miércoles, 18 de febrero de 2026

Ingeniería Social y Blindaje de la Identidad Digital.

 

1. Contexto Detallado del Grupo (3º ESO - Nivel Avanzado)

·        Grupo: 3º de ESO B (Línea Tecnológica).

·        Integrantes: 28 alumnos.

·        Perfil Psicosocial: Alta dependencia de la validación externa (likes/views). Un 40% del grupo utiliza plataformas de juego con micropagos (Roblox, Fortnite) y todos poseen smartphones con acceso ilimitado a internet. Se han detectado casos previos de "catfishing" (perfiles falsos) y conflictos por suplantación de identidad en grupos de WhatsApp.

·        Nivel Técnico: Saben saltarse restricciones de red (usan VPNs básicas), pero ignoran cómo funciona el cifrado o la persistencia de datos en servidores externos.

2. El Problema: Ingeniería Social y la "Puerta Trasera" Emocional

El problema identificado no es solo el robo de datos, sino la Ingeniería Social: la manipulación psicológica para que el usuario entregue voluntariamente sus credenciales o acceso a su sistema.

Definición para el aula: "No es que te hackeen el móvil, es que te hackean a ti para que les abras la puerta".

3 Dinámica Participativa: "El Caballo de Troya 2.0"

Metodología: La Analogía del "Acceso al Backstage"

Para complicar la analogía, compararemos la seguridad digital con un Gran Evento/Concierto de Élite que cuenta con tres niveles de seguridad:

1.     La Valla Exterior: El perímetro (Contraseñas).

2.     El Guardia de Seguridad: Verificación de identidad (MFA).

3.     El Pase de Backstage: Los permisos de las Apps (Privacidad).

Desarrollo de la Actividad (90 minutos - 2 sesiones)

Fase A: El Laboratorio de "Ciber-Engaño" (Roleplay)

Se divide a la clase en dos equipos:

·        Equipo Red (Atacantes): Deben diseñar un "anzuelo" (phishing) para conseguir que alguien del otro equipo les dé el nombre de su primera mascota o el modelo de su primer móvil.

·        Equipo Blue (Defensores): Deben identificar los errores en el mensaje del atacante (faltas de ortografía, urgencia ficticia, enlaces sospechosos).

Fase B: Mapa de Superficie de Ataque (Analítica)

Cada alumno debe dibujar su "Mapa de Conexiones". No solo su móvil, sino qué apps están vinculadas entre sí (ej. Inicié sesión en este juego usando mi cuenta de Google).

·        Objetivo: Visualizar el Efecto Dominó: "Si hackean mi cuenta de juego, entran en mi Gmail, y de ahí a mi cuenta bancaria o fotos privadas". 

4. Medida de Protección: El "Protocolo de Blindaje Escalonado"

Proponemos una medida técnica y organizacional que los alumnos deben ejecutar como un proyecto de clase:

A. Implementación de la "Bóveda de Identidad"

En lugar de una sola medida, se establece un estándar de tres capas para el grupo:

1.     Nivel Físico (La Llave de Paso): Desactivar el Bluetooth y el Wi-Fi automático en zonas públicas. Analogía: No vayas por la calle con los bolsillos abiertos y un cartel que diga 'tengo dinero'.

2.     Nivel Lógico (El Cifrado): Uso obligatorio de gestores de contraseñas y frases de paso (passphrases) complejas.

o   Reto: Crear una contraseña que tarde 1.000 años en ser hackeada (usando herramientas como How Secure Is My Password).

3.     Nivel de Autenticación (El Doble Check): Configurar obligatoriamente una App de autenticación (como Google Authenticator) en lugar de SMS, explicando que los SMS pueden ser interceptados (SIM Swapping).

 

5. Tabla Comparativa de Complejidad (Para el Alumno)

Situación del Mundo Físico

Riesgo Digital Equivalente

Medida de "Ingeniería de Defensa"

Disfrazarse de revisor del gas para entrar en una casa.

Phishing/Spoofing: Un email que parece de Instagram pidiendo tu clave.

Verificación de Origen: Analizar las cabeceras del correo y la URL real.

Usar una llave maestra que abre todo el edificio.

Contraseña Única: Usar la misma clave para TikTok, Correo y Banco.

Segmentación: Una contraseña distinta y compleja para cada servicio.

Alguien que te sigue para ver dónde guardas la llave.

Spyware/Keyloggers: Software que graba lo que escribes.

Uso de MFA: Aunque tengan la clave, no tienen el código dinámico de tu móvil.

6. Evaluación de la Actividad

Para dar por superada la actividad, cada alumno debe presentar un "Certificado de Auditoría Personal" donde demuestre (sin mostrar las claves) que:

·        Ha eliminado aplicaciones con permisos excesivos (ej. una linterna que pide acceso a contactos).

·        Ha activado el MFA en su cuenta principal.

·        Ha comprobado si su correo ha sido filtrado en bases de datos de hackers (usando Have I Been Pwned).

 

 

 DOCUMENTO DE COMPROMISO

Nivel: 3º de ESO | Curso: 2025-2026 | Materia: Digitalización / Tutoría

Este documento representa un acuerdo de confianza y seguridad entre el/la alumno/a, su centro educativo y sus tutores legales, con el fin de mitigar los riesgos de la Ingeniería Social y la Sobreexposición de Datos.

  

I. COMPROMISOS DEL ESTUDIANTE (Ciber-Higiene)

Como "Administrador/a" de mi propia identidad digital, me comprometo a:

  1. Cierre de Perímetros: Mantener mis perfiles en redes sociales (Instagram, TikTok, etc.) en modo Privado, auditando mensualmente mi lista de seguidores para eliminar cuentas sospechosas o desconocidas.
  2. Protocolo de Doble Cerradura: Activar la Verificación en Dos Pasos (MFA) mediante aplicaciones de autenticación o códigos de seguridad en todas mis cuentas principales.
  3. Gestión de Frases de Paso: No reutilizar contraseñas. Utilizaré frases complejas (combinando mayúsculas, números y símbolos) y nunca las compartiré con terceras personas, ni siquiera amigos cercanos.
  4. Detección de "Anzuelos": Aplicar el pensamiento crítico ante mensajes que soliciten códigos, dinero o generen una falsa urgencia, identificándolos como posibles ataques de Phishing o suplantación.

II. COMPROMISOS DE LA FAMILIA (Acompañamiento Estratégico)

Como red de apoyo, los tutores legales se comprometen a:

  1. Cultura de Confianza: No penalizar la comunicación de un incidente. Si el alumno comete un error o es víctima de un engaño, se priorizará la solución técnica y el apoyo emocional sobre la sanción.
  2. Actualización Conjunta: Interesarse por las herramientas de seguridad que el alumno utiliza y supervisar, sin invadir la privacidad innecesariamente, que los sistemas de protección estén activos.
  3. Predicar con el Ejemplo: Mantener criterios de seguridad similares en sus propios dispositivos para evitar ser la "puerta trasera" de entrada al hogar.

III. PROTOCOLO EN CASO DE INCIDENTE

Si se detecta una intrusión, acoso o suplantación, los firmantes acuerdan:

  • No borrar las pruebas: Realizar capturas de pantalla de los mensajes o perfiles implicados.
  • Reporte técnico: Informar a la plataforma y, si es grave, contactar con el INCIBE (017) o las autoridades pertinentes.
  • Reinicio de credenciales: Cambiar inmediatamente todas las contraseñas vinculadas.

 

Firmas de conformidad:

El Alumno / La Alumna

Padre / Madre / Tutor

El Centro Educativo (Tutor/a)

Firma:

Firma:

Firma:

 

 

 

 

 

 

 

 

Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)