Social-Engineer Toolkit (SET): Ingeniería social automatizada para pentesters
Publicado el 19 de julio de 2025
SET (Social-Engineer Toolkit) es una herramienta de código abierto diseñada para automatizar ataques de ingeniería social. Es ampliamente utilizada por expertos en pruebas de penetración y ciberseguridad ofensiva para simular escenarios reales donde el eslabón más débil es el factor humano.
🧠 ¿Qué es SET?
Desarrollado por Dave Kennedy (TrustedSec), SET permite crear campañas de ingeniería social como phishing, clonación de sitios web, inyección de código malicioso y más, todo de forma controlada y educativa.
Está incluida por defecto en Kali Linux y es una referencia obligada en la defensa contra ataques dirigidos a usuarios.
🎯 ¿Para qué sirve?
- Crear sitios falsos para capturar credenciales.
- Clonar sitios web legítimos.
- Realizar ataques de spear-phishing.
- Crear USBs maliciosos o scripts para redes locales.
- Enviar correos simulando fuentes confiables.
- Probar la conciencia de seguridad de una organización.
🧩 Módulos principales de SET
| Módulo | Descripción |
|---|---|
| Social-Engineering Attacks | Incluye ataques de phishing, clonado de sitios, y robo de credenciales. |
| Website Attack Vectors | Clona sitios y ejecuta Java Applets maliciosos (legacy). |
| Infectious Media Generator | Crea archivos maliciosos tipo USB o PDF. |
| Arduino-Based Attack | Simula ataques HID con payloads ejecutables. |
| Mass Mailer Attack | Envío masivo de emails falsificados para campañas de prueba. |
| Credential Harvester | Captura usuario/contraseña de sitios clonados. |
🛠️ Instalación
En Kali Linux:
sudo apt update
sudo apt install set
Desde repositorio oficial:
git clone https://github.com/trustedsec/social-engineer-toolkit.git
cd social-engineer-toolkit
pip3 install -r requirements.txt
sudo python3 setup.py install
Ejecutar:
sudo setoolkit
🚀 Flujo básico de un ataque de clonado web
- Ejecutá
sudo setoolkit. - Seleccioná
1) Social-Engineering Attacks. - Luego
2) Website Attack Vectors. - Después
3) Credential Harvester Attack Method. - Finalmente
2) Site Cloner. - Ingresá la URL del sitio a clonar (ej:
https://facebook.com). - SET alojará una copia falsa en tu IP local y capturará credenciales ingresadas.
⚠️ Consideraciones éticas
SET solo debe usarse con autorización previa.
Escenarios válidos:
- Laboratorios de ciberseguridad.
- Test de conciencia de seguridad en empresas.
- CTFs o simulaciones legales.
- Formación profesional en pentesting.
❌ Está completamente prohibido usar SET para atacar usuarios reales sin consentimiento.
✅ Ventajas
- Altamente automatizado.
- Interfaz por menú muy intuitiva.
- Potente para pruebas internas de concienciación.
- Compatible con múltiples vectores de ataque.
❌ Desventajas
- No apto para usar en Internet real sin protecciones.
- Muchos navegadores bloquean automáticamente applets o redirecciones.
- Técnicas como Java exploits ya están obsoletas.
- Algunos firewalls o EDRs detectan sus firmas.
📚 Recursos útiles
- Repositorio oficial: https://github.com/trustedsec/social-engineer-toolkit
- Curso gratuito en TryHackMe: "Social Engineering"
- OWASP Testing Guide – Ingeniería social
- Herramientas complementarias: Evilginx, Gophish, King Phisher
🧠 Nota: SET no es una herramienta para hackers aficionados. Es un recurso serio para evaluar cómo reaccionan las personas ante ataques manipulativos. Su uso ético ayuda a fortalecer la defensa organizacional.
Artículos recomendados
Cargando recomendaciones...