¿Por qué los clientes entregan informaciónconfidencial, caen en engaños o en acciones de                ingeniería social?...
Aury M. Curbelo-Ruiz, Ph.D     Certificaciones
Definir que esingeniería social Explicar cómo      Defensas contraopera el ciclo de    la ingenieríaingeniería social     ...
Pregunta: ¿Por qué los clientesentregan información confidencial,caen en engaños o en acciones deingeniería social?
Walmat en Ohio-USA                                          • 2010—Pasos para el “scam”                                   ...
http://www.avg.com.au/news/avg_smb_social_engineering_deceiving_people_not_machines/
In a recent visit with the                                                                         CEO of a security IT   ...
¿DONDE…?• ¿Donde se llevó a cabo a un operativo de Seguridad  que costó entre seis y ocho millones de euros?   – incluía v...
Coronel Martínez Inglés y la                                            Boda Real   Según confirmó el militar al diario El...
“La ingeniería social es la técnica más eficaz para hacersecon secretos celosamente protegidos, ya que no requiere deuna s...
Ejemplohttp://www.youtube.com/watch?v=cQtQg--PB0k
¿Cómo me   ¿Qué es la Ingeniería                          ¿Cómo saber si soy                               afecta?—al no  ...
Importancia…• “La gente por no querer quedar mal o crear un  escándalo, brinda a cualquiera que le solicita,  “información...
¿Por qué la Ingeniería Social es tan                efectiva?• El campo de la Seguridad de la Información está  enfocado p...
¿Por qué la Ingeniería Social es tan           efectiva? (cont.)• ¿Por qué gastar tanto tiempo atacando la  tecnología si ...
McAfee estimated                                                    that cybercrime                                       ...
Características de un ingeniero(a) social
Características de un ingeniero(a) social    •     Capacidad de socializar con facilidad.    •     Habilidad en el hablar....
El Ataque• Basado en rutas periféricas de persuasión:  – Autoridad  – Similitud  – Reciprocidad  – Compromiso y consistenc...
Principios de Mitnick• Mitnick fundamenta las estrategias de  Ingeniería Social en los siguientes postulados:  – Todos los...
Pasos para llevar a cabo el                         ataque               Identificar a la                  Victima  Salir ...
¿Por qué caen los    clientes?
¿por qué caen los clientes?   Total desconocimientoFalta de informaciónaccesible       Falta de adiestramientos       Pens...
Estudio de Caso: Lockheed Martin
¿Cómo se llevó a cabo el ataque a RSA?                                                   • Se envió un email a directivos ...
¿Qué debemos aprender del                                      ataque a Lockheed Martin?“No importa cómo de avanzado sea u...
La mejorherramienta paraprotegerse delos ataques deingeniería sociales el sentidocomún.
El sentido común no es nada           común.Voltaire (1694-1778) Filósofo y        escritor francés
Medidas de prevención y                           protección• Aceptar:   – que la facilidad de un ataque es alta.   – que ...
Medidas de prevención y                               protección• Aceptar que se necesita una combinación de Principios  O...
Creando una cultura de                            seguridad• No se debe ignorar la interacción persona-maquina• Necesitan ...
Creando una cultura de        seguridad• Todos los clientes/empleados  deben tener una actitud hacia la  seguridad y cuest...
Bancos que han integrado temasde Ingeniería social en sus portales
http://www.visasecuritysense.com/en_CA/fraud-news.jsp
http://www.barclays.co.uk/Helpsupport/Onlinefraud/P1242560035928
https://www.santander.com.co/portal/secciones/BSCH/HOME/HERRAMIENTAS/PERSONAS/SEGURIDAD/seccion_HTML.jsp
http://www.grupobancolombia.com/home/index.asp
http://www.welcomebanking.com/content.aspx?id=8589934965
AT&T adiestramientohttp://www.youtube.com/watch?v=wxALOksX1us
Resumen• Las Instituciones financieras tienen la responsabilidad  corporativa de participar activamente en la educación  d...
Preguntas            Dra. Aury M. Curbelo            acurbelo@gmail.com         http://acurbelo.org/blogs    Twitter: http...
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
Upcoming SlideShare
Loading in …5
×

¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?

2,317 views
2,146 views

Published on

A través de está presentación se discutirán los temas sobre que es ingeniería social (IS), como opera el ciclo de IS, principios de la IS, defensas en contra de la IS, y por que caen

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,317
On SlideShare
0
From Embeds
0
Number of Embeds
724
Actions
Shares
0
Downloads
78
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide
  • El famoso coronel ya retirado Amadeo Martínez Inglés logro infiltrarse en la Catedral en plena Boda con un arma en la cintura y su traje de militar burlando seis controles de seguridad con sólo saludar amablemente a los oficiales y sin poseer ninguna credencial o invitación para ello. Esto fue una excelente demostración de un grave fallo de los servicios de Seguridad de la Casa Real, teniendo en cuenta que sólo le tomo ocho minutos atravesar seis controles de seguridad a lo largo del recorrido. 
  • ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?

    1. 1. ¿Por qué los clientes entregan informaciónconfidencial, caen en engaños o en acciones de ingeniería social? Universidad de Puerto Rico-Mayaguez Aury M. Curbelo-Ruiz, Ph.D, CCFI, CNDP, CMSP, Security +
    2. 2. Aury M. Curbelo-Ruiz, Ph.D Certificaciones
    3. 3. Definir que esingeniería social Explicar cómo Defensas contraopera el ciclo de la ingenieríaingeniería social social Principios de ¿Por qué caeningeniería social los clientes?
    4. 4. Pregunta: ¿Por qué los clientesentregan información confidencial,caen en engaños o en acciones deingeniería social?
    5. 5. Walmat en Ohio-USA • 2010—Pasos para el “scam” – Un hombre llamó a la tienda ubicada en el estado de Ohio-USA. – Se hace pasar por empleado del servicio de TI. – Le indica al asociado de Walmart que NECESITA activa varias tarjetas de regalo “gift cards”. Tambien le indica al asociado que le lea las tarjetas y los códigos de activación decada una de ellas. El asociado lo hace y se roban $11,000.00 en tarjetas de regalo.
    6. 6. http://www.avg.com.au/news/avg_smb_social_engineering_deceiving_people_not_machines/
    7. 7. In a recent visit with the CEO of a security IT auditor in the banking and financial services industry, I asked what the hot audit services were that banks were requesting. Predictably, he said full- scale IT audits and internal/external penetration testing -- but he also mentioned a third highly requested audit service that he said would not have made the list several years ago: social engineering.http://www.enterpriseefficiency.com/author.asp?section_id=1093&doc_id=231597
    8. 8. ¿DONDE…?• ¿Donde se llevó a cabo a un operativo de Seguridad que costó entre seis y ocho millones de euros? – incluía veinte mil agentes, doscientos francotiradores, sellado de alcantarillas, corte de todo el centro de la ciudad durante dos días (calles, metro, autobuses), – vigilancia casa-por-casa de todo el recorrido durante meses, cierre del espacio aéreo, dos aviones cazas F-18 volando durante el evento y otros dos aviones AWACS prestados por la OTAN…. ¿DONDE…?
    9. 9. Coronel Martínez Inglés y la Boda Real Según confirmó el militar al diario El País, logró acceder al templo, vestido con el uniforme de gala de coronel del Ejército de Tierra, sin invitación que mostrar y con un revólver bajo la guerrera. No tuvo que pasar ningún arco de seguridad.logró despistar todos los controles de seguridad..
    10. 10. “La ingeniería social es la técnica más eficaz para hacersecon secretos celosamente protegidos, ya que no requiere deuna sólida formación técnica, ni de grandes conocimientossobre protocolos y sistemas operativos", dice el informe deETEK.” "Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una buena dosis de sicología.”http://www.channelplanet.com/index.php?idcategoria=10126
    11. 11. Ejemplohttp://www.youtube.com/watch?v=cQtQg--PB0k
    12. 12. ¿Cómo me ¿Qué es la Ingeniería ¿Cómo saber si soy afecta?—al no ¿Cómo puedo social?—una disciplina victima de ataque validar las evitar la IS? –que consiste básicamente de IS?- cuando en sacarle datos a otra referencias ni validando las alguien nos pide persona sin que esta se seguir un protocolo identidades de de cuenta de que está que divulguemos de seguridad quienes solicitan revelando "información información sensible" y que podríamos ser información privilegiada onormalmente no lo haría cómplices de un confidencial. confidencial. crímen
    13. 13. Importancia…• “La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
    14. 14. ¿Por qué la Ingeniería Social es tan efectiva?• El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica.• Casi no se presta atención a la interacción máquina- persona.• Las personas son el eslabón más débil.
    15. 15. ¿Por qué la Ingeniería Social es tan efectiva? (cont.)• ¿Por qué gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?• Extremadamente difícil de detectar. – No existe IDS para “falta de sentido común” ó ignorancia.
    16. 16. McAfee estimated that cybercrime costs corporations $1 trillion globally each year.http://news.cnet.com/8301-1009_3-10153858-83.html
    17. 17. Características de un ingeniero(a) social
    18. 18. Características de un ingeniero(a) social • Capacidad de socializar con facilidad. • Habilidad en el hablar. • Habilidad en el arte de persuación. • Sonar convincente. • Aparentar ser inofensivo. • Mantener un perfil bajo. • Sonreir siempre. • Tono de voz cómodo.http://www.social-engineer.org/how-tos/characteristics-of-an-effective-and-successful-social-engineer/
    19. 19. El Ataque• Basado en rutas periféricas de persuasión: – Autoridad – Similitud – Reciprocidad – Compromiso y consistencia• Usa la emoción como una forma de distracción.
    20. 20. Principios de Mitnick• Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados: – Todos los seres humanos quieren ayudar. – El primer movimiento es siempre de confianza hacia el otro. – No nos gusta decir No. – A todos nos gusta que nos alaben.
    21. 21. Pasos para llevar a cabo el ataque Identificar a la Victima Salir Reconocimiento Obtener la Crear el escenarioinformación Realizar el ataque
    22. 22. ¿Por qué caen los clientes?
    23. 23. ¿por qué caen los clientes? Total desconocimientoFalta de informaciónaccesible Falta de adiestramientos Pensamos que todo el mundo es bueno Actitud: a mi no me va a pasar
    24. 24. Estudio de Caso: Lockheed Martin
    25. 25. ¿Cómo se llevó a cabo el ataque a RSA? • Se envió un email a directivos de la empresa- con subject “2011 Recruitment Plan.” • El email contenía un fichero Excel (“2011 Recruitment Plan.xls”) que contenía un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto. Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy). Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés. Finalmente dan con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa.http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1aPfYDa33
    26. 26. ¿Qué debemos aprender del ataque a Lockheed Martin?“No importa cómo de avanzado sea un sistema defensivo, todo lo quenecesita el ciberdelincuente es un mecanismo perfeccionado de ingenieríasocial y algunos usuarios crédulos. Esto basta para eludir los filtros de spam oeludir una suite de seguridad, y poner de rodillas a toda una organización.” http://www.malwarecity.es/blog/qu-debemos-aprender-del-ataque-a-lockheed-martin-99.html
    27. 27. La mejorherramienta paraprotegerse delos ataques deingeniería sociales el sentidocomún.
    28. 28. El sentido común no es nada común.Voltaire (1694-1778) Filósofo y escritor francés
    29. 29. Medidas de prevención y protección• Aceptar: – que la facilidad de un ataque es alta. – que controles… • Solamente técnicos • Controles administrativos/operacionales • Controles de medio ambiente tampoco servirán.
    30. 30. Medidas de prevención y protección• Aceptar que se necesita una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos).• Se recomienda lo siguiente: – Tecnología – Políticas – Educación – Divulgación – Entrenamiento
    31. 31. Creando una cultura de seguridad• No se debe ignorar la interacción persona-maquina• Necesitan reconocer los “trucos”• La seguridad de la información es un problema de hardware, software, firmware y peopleware• La mejor defensa: Educación combinada con tecnología.
    32. 32. Creando una cultura de seguridad• Todos los clientes/empleados deben tener una actitud hacia la seguridad y cuestionar las cosas.• Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque.• Se debe notificar a los involucrados.
    33. 33. Bancos que han integrado temasde Ingeniería social en sus portales
    34. 34. http://www.visasecuritysense.com/en_CA/fraud-news.jsp
    35. 35. http://www.barclays.co.uk/Helpsupport/Onlinefraud/P1242560035928
    36. 36. https://www.santander.com.co/portal/secciones/BSCH/HOME/HERRAMIENTAS/PERSONAS/SEGURIDAD/seccion_HTML.jsp
    37. 37. http://www.grupobancolombia.com/home/index.asp
    38. 38. http://www.welcomebanking.com/content.aspx?id=8589934965
    39. 39. AT&T adiestramientohttp://www.youtube.com/watch?v=wxALOksX1us
    40. 40. Resumen• Las Instituciones financieras tienen la responsabilidad corporativa de participar activamente en la educación de sus clientes en áreas relacionadas a la seguridad en informática.• La educación, adiestramientos, talleres y campañas de promoción son la clave para prevenir ataques de IS.• Promover una cultura de seguridad en informática debe ser una prioridad financiera.
    41. 41. Preguntas Dra. Aury M. Curbelo acurbelo@gmail.com http://acurbelo.org/blogs Twitter: http://twitter.com/acurbelo Slideshare: http://slideshare.net/acurbeloFacebook: http://facebook.com/acurbeloruiz

    ×