Professional Documents
Culture Documents
Ingenieria Social 2-20.en - Es
Ingenieria Social 2-20.en - Es
com
Ingeniería social
CITAS LEE
3 11,136
2 autores:
VER EL PERFIL
Algunos de los autores de esta publicación también están trabajando en estos proyectos relacionados:
PecadoVer Proyecto
Todo el contenido que sigue a esta página fue subido pormariana jungerel 04 de marzo de 2020.
Contenido
¿Qué es la ingeniería social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Historia de la Ingeniería Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Diferentes tipos de ingeniería social, su éxito y contramedidas. . . . . . . . . . . . . . . . . . 4
Llamada de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Correo 5
electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cara a 6
cara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensaje de 7
texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Qué hacer contra la ingeniería 8
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Quién es más vulnerable a la ingeniería 9
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¿Por qué es exitosa la ingeniería 10
social? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Características del objetivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Estrategias del delincuente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dificultad de la Investigación en Ingeniería Social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Estudios de caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Encuestas (Entrevistas y Reportajes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
experimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Referencias cruzadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
m. junger
Universidad de Twente, Enschede, Países Bajos Correo
electrónico:m.junger@utwente.nl
© Los autores, bajo licencia exclusiva de Springer Nature Switzerland AG 2019 T. Holt, AM 1
Bossler (eds.),El Manual Palgrave de Ciberdelincuencia Internacional y Ciberdesviación,
https://doi.org/10.1007/978-3-319-90307-1_38-1
2 J.-W. Bullée y M. Junger
Resumen
La ingeniería social es el uso de manipulación social y trucos psicológicos para
hacer que los objetivos ayuden a los delincuentes en su ataque. Entre los
informáticos, la ingeniería social se asocia con llamar a un objetivo y pedirle su
contraseña. Sin embargo, esta amenaza puede manifestarse de muchas formas.
En este capítulo, se analizan cuatro modalidades de ingeniería social (es decir,
llamada de voz, correo electrónico, cara a cara y mensaje de texto). Explicamos
los conceptos psicológicos que intervienen en la ingeniería social. Incluyendo (i)
por qué las personas son victimizadas y (ii) cómo los delincuentes abusan de las
leyes del razonamiento humano. Una serie de estudios de campo ilustra el éxito
de la ingeniería social. Además, qué grupo es más vulnerable a la ingeniería
social y a qué ¿Hasta qué punto las intervenciones contrarrestan el ataque?
Palabras clave
Acrónimos
2FA Autenticación de dos factores
CMC Comunicación mediada por
RCP computadora Resucitación
F2F cardiopulmonar Presencial
PBX Intercambios de sucursales privadas Ataque de
VCFA reenvío de código de verificación
La persona que llamó al viajero no fue Rebecca de la recepción. En cambio, era un delincuente
que llamaba a cada habitación de hotel en un intento de victimizar a alguien. ¿Qué sucedió que hizo
que el viajero le diera los datos de su tarjeta de crédito a un extraño? El escenario (Instituto SANS
2012) ilustra lo que se conoce como un ataque de ingeniería social. Abraham y Chengalur-Smith (
2010) propuso la siguiente definición: “El uso de disfraces sociales, estratagemas culturales y trucos
psicológicos para lograr que los usuarios de computadoras (es decir, los objetivos) ayuden a los
piratas informáticos (es decir, los delincuentes) en su intrusión o uso ilegal de sistemas y redes
informáticas”.La ingeniería social puede concebirse como un tipo de ataque no técnico basado en la
interacción humana que complementa la tecnología.
Ingeniería social 3
una nota adhesiva para evitarles la molestia de memorizarla. Al aprender este código, Stanley
logró transferir $10,2 millones a una cuenta en el extranjero en Suiza. Había llevado a cabo el
mayor atraco a un banco de la historia, sin usar ningún tipo de violencia o computadora
(Mitnick y Simon2002).
ABN-AMROEn Amberes (Bélgica), la capital mundial del diamante, se robaron
diamantes por valor de 21,5 millones. Sin el uso de ningún tipo de violencia, el
delincuente logró llevar a cabo este atraco. ¿Su arma? El infractor, un cliente habitual,
conoció a los empleados. Usando hechizos y comprando chocolates para el personal,
logró copiar las llaves de la bóveda (Castillo2007).
Kevin MitnickKevin Mitnick es conocido como el hacker más famoso del mundo y como la
persona que popularizó el término “ingeniería social”. En uno de sus primeros relatos, diseñó
socialmente a un conductor de autobús, lo que combinado con un poco de buceo en la
basura, resultó en viajes gratis en autobús (Gots2011). En años posteriores, Kevin aplicó sus
habilidades de ingeniería social a través del teléfono. Al preparar cuidadosamente los ataques,
pudo obtener acceso a partes de muchos sistemas telefónicos de Private Branch Exchanges
(PBX), que, entre otras cosas, le permitieron hacer llamadas gratuitas de larga distancia. En
1993, Kevin fue investigado por el FBI y condenado por varios delitos informáticos (Mitnick y
Simon2002; tiene2011).
Violación de RSA Security LLCEn marzo de 2011, un grupo de delincuentes utilizó técnicas
de ingeniería social para piratear RSA Security, la empresa (llamada así por las iniciales de los
cofundadores Ron Rivest, Adi Shamir y Leonard Adleman) conocida por los tokens de
autenticación de dos factores RSA. Mediante el uso de ingeniería social a través del correo
electrónico (es decir, phishing por correo electrónico), el delincuente persuadió a un empleado
para que abriera un archivo de hoja de cálculo adjunto que contenía malware. El malware
instaló una puerta trasera que permitía al delincuente acceder a la máquina. Desde allí, el
delincuente pudo navegar por la red (Richmond2011). El costo estimado de la brecha fue de $
66,3 millones. En el período posterior a la infracción, los márgenes brutos de RSA se redujeron
del 67,6 % al 54,1 % (King2011). Otro aspecto de la infracción es el daño a la reputación que
encontró RSA Security. En el negocio de la seguridad, uno es tan bueno como su reputación.
Se desconoce el impacto real de este ataque; sin embargo, le dio a la competencia una
oportunidad para cerrar (Savage2012).
Estos seis escenarios muestran que la ingeniería social existe desde hace algún tiempo y
puede ocurrir de diferentes maneras. La siguiente sección discute en qué formas puede
ocurrir la ingeniería social.
Hay infinitas formas en que los atacantes pueden engañar a otros humanos para su beneficio. El
servicio de asistencia para el fraude de los Países Bajos detecta 99 tipos de fraude; Siendo 12
conceptos amplios (por ejemplo, lavado de dinero), 28 tipos están relacionados con ciber
(Información disponible en www.fraudehelpdesk.nl.). El FBI discierne 33 tipos de delitos (Centro de
Quejas de Internet (IC3)2018a) y describe 18 esquemas de delitos en línea (Centro de quejas de
Internet (IC3)2018b) (A saber: (1) Fraude en Subastas; (2) Fraude en Subastas – Rumania; (3)
Ingeniería social 5
cheque de caja falsificado; (4) fraude con tarjetas de crédito; (5) Eliminación de Deuda; (6) esquema
de correo electrónico de mensajería de paquetes; (7) Oportunidades de Empleo/Negocios; (8) fraude
de servicios de depósito en garantía; (9) Robo de Identidad; (10) Extorsión por Internet; (11) Fraude
de inversiones; (12) Loterías; (13) Carta nigeriana o “419”; (14) Phishing/Spoo!ng; (15) Ponzi/Pirámide;
(16) Reenvío; (17) correo basura; (18) Receptor de fondos de terceros). Una forma de categorizar la
ingeniería social es por el tipo de comunicación con la víctima. En esta sección, exploramos cuatro
modalidades que los delincuentes pueden usar en la ingeniería social, qué tan exitosos son y el éxito
de sus contramedidas.
Llamada de voz
La ingeniería social a través del teléfono también se conoce como estafa telefónica, estafa de soporte
técnico o llamada en frío. Por ejemplo, desde 2008, “la estafa de Microsoft” la llevan a cabo a nivel
mundial delincuentes que afirman ser empleados del departamento técnico de Microsoft (Arthur
2010). Al principio, el objetivo eran los países de habla inglesa nativa y, más tarde, el resto del
mundo. El guión de la estafa es el siguiente: el objetivo recibe una llamada telefónica en su casa, el
delincuente se presenta como un empleado del departamento técnico de Microsoft y le informa que
la integridad de esta PC y los datos están en riesgo. Para verificar el reclamo del infractor, se
persuade al objetivo para que abra una conexión de escritorio remoto para revisar algunos de los
archivos de registro como evidencia (Arthur2010). Afortunadamente, el delincuente tiene una
solución que resolverá el problema. Una pequeña herramienta de software que se puede comprar
para evitar la pérdida de datos y el pago es posible mediante tarjeta de crédito o PayPal. Cuando
luego revisa el saldo de la cuenta bancaria, el objetivo se da cuenta de que sus ahorros se han ido.
Mientras que el objetivo piensa que está haciendo lo correcto al asegurar su sistema informático, en
cambio, se convierte en víctima.
Es difícil determinar el éxito de este tipo de ataque. En un intento de obtener una indicación de la
prevalencia, se contactó con el servicio de asistencia para fraudes holandés (una organización que
recopila informes sobre fraudes). En el período comprendido entre 2015 y 2018, se reportaron 4507
incidentes, mientras que 499 fueron victimizados (11,1%). El daño total informado fue de !850.701, un
promedio de más de !1700 por víctima. Estos números deben considerarse como una estimación
aproximada, ya que este método de recopilación de datos es propenso a sesgos (p. ej., recordar mal
la cuenta o sentirse demasiado avergonzado para informar; consulte la sección "Encuestas
(Entrevistas y Reportajes)”para más detalles).
En un entorno experimental, se realizó una estafa de soporte técnico a 92 empleados
(Bullée et al.2016). Dos semanas antes del simulacro de ataque, un tercio de los objetivos (
norte =28) recibió una intervención. Otro tercio de los objetivos (norte =29) recibió 1 semana
antes de la prueba de campo una intervención. La intervención constaba de dos partes: (i) un
"yo" explicando qué era una estafa telefónica, por qué era peligrosa y cómo protegerse; y (ii)
un tarjetahabiente que contenía el texto "Cuidado con las estafas. Verifique todas las
solicitudes. Informe todos los incidentes.” El resultado fue que el 40% (norte =14) de los
empleados del grupo de control siguieron todas las instrucciones del infractor para instalar el
software, frente al 17,2% (norte =5) de los del grupo de 1 semana (!2= 3.935, df =1,p =0,047).
Sin embargo, de los del grupo de 2 semanas, el 42,9% (norte =12) cumplió con el infractor (!2=
0.052,df =1,p =0,819); consulte la Fig.1(Bullee et
6 J.-W. Bullée y M. Junger
80
Porcentaje de cumplimiento
60
40 42,9
40
20 17.2
0 1 2
Tiempo (semanas) desde el sujeto
intervención experimentada
Alabama.2016). Esto significa que hubo una reducción significativa en la victimización para aquellos que
recibieron la intervención 1 semana antes del simulacro de ataque; sin embargo, este efecto no estuvo
presente para el grupo de 2 semanas.
Correo electrónico
La ingeniería social a través del correo electrónico a menudo se conoce como "phishing". En el phishing por
correo electrónico, el objetivo recibe un correo electrónico malicioso que intenta convencerlo de que visite
un sitio web fraudulento. Estos sitios web a menudo tienen un solo objetivo: engañar a las personas para
que compartan información confidencial (por ejemplo, contraseñas o números de seguro social) (Ramzan
2010). El phishing se define como “unacto escalable de engaño mediante el cual se utiliza la suplantación de
identidad para obtener información de un objetivo” (últimodrager2014, pag. 8). La primera parte de la
definición (“acto escalable”) se relaciona con la distribución masiva de mensajes. La segunda parte (“engaño
mediante el cual se utiliza la suplantación de identidad”) es necesaria para hacerlo fraudulento.
Los evaluadores de penetración argumentaron que el 80% de los empleados caen en el phishing
cuando el correo electrónico dice que hay un iPad gratis para la persona que hace clic en el enlace
(de una conversación con el segundo autor). Por otra parte, un rápido análisis dek =16 estudios, que
contienennorte =25.890 sujetos de investigación, muestran que el éxito promedio de las campañas
de phishing está en el rango de 2 a 93 % (promedio de 30,9 % y promedio ponderado de 17,2 %).
Cada uno de los estudios antes mencionados utilizó un correo electrónico simulado diferente y hubo
diferentes tipos de usuarios involucrados (por ejemplo, estudiantes o empleados). Además, podría
haber un aspecto cultural que influya en los resultados, ya que los estudios se realizan en Europa y
América del Norte en diferentes institutos. La conclusión es que el éxito del phishing por correo
electrónico es inestable y depende en gran medida tanto del mensaje como del contexto. Aunque
hay muchas diferencias entre los estudios, esto da una primera indicación del éxito general del
phishing por correo electrónico.
Con respecto a las contramedidas del phishing de correo electrónico, el efecto de entrenar o
jugar un juego se ha investigado tanto en un entorno de laboratorio (consulte Kumaraguru et al.
Ingeniería social 7
Cara a cara
Hemos visto ingeniería social a través de una llamada telefónica; el delincuente llama a los objetivos
y, por ejemplo, trata de convencerlos de que descarguen software malicioso. También hemos visto
ingeniería social a través del correo electrónico (es decir, phishing), donde el delincuente envía un
correo electrónico a su objetivo y lo convence para que visite un sitio web malicioso. El delincuente
también puede decidir visitar físicamente al objetivo y realizar la ingeniería social cara a cara (F2F). En
lugar de llamar al objetivo por teléfono o enviar un correo electrónico, lo visitan en persona.
En una universidad de los Países Bajos, se instruyó a un grupo de estudiantes para que
aprendieran un guión y realizaran un ataque de ingeniería social F2F (Bullée et al.2015). En
este ataque, el delincuente tenía que ir y hablar con el objetivo en persona. El ataque tenía
como objetivo hacer que el objetivo entregara la llave de la oficina al infractor (es decir, a un
extraño). parte de las materias (norte =46) recibió, mediante asignación aleatoria, una
intervención que constaba de tres elementos: (i) un "yer" explicando qué es la ingeniería
social, por qué es peligrosa y cómo protegerse; (ii) un llavero negro con el logo de la
universidad por un lado y el texto “No me entregues a un extraño” por el otro lado (ver Fig.2a,
b); (iii) un cartel que le indique que no comparta su PIN, claves o contraseñas.
El resultado fue que el 62,5% (norte =45) de los sujetos del grupo de control entregó la llave de su
oficina, en comparación con el 37,0% (norte =17) de los del grupo de intervención (!2= 7,34,df =1,p =
0,007) (Bullée et al.2015). En muchos casos, la llave de la oficina se adjuntaba a otras llaves y se
entregaba todo el conjunto, incluidas las llaves de la bicicleta, las llaves de la casa, las llaves del
automóvil, las llaves maestras, las tarjetas de fidelización y los dispositivos de almacenamiento USB.
8 J.-W. Bullée y M. Junger
Mensaje de texto
Finalmente, analizamos la ingeniería social a través de mensajes de texto, también conocida como
smishing o phishing por SMS. A través de mensajes SMS (o aplicaciones móviles de mensajería, por
ejemplo, WhatsApp), el delincuente intenta imitar las comunicaciones legítimas, a menudo con el
objetivo de recopilar información personal o dinero. Esta sección describe tres ataques de ingeniería
social a través de mensajes de texto, un ataque razonablemente simple y dos ataques más
sofisticados.
Primero: en una cuenta, el objetivo recibe un mensaje a través de WhatsApp de uno
de sus contactos que lo anima a hacer clic y recibir vales de £ 100 para el supermercado.
Al hacer clic en el enlace, el delincuente puede instalar software malicioso en el teléfono
(McGoogan2016).
Segundo: Un escenario de ataque, usando WhatsApp, tiene como objetivo robar dinero
haciéndose pasar por un miembro de la familia. Se utiliza el siguiente MO: El delincuente
informa al objetivo de tener un nuevo número de teléfono. Esto incluye una imagen de perfil
coincidente de la persona suplantada. La imagen se extrae de las redes sociales, así como de
las relaciones familiares y de cómo las personas interactúan entre sí (Fraudehelpdesk.nl).
2018a). A menudo, primero hay una pequeña charla, seguida de una llamada de ayuda. Hay
facturas que deben pagarse lo antes posible y hay problemas con el sistema bancario en línea.
Para ayudar al familiar necesitado, usted paga las facturas (Radar2019). Mientras piensas que
estás ayudando, en cambio te victimizan.
Durante los primeros 6 meses de 2018, Dutch Fraud Help Desk recibió 160 informes de
incidentes relacionados con intentos de fraude a través de WhatsApp (Majid2018). Esto es
cuatro veces más que durante el mismo período en 2017 (Fraudehelpdesk.nl2018b), lo que
sugiere un gran aumento en este tipo de ataques. Las cuentas reportadas involucraban fraude
de identidad donde un delincuente fingía ser un miembro de la familia (generalmente un hijo
o una hija) y le pedía al objetivo (generalmente un padre) que enviara dinero para una
emergencia. En promedio, el daño fue de !2000 por caso (Fraudehelpdesk.nl2018b).
Aunque, hasta donde sabemos, no se conoce una tasa de éxito de esta estafa, los
números indican que se está disparando. Se requiere más investigación para obtener
una comprensión más profunda de este ataque.
Tercero: este escenario describe cómo un delincuente usa SMS para eludir una capa de seguridad
adicional (es decir, autenticación de dos factores (2FA)). En 2FA, junto a un nombre de usuario y
contraseña, se requiere un segundo factor (p. ej., código de verificación de SMS) para iniciar sesión.
El proveedor de servicios envía el código de verificación al número de teléfono que registró, lo que
proporciona una capa adicional de seguridad. Sin embargo, el delincuente puede “pasar por alto”
este segundo factor enviando un SMS hábilmente construido al objetivo; este ataque es
Ingeniería social 9
también conocido como ataque de reenvío de código de verificación (VCFA) (Siadati et al.2017;
Jakobsson2018). Este ataque requiere tres partes: (i)O =delincuente, (ii)S =proveedor de
servicios y (iii)T =objetivo y cinco pasos:
1.¡Oh! S:El infractor solicita al proveedor de servicios que entregue el código de verificación;
2.S ! T:El proveedor de servicios envía un código de verificación al objetivo;
3.¡Oh! T:El delincuente engaña al objetivo para que envíe el código de verificación;
4.T! O:El objetivo reenvía el código de verificación al infractor;
5.¡Oh! S:El infractor inicia sesión proporcionando un código de verificación.
(ii) características de audio (es decir, grabación de voz) y (iii) características de transcripción (es decir,
texto escrito), los investigadores lograron llegar a un predictor de engaño. En el contexto de los
videos de juicios en la sala del tribunal, demostraron que el predictor se desempeñó un 11 % mejor
que los humanos a quienes se les pidió que hicieran una clasificación (verdad o mentira) sobre los
mismos datos (Wu et al.2017). Sin embargo, el uso de microexpresiones también ha sido criticado
por no ser lo suficientemente efectivo en la práctica (Burgoon2018).
Se han realizado estudios sobre las características lingüísticas de los relatos verbales.
Algunos estudios presentaron una descripción optimista de las posibilidades de los programas
de computadora para discernir características en un texto que ayudarían a distinguir las
mentiras de las verdades (Hancock y Gonzales2013). Se han presentado aplicaciones para
distinguir la mentira de la verdad en los discursos políticos (Hauch et al.2014) y en la quiebra
de ENRON (Keila y Skillicorn2005).
Un metanálisis sobre programas informáticos para la detección de mentiras encontró que solo un factor
era importante en la comunicación mediada por computadora (CMC): los mentirosos usaban más palabras,
mientras que en entrevistas o interacciones persona a persona, los mentirosos usan menos palabras (Hauch
et al. .2014). Todos los demás factores que se estudiaron no fueron significativos (es decir, cantidad de
palabras, diversidad de palabras de contenido, relación tipo-token, palabras de seis letras, longitud
promedio de palabras, cantidad de verbos, cantidad de oraciones, longitud promedio de oraciones) (Hauch
et al. 2014). En general, parece que la detección de mentiras, incluso para los profesionales encargados de
hacer cumplir la ley, es difícil y los resultados son inciertos. Sin embargo, estudios recientes encontraron que
tanto el movimiento del brazo como el del ratón pueden usarse para detectar el engaño (Sartori et al.2018).
Varios experimentos ya mostraron que la dinámica de pulsación de teclas podría usarse para obtener un
efecto similar (Sartori et al.2018). Por ejemplo, los usuarios de computadoras que mienten usan más
retrocesos y ejecutan más ediciones.
En conclusión, mientras que los humanos probablemente seguirán siendo malos detectores de mentiras, las máquinas podrían
centrarse en la ingeniería social a través del correo electrónico, debido a la cantidad de estudios empíricos
disponibles.
Sexo
En el contexto de la ingeniería social por correo electrónico, creemos que no hay razón para suponer que las
mujeres y los hombres se desempeñan de manera diferente. Dado que el correo electrónico es una parte
integral de nuestra vida, es de esperar que tanto mujeres como hombres tengan una experiencia similar con
el phishing y, por lo tanto, estén igualmente equipados para identificar intentos de phishing (Moody et al.
2017).
Nos enfocaremos en 12 estudios que investigaron la relación entre el sexo y el éxito del
phishing por correo electrónico en un experimento de campo. Se persuadió a todos los
sujetos para que hicieran clic en un enlace o proporcionaran datos. Hubo siete estudios que
investigaron una población estudiantil (Jagatic et al.2007; Halevi et al.2013; Wright et al.2014;
Beneson et al.2017; Goel et al.2017; Moody et al.2017; Carella et al.2018) cuatro empleados
investigados (Holm et al.2013; Flores et al.2015; Bullée et al. 2017a; van der meer2017), y uno
utilizó a civiles como población (Oliveira et al. 2017). La razón por la que hay más poblaciones
estudiantiles investigadas es que tienen un mayor riesgo de victimización (Sheng et al.2010).
De los 12 estudios, cuatro encontraron que las mujeres tenían más riesgo que los hombres,
mientras que ocho no encontraron un efecto principal del sexo. Sin embargo, podría haber un
efecto moderador; Cuatro de los siete estudios que investigaron a los estudiantes encontraron
que las mujeres tenían mayor riesgo (Carella et al. 2018; Halevi et al.2013; Jagatic et al.2007;
Wright et al.2014). Quienes investigaron al personal oa los civiles no encontraron tal efecto. En
resumen, no parece haber un efecto principal del sexo sobre la victimización; sin embargo,
una variable moderadora podría explicar estos hallazgos.
Años
Todo el mundo puede ser objeto de un ataque de ingeniería social, tanto jóvenes como mayores.
Investigaciones anteriores vincularon la edad con el comportamiento de riesgo. Los hallazgos sobre los
riesgos fuera de línea sugieren que los adolescentes corren más riesgos que los adultos (Hirschi y
Gottfredson1983; Massie et al. 1995; Steinberg2007). Dado que el cerebro de los adolescentes aún está en
desarrollo, tienden a involucrarse (en promedio) en comportamientos más riesgosos (Reyna y Farley2006;
Sheng et al. 2010). La búsqueda de sensaciones, la búsqueda de emociones, la impulsividad y otras
conductas de riesgo son parte del aprendizaje continuo sobre el mundo. Además, las personas más jóvenes
tienden a aprender menos de la experiencia que las personas mayores, mientras que las personas mayores
resisten el comportamiento arriesgado por intuición (Reyna y Farley2006). Sin embargo, para el
comportamiento en línea, esta relación con la edad es menos clara (Baumgartner et al.2010). En el contexto
del delito cibernético, se argumentó que las personas más jóvenes corren más riesgo ya que tienen menos
años de educación, menos años en Internet, menos exposición a materiales de capacitación y menos
aversión al riesgo (Sheng et al.2010).
Presentamos los resultados de cuatro estudios experimentales que controlan las posibles
diferencias por edad en la exposición (Holm et al.2013; Bullée et al.2017a; Moody et al. 2017;
Oliveira et al.2017). El resultado fue que un estudio encontró que las personas mayores, en
lugar de las jóvenes, eran el grupo con mayor riesgo (Holm et al.2013). Los otros tres estudios
no encontraron un efecto principal de la edad. Dos estudios informaron que había una
12 J.-W. Bullée y M. Junger
Mayor riesgo
norte Objetivo Población Modalidad Sexo Años Éxitoa Árbitro
efecto de interacción con una tercera variable: (i) los empleados más jóvenes con pocos años de
servicio en la organización tienen mayor riesgo (Bullée et al.2017a) y (ii) las mujeres mayores eran los
grupos de mayor riesgo (Oliveira et al.2017).
En conclusión, la investigación sobre los efectos de la edad y el sexo en la investigación de
ingeniería social mostró resultados mixtos. Por lo tanto, una conclusión general es difícil ya que
muchos estudios no encontraron relaciones. Sin embargo, cuando se encuentra una relación,
generalmente se informa que las mujeres y los grupos de edad más jóvenes parecen tener un mayor
riesgo de ser víctimas de experimentos de ingeniería social. Para obtener un resumen de los
estudios, consulte la Tabla1.
En cuanto al éxito de la ingeniería social, es imposible dar números precisos:
como se muestra en la Tabla1, el porcentaje de éxito depende mucho de la
redacción y la forma del mensaje engañoso, así como del contexto.
Sección "¿Por qué es exitosa la ingeniería social?”explica por qué victimizar a los humanos
usando ingeniería social es relativamente fácil.
Ingeniería social 13
La investigación sobre seguridad, confianza y divulgación de la información también ha estudiado qué tan
fácil es hacer que los usuarios en línea divulguen información personal. También nos basamos en la
literatura sobre divulgación para explicar la facilidad con la que las personas tienden a caer en la ingeniería
social. Se discuten tanto la perspectiva de las características del objetivo como las tácticas del delincuente.
Falta de conocimiento
Los usuarios tienen un conocimiento insuficiente y carecen de estrategias para identificar
vulnerabilidades y estafas (Purkait2012). No conocen los métodos que usan los atacantes para
ejecutar sus crímenes (Jansen y Leukfeldt2015). En un estudio experimental de advertencias antes de
descargar un archivo pdf, muchos sujetos explicaron que confiaban en el programa antivirus o
pensaban que los archivos pdf siempre eran seguros (Krol et al.2012).
Un experimento de Grazioli y Wang (2001) estudió los determinantes del éxito o el fracaso para
determinar si un sitio web era fraudulento o no. Llegaron a la conclusión de que todos los sujetos
eran igualmente buenos para inspeccionar el sitio web o para percibir señales de engaño. Sin
embargo, el fracaso se debió a que la generación de hipótesis, con base en las señales percibidas, no
puede evaluarse. Los autores concluyeron que “preparar a los sujetos para facilitar la generación de
hipótesis es inútil a menos que les proporcionemos el conocimiento adecuado para evaluar la
hipótesis preparada” (Grazioli y Wang2001, pag. 201). Él
Ingeniería social 15
los autores piensan que esto es una buena noticia, en general, porque, cuando se les proporciona
más conocimiento, los usuarios deberían poder actuar de manera más inteligente. Acquisti et al. (
2015) la conclusión es que muchos usuarios desconocían el hecho de que la información que les
solicitaban los investigadores podía ser abusiva: “La gente a menudo desconoce la información que
está compartiendo, desconoce cómo se puede usar e incluso en situaciones excepcionales, cuando
tienen pleno conocimiento de las consecuencias de compartir, inseguros acerca de sus preferencias.”
Debido a su falta de conocimiento, los usuarios siguen su opción “predeterminada”, que es la
confianza, la obediencia y la divulgación de información.
En la sección anterior se discutió la falta de conocimiento como una de las principales causas de
victimización. Un re!namiento de la falta de conocimiento es falta de conocimiento de las consecuencias. Es
posible que los usuarios no comprendan la gravedad de las consecuencias si completan su información
personal en un sitio web falsificado (Purkait2012; Oeste2008). Parece plausible que las víctimas no sean
conscientes de las posibles consecuencias de un esquema fraudulento. Sin embargo, no todos los
investigadores encontraron que la falta de conocimiento es una de las principales causas de victimización.
Un estudio que entrevistó a víctimas de estafas informó que las víctimas a menudo tienen un
conocimiento significativo sobre el tema del contenido de la estafa (Lea et al.2009, pag. 137). Por
ejemplo, el conocimiento previo de acciones y acciones puede aumentar la probabilidad de caer en
una estafa de inversión. Alternativamente, las personas que tienen experiencia en ganar un precio en
loterías legítimas pueden ser más propensas a caer en una estafa de lotería, en comparación con
aquellas que no tienen tal experiencia (Lea et al.2009, pag. 137). El proceso cognitivo subyacente es
el sesgo de exceso de confianza (consulte la sección "Sesgos cognitivos”). Otro hallazgo en la
literatura contra la idea de que las víctimas no son conscientes de las consecuencias proviene de la
investigación experimental. El entrenamiento que instala el miedo a las consecuencias no es ineficaz
para prevenir el phishing (Zielinska et al.2014).
Sesgos cognitivos
Los humanos usan heurísticas, o reglas empíricas, para tomar decisiones en situaciones
relativamente complejas (Benson2016). benson (2016) identificaron cuatro tipos de situaciones en las
que los humanos tienden a utilizar la heurística: (i) sobrecarga de información, (ii) falta de significado,
(iii) la necesidad de actuar con rapidez y (iv) cómo saber qué es necesario recordar Para luego.
Para obtener más información sobre los sesgos cognitivos, consulte Hilbert (2012). Acquisti et al. (2017)
sugirió siete tipos de sesgos relevantes para la divulgación en línea: anclaje, efectos de encuadre,
autocontrol, aversión a la pérdida, sesgo de optimismo, errores posteriores a la finalización y sesgo de statu
quo. A continuación, presentamos una breve descripción de los sesgos más relevantes para la vulnerabilidad
a la ingeniería social.
• AutocontrolEn economía del comportamiento, se dice que las personas descuentan el valor de la
recompensa posterior (Acquisti et al.2017). Varios estudios encontraron un vínculo con la victimización
por delitos cibernéticos (Bossler y Holt2010).
• sesgo de optimismoLas personas creen que es menos probable que les sucedan eventos
negativos a ellos que a otros y que es más probable que les sucedan eventos positivos a ellos que
a otros (Weinstein1980).
• Prueba sociales nuestra tendencia a mirar a los demás en busca de pistas sobre qué usar y cómo
comportarse (Nolan et al.2008). Un experimento de Facebook que mostró a las personas el número de
sus amigos que usaban funciones de seguridad llevó a que un 37 % más de espectadores exploraran las
funciones de seguridad promocionadas en comparación con la concienciación sobre problemas de
seguridad (Das et al.2014).
Ingeniería social 17
Atacantes inteligentes
Stajano y Wilson (2011) presentó los siete principios que utilizan los atacantes para
victimizar a sus objetivos, en función de su conocimiento del fraude. Derivan sus
principios de un análisis del programa de televisión de la BBC.El verdadero ajetreo.En
este programa, se recrearon una variedad de estafas y “estafas breves” para advertir al
público y evitar que caigan en las mismas estafas (Stajano y Wilson2011).
(i)El principio de distracción.Cuando los usuarios se distraen con lo que capta nuestro interés, los
ingenieros sociales se beneficiarán y muchos no se darán cuenta.
(ii)Principio de Cumplimiento Social.Las personas están entrenadas para no cuestionar la autoridad. Los
ingenieros sociales explotan esta tendencia “suspensión de la suspicacia” para hacernos hacer lo que
ellos quieren. El fraude de los directores ejecutivos se basa en gran medida en este principio (Stajano
y Wilson2011, pag. 72)
(iii)Principio de manada.Lo que otros están haciendo puede influir fuertemente en el comportamiento
(Goldstein et al.2008). El comportamiento de manada describe cómo los individuos de un grupo
pueden colaborar y hacer cosas que comprometan su seguridad (p. ej., véase Junger et al. 2017).
(iv)Principio de deshonestidad.La deshonestidad de los usuarios los hace vulnerables. Los estafadores
pueden usar cualquier cosa ilegal.
(v)Principio de bondad.Las personas son fundamentalmente agradables y dispuestas a ayudar a los demás. Los
ingenieros sociales se aprovechan descaradamente de ello.
(v)Principio de necesidad y codicia.Nuestras necesidades y deseos nos hacen vulnerables. Una vez que los
ingenieros sociales saben lo que queremos, pueden manipularnos fácilmente.
(vii)Principio del tiempo.Cuando están bajo presión de tiempo, las personas usan diferentes estrategias de decisión, y
los ingenieros sociales usan mucho este método, por ejemplo, en correos electrónicos de phishing.
Estudios de caso
Los estudios de casos son informes sobre una sola instancia de un escenario y se utilizan
a menudo en los medios populares (p. ej., periódicos o redes sociales) para informar
sobre ingeniería social. Hay libros sobre ingeniería social que contienen muchos
estudios de casos, por ejemplo (i)El arte del engaño: controlar el elemento humano de la
seguridad (Mitnick y Simón 2002), (ii)Ghost in the Wires: Mis aventuras como el hacker
más buscado del mundo (Mitnick et al.2011), (iii)Hackear al humano: técnicas de
ingeniería social y contramedidas de seguridad (hombre2008), y (iv)Ingeniería social: el
arte de la piratería humana (hadnagy y wilson2010).
Los delitos tradicionales se analizan desde la perspectiva tanto del delincuente como de la
víctima. En los delitos informáticos, encontrar al delincuente con fines de investigación es
difícil, especialmente cuando el objetivo no sabe que está siendo víctima (Bullée et al. 2017b).
Los cuatro libros mencionados anteriormente son, por lo tanto, particularmente interesantes
ya que están escritos por delincuentes que utilizan la ingeniería social. Los estudios de casos
se pueden utilizar en guiones delictivos para obtener una mejor comprensión de la ejecución
de un delito y, en particular, para el diseño de intervenciones específicas (Cornish1994). Se ha
demostrado el uso de guiones delictivos para varios delitos: fabricación de drogas (Chiu et al.
2011), actividad ilegal de residuos (Thompson y Chainey2011), reventa de vehículos robados
(Tremblay et al.2001), delitos sexuales en serie (Beauregard et al.2007), y también para la
ingeniería social (Bullée et al.2017b).
Los estudios de casos dan una idea del delito y dónde aplicar las intervenciones. Además, es un
método útil para generar hipótesis y teorías, mientras que los estudios de casos son menos útiles
para probar hipótesis (Flyvbjerg2006). Además, una desventaja es que los estudios de casos a
menudo carecen de rigor; En el pasado, los investigadores a menudo han sido descuidados e
incluyeron puntos de vista sesgados para influir en los hallazgos y conclusiones (Yin2009, pag. 14).
Finalmente, dado que los estudios de casos pueden ser complejos y extensos, a menudo es difícil
resumir adecuadamente un estudio de caso sin perder información valiosa (Flyvbjerg2006).
Las encuestas son un método conveniente para recopilar datos (Mathiyazhagan y Nandan 2010) y
obtener conocimientos sobre la ingeniería social y los delitos en general. En un tiempo relativamente
corto, se puede llegar a una gran audiencia por un costo razonablemente bajo (Jones et al.2013).
Preguntar a las personas sobre experiencias pasadas contribuye a obtener información sobre la
prevalencia de un delito y preguntar a las personas cómo reaccionarían en un caso particular.
Ingeniería social 19
situación puede proporcionar información sobre el éxito de un delito. Sin embargo, preguntar
a las personas directamente sobre su experiencia producirá un resultado sesgado, ya que
muchas encuestas no controlan la oportunidad (es decir, la pregunta de si las personas
recibieron un intento de fraude) (Ross et al.2014). Es evidente que no estar expuesto a un
intento delictivo nunca producirá una víctima; solo hay unas pocas encuestas que tienen esto
en cuenta (p. ej., Titus et al.1995). Otros factores que se deben tener en cuenta al realizar una
encuesta incluyen: (i) el encuestado podría no estar consciente de ser víctima, (ii) no recordó la
cuenta, (iii) olvidó que sucedió, o (iv) se siente demasiado avergonzado para informar (Ross et
al.2014). Finalmente, el sesgo de autoselección es una limitación a tener en cuenta. En
cualquier comunidad dada, algunas personas son más propensas que otras a completar una
encuesta o cuestionario (Stanton1998; Wright 2005).
Preguntar a las personas cómo esperan que se comporten en un escenario específico puede aportar
información sobre la tasa de éxito de un delito. Tenga en cuenta que las personas tienden a proporcionar
respuestas socialmente deseables que pueden sesgar los resultados de la encuesta. A menudo, se
sobreestima el “buen comportamiento”, mientras que se subestima el “mal comportamiento” (Crowne y
Marlowe1960). Este fenómeno también es conocido en ciencias políticas y se refiere a la inconsistencia en las
encuestas de opinión de los votantes y los resultados electorales (Payne2010).
Esta discrepancia se investigó en el contexto del miedo a la delincuencia, utilizando el
siguiente diseño: en primer lugar, los investigadores preguntaron a los encuestados cómo
reaccionaría el participante si un extraño llamara a su puerta por la noche. En una etapa
posterior, los investigadores visitarían a sus encuestados en su casa, tocarían su puerta y
observarían su comportamiento. El resultado fue una diferencia estadísticamente significativa
entre la reacción verbal esperada y su reacción conductual (p =0,001) (Van Dijk y Nijenhuis
1979).
Dos estudios de ingeniería social también utilizaron este enfoque. El primer estudio
involucró ingeniería social F2F social, y el objetivo era obtener llaves de oficina de los
objetivos. Se preguntó a los encuestados, según los pasos de un escenario, cómo
reaccionarían. De los 31 encuestados, 1 (3,23%) esperaba cumplir con la solicitud del
infractor. Los resultados del experimento de campo mostraron que 68 (58,62%) de los
116 sujetos cumplieron con la solicitud del infractor (Bullee2017).
El segundo estudio se realizó por teléfono; el objetivo era hacer que las personas
descargaran e instalaran software de una fuente no confiable. En una encuesta, se preguntó a
49 encuestados cómo pensaban que reaccionarían. El resultado fue que ninguno de ellos
cumplió con la solicitud del infractor, mientras que los resultados de la prueba de campo
mostraron que 14 (40%) descargaron e instalaron el software (Bullee2017).
Experimentos
Las limitaciones de la metodología de la encuesta se relacionan con la dificultad de las personas para
recordar un relato de un crimen. Mediante el uso de experimentos, se puede observar el
comportamiento de los sujetos en un entorno controlado (Siedler y Sonnenberg2010). Además, el
experimentador a menudo puede repetir el experimento hasta que se recopilen suficientes
observaciones para responder a la pregunta de investigación. Otra ventaja de los experimentos es
20 J.-W. Bullée y M. Junger
la capacidad de manipular una o más variables. El investigador puede controlar con precisión
la manipulación de variables especificando las condiciones exactas del experimento
(Christensen2007). Sin embargo, realizar un experimento sobre ciberdelincuencia e ingeniería
social requiere una cuidadosa planificación y consideración, por ejemplo, cómo presentar el
estudio a los sujetos. Las personas que conocen el objetivo del experimento podrían estar
sesgadas en su comportamiento. Es poco probable que realicen el mismo comportamiento (p.
ej., tengan niveles similares de sospecha) fuera del experimento; esto podría influir en la
validez ecológica del estudio (Furnell2007; Parsons et al.2013).
No tanto como una desventaja como algo a tener en cuenta es el diseño de investigación
de un experimento. Cada diseño tiene amenazas asociadas internas (es decir, historia,
maduración, pruebas, instrumentación, regresión estadística, sesgos de selección, mortalidad
experimental e interacción selección-maduración) y externas (es decir, el efecto reactivo o de
interacción de las pruebas; los efectos de interacción de sesgos de selección con la variable
experimental; efectos reactivos de los arreglos experimentales; interferencia de tratamientos
múltiples) validez (Campbell y Stanley1963). Debido al contexto y la puesta en práctica de un
experimento de ingeniería social, las opciones de diseños de investigación pueden reducirse.
Finalmente, dado que los experimentos de ingeniería social generalmente involucran humanos
(por ejemplo, empleados), se deben tener en cuenta consideraciones éticas (Informe Belmont 1979).
Particularmente desafiante es el uso del engaño (consulte la sección “Correo electrónico”) ya que
contradice principios éticos (Código de Reglamentos Federales2005).
Resumen
Este capítulo comenzó con el escenario de un viajero que fue engañado para que revelara la
información de su tarjeta de crédito. El delincuente utilizó la ingeniería social a través del teléfono,
una de las modalidades para realizar un ataque. Los experimentos de campo mostraron que el uso
de la ingeniería social como vector de ataque, según el contexto, genera muchas víctimas.
La victimización, desde el punto de vista de la víctima, es causada por tres factores: (i) las
personas tienen dificultad para detectar una mentira, (ii) las personas “sufren” sesgos
cognitivos (por ejemplo, asumir que toda comunicación es honesta), y ( iii) falta de
conocimiento para identificar estafas y prever consecuencias. Por otro lado, los delincuentes
son conscientes de estas debilidades y no temen utilizarlas en sus ataques. Los siete principios
de ataque descritos por Stajano y Wilson (2011) ilustra este punto.
Discutimos campañas que redujeron con éxito la victimización por ingeniería social. La aplicación
web interactiva y cómica PhishGuru NoPhish hizo que las personas fueran más resistentes al
phishing por correo electrónico. Para contrarrestar el ataque de reenvío de código de verificación
(VCFA) a través de mensajes de texto, un mensaje de advertencia en el mensaje de verificación
demostró una reducción sustancial en la victimización.
A pesar de los ejemplos de intervenciones exitosas, necesitamos más investigación sobre cómo
prevenir la ingeniería social y cuáles son los principios de las intervenciones exitosas. Se han
observado varios problemas en estudios anteriores. Aunque las intervenciones para contrarrestar la
ingeniería social pueden tener efectos significativos, el estudio de Bullée et al. (2016) también
encontraron un efecto de descomposición de fuerza similar. Significa que con el tiempo, el
Ingeniería social 21
el conocimiento (o la habilidad para actuar sobre el conocimiento) se evapora al nivel del grupo de
control. Es nuestra opinión que este fenómeno requiere mayor investigación y es una sugerencia
para futuras investigaciones.
Tenemos tres sugerencias para futuras investigaciones. Primero, como se mencionó en el párrafo
anterior: "¿Cómo se pueden utilizar los 'refuerzos' para contrarrestar el efecto de deterioro?" El
efecto de la intervención sólo se presentó a corto plazo. Por lo tanto, un estudio de seguimiento
adecuado podría implicar el uso de intervenciones de refuerzo "rápidas" para contrarrestar el efecto
de descomposición. Esto ya se probó en el contexto de la retención de habilidades de reanimación
cardiopulmonar (RCP) (Sutton et al.2011).
En segundo lugar, en muchos casos, los estudios de campo se realizaron una sola vez. Todos los
experimentos fueron instantáneas de la organización. Los resultados dicen algo del estado de cosas
en un momento particular. Un trabajo futuro interesante podría ser hacer un estudio longitudinal
donde los sujetos sean evaluados varias veces. Sería particularmente interesante ver cómo ser
"victimizado" en una prueba de este tipo influye en el comportamiento en futuras pruebas. La
sugerencia implica un estudio longitudinal: "¿Cuáles son los efectos de los repetidos intentos de
victimización?" o "¿Cuál es el efecto de ser victimizado en el comportamiento en futuras pruebas?"
Referencias cruzadas
Referencias
Abraham, S. y Chengalur-Smith, I. (2010). Una descripción general del malware de ingeniería social: tendencias,
tácticas e implicaciones.Tecnología en la Sociedad, 32(3), 183–196.
22 J.-W. Bullée y M. Junger
Carella, A., Kotsoev, M., Truta, T. (2018). Impacto de la capacitación en concientización sobre seguridad en los clics de phishing
a través de tarifas (vol. 2018-enero, págs. 4458–4466).
Castillo, S. (2007).Ladrón corteja al personal del banco con chocolates y luego roba diamantes por valor de 14 millones de libras esterlinas.
Recuperado el 06-ago-2018, dehttps://www.independent.co.uk/news/world/europe/thief-
woosbank-staff-with-chocolates-then-steals-diamonds-worth-16314m-5332414.html
Chan, M., Woon, I. y Kankanhalli, A. (2005). Percepciones de la seguridad de la información en el trabajo-
lugar: vincular el clima de seguridad de la información con el comportamiento de cumplimiento.Revista de Privacidad y
Seguridad de la Información, 1(3), 18–41.
Chiu, Y.-N., Leclerc, B. y Townsley, M. (2011). Análisis del guión delictivo de la fabricación de drogas en
Laboratorios clandestinos: Implicaciones para la prevención.Revista británica de criminología, 51 (2),
355–374.
Christensen, L. (2007).Metodología experimental.Boston: Pearson/Allyn & Bacon.
Código de Regulaciones Federales. (2005).Título 45: Bienestar público, Departamento de Salud y Derechos Humanos
Servicios, parte 46: Protección de sujetos humanos.Imprenta del Gobierno de EE.UU. Washington DC)
Kosfeld, M., Heinrichs, M., Zak, PJ, Fischbacher, U. y Fehr, E. (2005). La oxitocina aumenta la confianza
Inhumanos.Naturaleza, 435(7042), 673–676.
Krol, K., Moroz, M. y Sasse, MA (2012). no trabajes ¿No puedes trabajar? Por qué es hora de repensar
advertencias de seguridad. En2012 7ª conferencia internacional sobre riesgos y seguridad de internet y
sistemas (CRiSIS).IEEE.
Kumaraguru, P., Rhee, Y., Acquisti, A., Cranor, L., Hong, J. y Nunge, E. (2007a). Proteger
personas del phishing: el diseño y la evaluación de un sistema de correo electrónico de capacitación integrado. En
Conferencia sobre factores humanos en sistemas informáticos – actasACM Nueva York, NY, EE. UU. (págs. 905–
914).
Kumaraguru, P., Rhee, Y., Sheng, S., Hasan, S., Acquisti, A., Cranor, L., et al. (2007b). Conseguir
usuarios a prestar atención a la educación anti-phishing: Evaluación de retención y transferencia.Serie de
Actas de la Conferencia Internacional ACM, 269,70–81.
Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, LF y Hong, J. (2008). Lecciones de un mundo real
evaluación de la formación anti-phishing. EnCumbre de investigadores de Ecrime, 2008IEEE, Nueva York, NY, EE.
UU. (págs. 1 a 12).
Kumaraguru, P., Cranshaw, J., Acquisti, A., Cranor, L., Hong, J. y Blair, M., et al. (2009). Escuela
de phish: una evaluación del mundo real del entrenamiento anti-phishing. EnSOUPS 2009: actas del quinto
simposio sobre privacidad y seguridad utilizables.ACM. Nueva York, Nueva York, EE. UU.
Kunz, A., Volkamer, M., Stockhardt, S., Palberg, S., Lottermann, T. y Piegert, E. (2016). Nophish:
Evaluación de una aplicación web que enseña a las personas a ser conscientes de los ataques de
phishing. EnGijahrestagung. “Gesellschaft für Informatik eV”, Bonn, Alemania.
Langer, EJ (1975). La ilusión del control.Revista de Personalidad y Psicología Social, 32(2),
311.
Lastdrager, EE (2014). Lograr una de!nición consensuada de phishing basada en un
revisión de la literatura.Ciencia del crimen, 3(1), 1–10.
Lastdrager, EE, Carvajal Gallardo, I., Hartel, P., & Junger, M. (2017). ¿Qué tan efectivo es anti-
¿Entrenamiento de phishing para niños? EnXIII simposio sobre privacidad y seguridad usable
(sopas 2017).Santa Clara: Asociación USENIX.
Lea, S., Fischer, P. y Evans, K. (2009).La psicología de las estafas: Provocar y cometer errores
de juicio: Preparado para la oficina de comercio justo. (tecnología Reps.). Escuela de la Universidad de Exeter
Universidad de Exeter, Escuela de Psicología. Éxeter
Majid, A. (2018).Ik voelde me zo dom. Eén knop en alles fue weg.Consultado el 04-oct-2018,
dehttps://www.volkskrant.nl/nieuws-achtergrond/-ik-voelde-me-zo-dom-een-knop-en-alleswas-
weg-~bbadb2d6/
Mann, I. (2008).Hackear al humano: técnicas de ingeniería social y contramedidas de seguridad.
Aldershot: Gower.
Massie, DL, Campbell, KL y Williams, AF (1995). Tasas de implicación en accidentes de tráfico por
edad y sexo del conductor.Análisis y Prevención de Accidentes, 27(1), 73–87.
Mathiyazhagan, T. y Nandan, D. (2010). Método de investigación por encuesta.Media Mimansa, 4(1), 34–45.
McCallister, E. (2010).Guía para proteger la con!dencialidad de la información de identificación personal
ciónEditorial Diana. Collingdale, Pensilvania
McGoogan, C. (2016).Usuarios de Whatsapp atacados con la estafa de Sainsbury's de £ 100: cómo protegerse
usted mismo.Recuperado el 22-nov-2016, dehttp://www.telegraph.co.uk/technology/2016/10/25/
whatsapp-users-targeted-with-100-sainsburys-scam%2D%2D-how-to-protec/
Mishna, F., McLuckie, A. y Saini, M. (2009). Peligros del mundo real en una realidad en línea: A
estudio cualitativo que examina las relaciones en línea y el abuso cibernético.Investigación en Trabajo Social, 33(
2), 107–118.
Mitnick, K. y Simon, W. (2002).El arte del engaño: controlar el elemento humano de la seguridad.
Nueva York: Wiley.
Mitnick, K., Simon, W. y Wozniak, S. (2011).Fantasma en los cables: Mis aventuras como las del mundo.
hacker mas buscado.Nueva York: Little, Brown.
26 J.-W. Bullée y M. Junger
Moody, G., Galletta, D. y Dunn, B. (2017). Qué phishing se detecta en un estudio exploratorio de
susceptibilidad de las personas al phishing.Revista Europea de Sistemas de Información, 26(6),
564–584.
Moore, DA y Schatz, D. (2017). Las tres caras del exceso de confianza.Sociales y Personalidad
Brújula de psicología, 11(8), e12331.
Morgan, TJH y Laland, KN (2012). Las bases biológicas del conformismo.Fronteras en
Neurociencia, 6,87.
Nolan, JM, Schultz, PW, Cialdini, RB, Goldstein, NJ y Griskevicius, V. (2008). Normativo
la influencia social es infradetectada.Boletín de Personalidad y Psicología Social, 34(7), 913–
923. Oliveira, D., Rocha, H., Yang, H., Ellis, D., Dommaraju, S. y Muradoglu, M., et al. (2017).
Disección de correos electrónicos de phishing selectivo para adultos mayores y adultos jóvenes: sobre la
interacción de las armas de influencia y los dominios de la vida en la predicción de la susceptibilidad al phishing.
Actas de la conferencia chi de 2017 sobre factores humanos en sistemas informáticos (págs. 6412–6424). Nueva
York: ACM. Olson, JS, Grudin, J. y Horvitz, E. (2005). Un estudio de preferencias para compartir y privacidad. EnCHI
'05 resúmenes extendidos sobre factores humanos en sistemas informáticos - CHI '05.Prensa ACM. Pars, C.
(2017).Phree of phish: el efecto del entrenamiento anti-phishing en la capacidad de los usuarios para identificar
correos electrónicos de phishing. (Trabajo Fin de Máster inédito).
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2013). en l
J. Janczewski, HB Wolfe y S. Shenoi (Eds.),Seguridad y protección de la privacidad en los sistemas de
procesamiento de información: 28.ª conferencia internacional i!p tc 11, sec 2013, Auckland, Nueva
Zelanda, 8 al 10 de julio de 2013. Actas (págs. 366–378). Berlín/Heidelberg: Springer.
Parsons, K., McCormac, A., Pattinson, M., Butavicius, M. y Jerram, C. (2015). el diseño de
Estudios de phishing: Desafíos para los investigadores.Informática y Seguridad, 52,194–206. Payne, JG (2010). El
efecto Bradley: realidad mediatizada de la raza y la política en los Estados Unidos de 2008
elecciones presidenciales.Científico estadounidense del comportamiento, 54 (4), 417–435.
Pfeffer, J. (1985). Demografía organizacional: implicaciones para la gestión.Administrador de California
Revisión de ment, 28 (1), 67–81.
Purkait, S. (2012). Medidas contra el phishing y su efectividad: revisión de la literatura.Informa-
ción de Gestión y Seguridad Informática, 20(5), 382–420.
Radar. (2019).Fikse toename van oplichting a través de whatsapp.Recuperado el 04-abr-2019, de
https://radar.avrotros.nl/uitzendingen/gemist/item/!kse-toename-van-oplichting-via-whatsapp/
Ramzán, Z. (2010). Ataques de phishing y contramedidas. En P. Stavroulakis y M. Stamp (Eds.),
manual de seguridad de la información y las comunicaciones (págs. 433–448). Berlín/Heidelberg:
Springer.
Reyna, VF y Farley, F. (2006). Riesgo y racionalidad en la toma de decisiones de los adolescentes: Implicaciones
para la teoría, la práctica y las políticas públicas.Ciencia Psicológica en el Interés Público, 7(1), 1–
44. Richmond, R. (2011).El truco de rsa: cómo lo hicieron.Recuperado el 06-mrt-2019, dehttps://bits.
blogs.nytimes.com/2011/04/02/the-rsa-hack-how-they-did-it/
Ross, M., Grossmann, I. y Schryer, E. (2014). Contrariamente a la opinión psicológica y popular,
no hay pruebas convincentes de que los adultos mayores sean víctimas desproporcionadamente del fraude al
consumidor.Perspectivas de la ciencia psicológica, 9(4), 427–442.
Rouse, M. (2006).De!nición ingeniería social.objetivo tecnológico. Recuperado el 23-oct-2013, de
http://www.searchsecurity.techtarget.com/de!nition/social-engineering
Rousseau, DM, Sitkin, SB, Burt, RS y Camerer, C. (1998). No tan diferente después de todo: una cruz-
visión disciplinar de la confianza.Revisión de la Academia de Gestión, 23 (3), 393–404.
Sartori, G., Zangrossi, A., Monaro, M. (2018). Detección de engaños con métodos conductuales.
EnDetección de información oculta y engaño (págs. 215–241). Elsevier.
Salvaje, M. (2012).La brecha de rsa: un año después.Recuperado el 04-sep-2016, dehttp://buscar
security.techtarget.com/magazineContent/The-RSA-breach-One-year-later
Schneier, B. (2000a).Criptograma, 15 de octubre de 2000.Recuperado el 10-oct-2018, dehttps://www.
schneier.com/crypto-gram/archives/2000/1015.html
Schneier, B. (2000b).Secretos y mentiras: Seguridad digital en un mundo interconectado (1ª ed.). Nueva York:
Wiley.
Ingeniería social 27
Sheng, S., Holbrook, M., Kumaraguru, P., Cranor, LF y Downs, J. (2010). ¿Quién se enamora del phish?:
Un análisis demográfico de la susceptibilidad al phishing y la efectividad de las intervenciones. En
Actas de la conferencia sigchi sobre factores humanos en sistemas informáticos (págs. 373–382).
Nueva York: ACM.
Siadati, H., Nguyen, T., Gupta, P., Jakobsson, M. y Memon, N. (2017). Cuida tus SMS:
Mitigación de la ingeniería social en la autenticación de segundo factor.Informática y Seguridad, 65,14–
28. Siedler, T. y Sonnenberg, B. (2010).Experimentos, encuestas y el uso de muestras representativas como
dato de referencia. (tecnología Rep. No. 146). Consejo Alemán de Datos Sociales y Económicos
(RatSWD). Berlina
Solon, O. (2017).Frank Abagnale sobre la muerte del estafador y el auge de la ciberdelincuencia.
Recuperado el 26-sep-2018, dehttps://www.wired.co.uk/article/frank-abagnale
Stajano, F. y Wilson, P. (2011). Comprender a las víctimas de estafas: Siete principios para los sistemas
seguridad.Comunicaciones de la ACM, 54(3), 70–75.
Stanton, JM (1998). Una evaluación empírica de la recopilación de datos utilizando Internet.Personal
Psicología, 51(3), 709–725.
Steinberg, L. (2007). Toma de riesgos en la adolescencia: Nuevas perspectivas desde el cerebro y el comportamiento
ciencia.Direcciones actuales en ciencia psicológica, 16 (2), 55–59.
Sutton, RM, Niles, D., Meaney, PA, Aplenc, R., French, B., Abella, BS, et al. (2011). Bajo-
dosis, el entrenamiento de RCP de alta frecuencia mejora la retención de habilidades de los proveedores de pediatría en el
hospital. Pediatría, 128(1), e145–e151.
La Oficina Federal de Investigaciones. (2015).Compromiso de correo electrónico comercial.Consultado el 04-ago-2016,
dehttps://www.ic3.gov/media/2015/150827-1.aspx
El Instituto SANS. (2012).Boletín de ciberseguridad (ingeniería social – hackeando tu mente).
Recuperado el 23-ago-2016, dehttps://www.uab.edu/it/home/images/Module02-SocialEngineeri ng-
Newsletter.pdf
Thompson, L. y Chainey, S. (2011). Perfilar la actividad de desechos ilegales: usar guiones delictivos como datos
recopilación y estrategia analítica.Revista europea sobre política criminal e investigación, 17(3),
179–201.
Tito, RM, Heinzelmann, F. y Boyle, JM (1995). Victimización de personas por fraude.Delito &
Delincuencia, 41(1), 54–72.
Tremblay, P., Talon, B. y Hurley, D. (2001). Cambio de cuerpo y adaptaciones relacionadas en la reventa de
vehículos robados. Elaboración de guiones y curvas de aprendizaje de delitos agregados.Revista británica de
criminología, 41 (4), 561–579.
van der Meer, J. (2017).¿Qué es precies de zwakste schakel?Trabajo de fin de máster inédito, Erasmus
Universidad.
Van Dijk, J. y Nijenhuis, N. (1979). Ja zeggen, nee doen? een onderzoek naar de overeenkomst
actitudes verbales tussen en feitelijk gedrag bij angstgevoelens tav criminaliteit.Tijdschrift voor
Criminologie, 21(6), 257–273.
Verschuere, B., Köbis, NC, Bereby-Meyer, Y., Rand, D. y Shalvi, S. (2018). Exigir el cerebro para
descubrir mentira? Metanálisis del efecto de imponer una carga cognitiva sobre los costos de tiempo de reacción
de mentir.Revista de Investigación Aplicada en Memoria y Cognición, 7(3), 462–469.
Vrij, A., Fisher, RP y Blank, H. (2015). Un enfoque cognitivo para la detección de mentiras: un metanálisis.
Psicología Jurídica y Criminológica, 22(1), 1–21.
Wachs, S., Junger, M. y Sittichai, R. (2015). Roles de acoso tradicional, cibernético y combinado:
Diferencias en actividades riesgosas en línea y fuera de línea.Sociedades, 5(1), 109–135.
Weinstein, ND (1980). Optimismo poco realista sobre los eventos futuros de la vida.Revista de personalidad y
Psicología Social, 39(5), 806–820.
Oeste, R. (2008). La psicología de la seguridad.Comunicaciones de la ACM, 51(4), 34–40. Wright, KB
(2005). Investigación de poblaciones basadas en Internet: ventajas y desventajas de
investigación de encuestas en línea, paquetes de software de creación de cuestionarios en línea y servicios de
encuestas web.Revista de comunicación mediada por computadora, 10 (3), 00–00.
28 J.-W. Bullée y M. Junger
Wright, R., Jensen, M., Thatcher, J., Dinger, M. y Marett, K. (2014). Técnicas de influencia en
Ataques de phishing: un examen de la vulnerabilidad y la resistencia.Investigación de sistemas de
información, 25 (2), 385–400.
Wu, Z., Singh, B., Davis, LS y Subrahmanian, VS (2017). Detección de engaños en videos.
arxiv:1712.04415v1.Obtenido dehttp://arxiv.org/abs/1712.04415v1 Yin, R. (2009).Investigación de
estudio de caso: diseño y métodos.Thousand Oaks: SALVIA. Zielinska, OA, Tembe, R., Hong, KW, Ge,
X., Murphy-Hill, E. y Mayhorn, CB (2014). Uno
phish, dos phish, cómo evitar el phish de internet: Análisis de estrategias de entrenamiento para detectar correos
electrónicos de phishing.Actas de la Reunión Anual de la Sociedad de Factores Humanos y Ergonomía, 58 (1),
1466-1470.