The Social-Engineer Toolkit

SET (The Social-Engineer Toolkit) es una poderosa suite desarrollada en Python por David Kennedy (ReL1K), fundador de TrustedSec, diseñada específicamente para realizar pruebas de penetración centradas en la ingeniería social. SET es ampliamente reconocido en la comunidad de seguridad y ha sido presentado en conferencias como BlackHat, DerbyCon, Defcon y ShmooCon. Con más de dos millones de descargas, se ha convertido en el estándar para este tipo de pruebas y está activamente respaldado por la comunidad.

¿Cómo iniciar SET?

SET es compatible con Windows, macOS y Linux. Solo requiere tener instalado Python y puede ejecutarse con ./setoolkit o python setoolkit. El propio entorno verifica e instala automáticamente las dependencias faltantes. Al iniciarlo, se presenta un menú basado en texto donde el operador puede seleccionar múltiples vectores de ataque.

Principales vectores de ataque en SET

1. Phishing Web

SET permite clonar sitios web legítimos para capturar credenciales en ataques de phishing. El atacante puede hospedar el sitio clonado localmente y recolectar credenciales sin que la víctima lo note.

2. Vector de Ataque Web

Incluye applets Java maliciosos, exploits de navegador, técnicas como tabnabbing, web jacking, y el multi-attack vector, que combina todos en una sola página maliciosa.

3. Generación de Medios Infectados

SET puede crear medios físicos (CD/DVD/USB) que ejecuten payloads automáticamente al ser conectados. Aunque Windows ha deshabilitado el autorun por defecto, aún es útil en ciertos escenarios físicos.

4. Creación de Payloads con Metasploit

SET se integra estrechamente con Metasploit Framework. Puede generar ejecutables backdooreados, PDFs maliciosos, shells interactivos, reverse shells, meterpreter, y configurarlos automáticamente con listeners. Compatible con payloads para Windows, Linux y macOS.

5. Ataques por Correo Electrónico

El módulo de spear-phishing de SET permite enviar correos masivos o dirigidos, falsificando remitentes o usando servicios SMTP/Gmail. Puede incluir archivos adjuntos con payloads o enlaces a sitios falsos.

6. Ataques con Dispositivos Personalizados (Teensy)

SET genera scripts en lenguaje Arduino para programar dispositivos USB tipo HID que se comportan como teclados y ejecutan comandos automáticamente, incluso en sistemas con políticas de ejecución restringidas.

7. Suplantación de SMS

Permite el envío de mensajes SMS falsificados usando servicios externos como Lleida.net, SMSGANG o Android emulado. Útil para suplantar identidades y engañar a las víctimas.

8. Vectores Adicionales

• Wireless Attack Vector: crea puntos de acceso falsos con DNS spoofing para redirigir víctimas.
• QR Code Generator: genera códigos QR que enlazan a exploits.
• SET Interactive Shell y RATTE: shell personalizado nativo de SET con funciones avanzadas como keylogger, UAC bypass, pivoteo por SSH, etc.
• Fast-Track: ataques automatizados contra MSSQL, navegadores y objetivos con exploits directos.

Automatización de Ataques

Con set-automate es posible crear archivos de respuesta que automatizan por completo cualquier ataque. Ideal para generar campañas masivas o pruebas repetibles.

Novedades destacadas en versiones recientes

• Payloads encriptados y ofuscación avanzada
• Java Applet y Web Cloner reescritos
• Nuevo generador de ShellCode configurable
• Soporte mejorado para payloads personalizados y multi-plataforma
• Actualización de exploits y exploits tipo 0-day (ej. Internet Explorer)
• RATTE: Payload evasivo tipo HTTP túnel

Reconocimientos y Comunidad

SET ha sido mencionado en libros como “Metasploit: The Penetration Tester’s Guide” (Devon Kearns, Jim O’Gorman, Mati Aharoni, David Kennedy), bestseller en seguridad durante 12 meses. Es una herramienta clave en formación de profesionales de seguridad ofensiva.

Recursos Recomendados

• Repositorio Oficial en GitHub
• Manual Oficial de Usuario (PDF)

Preguntas Frecuentes sobre el Social-Engineer Toolkit (SET)

El social-engineer toolkit (SET) es ampliamente utilizado por profesionales de ciberseguridad para realizar auditorías enfocadas en el componente humano. A continuación, resolvemos las dudas más comunes relacionadas con el set toolkit, también conocido como set social engineering.

¿Qué es el set (social-engineer toolkit)?

El social-engineer toolkit es una herramienta de código abierto desarrollada en Python, creada por David Kennedy (ReL1K). Se utiliza para simular ataques de ingeniería social en entornos controlados y legales. El settoolkit forma parte de suites de auditoría como Kali Linux, y ha sido presentado en conferencias como DEFCON y BlackHat.

¿Para qué sirve el set social engineering?

El objetivo del set social engineering es permitir la evaluación del nivel de concienciación y respuesta de los usuarios ante ataques comunes como el phishing, spear-phishing, técnicas de clonado web, entre otros. El set tool kit incluye un sistema de menús interactivo que facilita la ejecución de ataques sin necesidad de programar desde cero.

¿Cuáles son los requisitos para ejecutar el settoolkit?

El settoolkit requiere tener instalado Python (versión 3.x recomendada), y está pensado principalmente para sistemas operativos basados en Unix/Linux. Las distribuciones como Kali Linux o Parrot OS lo incluyen por defecto.

¿El uso del social engineering toolkit es legal?

El uso del social engineering toolkit es legal siempre que se realice con fines educativos, de investigación o como parte de una auditoría autorizada. Realizar ataques sin consentimiento explícito constituye una actividad delictiva.

¿Cómo se mantiene actualizado el social-engineer toolkit?

Para mantener el social-engineer toolkit actualizado, basta con clonar el repositorio oficial desde GitHub y ejecutar git pull. Además, SET cuenta con una opción de actualización interna en su interfaz principal.

¿Dónde se puede aprender más sobre set toolkit?

El mejor lugar para aprender sobre el set toolkit es su repositorio oficial en GitHub. También se recomienda revisar el Manual de Usuario en PDF.