2. Ingeniería Social
La ingeniería social es el arte de engañar a la gente
para que revelen información sensible.
Los ataques que tienen éxito inician por alguien que
está fingiendo ser alguien que no es, el soporte
técnico, un ejecutivo, un empleado “urgido a
resolver un problema urgente” y puede hacerlo
solamente con tu ayuda
Una llamada telefónica simple que solicita una cierta
información aparentemente benigna o para mejorar
los servicios a los que se tiene acceso se le conoce
como “information gathering”
3. ¿Por qué existen los Ingenieros Sociales?
Es la abertura de seguridad mas dificil de detectar.
Las compañías dedicaron todos sus recursos en las
soluciones técnicas para proporcionar seguridad,
detección de intrusión, Anti-Virus, los firewall…
etc.
El hardware y el software pueden hacer poco para
proporcionar controles eficaces contra este tipo de
ataques.
Realizar ataques con computadoras necesitan
amplios conocimientos
4. Los ataques a las personas, son fáciles de prepetar por que se
toma ventaja de los institos básicos que todos tenemos como
seres humanos “Ayudar a otros”
Existen muchos medios que permiten realizar ataques
Help desk
Servicio al cliente
Ejecutivos de ventas
Asistentes administrativos
Técnicos de soportes, empleados, personal de reparaciones, Servicios
de terceros en los que confiamos, etc…
¿Por qué existen los Ingenieros Sociales?
5. Information Gathering
Puede ser tan fácil como una búsqueda en google o tan sucio como
explorar en una papelera de basura.
Se intenta recolectar información con diferentes métodos para detectar un
blanco, como es posible explotar las vulnerabilidades que pueden existir y
que pueden ser descubiertas
La estructura básica de una compañía junto con nombres de los directivos
puede estar fácilmente descrita de los informes anuales y están disponibles
para todo público
Una encuesta aparentemente inofensiva, a un encargado de tecnología que
intenta proporcionar un servicio o mejores servicios a sus clientes puede
ser una manera fácil de recopilar información valiosa que de otra manera
sería considerada por lo menos confidencial
6. Tipos de ataques
Salami attack – “En la oficina”
Data Diddling – Se modifican o se capturan datos antes de que entren al
sistema o bien antes salgan.
Privilegios excesivos – Usuarios que tienen amplios derechos solo por que
ocupan una posición importante en la empresa, cambian de puesto, salen
de la empresa y nadie elimina sus cuentas
Ataques a las contraseñas – sniffing (oliendo), brute force (fuerza bruta)
Wiretapping – Las aplicaciones de Voz Ip proporcionan amenazas a la
seguridad.
Fraude telefónico - esquina azul - Clonación de las frecuencias del
teléfono, esquina roja - simulación de una moneda entrando al teléfono,
PBX - mantener los módems con las configuraciones de fábrica.
SPAM: Mensajes de correo no deseado.
Phising: Duplicar la página web.
7. Privacidad, ética y computadoras
La meta final del ingeniero social es tener acceso
desautorizado a información confidencial que podría
darle dinero, tal vez un aumento o simplemente un
poco de emoción
Las computadoras proporcionan herramientas para
hacer nuestras vidas más simples y más productivas
es por eso que debemos protegerlas por que de esa
manera nos estamos protegiéndonos nosotros
mismos
8. Defenderse contra los ingenieros Sociales
Las empresas deben establecer una fuerte política de
seguridad, incluyendo estándares, políticas,
procedimientos, lineamientos, por ejemplo:
Políticas para las contraseñas
Valoración de seguridad
Clasificación de datos
Aceptación del uso de políticas
Procesos
Respuesta ante incidentes
Seguridad física
Entrenamiento para disminuir los riesgos