verdades (Hancock y Gonzales2013). Se han presentado aplicaciones para
distinguir la mentira de la verdad en los discursos políticos (Hauch et al.2014) y en la quiebra
de ENRON (Keila y Skillicorn2005).
Un metanálisis sobre programas informáticos para la detección de mentiras encontró que solo un factor
era importante en la comunicación mediada por computadora (CMC): los mentirosos usaban más palabras,
mientras que en entrevistas o interacciones persona a persona, los mentirosos usan menos palabras (Hauch
et al. .2014). Todos los demás factores que se estudiaron no fueron significativos (es decir, cantidad de
palabras, diversidad de palabras de contenido, relación tipo-token, palabras de seis letras, longitud
promedio de palabras, cantidad de verbos, cantidad de oraciones, longitud promedio de oraciones) (Hauch
et al. 2014). En general, parece que la detección de mentiras, incluso para los profesionales encargados de
hacer cumplir la ley, es difícil y los resultados son inciertos. Sin embargo, estudios recientes encontraron que
tanto el movimiento del brazo como el del ratón pueden usarse para detectar el engaño (Sartori et al.2018).
Varios experimentos ya mostraron que la dinámica de pulsación de teclas podría usarse para obtener un
efecto similar (Sartori et al.2018). Por ejemplo, los usuarios de computadoras que mienten usan más
retrocesos y ejecutan más ediciones.
En conclusión, mientras que los humanos probablemente seguirán siendo malos detectores de mentiras, las máquinas podrían
ayudarnos a atrapar a los mentirosos.
¿Quién es más vulnerable a la ingeniería social?
Las secciones anteriores proporcionaron información sobre el éxito de diferentes ataques de

ingeniería social. A menudo se incluyen factores adicionales para comprender mejor quiénes son
particularmente vulnerables. Realizar un ataque de ingeniería social en una organización
proporciona una instantánea del estado actual de las cosas. Incluir variables sociodemográficas en el
análisis ayuda a comprender mejor la organización; Los empleados no son un grupo homogéneo de
entidades y son diversos en cuanto a, por ejemplo, sexo y edad (Pfeffer1985). Otra razón para
realizar análisis de subgrupos se relaciona con las contramedidas. Saber quién es más vulnerable a
un ataque puede ayudar a enfocar una campaña de concientización y distribuirla con eficiencia de
recursos. Una campaña diseñada para, por ejemplo, personas mayores se ve diferente a una
campaña que es tanto para personas mayores como para adolescentes. De manera similar, cuando,
por ejemplo, los machos son más vulnerables a un ataque, los machos deben recibir un
entrenamiento de concientización, y aquellos que ya realizan el comportamiento deseado pueden
quedarse solos. Las características que suelen repetirse son las variables sociodemográficas de sexo
y edad; estos serán discutidos con más detalle. Lo haremos
centrarse en la ingeniería social a través del correo electrónico, debido a la cantidad de estudios empíricos
disponibles.
Sexo
En el contexto de la ingeniería social por correo electrónico, creemos que no hay razón para suponer que las
mujeres y los hombres se desempeñan de manera diferente. Dado que el correo electrónico es una parte
integral de nuestra vida, es de esperar que tanto mujeres como hombres tengan una experiencia similar con
el phishing y, por lo tanto, estén igualmente equipados para identificar intentos de phishing (Moody et al.
2017).
Nos enfocaremos en 12 estudios que investigaron la relación entre el sexo y el éxito del
phishing por correo electrónico en un experimento de campo. Se persuadió a todos los
sujetos para que hicieran clic en un enlace o proporcionaran datos. Hubo siete estudios que
investigaron una población estudiantil (Jagatic et al.2007; Halevi et al.2013; Wright et al.2014;
Beneson et al.2017; Goel et al.2017; Moody et al.2017; Carella et al.2018) cuatro empleados
investigados (Holm et al.2013; Flores et al.2015; Bullée et al. 2017a; van der meer2017), y uno
utilizó a civiles como población (Oliveira et al. 2017). La razón por la que hay más poblaciones
estudiantiles investigadas es que tienen un mayor riesgo de victimización (Sheng et al.2010).
De los 12 estudios, cuatro encontraron que las mujeres tenían más riesgo que los hombres,
mientras que ocho no encontraron un efecto principal del sexo. Sin embargo, podría haber un
efecto moderador; Cuatro de los siete estudios que investigaron a los estudiantes encontraron
que las mujeres tenían mayor riesgo (Carella et al. 2018; Halevi et al.2013; Jagatic et al.2007;
Wright et al.2014). Quienes investigaron al personal oa los civiles no encontraron tal efecto. En
resumen, no parece haber un efecto principal del sexo sobre la victimización; sin embargo,
una variable moderadora podría explicar estos hallazgos.
Años
Todo el mundo puede ser objeto de un ataque de ingeniería social, tanto jóvenes como mayores.
Investigaciones anteriores vincularon la edad con el comportamiento de riesgo. Los hallazgos sobre los
riesgos fuera de línea sugieren que los adolescentes corren más riesgos que los adultos (Hirschi y
Gottfredson1983; Massie et al. 1995; Steinberg2007). Dado que el cerebro de los adolescentes aún está en
desarrollo, tienden a involucrarse (en promedio) en comportamientos más riesgosos (Reyna y Farley2006;
Sheng et al. 2010). La búsqueda de sensaciones, la búsqueda de emociones, la impulsividad y otras
conductas de riesgo son parte del aprendizaje continuo sobre el mundo. Además, las personas más jóvenes
tienden a aprender menos de la experiencia que las personas mayores, mientras que las personas mayores
resisten el comportamiento arriesgado por intuición (Reyna y Farley2006). Sin embargo, para el
comportamiento en línea, esta relación con la edad es menos clara (Baumgartner et al.2010). En el contexto
del delito cibernético, se argumentó que las personas más jóvenes corren más riesgo ya que tienen menos
años de educación, menos años en Internet, menos exposición a materiales de capacitación y menos
aversión al riesgo (Sheng et al.2010).
Presentamos los resultados de cuatro estudios experimentales que controlan las posibles
diferencias por edad en la exposición (Holm et al.2013; Bullée et al.2017a; Moody et al. 2017;
Oliveira et al.2017). El resultado fue que un estudio encontró que las personas mayores, en
lugar de las jóvenes, eran el grupo con mayor riesgo (Holm et al.2013). Los otros tres estudios
no encontraron un efecto principal de la edad. Dos estudios informaron que había una
tabla 1Tabla resumen de la literatura presentada sobre estudios de phishing y predictores

sociodemográficos
Mayor riesgo
norte Objetivo Población Modalidad Sexo Años Éxitoa Árbitro
50 Hacer clic Alumno Correo electrónico Femenino – 54 Carella et al.

Enlace (2018)
100 Ingresar Alumno Correo electrónico Femenino – 17 Halevi et al.
datos (2013)
94 Ingresar Alumno Correo electrónico Femenino – dieciséis Jagatic et al.
datos (2007)
41 Ingresar Alumno Correo electrónico Femenino – 2 Wright et al.
datos (2014)
2099 Hacer clic Personal Correo electrónico No – 9 Flores et al.
Enlace efecto (2015)
53 Hacer clic Personal Correo electrónico No Mayor 8 Holm et al.
483 Hacer clic Personal Correo electrónico No – 36 van der meer
975 Hacer clic Alumno Correo electrónico No – 20 Beneson et al.
7225 Hacer clic Alumno Correo electrónico No – 13 Goel et al.
595 Hacer clic Alumno Correo electrónico No No 41 Moody et al.
Enlace efecto efecto (2017)
295 Ingresar Personal Correo electrónico No No 19 Bullée et al.
datos efecto efectob (2017a)
158 Hacer clic MezclaC Correo electrónico No No 43 Oliveira et al.
Enlace efectob efectob (2017)
aEl éxito muestra el éxito de la ingeniería social en el grupo de control
bSin embargo, ningún efecto principal fue un efecto de interacción que se encontró
C Mezcla se refiere a una combinación de estudiantes y personal.
efecto de interacción con una tercera variable: (i) los empleados más jóvenes con pocos años de
servicio en la organización tienen mayor riesgo (Bullée et al.2017a) y (ii) las mujeres mayores eran los
grupos de mayor riesgo (Oliveira et al.2017).
En conclusión, la investigación sobre los efectos de la edad y el sexo en la investigación de
ingeniería social mostró resultados mixtos. Por lo tanto, una conclusión general es difícil ya que
muchos estudios no encontraron relaciones. Sin embargo, cuando se encuentra una relación,
generalmente se informa que las mujeres y los grupos de edad más jóvenes parecen tener un mayor
riesgo de ser víctimas de experimentos de ingeniería social. Para obtener un resumen de los
estudios, consulte la Tabla1.
En cuanto al éxito de la ingeniería social, es imposible dar números precisos:
como se muestra en la Tabla1, el porcentaje de éxito depende mucho de la
redacción y la forma del mensaje engañoso, así como del contexto.
Sección "¿Por qué es exitosa la ingeniería social?”explica por qué victimizar a los humanos
usando ingeniería social es relativamente fácil.
¿Por qué es exitosa la ingeniería social?
La investigación sobre seguridad, confianza y divulgación de la información también ha estudiado qué tan
fácil es hacer que los usuarios en línea divulguen información personal. También nos basamos en la
literatura sobre divulgación para explicar la facilidad con la que las personas tienden a caer en la ingeniería
social. Se discuten tanto la perspectiva de las características del objetivo como las tácticas del delincuente.
Características del objetivo
Los humanos tienen grandes dificultades para reconocer las mentiras

En general, es difícil para la gente reconocer una mentira. Muchos académicos argumentan que los
humanos están predispuestos a confiar en los demás. Rousseau et al. (1998) de!nieron la confianza
como “un estado psicológico que comprende la intención de aceptar la vulnerabilidad basada en
expectativas positivas de las intenciones o el comportamiento de otro” (Rousseau et al. 1998). La
confianza determina cómo un individuo se acerca a otras personas (Kosfeld et al. 2005). Los seres
humanos tienden a conformarse y son relativamente dignos de confianza por naturaleza: la
confianza tiene un valor de supervivencia evolutiva, por ejemplo, los niños necesitan confiar en los
demás para poder aprender (Morgan y Laland2012). De acuerdo con este enfoque, la mayoría de los
investigadores en la investigación del engaño creen que los adultos comienzan con la presunción de
la verdad (Burgoon y Levine2010). En general, tener confianza en los demás tiene resultados
positivos para las personas (Dohmen et al.2011).
Dado que los humanos comienzan con la suposición de la verdad, probablemente siempre será
difícil para ellos detectar el fraude (Burgoon y Levine2010). Bond y DePaulo (2006) realizó un
metanálisis de 206 estudios sobre la precisión de las personas para distinguir una mentira de la
verdad. Descubrieron que las personas logran un promedio del 54 % de juicios correctos de mentira
y verdad, clasificando correctamente el 47 % de las mentiras como engañosas y el 61 % de las
verdades como no engañosas. Aunque no se encuentran relaciones entre el comportamiento y la
mentira, o solo se encuentran débiles, los mentirosos tienden a causar una impresión más negativa y
son más tensos (DePaulo et al.2003).
Investigación sobre divulgación en línea

Revelación o autorrevelación es el proceso de comunicar información sobre uno mismo verbalmente
a otra persona (Cozby1973). Además de tener una confianza relativamente alta, los humanos
parecen tener umbrales bajos para revelar información personal y lo hacen con relativa frecuencia.
La mayoría de los estudios sobre divulgación se encuentran en el contexto de la psicología y la salud
mental. Estos estudios demostraron que la autorrevelación tiene resultados positivos para la salud
mental (Dindia2002; Acogedor1973).
Sin embargo, además de tener resultados positivos, también se puede abusar de la información personal
(Acquisti et al.2015). El resultado de una revisión de la literatura muestra que los usuarios son "sensibles" a la
configuración predeterminada; los usuarios tienden a mantener las configuraciones preprogramadas
(Acquisti et al.2015). Además, también se encontró que la percepción de tener control sobre su información
personal reduce las preocupaciones sobre la privacidad y aumenta la divulgación (Acquisti et al.2015). Los
estudios muestran que estar activo en línea, por ejemplo en las redes sociales, puede conducir a la
victimización del acoso cibernético y el acoso cibernético.
(Mishna et al.2009; Wachs et al.2015). Además, la pérdida de información de identificación personal

(PII) puede tener graves consecuencias tanto para las personas como para las organizaciones. Las
consecuencias individuales pueden incluir robo de identidad, vergüenza o chantaje. Las
consecuencias para una organización pueden incluir la pérdida de la confianza pública, la
responsabilidad legal o los costos de remediación (McCallister2010). Se han realizado investigaciones
para investigar el grado en que los usuarios están preparados para divulgar información personal en
línea y el contexto en el que aumenta o disminuye la divulgación (para una revisión, consulte Junger
et al.2017).
Juan et al. (2011) presentaron cuatro experimentos en los que midieron la revelación del
comportamiento desviado. En tres experimentos, los usuarios revelaron más información personal
en sitios web de aspecto no profesional en comparación con sitios web de aspecto profesional (John
et al.2011, pag. 868). En un cuarto experimento, en el que los usuarios tenían que pensar en la
privacidad, el efecto del contexto (es decir, el tipo de sitio web) estuvo ausente y todas las tasas de
divulgación fueron comparables entre los grupos.
Juan et al. (2011, pag. 868) concluyó que sus resultados “contrastan con el considerable
cuerpo de investigación sobre privacidad que se basa en el supuesto de elección racional”. La
elección racional establece que las personas hacen concesiones entre la privacidad y otras
preocupaciones, lo que implica que la divulgación es el resultado de esta ponderación racional
de costos y beneficios, en la que los costos objetivos, como un sitio web de aspecto no
profesional, deberían evitar o al menos disminuir. divulgación.
Un aspecto específico del contexto es la persona a quien se le revela la información. Olson
et al. (2005) afirmó que no es tanto la naturaleza de la información revelada lo que importa,
sino la persona a quien se revela la información. Cuando se confía en esa otra persona, los
usuarios revelan fácilmente (Joinson et al.2010). Ningún otro estudio estudió este aspecto de
la divulgación de información.
Acquisti et al. (2015) concluyen que los niveles de divulgación son muy maleables. Por ejemplo,
los usuarios son sensibles a la configuración predeterminada: tienden a ceñirse a la configuración
predeterminada preprogramada. Estos son fácilmente manipulables por el diseño del sitio web;
algunos sitios web frustran o confunden a los usuarios para que revelen información personal.
Además, la percepción de tener control sobre la información personal reduce las preocupaciones
sobre la privacidad y aumenta la divulgación (Acquisti et al.2015).
Falta de conocimiento
Los usuarios tienen un conocimiento insuficiente y carecen de estrategias para identificar
vulnerabilidades y estafas (Purkait2012). No conocen los métodos que usan los atacantes para
ejecutar sus crímenes (Jansen y Leukfeldt2015). En un estudio experimental de advertencias antes de
descargar un archivo pdf, muchos sujetos explicaron que confiaban en el programa antivirus o
pensaban que los archivos pdf siempre eran seguros (Krol et al.2012).
Un experimento de Grazioli y Wang (2001) estudió los determinantes del éxito o el fracaso para
determinar si un sitio web era fraudulento o no. Llegaron a la conclusión de que todos los sujetos
eran igualmente buenos para inspeccionar el sitio web o para percibir señales de engaño. Sin
embargo, el fracaso se debió a que la generación de hipótesis, con base en las señales percibidas, no
puede evaluarse. Los autores concluyeron que “preparar a los sujetos para facilitar la generación de
hipótesis es inútil a menos que les proporcionemos el conocimiento adecuado para evaluar la
hipótesis preparada” (Grazioli y Wang2001, pag. 201). Él
los autores piensan que esto es una buena noticia, en general, porque, cuando se les proporciona
más conocimiento, los usuarios deberían poder actuar de manera más inteligente. Acquisti et al. (
2015) la conclusión es que muchos usuarios desconocían el hecho de que la información que les
solicitaban los investigadores podía ser abusiva: “La gente a menudo desconoce la información que
está compartiendo, desconoce cómo se puede usar e incluso en situaciones excepcionales, cuando
tienen pleno conocimiento de las consecuencias de compartir, inseguros acerca de sus preferencias.”
Debido a su falta de conocimiento, los usuarios siguen su opción “predeterminada”, que es la
confianza, la obediencia y la divulgación de información.
En la sección anterior se discutió la falta de conocimiento como una de las principales causas de
victimización. Un re!namiento de la falta de conocimiento es falta de conocimiento de las consecuencias. Es
posible que los usuarios no comprendan la gravedad de las consecuencias si completan su información
personal en un sitio web falsificado (Purkait2012; Oeste2008). Parece plausible que las víctimas no sean
conscientes de las posibles consecuencias de un esquema fraudulento. Sin embargo, no todos los
investigadores encontraron que la falta de conocimiento es una de las principales causas de victimización.
Un estudio que entrevistó a víctimas de estafas informó que las víctimas a menudo tienen un
conocimiento significativo sobre el tema del contenido de la estafa (Lea et al.2009, pag. 137). Por
ejemplo, el conocimiento previo de acciones y acciones puede aumentar la probabilidad de caer en
una estafa de inversión. Alternativamente, las personas que tienen experiencia en ganar un precio en
loterías legítimas pueden ser más propensas a caer en una estafa de lotería, en comparación con
aquellas que no tienen tal experiencia (Lea et al.2009, pag. 137). El proceso cognitivo subyacente es
el sesgo de exceso de confianza (consulte la sección "Sesgos cognitivos”). Otro hallazgo en la
literatura contra la idea de que las víctimas no son conscientes de las consecuencias proviene de la
investigación experimental. El entrenamiento que instala el miedo a las consecuencias no es ineficaz
para prevenir el phishing (Zielinska et al.2014).
Jerarquía de objetivos: ¿los usuarios no están motivados?

La seguridad no suele ser la principal preocupación de los usuarios. Pueden preferir la conveniencia,
o ser engañados por motivos financieros u otros motivos humanos básicos (West2008). Forster et al.
(2007) afirman, en línea con la Teoría del Sistema de Metas, que las metas se organizan en una red
jerárquica. Muchos autores han argumentado que, durante su trabajo, las advertencias de
seguridad, por ejemplo, interrumpen a los usuarios y, por lo tanto, se consideran una molestia,
alejándolos de su objetivo principal, que es hacer su trabajo (Krol et al.2012). Hallazgos similares
fueron reportados por Krol et al. (2012), quienes descubrieron que las advertencias emergentes
generalmente interrumpen a los usuarios en su tarea principal. Debido a su naturaleza disruptiva, los
usuarios tienden a omitirlos para continuar con su tarea principal. Esto puede explicar por qué el
cebado o las advertencias mostraron estos efectos variables en el comportamiento de seguridad.
Junger et al. (2017) investigó la divulgación de datos bancarios a un entrevistador en un

distrito comercial. Su hallazgo fue que los participantes que se enfrentaron a una advertencia
de "no compartir detalles bancarios con nadie", revelaron por igual en comparación con
aquellos que no recibieron dicha advertencia (Junger et al.2017). Entre otras cosas, la
"jerarquía de objetivos" podría explicar sus hallazgos. La mente de los sujetos estaba en su
tarea principal (es decir, comprar) y completaron la segunda tarea (es decir, la encuesta) sin
prestar demasiada atención a las consideraciones de privacidad.
dieciséis J.-W. Bullée y M. Junger
Sesgos cognitivos
Los humanos usan heurísticas, o reglas empíricas, para tomar decisiones en situaciones
relativamente complejas (Benson2016). benson (2016) identificaron cuatro tipos de situaciones en las
que los humanos tienden a utilizar la heurística: (i) sobrecarga de información, (ii) falta de significado,
(iii) la necesidad de actuar con rapidez y (iv) cómo saber qué es necesario recordar Para luego.
(i)Sobrecarga de información.Demasiada información no ayuda en la toma de decisiones. Por

lo tanto, los accesos directos ayudan a seleccionar los bits de información que
probablemente serán útiles de alguna manera.
(ii)Falta de significado.El mundo que nos rodea es confuso y, por lo tanto,
debemos darle sentido y dirección.
(iii)Necesito actuar rápido.Los seres humanos están limitados por el tiempo y la información, pero no
podemos dejar que eso nos paralice. En consecuencia, necesitamos atajos para tomar decisiones
rápidamente.
(iv)¿Qué debemos recordar?No todo es igual de importante. Los humanos necesitan
hacer apuestas y concesiones constantes sobre lo que tratamos de recordar y lo
que olvidamos.
Para obtener más información sobre los sesgos cognitivos, consulte Hilbert (2012). Acquisti et al. (2017)
sugirió siete tipos de sesgos relevantes para la divulgación en línea: anclaje, efectos de encuadre,
autocontrol, aversión a la pérdida, sesgo de optimismo, errores posteriores a la finalización y sesgo de statu
quo. A continuación, presentamos una breve descripción de los sesgos más relevantes para la vulnerabilidad
a la ingeniería social.
• Anclajees la tendencia a depender en gran medida de una pieza (generalmente la primera) de

información (Acquisti et al.2017). Las personas tienden a revelar más información en las
encuestas que comienzan con preguntas intrusivas sobre privacidad, en comparación con los
cuestionarios que aumentan gradualmente la sensibilidad a la privacidad de las preguntas
(Acquisti et al. 2017).
• Efectos de encuadreLas decisiones de las personas están influenciadas por la forma en que se presenta
la información (Acquisti et al.2017). Se encontró que las recomendaciones de seguridad cibernética de los
encuestados a su mejor amigo estaban significativamente influenciadas por la experiencia personal.
• AutocontrolEn economía del comportamiento, se dice que las personas descuentan el valor de la
recompensa posterior (Acquisti et al.2017). Varios estudios encontraron un vínculo con la victimización
por delitos cibernéticos (Bossler y Holt2010).
• sesgo de optimismoLas personas creen que es menos probable que les sucedan eventos
negativos a ellos que a otros y que es más probable que les sucedan eventos positivos a ellos que
a otros (Weinstein1980).
• Prueba sociales nuestra tendencia a mirar a los demás en busca de pistas sobre qué usar y cómo
comportarse (Nolan et al.2008). Un experimento de Facebook que mostró a las personas el número de
sus amigos que usaban funciones de seguridad llevó a que un 37 % más de espectadores exploraran las
funciones de seguridad promocionadas en comparación con la concienciación sobre problemas de
seguridad (Das et al.2014).
• exceso de confianzaes la tendencia a sobrestimar el desempeño o el juicio y ocurre

en tareas difíciles o cuando es probable el fracaso (Moore y Schatz2017). Un caso
específico de exceso de confianza es la ilusión de control; este es el caso donde uno
cree tener el control cuando en realidad no lo tiene (Langer1975).
Estrategias del delincuente
Atacantes inteligentes
Stajano y Wilson (2011) presentó los siete principios que utilizan los atacantes para
victimizar a sus objetivos, en función de su conocimiento del fraude. Derivan sus
principios de un análisis del programa de televisión de la BBC.El verdadero ajetreo.En
este programa, se recrearon una variedad de estafas y “estafas breves” para advertir al
público y evitar que caigan en las mismas estafas (Stajano y Wilson2011).
(i)El principio de distracción.Cuando los usuarios se distraen con lo que capta nuestro interés, los
ingenieros sociales se beneficiarán y muchos no se darán cuenta.
(ii)Principio de Cumplimiento Social.Las personas están entrenadas para no cuestionar la autoridad. Los
ingenieros sociales explotan esta tendencia “suspensión de la suspicacia” para hacernos hacer lo que
ellos quieren. El fraude de los directores ejecutivos se basa en gran medida en este principio (Stajano
y Wilson2011, pag. 72)
(iii)Principio de manada.Lo que otros están haciendo puede influir fuertemente en el comportamiento
(Goldstein et al.2008). El comportamiento de manada describe cómo los individuos de un grupo
pueden colaborar y hacer cosas que comprometan su seguridad (p. ej., véase Junger et al. 2017).
(iv)Principio de deshonestidad.La deshonestidad de los usuarios los hace vulnerables. Los estafadores
pueden usar cualquier cosa ilegal.
(v)Principio de bondad.Las personas son fundamentalmente agradables y dispuestas a ayudar a los demás. Los
ingenieros sociales se aprovechan descaradamente de ello.
(v)Principio de necesidad y codicia.Nuestras necesidades y deseos nos hacen vulnerables. Una vez que los
ingenieros sociales saben lo que queremos, pueden manipularnos fácilmente.
(vii)Principio del tiempo.Cuando están bajo presión de tiempo, las personas usan diferentes estrategias de decisión, y
los ingenieros sociales usan mucho este método, por ejemplo, en correos electrónicos de phishing.
Dificultad de la investigación en ingeniería social
Para comprender mejor la ingeniería social, se pueden utilizar diferentes metodologías

de investigación. Esta sección analiza tres métodos: (i) estudios de casos, (ii) entrevistas y
encuestas, y (iii) experimentos. Para cada método, se presentan las ventajas y
desventajas.
Estudios de caso
Los estudios de casos son informes sobre una sola instancia de un escenario y se utilizan
a menudo en los medios populares (p. ej., periódicos o redes sociales) para informar
sobre ingeniería social. Hay libros sobre ingeniería social que contienen muchos
estudios de casos, por ejemplo (i)El arte del engaño: controlar el elemento humano de la
seguridad (Mitnick y Simón 2002), (ii)Ghost in the Wires: Mis aventuras como el hacker
más buscado del mundo (Mitnick et al.2011), (iii)Hackear al humano: técnicas de
ingeniería social y contramedidas de seguridad (hombre2008), y (iv)Ingeniería social: el
arte de la piratería humana (hadnagy y wilson2010).
Los delitos tradicionales se analizan desde la perspectiva tanto del delincuente como de la
víctima. En los delitos informáticos, encontrar al delincuente con fines de investigación es
difícil, especialmente cuando el objetivo no sabe que está siendo víctima (Bullée et al. 2017b).
Los cuatro libros mencionados anteriormente son, por lo tanto, particularmente interesantes
ya que están escritos por delincuentes que utilizan la ingeniería social. Los estudios de casos
se pueden utilizar en guiones delictivos para obtener una mejor comprensión de la ejecución
de un delito y, en particular, para el diseño de intervenciones específicas (Cornish1994). Se ha
demostrado el uso de guiones delictivos para varios delitos: fabricación de drogas (Chiu et al.
2011), actividad ilegal de residuos (Thompson y Chainey2011), reventa de vehículos robados
(Tremblay et al.2001), delitos sexuales en serie (Beauregard et al.2007), y también para la
ingeniería social (Bullée et al.2017b).
Los estudios de casos dan una idea del delito y dónde aplicar las intervenciones. Además, es un
método útil para generar hipótesis y teorías, mientras que los estudios de casos son menos útiles
para probar hipótesis (Flyvbjerg2006). Además, una desventaja es que los estudios de casos a
menudo carecen de rigor; En el pasado, los investigadores a menudo han sido descuidados e
incluyeron puntos de vista sesgados para influir en los hallazgos y conclusiones (Yin2009, pag. 14).
Finalmente, dado que los estudios de casos pueden ser complejos y extensos, a menudo es difícil
resumir adecuadamente un estudio de caso sin perder información valiosa (Flyvbjerg2006).
En el contexto de la ingeniería social, una desventaja de esta metodología es que no

proporciona una idea del éxito ni de la prevalencia del delito. Una de las razones es que a
menudo solo se informan las historias de éxito. Además, estos estudios de casos individuales
no constituyen una muestra representativa de víctimas (Ross et al.2014). Aunque los estudios
de casos pueden tener un gran valor, también se deben considerar los aspectos negativos. En
las próximas secciones se discutirá cómo los investigadores pueden examinar la prevalencia o
el éxito de la ingeniería social.
Encuestas (Entrevistas y Reportajes)
Las encuestas son un método conveniente para recopilar datos (Mathiyazhagan y Nandan 2010) y
obtener conocimientos sobre la ingeniería social y los delitos en general. En un tiempo relativamente
corto, se puede llegar a una gran audiencia por un costo razonablemente bajo (Jones et al.2013).
Preguntar a las personas sobre experiencias pasadas contribuye a obtener información sobre la
prevalencia de un delito y preguntar a las personas cómo reaccionarían en un caso particular.
situación puede proporcionar información sobre el éxito de un delito. Sin embargo, preguntar
a las personas directamente sobre su experiencia producirá un resultado sesgado, ya que
muchas encuestas no controlan la oportunidad (es decir, la pregunta de si las personas
recibieron un intento de fraude) (Ross et al.2014). Es evidente que no estar expuesto a un
intento delictivo nunca producirá una víctima; solo hay unas pocas encuestas que tienen esto
en cuenta (p. ej., Titus et al.1995). Otros factores que se deben tener en cuenta al realizar una
encuesta incluyen: (i) el encuestado podría no estar consciente de ser víctima, (ii) no recordó la
cuenta, (iii) olvidó que sucedió, o (iv) se siente demasiado avergonzado para informar (Ross et
al.2014). Finalmente, el sesgo de autoselección es una limitación a tener en cuenta. En
cualquier comunidad dada, algunas personas son más propensas que otras a completar una
encuesta o cuestionario (Stanton1998; Wright 2005).
Preguntar a las personas cómo esperan que se comporten en un escenario específico puede aportar
información sobre la tasa de éxito de un delito. Tenga en cuenta que las personas tienden a proporcionar
respuestas socialmente deseables que pueden sesgar los resultados de la encuesta. A menudo, se
sobreestima el “buen comportamiento”, mientras que se subestima el “mal comportamiento” (Crowne y
Marlowe1960). Este fenómeno también es conocido en ciencias políticas y se refiere a la inconsistencia en las
encuestas de opinión de los votantes y los resultados electorales (Payne2010).
Esta discrepancia se investigó en el contexto del miedo a la delincuencia, utilizando el
siguiente diseño: en primer lugar, los investigadores preguntaron a los encuestados cómo
reaccionaría el participante si un extraño llamara a su puerta por la noche. En una etapa
posterior, los investigadores visitarían a sus encuestados en su casa, tocarían su puerta y
observarían su comportamiento. El resultado fue una diferencia estadísticamente significativa
entre la reacción verbal esperada y su reacción conductual (p =0,001) (Van Dijk y Nijenhuis
1979).
Dos estudios de ingeniería social también utilizaron este enfoque. El primer estudio
involucró ingeniería social F2F social, y el objetivo era obtener llaves de oficina de los
objetivos. Se preguntó a los encuestados, según los pasos de un escenario, cómo
reaccionarían. De los 31 encuestados, 1 (3,23%) esperaba cumplir con la solicitud del
infractor. Los resultados del experimento de campo mostraron que 68 (58,62%) de los
116 sujetos cumplieron con la solicitud del infractor (Bullee2017).
El segundo estudio se realizó por teléfono; el objetivo era hacer que las personas
descargaran e instalaran software de una fuente no confiable. En una encuesta, se preguntó a
49 encuestados cómo pensaban que reaccionarían. El resultado fue que ninguno de ellos
cumplió con la solicitud del infractor, mientras que los resultados de la prueba de campo
mostraron que 14 (40%) descargaron e instalaron el software (Bullee2017).
Experimentos
Las limitaciones de la metodología de la encuesta se relacionan con la dificultad de las personas para
recordar un relato de un crimen. Mediante el uso de experimentos, se puede observar el
comportamiento de los sujetos en un entorno controlado (Siedler y Sonnenberg2010). Además, el
experimentador a menudo puede repetir el experimento hasta que se recopilen suficientes
observaciones para responder a la pregunta de investigación. Otra ventaja de los experimentos es
la capacidad de manipular una o más variables. El investigador puede controlar con precisión
la manipulación de variables especificando las condiciones exactas del experimento
(Christensen2007). Sin embargo, realizar un experimento sobre ciberdelincuencia e ingeniería
social requiere una cuidadosa planificación y consideración, por ejemplo, cómo presentar el
estudio a los sujetos. Las personas que conocen el objetivo del experimento podrían estar
sesgadas en su comportamiento. Es poco probable que realicen el mismo comportamiento (p.
ej., tengan niveles similares de sospecha) fuera del experimento; esto podría influir en la
validez ecológica del estudio (Furnell2007; Parsons et al.2013).
No tanto como una desventaja como algo a tener en cuenta es el diseño de investigación
de un experimento. Cada diseño tiene amenazas asociadas internas (es decir, historia,
maduración, pruebas, instrumentación, regresión estadística, sesgos de selección, mortalidad
experimental e interacción selección-maduración) y externas (es decir, el efecto reactivo o de
interacción de las pruebas; los efectos de interacción de sesgos de selección con la variable
experimental; efectos reactivos de los arreglos experimentales; interferencia de tratamientos
múltiples) validez (Campbell y Stanley1963). Debido al contexto y la puesta en práctica de un
experimento de ingeniería social, las opciones de diseños de investigación pueden reducirse.
Finalmente, dado que los experimentos de ingeniería social generalmente involucran humanos
(por ejemplo, empleados), se deben tener en cuenta consideraciones éticas (Informe Belmont 1979).
Particularmente desafiante es el uso del engaño (consulte la sección “Correo electrónico”) ya que
contradice principios éticos (Código de Reglamentos Federales2005).
Resumen
Este capítulo comenzó con el escenario de un viajero que fue engañado para que revelara la
información de su tarjeta de crédito. El delincuente utilizó la ingeniería social a través del teléfono,
una de las modalidades para realizar un ataque. Los experimentos de campo mostraron que el uso
de la ingeniería social como vector de ataque, según el contexto, genera muchas víctimas.
La victimización, desde el punto de vista de la víctima, es causada por tres factores: (i) las
personas tienen dificultad para detectar una mentira, (ii) las personas “sufren” sesgos
cognitivos (por ejemplo, asumir que toda comunicación es honesta), y ( iii) falta de
conocimiento para identificar estafas y prever consecuencias. Por otro lado, los delincuentes
son conscientes de estas debilidades y no temen utilizarlas en sus ataques. Los siete principios
de ataque descritos por Stajano y Wilson (2011) ilustra este punto.
Discutimos campañas que redujeron con éxito la victimización por ingeniería social. La aplicación
web interactiva y cómica PhishGuru NoPhish hizo que las personas fueran más resistentes al
phishing por correo electrónico. Para contrarrestar el ataque de reenvío de código de verificación
(VCFA) a través de mensajes de texto, un mensaje de advertencia en el mensaje de verificación
demostró una reducción sustancial en la victimización.
A pesar de los ejemplos de intervenciones exitosas, necesitamos más investigación sobre cómo
prevenir la ingeniería social y cuáles son los principios de las intervenciones exitosas. Se han
observado varios problemas en estudios anteriores. Aunque las intervenciones para contrarrestar la
ingeniería social pueden tener efectos significativos, el estudio de Bullée et al. (2016) también
encontraron un efecto de descomposición de fuerza similar. Significa que con el tiempo, el
el conocimiento (o la habilidad para actuar sobre el conocimiento) se evapora al nivel del grupo de
control. Es nuestra opinión que este fenómeno requiere mayor investigación y es una sugerencia
para futuras investigaciones.
Tenemos tres sugerencias para futuras investigaciones. Primero, como se mencionó en el párrafo
anterior: "¿Cómo se pueden utilizar los 'refuerzos' para contrarrestar el efecto de deterioro?" El
efecto de la intervención sólo se presentó a corto plazo. Por lo tanto, un estudio de seguimiento
adecuado podría implicar el uso de intervenciones de refuerzo "rápidas" para contrarrestar el efecto
de descomposición. Esto ya se probó en el contexto de la retención de habilidades de reanimación
cardiopulmonar (RCP) (Sutton et al.2011).
En segundo lugar, en muchos casos, los estudios de campo se realizaron una sola vez. Todos los
experimentos fueron instantáneas de la organización. Los resultados dicen algo del estado de cosas
en un momento particular. Un trabajo futuro interesante podría ser hacer un estudio longitudinal
donde los sujetos sean evaluados varias veces. Sería particularmente interesante ver cómo ser
"victimizado" en una prueba de este tipo influye en el comportamiento en futuras pruebas. La
sugerencia implica un estudio longitudinal: "¿Cuáles son los efectos de los repetidos intentos de
victimización?" o "¿Cuál es el efecto de ser victimizado en el comportamiento en futuras pruebas?"
En tercer lugar, en el contexto del comportamiento de la seguridad de la información, se ha

realizado una investigación limitada sobre las influencias culturales. La mayoría de los estudios se
han realizado en países occidentales, ocasionalmente en Asia, mientras que se ha pasado por alto el
resto del mundo. Investigación transcultural es relevante ya que es probable que la cultura tenga
una influencia directa (Crossler et al.2013).
Referencias cruzadas
!La piratería informática y la subcultura hacker !

Violaciones de datos y RGPD
!Hactivismo: conceptualización, técnicas y revisión histórica !Evolución histórica del
delito cibernético: del delito informático al delito cibernético !Robo de identidad:
naturaleza, alcance y respuesta global !Crimen Organizado y Cibercrimen !Phishing
y Manipulación Financiera !Estafas basadas en spam
!La tecnología como medio de rehabilitación: un impacto medible en la reducción

Delito
!Uso, abuso y percepciones públicas de la tecnología sobre el delito
cibernético !La teoría general del crimen !La psicología del ciberdelito
Referencias
Abraham, S. y Chengalur-Smith, I. (2010). Una descripción general del malware de ingeniería social: tendencias,
tácticas e implicaciones.Tecnología en la Sociedad, 32(3), 183–196.
Acquisti, A., Brandimarte, L. y Loewenstein, G. (2015). Privacidad y comportamiento humano en la era de

información.Ciencias, 347(6221), 509–514.
Acquisti, A., Adjerid, I., Balebako, R., Brandimarte, L., Cranor, LF, Komanduri, S., et al. (2017).
Empujones para la privacidad y la seguridad: comprender y ayudar a las elecciones de los usuarios en línea.
Encuestas de computación ACM, 50 (3), 44:1–44:41.
Alnajim, A. y Munro, M. (2009). Un enfoque anti-phishing que utiliza la intervención de entrenamiento para
Detección de sitios web de phishing. EnITNG 2009 – 6° congreso internacional de tecnologías de la información:
Nuevas generacionesIEEE Computer Society Washington, DC, EE. UU. (págs. 405–410). Arturo, C. (2010).Estafa
telefónica de virus que se ejecuta desde centros de llamadas en India. [Artículo de periódico].
Obtenido dehttp://www.theguardian.com/world/2010/jul/18/phone-scam-india-call-centers.
Baumgartner, SE, Valkenburg, PM y Peter, J. (2010). Solicitación sexual en línea no deseada y
comportamiento sexual arriesgado en línea a lo largo de la vida.Revista de Psicología Aplicada del Desarrollo, 31(
6), 439–447.
Beauregard, E., Proulx, J., Rossmo, K., Leclerc, B. y Allaire, J.-F. (2007). Análisis del guión de la
proceso de caza de agresores sexuales seriales.Justicia Penal y Comportamiento, 34(8), 1069–1084.
Informe Belmont. (1979).El informe Belmont: Principios éticos y directrices para la protección de
sujetos humanos de investigación.La Comisión. Washington DC)
Benenson, Z., Gassmann, F., Landwirth, R. (2017). Desempaquetando la susceptibilidad al phishing selectivo. En
Lecture Notes in Computer Science (incluidas las subseries Lecture Notes in Arti!cial Intelligence y
Lecture Notes in Bioinformatics), 10323 LNCSSpringer, Cham (págs. 610–627). Benson, B. (2016).Hoja de
trucos de sesgo cognitivo.Recuperado el 23-sep-2018, dehttps://mejoreshumanos.
coach.me/cognitive-bias-cheat-sheet-55a472476b18
Bond, CF y DePaulo, BM (2006). Precisión de los juicios de engaño.Personalidad y Social
Revisión de psicología, 10 (3), 214–234.
Bossler, AM y Holt, TJ (2010). El efecto del autocontrol sobre la victimización en el cibermundo.
Revista de Justicia Criminal, 38(3), 227–236.
Bosworth, S., Kabay, M. y Whyne, E. (2014).Manual de seguridad informática (6ª ed.). Nueva York:
Wiley.
Bullee, JH (2017).Ingeniería social experimental.Tesis doctoral inédita,
Universidad de Twente, Países Bajos.
Bullée, JH y Junger, M. (2019).¿Son efectivas las intervenciones contra la ingeniería social, no
efectivos o tienen efectos adversos? Un metanálisis de 27 estudios. (Manuscrito en
preparación).
Bullée, JH, Montoya, L., Pieters, W., Junger, M. y Hartel, PH (2015). La persuasión y
Experimento de concientización sobre seguridad: Reducción del éxito de los ataques de ingeniería social.Revista
de Criminología Experimental, 11(1), 97–115.
Bullée, JH, Montoya, L., Junger, M. y Hartel, PH (2016). Ingeniería social basada en el teléfono
ataques: Un experimento que prueba el éxito y el decaimiento de tiempo de una intervención. En A. Mathur y A.
Roychoudhury (Eds.),Actas de la conferencia inaugural de investigación y desarrollo de seguridad cibernética de
Singapur (sg-crc 2016), Singapur, Singapur (vol. 14, págs. 107–114). Ámsterdam: IOS Press. Bullée, JH, Montoya, L.,
Junger, M. y Hartel, PH (2017a). Spear phishing en las organizaciones
explicado.Información y Seguridad Informática, 25(5), 593–613.
Bullée, JH, Montoya, L., Pieters, W., Junger, M., Hartel, PH (2017b). Sobre la anatomía de lo social.
ataques de ingeniería: una disección basada en la literatura de ataques exitosos.Journal of Investigative
Psychology and Offender Pro!ling, 15(1), 1–26.
Burgoon, JK (2018). Las microexpresiones no son la mejor manera de atrapar a un mentiroso.Fronteras en
Psicología, 9,1–5.
Burgoon, JK y Levine, TR (2010). Avances en la detección de engaños. EnNuevas direcciones en
investigación en comunicación interpersonal (págs. 201–220). Publicaciones SAGE.
Campbell, DT y Stanley, JC (1963).Diseños experimentales y cuasi-experimentales para
investigar.Boston: Houghton Mif'in Company.
Caputo, D., Peeger, S., Freeman, J. y Johnson, M. (2014). Going spear phishing: Explorando
formación y sensibilización integradas.Seguridad y privacidad de IEEE, 12(1), 28–38.
Carella, A., Kotsoev, M., Truta, T. (2018). Impacto de la capacitación en concientización sobre seguridad en los clics de phishing
a través de tarifas (vol. 2018-enero, págs. 4458–4466).
Castillo, S. (2007).Ladrón corteja al personal del banco con chocolates y luego roba diamantes por valor de 14 millones de libras esterlinas.
Recuperado el 06-ago-2018, dehttps://www.independent.co.uk/news/world/europe/thief-
woosbank-staff-with-chocolates-then-steals-diamonds-worth-16314m-5332414.html
Chan, M., Woon, I. y Kankanhalli, A. (2005). Percepciones de la seguridad de la información en el trabajo-
lugar: vincular el clima de seguridad de la información con el comportamiento de cumplimiento.Revista de Privacidad y
Seguridad de la Información, 1(3), 18–41.
Chiu, Y.-N., Leclerc, B. y Townsley, M. (2011). Análisis del guión delictivo de la fabricación de drogas en
Laboratorios clandestinos: Implicaciones para la prevención.Revista británica de criminología, 51 (2),
355–374.
Christensen, L. (2007).Metodología experimental.Boston: Pearson/Allyn & Bacon.
Código de Regulaciones Federales. (2005).Título 45: Bienestar público, Departamento de Salud y Derechos Humanos
Servicios, parte 46: Protección de sujetos humanos.Imprenta del Gobierno de EE.UU. Washington DC)
Cornualles, DB (1994). El análisis procesal del delito y su relevancia para la situación

prevención.Estudios de Prevención del Delito, 3,151–196.
Cozby, PC (1973). Autorrevelación: una revisión de la literatura.Boletín Psicológico, 79(2), 73–91. Crossler, RE,
Johnston, AC, Lowry, PB, Hu, Q., et al. (2013). Direcciones futuras para el comportamiento
investigación en seguridad de la información.Informática y Seguridad, 32,90–101.
Crowne, DP y Marlowe, D. (1960). Una nueva escala de deseabilidad social independiente de la psico-
patología.Revista de Psicología Consultora, 24(4), 349.
Das, S., Kramer, AD, Dabbish, LA y Hong, JI (2014). Aumentar la sensibilidad de seguridad con
prueba social. EnActas de la conferencia ACM SIGSAC de 2014 sobre seguridad informática y de
las comunicaciones: CCS '14.Prensa ACM.
DePaulo, BM, Lindsay, JJ, Malone, BE, Muhlenbruck, L., Charlton, K. y Cooper, H. (2003).
Claves para el engaño.Boletín Psicológico, 129(1), 74–118.
Dindia, K. (2002).Investigación de autorrevelación: conocimiento a través del metanálisis.Mahwah: Ley-
rence Erlbaum Associates Publishers.
Dohmen, T., Falk, A., Huffman, D. y Sunde, U. (2011). La transmisión intergeneracional del riesgo
y actitudes de confianza.La Revista de Estudios Económicos, 79(2), 645–677.
Ekman, P. (2001).Decir mentiras: pistas sobre el engaño en el mercado, la política y el matrimonio.Nuevo
York: WW Norton.
Evans, JR, Michael, SW, Meissner, CA y Brandon, SE (2013). Validación de una nueva evaluación
método para la detección del engaño: Introducción de una herramienta de evaluación de la credibilidad basada en la
psicología. Revista de Investigación Aplicada en Memoria y Cognición, 2(1), 33–41.
Flores, W., Holm, H., Nohlberg, M. y Ekstedt, M. (2015). Investigar los determinantes personales de
phishing y el efecto de la cultura nacional.Información y Seguridad Informática, 23(2), 178–199. Flyvbjerg, B.
(2006). Cinco malentendidos sobre la investigación de estudios de casos.Investigación Cualitativa, 12(2),
219–245.
Förster, J., Liberman, N. y Friedman, RS (2007). Siete principios de activación de objetivos: A
enfoque sistemático para distinguir el cebado de objetivos del cebado de construcciones sin objetivos.
Revisión de personalidad y psicología social, 11 (3), 211–233.
Fraudehelpdesk.nl. (2018a).Aanzienlijke schade whatsapp-fraude.Recuperado el 04-abr-2019, de
https://www.fraudehelpdesk.nl/aanzienlijke-schade-whatsapp-fraude/
Fraudehelpdesk.nl. (2018b).Forse toename whatsapp-fraude.Recuperado el 04-oct-2018, de
https://www.fraudehelpdesk.nl/nieuws/forse-toename-whatsapp-fraude/
Furnell, S. (2007). Phishing: ¿Podemos detectar las señales?Fraude informático y seguridad, 2007(3), 10–15.
Goel, S., Williams, K. y Dincelli, E. (2017). ¿Tienes phishing? Seguridad en Internet y vulnerabilidad humana.
habilidadDiario de la Asociación de Sistemas de Información, 18 (1), 22–44.
Goldstein, HJ, Martin, S. y Cialdini, RB (2008).¡Sí! 50 formas científicas de ser persuasivo.
Nueva York: Simon & Schuster.
Gotts, J. (2011).Hacker por diversión: Las aventuras de Kevin Mitnick.Consultado el 24-sep-2018,

dehttps://bigthink.com/think-tank/hacker-for-the-hell-of-it-the-adventures-of-kevin-mitnick
Graves, R. (1992).Los mitos griegos.Libros de pingüinos. Londres
Grazioli, S. y Wang, A. (2001). Mirar sin ver: Entender conceptos no sofisticados
el éxito y el fracaso de los consumidores en la detección del engaño en Internet. EnProcedimientos ICIS 2001 (vol.
23). https://aisel.aisnet.org/icis2001/23.
Hadnagy, C. y Wilson, P. (2010).Ingeniería social: el arte de la piratería humana.Nueva York: Wiley. Halevi, T.,
Lewis, J. y Memon, N. (2013). Un estudio piloto de seguridad cibernética y privacidad relacionada
comportamiento y rasgos de personalidad. EnActas de la 22ª conferencia internacional sobre la red
mundial (págs. 737–744). Nueva York: ACM.
Hancock, JT y Gonzáles, A. (2013). El engaño en la comunicación mediada por ordenador.
EnPragmática de la comunicación mediada por ordenador.De Gruyter. Berlina
Happ, C., Melzer, A. y Steffgen, G. (2016). Truco con trato: la reciprocidad aumenta la voluntad
para comunicar datos personales.Computadoras en el comportamiento humano, 61,372–377.
Hauch, V., Blandón-Gitlin, I., Masip, J., & Sporer, SL (2014). ¿Son las computadoras mentira efectiva?
detectores? Un metanálisis de las claves lingüísticas del engaño.Revista de personalidad y psicología
social, 19 (4), 307–342.
Hilbert, M. (2012). Hacia una síntesis de los sesgos cognitivos: cómo el procesamiento ruidoso de la información puede
sesgo en la toma de decisiones humanas.Boletín Psicológico, 138(2), 211–237.
Hirschi, T. y Gottfredson, M. (1983). La edad y la explicación del delito.revista americana de
Sociología, 89(3), 552–584.
Holm, H., Flores, W., Ericsson, G. (2013). Ciberseguridad para una red inteligente: ¿qué pasa con el phishing? Centro
de Quejas de Internet (IC3). (2018a).Informe de delitos en Internet de 2017.Recuperado el 23-sep-2018, de
https://pdf.ic3.gov/2017_IC3Report.pdf
Centro de Quejas de Internet (IC3). (2018b).Esquemas de delincuencia en Internet.Recuperado el 23-sep-2018, de
https://www.ic3.gov/crimeschemes.aspx#item-1
Base de datos de películas de Internet. (2002).Atrápame si puedes.Recuperado el 26-sep-2018, dehttps://www.
imdb.com/title/tt0264464/
Jagatic, TN, Johnson, NA, Jakobsson, M. y Menczer, F. (2007). Suplantación de identidad social.comuni-
cationes de la ACM, 50(10), 94–100.
Jakobsson, M. (2018). Autenticación de dos factores: el aumento de los ataques de phishing por SMS.Computadora
Fraude y seguridad, 2018(6), 6–8.
Jansen, J. y Leukfeldt, R. (2015). Cómo ayudan las personas a los estafadores a robar su dinero: un análisis de 600
casos de fraude bancario en línea. EnTaller 2015 sobre aspectos sociotécnicos en seguridad y confianza.
IEEE.
Jansson, K. y von Solms, R. (2013). Phishing para conciencia de phishing.Comportamiento e información
Tecnología, 32(6), 584–593.
Jensen, M., Dinger, M., Wright, R. y Thatcher, J. (2017). Capacitación para mitigar ataques de phishing
utilizando técnicas de atención plena.Revista de sistemas de información de gestión, 34 (2), 597–
626. John, LK, Acquisti, A. y Loewenstein, G. (2011). Extraños en un avión: Depende del contexto
voluntad de divulgar información sensible.Revista de Investigación del Consumidor, 37(5), 858–
873. Joinson, A., Reips, UD-D., Buchanan, T. y Scho!eld, CBP (2010). Privacidad, confianza y auto-
divulgación en línea.Interacción humano-computadora, 25(1), 1–24.
Jones, TL, Baxter, MAJ y Khanduja, V. (2013). Una guía rápida para la investigación de encuestas.Anales de
el Real Colegio de Cirujanos de Inglaterra, 95(1), 5–7.
Junger, M., Montoya, L. y Overink, F.-J. (2017). El cebado y las advertencias no son efectivos para prevenir
ataques de ingeniería social.Computadoras en el comportamiento humano, 66,75–87.
Keila, PS y Skillicorn, D. (2005). Detección de comunicaciones inusuales y engañosas en el correo electrónico.
EnCongreso de centros de estudios avanzadosQueen's University Press, Ontario (págs. 17–20). Rey, R. (2011).La
brecha de seguridad rsa de Emc puede costar a los clientes bancarios $100 millones.Recuperado 05-
ago-2016, desde http://www.bloomberg.com/news/articles/2011-06-08/emc-s-rsa-
securitybreach-may-cost-bank-customers-100-million
Kosfeld, M., Heinrichs, M., Zak, PJ, Fischbacher, U. y Fehr, E. (2005). La oxitocina aumenta la confianza
Inhumanos.Naturaleza, 435(7042), 673–676.
Krol, K., Moroz, M. y Sasse, MA (2012). no trabajes ¿No puedes trabajar? Por qué es hora de repensar
advertencias de seguridad. En2012 7ª conferencia internacional sobre riesgos y seguridad de internet y
sistemas (CRiSIS).IEEE.
Kumaraguru, P., Rhee, Y., Acquisti, A., Cranor, L., Hong, J. y Nunge, E. (2007a). Proteger
personas del phishing: el diseño y la evaluación de un sistema de correo electrónico de capacitación integrado. En
Conferencia sobre factores humanos en sistemas informáticos – actasACM Nueva York, NY, EE. UU. (págs. 905–
914).
Kumaraguru, P., Rhee, Y., Sheng, S., Hasan, S., Acquisti, A., Cranor, L., et al. (2007b). Conseguir
usuarios a prestar atención a la educación anti-phishing: Evaluación de retención y transferencia.Serie de
Actas de la Conferencia Internacional ACM, 269,70–81.
Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, LF y Hong, J. (2008). Lecciones de un mundo real
evaluación de la formación anti-phishing. EnCumbre de investigadores de Ecrime, 2008IEEE, Nueva York, NY, EE.
UU. (págs. 1 a 12).
Kumaraguru, P., Cranshaw, J., Acquisti, A., Cranor, L., Hong, J. y Blair, M., et al. (2009). Escuela
de phish: una evaluación del mundo real del entrenamiento anti-phishing. EnSOUPS 2009: actas del quinto
simposio sobre privacidad y seguridad utilizables.ACM. Nueva York, Nueva York, EE. UU.
Kunz, A., Volkamer, M., Stockhardt, S., Palberg, S., Lottermann, T. y Piegert, E. (2016). Nophish:
Evaluación de una aplicación web que enseña a las personas a ser conscientes de los ataques de
phishing. EnGijahrestagung. “Gesellschaft für Informatik eV”, Bonn, Alemania.
Langer, EJ (1975). La ilusión del control.Revista de Personalidad y Psicología Social, 32(2),
311.
Lastdrager, EE (2014). Lograr una de!nición consensuada de phishing basada en un
revisión de la literatura.Ciencia del crimen, 3(1), 1–10.
Lastdrager, EE, Carvajal Gallardo, I., Hartel, P., & Junger, M. (2017). ¿Qué tan efectivo es anti-
¿Entrenamiento de phishing para niños? EnXIII simposio sobre privacidad y seguridad usable
(sopas 2017).Santa Clara: Asociación USENIX.
Lea, S., Fischer, P. y Evans, K. (2009).La psicología de las estafas: Provocar y cometer errores
de juicio: Preparado para la oficina de comercio justo. (tecnología Reps.). Escuela de la Universidad de Exeter
Universidad de Exeter, Escuela de Psicología. Éxeter
Majid, A. (2018).Ik voelde me zo dom. Eén knop en alles fue weg.Consultado el 04-oct-2018,
dehttps://www.volkskrant.nl/nieuws-achtergrond/-ik-voelde-me-zo-dom-een-knop-en-alleswas-
weg-~bbadb2d6/
Mann, I. (2008).Hackear al humano: técnicas de ingeniería social y contramedidas de seguridad.
Aldershot: Gower.
Massie, DL, Campbell, KL y Williams, AF (1995). Tasas de implicación en accidentes de tráfico por
edad y sexo del conductor.Análisis y Prevención de Accidentes, 27(1), 73–87.
Mathiyazhagan, T. y Nandan, D. (2010). Método de investigación por encuesta.Media Mimansa, 4(1), 34–45.
McCallister, E. (2010).Guía para proteger la con!dencialidad de la información de identificación personal
ciónEditorial Diana. Collingdale, Pensilvania
McGoogan, C. (2016).Usuarios de Whatsapp atacados con la estafa de Sainsbury's de £ 100: cómo protegerse
usted mismo.Recuperado el 22-nov-2016, dehttp://www.telegraph.co.uk/technology/2016/10/25/
whatsapp-users-targeted-with-100-sainsburys-scam%2D%2D-how-to-protec/
Mishna, F., McLuckie, A. y Saini, M. (2009). Peligros del mundo real en una realidad en línea: A
estudio cualitativo que examina las relaciones en línea y el abuso cibernético.Investigación en Trabajo Social, 33(
2), 107–118.
Mitnick, K. y Simon, W. (2002).El arte del engaño: controlar el elemento humano de la seguridad.
Nueva York: Wiley.
Mitnick, K., Simon, W. y Wozniak, S. (2011).Fantasma en los cables: Mis aventuras como las del mundo.
hacker mas buscado.Nueva York: Little, Brown.
Moody, G., Galletta, D. y Dunn, B. (2017). Qué phishing se detecta en un estudio exploratorio de
susceptibilidad de las personas al phishing.Revista Europea de Sistemas de Información, 26(6),
564–584.
Moore, DA y Schatz, D. (2017). Las tres caras del exceso de confianza.Sociales y Personalidad
Brújula de psicología, 11(8), e12331.
Morgan, TJH y Laland, KN (2012). Las bases biológicas del conformismo.Fronteras en
Neurociencia, 6,87.
Nolan, JM, Schultz, PW, Cialdini, RB, Goldstein, NJ y Griskevicius, V. (2008). Normativo
la influencia social es infradetectada.Boletín de Personalidad y Psicología Social, 34(7), 913–
923. Oliveira, D., Rocha, H., Yang, H., Ellis, D., Dommaraju, S. y Muradoglu, M., et al. (2017).
Disección de correos electrónicos de phishing selectivo para adultos mayores y adultos jóvenes: sobre la
interacción de las armas de influencia y los dominios de la vida en la predicción de la susceptibilidad al phishing.
Actas de la conferencia chi de 2017 sobre factores humanos en sistemas informáticos (págs. 6412–6424). Nueva
York: ACM. Olson, JS, Grudin, J. y Horvitz, E. (2005). Un estudio de preferencias para compartir y privacidad. EnCHI
'05 resúmenes extendidos sobre factores humanos en sistemas informáticos - CHI '05.Prensa ACM. Pars, C.
(2017).Phree of phish: el efecto del entrenamiento anti-phishing en la capacidad de los usuarios para identificar
correos electrónicos de phishing. (Trabajo Fin de Máster inédito).
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2013). en l
J. Janczewski, HB Wolfe y S. Shenoi (Eds.),Seguridad y protección de la privacidad en los sistemas de
procesamiento de información: 28.ª conferencia internacional i!p tc 11, sec 2013, Auckland, Nueva
Zelanda, 8 al 10 de julio de 2013. Actas (págs. 366–378). Berlín/Heidelberg: Springer.
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2015). el diseño de
Estudios de phishing: Desafíos para los investigadores.Informática y Seguridad, 52,194–206. Payne, JG (2010). El
efecto Bradley: realidad mediatizada de la raza y la política en los Estados Unidos de 2008
elecciones presidenciales.Científico estadounidense del comportamiento, 54 (4), 417–435.
Pfeffer, J. (1985). Demografía organizacional: implicaciones para la gestión.Administrador de California
Revisión de ment, 28 (1), 67–81.
Purkait, S. (2012). Medidas contra el phishing y su efectividad: revisión de la literatura.Informa-
ción de Gestión y Seguridad Informática, 20(5), 382–420.
Radar. (2019).Fikse toename van oplichting a través de whatsapp.Recuperado el 04-abr-2019, de
https://radar.avrotros.nl/uitzendingen/gemist/item/!kse-toename-van-oplichting-via-whatsapp/
Ramzán, Z. (2010). Ataques de phishing y contramedidas. En P. Stavroulakis y M. Stamp (Eds.),
manual de seguridad de la información y las comunicaciones (págs. 433–448). Berlín/Heidelberg:
Springer.
Reyna, VF y Farley, F. (2006). Riesgo y racionalidad en la toma de decisiones de los adolescentes: Implicaciones
para la teoría, la práctica y las políticas públicas.Ciencia Psicológica en el Interés Público, 7(1), 1–
44. Richmond, R. (2011).El truco de rsa: cómo lo hicieron.Recuperado el 06-mrt-2019, dehttps://bits.
blogs.nytimes.com/2011/04/02/the-rsa-hack-how-they-did-it/
Ross, M., Grossmann, I. y Schryer, E. (2014). Contrariamente a la opinión psicológica y popular,
no hay pruebas convincentes de que los adultos mayores sean víctimas desproporcionadamente del fraude al
consumidor.Perspectivas de la ciencia psicológica, 9(4), 427–442.
Rouse, M. (2006).De!nición ingeniería social.objetivo tecnológico. Recuperado el 23-oct-2013, de
http://www.searchsecurity.techtarget.com/de!nition/social-engineering
Rousseau, DM, Sitkin, SB, Burt, RS y Camerer, C. (1998). No tan diferente después de todo: una cruz-
visión disciplinar de la confianza.Revisión de la Academia de Gestión, 23 (3), 393–404.
Sartori, G., Zangrossi, A., Monaro, M. (2018). Detección de engaños con métodos conductuales.
EnDetección de información oculta y engaño (págs. 215–241). Elsevier.
Salvaje, M. (2012).La brecha de rsa: un año después.Recuperado el 04-sep-2016, dehttp://buscar
security.techtarget.com/magazineContent/The-RSA-breach-One-year-later
Schneier, B. (2000a).Criptograma, 15 de octubre de 2000.Recuperado el 10-oct-2018, dehttps://www.
schneier.com/crypto-gram/archives/2000/1015.html
Schneier, B. (2000b).Secretos y mentiras: Seguridad digital en un mundo interconectado (1ª ed.). Nueva York:
Wiley.
Sheng, S., Holbrook, M., Kumaraguru, P., Cranor, LF y Downs, J. (2010). ¿Quién se enamora del phish?:
Un análisis demográfico de la susceptibilidad al phishing y la efectividad de las intervenciones. En
Actas de la conferencia sigchi sobre factores humanos en sistemas informáticos (págs. 373–382).
Nueva York: ACM.
Siadati, H., Nguyen, T., Gupta, P., Jakobsson, M. y Memon, N. (2017). Cuida tus SMS:
Mitigación de la ingeniería social en la autenticación de segundo factor.Informática y Seguridad, 65,14–
28. Siedler, T. y Sonnenberg, B. (2010).Experimentos, encuestas y el uso de muestras representativas como
dato de referencia. (tecnología Rep. No. 146). Consejo Alemán de Datos Sociales y Económicos
(RatSWD). Berlina
Solon, O. (2017).Frank Abagnale sobre la muerte del estafador y el auge de la ciberdelincuencia.
Recuperado el 26-sep-2018, dehttps://www.wired.co.uk/article/frank-abagnale
Stajano, F. y Wilson, P. (2011). Comprender a las víctimas de estafas: Siete principios para los sistemas
seguridad.Comunicaciones de la ACM, 54(3), 70–75.
Stanton, JM (1998). Una evaluación empírica de la recopilación de datos utilizando Internet.Personal
Psicología, 51(3), 709–725.
Steinberg, L. (2007). Toma de riesgos en la adolescencia: Nuevas perspectivas desde el cerebro y el comportamiento
ciencia.Direcciones actuales en ciencia psicológica, 16 (2), 55–59.
Sutton, RM, Niles, D., Meaney, PA, Aplenc, R., French, B., Abella, BS, et al. (2011). Bajo-
dosis, el entrenamiento de RCP de alta frecuencia mejora la retención de habilidades de los proveedores de pediatría en el
hospital. Pediatría, 128(1), e145–e151.
La Oficina Federal de Investigaciones. (2015).Compromiso de correo electrónico comercial.Consultado el 04-ago-2016,
dehttps://www.ic3.gov/media/2015/150827-1.aspx
El Instituto SANS. (2012).Boletín de ciberseguridad (ingeniería social – hackeando tu mente).
Recuperado el 23-ago-2016, dehttps://www.uab.edu/it/home/images/Module02-SocialEngineeri ng-
Newsletter.pdf
Thompson, L. y Chainey, S. (2011). Perfilar la actividad de desechos ilegales: usar guiones delictivos como datos
recopilación y estrategia analítica.Revista europea sobre política criminal e investigación, 17(3),
179–201.
Tito, RM, Heinzelmann, F. y Boyle, JM (1995). Victimización de personas por fraude.Delito &
Delincuencia, 41(1), 54–72.
Tremblay, P., Talon, B. y Hurley, D. (2001). Cambio de cuerpo y adaptaciones relacionadas en la reventa de
vehículos robados. Elaboración de guiones y curvas de aprendizaje de delitos agregados.Revista británica de
criminología, 41 (4), 561–579.
van der Meer, J. (2017).¿Qué es precies de zwakste schakel?Trabajo de fin de máster inédito, Erasmus
Universidad.
Van Dijk, J. y Nijenhuis, N. (1979). Ja zeggen, nee doen? een onderzoek naar de overeenkomst
actitudes verbales tussen en feitelijk gedrag bij angstgevoelens tav criminaliteit.Tijdschrift voor
Criminologie, 21(6), 257–273.
Verschuere, B., Köbis, NC, Bereby-Meyer, Y., Rand, D. y Shalvi, S. (2018). Exigir el cerebro para
descubrir mentira? Metanálisis del efecto de imponer una carga cognitiva sobre los costos de tiempo de reacción
de mentir.Revista de Investigación Aplicada en Memoria y Cognición, 7(3), 462–469.
Vrij, A., Fisher, RP y Blank, H. (2015). Un enfoque cognitivo para la detección de mentiras: un metanálisis.
Psicología Jurídica y Criminológica, 22(1), 1–21.
Wachs, S., Junger, M. y Sittichai, R. (2015). Roles de acoso tradicional, cibernético y combinado:
Diferencias en actividades riesgosas en línea y fuera de línea.Sociedades, 5(1), 109–135.
Weinstein, ND (1980). Optimismo poco realista sobre los eventos futuros de la vida.Revista de personalidad y
Psicología Social, 39(5), 806–820.
Oeste, R. (2008). La psicología de la seguridad.Comunicaciones de la ACM, 51(4), 34–40. Wright, KB
(2005). Investigación de poblaciones basadas en Internet: ventajas y desventajas de
investigación de encuestas en línea, paquetes de software de creación de cuestionarios en línea y servicios de
encuestas web.Revista de comunicación mediada por computadora, 10 (3), 00–00.
Wright, R., Jensen, M., Thatcher, J., Dinger, M. y Marett, K. (2014). Técnicas de influencia en
Ataques de phishing: un examen de la vulnerabilidad y la resistencia.Investigación de sistemas de
información, 25 (2), 385–400.
Wu, Z., Singh, B., Davis, LS y Subrahmanian, VS (2017). Detección de engaños en videos.
arxiv:1712.04415v1.Obtenido dehttp://arxiv.org/abs/1712.04415v1 Yin, R. (2009).Investigación de
estudio de caso: diseño y métodos.Thousand Oaks: SALVIA. Zielinska, OA, Tembe, R., Hong, KW, Ge,
X., Murphy-Hill, E. y Mayhorn, CB (2014). Uno
phish, dos phish, cómo evitar el phish de internet: Análisis de estrategias de entrenamiento para detectar correos
electrónicos de phishing.Actas de la Reunión Anual de la Sociedad de Factores Humanos y Ergonomía, 58 (1),
1466-1470.
Ver estadísticas de publicación

Ingenieria Social 2-20.en - Es

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ingenieria Social 2-20.en - Es

Uploaded by

Copyright:

Available Formats

Traducido del inglés al español - www.onlinedoctranslator.

Vea discusiones, estadísticas y perfiles de autor para esta publicación en:https://www.researchgate.net/publication/339676784

Capítulo· Marzo 2020

Jan-Willem H. Bullée mariana junger

El éxito del phishing por correo electrónicoVer Proyecto

El usuario ha solicitado la mejora del archivo descargado.

Jan-Willem Bullée y Marianne Junger

J.-W. Bulle (*)

Concienciación · Sesgo cognitivo · Engaño · Fraude · Intervención · Manipulación ·

¿Qué es la ingeniería social?

Ha estado de viaje y acaba de registrarse en su habitación de hotel. Cuando entra a su habitación y

ataques Uno de los peligros de los ataques de ingeniería social es su apariencia

Historia de la Ingeniería Social

La ingeniería social ya se ha utilizado durante bastante tiempo como vector de ataque. A

Diferentes tipos de ingeniería social, su éxito y

Figura 1Cambio en el cumplimiento del

2007a,b; Alnajim y Munro2009; Sheng et al.2010; Parsons et al.2015; Kunz et al.2016;

Figura 2Llavero. (Adoptado de Bullée et al.2015)

En el caso de iniciar sesión en Gmail, así es como se vería el intercambio de mensajes en

2.S ! T: "Su código de verificación de Google es 175197".

Se prueba que el éxito de este ataque es del 50%.

¿Qué hacer contra la ingeniería social?

La sección anterior discutió cuatro modalidades de ingeniería social, su éxito y contramedidas.

ayudarnos a atrapar a los mentirosos.

¿Quién es más vulnerable a la ingeniería social?

Las secciones anteriores proporcionaron información sobre el éxito de diferentes ataques de

tabla 1Tabla resumen de la literatura presentada sobre estudios de phishing y predictores

50 Hacer clic Alumno Correo electrónico Femenino – 54 Carella et al.

¿Por qué es exitosa la ingeniería social?

Características del objetivo

Los humanos tienen grandes dificultades para reconocer las mentiras

Investigación sobre divulgación en línea

(Mishna et al.2009; Wachs et al.2015). Además, la pérdida de información de identificación personal

Jerarquía de objetivos: ¿los usuarios no están motivados?

Junger et al. (2017) investigó la divulgación de datos bancarios a un entrevistador en un

(i)Sobrecarga de información.Demasiada información no ayuda en la toma de decisiones. Por

• Anclajees la tendencia a depender en gran medida de una pieza (generalmente la primera) de

• exceso de confianzaes la tendencia a sobrestimar el desempeño o el juicio y ocurre

Estrategias del delincuente

Dificultad de la investigación en ingeniería social

Para comprender mejor la ingeniería social, se pueden utilizar diferentes metodologías

En el contexto de la ingeniería social, una desventaja de esta metodología es que no

Encuestas (Entrevistas y Reportajes)

En tercer lugar, en el contexto del comportamiento de la seguridad de la información, se ha

!La piratería informática y la subcultura hacker !

!La tecnología como medio de rehabilitación: un impacto medible en la reducción

Acquisti, A., Brandimarte, L. y Loewenstein, G. (2015). Privacidad y comportamiento humano en la era de

Cornualles, DB (1994). El análisis procesal del delito y su relevancia para la situación

Gotts, J. (2011).Hacker por diversión: Las aventuras de Kevin Mitnick.Consultado el 24-sep-2018,

Ver estadísticas de publicación

You might also like