Ingenieria Social

2,290 views

Published on

Published in: Education, Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,290
On SlideShare
0
From Embeds
0
Number of Embeds
21
Actions
Shares
0
Downloads
129
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Ingenieria Social

  1. 3. <ul><li>La Ingeniería Social se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los hackers expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos. </li></ul>
  2. 4. <ul><li>Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. </li></ul><ul><li>Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. </li></ul>
  3. 5. Si las intenciones de quien la pone en práctica no son buenas se convierte quizá en el método de ataque más sencillo y menos peligroso para el atacante y por desgracia es uno de los más efectivos. Ese atacante puede aprovechar el desconocimiento de unas mínimas medidas de seguridad por parte de personas relacionadas de una u otra forma con el sistema para poder engañarlas en beneficio propio. <ul><li>Por ejemplo, imaginemos que un usuario de un sistema Linux recibe el siguiente correo electrónico: </li></ul><ul><li>From: Super-User <root@uabc.mx> To: Usuario [email_address] </li></ul><ul><li>Subject: Cambio de clave </li></ul><ul><li>Hola, para realizar una serie de pruebas orientadas a conseguir un optimo funcionamiento de nuestro sistema, es necesario que cambie su clave mediante la orden 'passwd'. Hasta que reciba un nuevo aviso (aproximadamente en una semana), por favor, asigne a su contraseña la clave ‘lalocota' (en minusculas). Rogamos disculpe las molestias. Saludos, Administrador </li></ul>
  4. 6. <ul><li>Uso de archivos adjuntos en e-mails que ejecutan código malicioso. </li></ul><ul><li>Engañar a un usuario llevándolo a pensar que uno es un administrador del sistema y solicitando una contraseña para varios propósitos. </li></ul><ul><li>Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de &quot;crear una cuenta&quot;, &quot;reactivar una configuración&quot;, u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). </li></ul>
  5. 7. <ul><li>Las situaciones </li></ul><ul><li>La ingeniería social se dirige a los individuos con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble que el individuo ejecute. </li></ul><ul><li>El envolvimiento </li></ul><ul><li>Sin embargo, el éxito depende mucho de cómo esté involucrada, la persona a la que Ud. le pida, en lo que esté haciendo. Nosotros podemos definir a los administradores del sistema, analistas de seguridad, técnicos, las personas a las que se le confían herramientas de trabajo esenciales o comunicación, están muy envueltas en los ataques diseñados por otros expertos de las computadoras. </li></ul>
  6. 8. Shoulder Surfing <ul><li>Este es otro tipo de ataque relacionado con la ingenuidad de los usuarios del sistema (pero también con el control de acceso físico) es el denominado shoulder surfing . </li></ul><ul><li>Consiste en `espiar' físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su PC o escribirlas en la parte de abajo del teclado; cualquiera que pase por el área de trabajo, sin problemas puede leer el login , password e incluso el nombre de máquina a la que pertenecen. </li></ul>
  7. 9. Pero no siempre el atacante se aprovecha de la buena fe de los usuarios para lograr sus propósitos; tampoco es extraño que intente engañar al propio administrador del sistema. <ul><li>Por ejemplo, imaginemos que en el servidor tiene el comando finger abierto, y el atacante detecta un nombre de usuario que nunca se ha conectado al sistema; en este caso, una simple llamada telefónica o un mensaje al administrador puede bastarle para conseguir el acceso utilizando un nombre de usuario valido. </li></ul><ul><li>Con esto el atacante puede tener hasta un 80% de control para poder atacar al sistema, haciendo uso de algunos comandos de administración, o editar el archivo bash.history y poder ver los procesos que ejecuto root </li></ul>
  8. 10. Basureo <ul><li>La técnica del basureo (en inglés, scavenging ) está relacionada tanto con los usuarios como con la seguridad física de los sistemas, de la que hemos hablado con anterioridad y consiste en obtener información dejada en o alrededor de un sistema informático tras la ejecución de un trabajo. El basureo puede ser físico, como buscar en cestos de basura ( trashing , traducido también por basureo ) listados de impresión o copias de documentos, o lógico, como analizar buffers de impresoras, memoria liberada por procesos, o bloques de un disco que el sistema acaba de marcar como libres, en busca de información. </li></ul>
  9. 11. Actos delictivos <ul><li>Bajo este nombre englobamos actos tipificados claramente como delitos legales, como el chantaje, el soborno o la amenaza. </li></ul><ul><li>Esto no implica que el resto de actividades no sean (o deban ser) delitos, sino simplemente que en la práctica a nadie se le castiga `legalmente' por ejemplo por pasear por una sala de operaciones en busca de claves apuntadas en teclados o pegar postips en los monitores pero sí que se le puede castigar por amenazar a un administrador del sistema para que le permita el acceso al sistema. </li></ul>
  10. 12. <ul><li>Un buen primer paso es crear conciencia de la seguridad a todo quien forme parte del trabajo (aunque no tengan acceso a la computadora). </li></ul><ul><li>Los usuarios de estos sistemas deberán ser advertidos explicando a los empleados la importancia de la seguridad de la computadora y sus datos, advertirles que son responsables directos por su contraseña y lo que hagan con ella, es un eficaz y sabio primer paso, para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. </li></ul><ul><li>Entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que son seguidas es la principal defensa contra la ingeniería social. </li></ul><ul><li>Cualquier mensaje, llamada telefónica o similar que un usuario reciba debe ser puesto inmediatamente en conocimiento del administrador del sistema. </li></ul>
  11. 13. <ul><li>Recordar a los usuarios que en ningún caso se necesita su contraseña para realizar tareas administrativas en la máquina. </li></ul><ul><li>De la misma forma, si es el administrador quien directamente recibe algo parecido a lo que acabamos de ver, quizás sea conveniente notificar el hecho a los responsables de la organización, y por supuesto poner la máxima atención en la seguridad de los sistemas involucrados, ya que en este caso se sabe a ciencia cierta que alguien intenta comprometer nuestra seguridad; </li></ul>
  12. 14. <ul><li>Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: </li></ul><ul><ul><ul><ul><ul><li>1.- Todos queremos ayudar. </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>2.- El primer movimiento es siempre de confianza hacia el otro. </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>3.- No nos gusta decir No. </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>4.- A todos nos gusta que nos alaben. </li></ul></ul></ul></ul></ul>

×