SlideShare a Scribd company logo
1 of 10
Download to read offline
INTRODUCCIÓN

Esta monografía tiene como tema central a la Ingeniería Social, una técnica que se ha
convertido en una amenaza para las personas tanto conocedoras como no tan conocedoras
acerca del mundo de la informática.

En la primera parte se tocarán los orígenes de la ingeniería social y como sus fundamentos que
son el engaño, la manipulación, el espionaje, etc. están presentes en los mitos y el folclore
popular.

Ya en una segunda parte del trabajo tenemos algunas técnicas empleadas por los más grandes
ingenieros sociales, uno de ellos por ejemplo Kevin Mitnick, quien popularizó el término de
Ingeniería Social con sus constantes huidas al FBI y hasta un cambio completo de identidad
gracias a estas técnicas, como por ejemplo: El espionaje, el phising, la ingenieria social inversa.
También se habla de cómo podemos evitar estos ataques

En un último apartado encontraremos una técnica que tiene por fin el ayudar a las personas,
hablamos del hacking ético, importante para darle un contraste al tema visto.
LOS ORÍGENES DE LA INGENIERÍA SOCIAL

Popularizada por Kevin Mitnick, la ingeniería social es en esencia el arte de la persuasión:
convencer a las personas para que revelen datos confidenciales o realicen alguna acción.
Aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la
sustentan están presentes desde los albores de la humanidad. Existen historias de engaño y
manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la
literatura.




PROMETEO, ¿EL DIOS DE LA INGENIERÍA SOCIAL?

Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social
es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le
llevaron a creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y
días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y
sus astutos ardides. Se le atribuye la creación del hombre, modelado a partir de barro. En lo
que se conoce como el "Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para
dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el
interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. La una
era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy
tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad
debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. Enojado por el
engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. Sin embargo, en un acto
más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable
fuego en una hueca cañaheja” del monte Olimpos y se lo legó a los hombres. Como castigo por
sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le
comía el hígado; por la noche éste le volvía a crecer. Como castigo para los hombres, Zeus creó
a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando
incontables plagas.

EL ATAQUE DE PHISHING DE JACOB Y REBECA

Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una
técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la
víctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se
quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo
mayor, Esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para
que yo coma y que mi alma te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería
que fuera Jacob en lugar de Esaú el que recibiera las bendiciones de Isaac, Rebeca concibió un
plan. Jacob, reacio al principio, dijo: "Esaú mi hermano es hombre velludo y yo soy lampiño.
Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una
maldición y no una bendición.” (Génesis 27:11- 12.) Para engañar a Isaac y hacerle creer que
estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de
Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó
la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser
para Esaú.




SANSÓN Y DALILA: ESPIONAJE A SUELDO

Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de
su fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los
filisteos la convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de
1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos
dominarlo para atarlo y castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de
plata.” (Jueces 16:5.) Sansón se resistió a desvelar su secreto antes de sucumbir a su capacidad
de persuasión. Así que ella le dijo: “¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está
conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.”
Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”Nunca ha
pasado navaja sobre mi cabeza, pues he sido Nazareo para Dios desde el vientre de mi madre.
Si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otro
hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió, Dalila se aprovechó de su
vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a Sansón, le
sacaron los ojos, lo encadenaron y encarcelaron para siempre.




EL PRIMER CABALLO DE TROYA

La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la
Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social
más inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no
pudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises
concibió una estratagema para inducir a los troyanos a creer que los griegos habían
abandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la
playa un gran caballo de madera junto con un soldado griego llamado Sinón. Tras ser capturado
por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo de madera
como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo
habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la
ciudad, ya que ello les traería mala suerte a los griegos. El relato fue tan tentador que los
troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos
de Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera
jamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos fue su perdición.
Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a
los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa táctica de
ingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.
LA INGENIERÍA SOCIAL
Concepto

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar
ciertas personas, tales como investigadores privados, criminales, o delincuentes
computacionales, para obtener información, acceso o privilegios en sistemas de información
que les permitan realizar algún acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra
empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar
información sensible, o a violar las políticas de seguridad típicas. Con este método, los
ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera
predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un
aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en
los sistemas informáticos.

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar
que un administrador del sistema está solicitando una contraseña para varios propósitos
legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan
contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta",
"reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama
phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser
advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información
sensible a personas que dicen ser administradores. En realidad, los administradores de
sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para
llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en
una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la
estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos
en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún
programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero
que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar
cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a
los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los
usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa.
Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido,
concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a
los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la
introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente;
respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de
políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su
opinión, la ingeniería social se basa en estos cuatro principios:

        Todos queremos ayudar.
        El primer movimiento es siempre de confianza hacia el otro.
        No nos gusta decir No.
        A todos nos gusta que nos alaben.




COMO PROTEGERSE
La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido
común y no divulgando información que podría poner en peligro la seguridad de la compañía.
Sin importar el tipo de información solicitada, se aconseja que:



        Averigüe la identidad de la otra persona al solicitar información precisa (apellido,
        nombre, compañía, número telefónico);
        Si es posible, verifique la información proporcionada;
        Pregúntese qué importancia tiene la información requerida.
UN CASO EN FASES

La primera fase, al realizar un trabajo de ingeniería social artesanal, implica un acercamiento
para generar confianza del usuario. Esto lo logran a través de correos haciéndose pasar por
representantes técnicos de algún servicio o incluso a través de una presentación formal en una
charla coloquial, mostrándose empático y sacándonos de una eventual situación de alerta ante
el extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido, etc.) La
atención que ponen en esta etapa es fundamental para captar cualquier información que
digamos y tomarla como valorable.



Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés
o necesidad en la otra persona. En base a su curiosidad o deseo, ésta estará predispuesta
consciente e inconscientemente a brindar información. La idea del experto será observar
nuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato a
conseguir tiene un nivel alto de preservación. Lo demás será prueba y error según el caso al
que nos estemos refiriendo.



Por ejemplo, si un investigador simplemente quiere encontrar una forma de acceder a tu
correo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosas
personales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir
“corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el password
porque lo ha olvidado. Si por casualidad en la pregunta de seguridad pusiste “Cuál es mi mejor
amigo de la infancia”, probablemente el experto esté matándose de la risa y ya haya entrado a
tu correo con información que tú mismo le diste. Si no lo consigue de esa manera, su trabajo
no ha terminado y buscará técnicas más agresivas o repetirá el proceso para conseguir nueva
información. Todo esto, repito, está supeditado al caso en el que nos refiramos. Si el cracker
está intentando tirar abajo el sistema informático de un Estado, obviamente no irá a revisar los
blogs personales de los encargados de limpieza del lugar.
TÉCNICAS

EL ESPIONAJE

Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención
encubierta de datos o información confidencial. Las técnicas comunes del espionaje han sido
históricamente la infiltración y la penetración, en ambas es posible el uso del soborno y el
chantaje.




MÉTODOS

        La infiltración es la técnica utilizada para introducir unidades propias en las filas del
        contrario o blanco, para que suministren información de interés inmediato o potencial
        sobre las actividades, capacidades, planes, proyectos, etc. del contrario. También
        podría decirse que es la acción que consiste en la utilización de una persona, conocida
        como topo, cuyo cometido básico es ganarse la confianza de aquéllos que poseen la
        información para tener acceso a la misma.



        La penetración es la técnica que consiste en lograr la colaboración consciente o
        inocente de un miembro de la organización o grupo contrario con el fin de que
        proporcione datos e información confidencial del grupo al que pertenece.
        Generalmente, esta actividad se realiza de forma encubierta y emplea personas
        reclutadas que han sido persuadidas para trabajar en secreto en contra de su propia
        organización por diferentes motivaciones: ideológicas, económicas, morales, religiosas
        o personales. A la penetración le precede un estudio o selección de personas con
        acceso a lo que se quiere conocer, sus motivaciones y vulnerabilidades. Con
        posterioridad, se provoca un acercamiento, a través de terceros, de apariencia casual
        por parte de un agente de inteligencia o reclutador quien inicia un proceso
        denominado «desarrollo de la fuente», dirigido a cultivar la confianza del futuro
        informante y prepararlo para la propuesta de colaboración futura.

De ambos métodos, las agencias de inteligencia y los diferentes servicios de espionaje
prefieren la penetración, dado que es más segura y requiere un menor esfuerzo logístico que la
infiltración.



Existen diferentes técnicas para realizar este tipo de delito informático, entre ellas:

        Dialers: Es la instalación de un marcador que provoca que la conexión a Internet se
        realice a través de un número de tarificación especial y no a través del nodo indicado
        por el operador con el que se haya contratado dicha conexión.
        Adware: Son programas que recogen o recopilan información acerca de los hábitos de
        navegación del usuario en cuestión.
Programas de acceso remoto: que permiten el acceso de un tercero a su ordenador
     para un posterior ataque o alteración de los datos. Son fácilmente reconocibles por los
     antivirus.
     Caballos de Troya: Este programa es conocido ya que una vez instalado en el ordenador
     provoca daños o pone en peligro la seguridad del sistema.
     Virus o gusanos (worms): Es un programa o código que provoca daños en el sistema,
     como alteración o borrado de datos, se propaga a otros computadores haciendo uso
     de la Red, del correo electrónico, etc.
     Programas de espionaje o spyware: Es un programa que se encarga en registrar todo lo
     que se realiza en un PC, hasta un sencillo 'clic' en el ratón queda almacenado. Se utiliza
     para obtener información confidencial o conocer cuál es el funcionamiento que una
     persona le está dando a la máquina.



RECURSOS

     Explotación de la sexualidad: A menudo los ingenieros sociales suelen enviar
     invitaciones ofreciendo contenido sexual atractivo, esto hace caer a la víctima más
     rápido.
     Exploit de Identidad: El atacante hace creer a la víctima que es una persona que puede
     ayudarle a resolver sus problemas o simplemente le habla de buena manera para que
     pueda confiar. Esta técnica es utilizada mucho para hacer el conocido phising.
     Ataque en la web: La herramienta más utilizada para hacer ingeniria social es la red,
     donde millones de cibernautas navegan confiando en cualquier persona que quiera
     sacarle información confidencial.
LA INGENIERÍA SOCIAL REVERSA

Cuando un usuario legítimo tiene dificultades, y él o ella te pide ayuda. En el proceso de ayudar
al usuario en su problema, podemos obtener contraseñas, nombres de cuentas (lo que se te
ocurra). A qué hora dejan de usar la pc y cuando la prende. Cuando la dejan prendida sin estar
al frente de la misma.

ESTO CONSISTE EN DOS PASOS.

Ayuda y publicidad.

La publicidad consiste en hacer saber al usuario que estás disponible para contestar preguntas
relacionadas con la computadora. (Llamar antiguos o usuarios de pc, al asar clientes para
hacerle saber tu nuevo numero de teléfono “un que sea el mismo”. Siempre tienen un
problema con la PC. De todas maneras hay que comprender por que es mejor hacer que te
llamen en vez de lo inverso. Tener una base de datos de usuarios locales. Llamarles y
comunicarle tu numero nuevo.

El primer paso para hacer ISI es descomponer la computadora blanco del ataque o la capacidad
del usuario de usar esa computadora. Esto significa que el usuario no podrá tener todos los
privilegios. Se desactivaran varias propiedades de control del S.o.

El usuario llamara sin duda cuando, su pc no funcione correctamente.

CAUSAS.
 Alterar un parámetro que ellos no conocen. Ejemplo desabilitar los controladores de la
impresora, color de la pantalla, configuración del periférico. Mi favorito es cambiar el idioma
del teclado.

        Instalar programas que saturen el inicio de sesión.
        Programas de simulación de errores (en el inicio).



En resumen, el uso de esta técnica se reduce a causar daños en un sistema para después
ofrecerse a arreglar el problema, una vez dentro el atacante es capaz de hacer y deshacer con
la información que se le brinda con el objetivo de que “repare el problema”. El usuario siempre
quedará contento puesto que el problema desapareció y todo parece indicar que la persona
que le dijo que lo arreglaría lo hizo.
HACKING ÉTICO

Ethical Hacking es basicamente lo mismo que "hackear" solo que con propositos "buenos", en
otras palabras sirve para hacer inspecciones a los sistemas y poder asi detectar fallas en los
protocolos seguridad informatica que se esten utilizando, se puede implementar haciendo o
simulando ataques que podria sufrir la empresa y/o sus sistemas pero hechos
premeditadamente por un especialista en seguridad informatica que puede ser interno o
externo (outsourcing) a la compañia. Se pueden utilizar diferentes herramientas para hacerlo,
lo importante es poder prepararse ante un posible ataque verdadero.

More Related Content

What's hot

Cryptography - A Brief History
Cryptography - A Brief HistoryCryptography - A Brief History
Cryptography - A Brief Historyprasenjeetd
 
Modul 4 Intrusion Detection System IDS.ppt
Modul 4 Intrusion Detection System IDS.pptModul 4 Intrusion Detection System IDS.ppt
Modul 4 Intrusion Detection System IDS.pptcemporku
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Estándares para los centros de computo
Estándares para los centros de computoEstándares para los centros de computo
Estándares para los centros de computoJessy Zuñiga
 
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...Edureka!
 
REDES, TOPOLOGIA DE RED
REDES, TOPOLOGIA DE REDREDES, TOPOLOGIA DE RED
REDES, TOPOLOGIA DE REDguest7bb5a1
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 

What's hot (10)

Cryptography - A Brief History
Cryptography - A Brief HistoryCryptography - A Brief History
Cryptography - A Brief History
 
Modul 4 Intrusion Detection System IDS.ppt
Modul 4 Intrusion Detection System IDS.pptModul 4 Intrusion Detection System IDS.ppt
Modul 4 Intrusion Detection System IDS.ppt
 
Cybersecurity - Overview
Cybersecurity  - OverviewCybersecurity  - Overview
Cybersecurity - Overview
 
Pentesting Wireless
Pentesting WirelessPentesting Wireless
Pentesting Wireless
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 
Estándares para los centros de computo
Estándares para los centros de computoEstándares para los centros de computo
Estándares para los centros de computo
 
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...
Complete Ethical Hacking Course | Ethical Hacking Training for Beginners | Ed...
 
Kerberos
KerberosKerberos
Kerberos
 
REDES, TOPOLOGIA DE RED
REDES, TOPOLOGIA DE REDREDES, TOPOLOGIA DE RED
REDES, TOPOLOGIA DE RED
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 

Viewers also liked

Presentación Ingeniería social
Presentación Ingeniería socialPresentación Ingeniería social
Presentación Ingeniería socialDIEANGELUS
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social   Luis CastellanosComo se evita la ingeniería social   Luis Castellanos
Como se evita la ingeniería social Luis CastellanosLuis R Castellanos
 
Troubleshooting en Elastix: Análisis y Diagnósticos avanzados
Troubleshooting en Elastix: Análisis y Diagnósticos avanzadosTroubleshooting en Elastix: Análisis y Diagnósticos avanzados
Troubleshooting en Elastix: Análisis y Diagnósticos avanzadosPaloSanto Solutions
 
ingeniera social
ingeniera socialingeniera social
ingeniera socialAlex Pin
 
Malware y la ingeniería social
Malware y la ingeniería socialMalware y la ingeniería social
Malware y la ingeniería socialNorberto Raúl
 
Archivos temporales de Internet
Archivos temporales de InternetArchivos temporales de Internet
Archivos temporales de Internetjancompany
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Maximiliano Soler
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Diapositivas.ingenieria social
Diapositivas.ingenieria  socialDiapositivas.ingenieria  social
Diapositivas.ingenieria sociallullina1
 
Ingenieria social conceptos
Ingenieria social conceptosIngenieria social conceptos
Ingenieria social conceptosIvan Gallardoo
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosveronicagj
 
Normas Y Directrices Que Regulan La Informacion En Internet
Normas Y Directrices Que Regulan La Informacion En InternetNormas Y Directrices Que Regulan La Informacion En Internet
Normas Y Directrices Que Regulan La Informacion En Internetsandy
 

Viewers also liked (20)

Presentación Ingeniería social
Presentación Ingeniería socialPresentación Ingeniería social
Presentación Ingeniería social
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social   Luis CastellanosComo se evita la ingeniería social   Luis Castellanos
Como se evita la ingeniería social Luis Castellanos
 
Troubleshooting en Elastix: Análisis y Diagnósticos avanzados
Troubleshooting en Elastix: Análisis y Diagnósticos avanzadosTroubleshooting en Elastix: Análisis y Diagnósticos avanzados
Troubleshooting en Elastix: Análisis y Diagnósticos avanzados
 
ingeniera social
ingeniera socialingeniera social
ingeniera social
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Owand11 ingeniería social
Owand11 ingeniería socialOwand11 ingeniería social
Owand11 ingeniería social
 
Malware y la ingeniería social
Malware y la ingeniería socialMalware y la ingeniería social
Malware y la ingeniería social
 
Archivos temporales de Internet
Archivos temporales de InternetArchivos temporales de Internet
Archivos temporales de Internet
 
borrar archivos
borrar archivosborrar archivos
borrar archivos
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
 
Caballos que belleza
Caballos que bellezaCaballos que belleza
Caballos que belleza
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
Diapositivas.ingenieria social
Diapositivas.ingenieria  socialDiapositivas.ingenieria  social
Diapositivas.ingenieria social
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Ingenieria social conceptos
Ingenieria social conceptosIngenieria social conceptos
Ingenieria social conceptos
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscione
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Normas Y Directrices Que Regulan La Informacion En Internet
Normas Y Directrices Que Regulan La Informacion En InternetNormas Y Directrices Que Regulan La Informacion En Internet
Normas Y Directrices Que Regulan La Informacion En Internet
 

Similar to Ingenieria social

Annon y la Cárcel de Cristal
Annon y la Cárcel de CristalAnnon y la Cárcel de Cristal
Annon y la Cárcel de CristalNelson Ressio
 
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza Wong
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza WongAlvin Toffler y la Desmasificación de los massmedia por César Espinoza Wong
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza WongCÉSAR AUGUSTO ESPINOZA WONG
 
Mitos y leyendas (1)santi y julián
Mitos y leyendas (1)santi y juliánMitos y leyendas (1)santi y julián
Mitos y leyendas (1)santi y juliánNora Giraldo
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificialsilvia
 
Automata
AutomataAutomata
Automatasilvia
 
Automata
AutomataAutomata
Automatasilvia
 
Atrapados en la red
Atrapados en la redAtrapados en la red
Atrapados en la redyolandatol
 
Mitología griega y romana
Mitología griega y romanaMitología griega y romana
Mitología griega y romanasextoalqueria
 
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.ppt
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.pptGUÍA PARA PREPARAR FINAL DE CLÁSICA I.ppt
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.pptssuserd4bdf8
 
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_d
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_dAmazingstories com 2017_07_blogger_invitado_carlos_eduardo_d
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_dCarlosEduardoSierraC
 

Similar to Ingenieria social (20)

Mitologia Griega
Mitologia Griega
Mitologia Griega
Mitologia Griega
 
Annon y la Cárcel de Cristal
Annon y la Cárcel de CristalAnnon y la Cárcel de Cristal
Annon y la Cárcel de Cristal
 
Anonimo guia de hyperion
Anonimo   guia de hyperionAnonimo   guia de hyperion
Anonimo guia de hyperion
 
Metodocreativo2
Metodocreativo2Metodocreativo2
Metodocreativo2
 
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza Wong
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza WongAlvin Toffler y la Desmasificación de los massmedia por César Espinoza Wong
Alvin Toffler y la Desmasificación de los massmedia por César Espinoza Wong
 
Mitos y leyendas (1)santi y julián
Mitos y leyendas (1)santi y juliánMitos y leyendas (1)santi y julián
Mitos y leyendas (1)santi y julián
 
Guia de hyperion
Guia de hyperionGuia de hyperion
Guia de hyperion
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Automata
AutomataAutomata
Automata
 
Automata
AutomataAutomata
Automata
 
Atrapados en la red
Atrapados en la redAtrapados en la red
Atrapados en la red
 
Ciberpunk
CiberpunkCiberpunk
Ciberpunk
 
Lectura 22 marzo
Lectura 22 marzoLectura 22 marzo
Lectura 22 marzo
 
Mitología griega y romana
Mitología griega y romanaMitología griega y romana
Mitología griega y romana
 
La simulación de la locura
La simulación de la locura La simulación de la locura
La simulación de la locura
 
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.ppt
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.pptGUÍA PARA PREPARAR FINAL DE CLÁSICA I.ppt
GUÍA PARA PREPARAR FINAL DE CLÁSICA I.ppt
 
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_d
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_dAmazingstories com 2017_07_blogger_invitado_carlos_eduardo_d
Amazingstories com 2017_07_blogger_invitado_carlos_eduardo_d
 
La contracultura de diógenes de sínope
La contracultura de diógenes de sínopeLa contracultura de diógenes de sínope
La contracultura de diógenes de sínope
 
Práctica de word
Práctica de wordPráctica de word
Práctica de word
 
Article Leyendas (49)
Article   Leyendas (49)Article   Leyendas (49)
Article Leyendas (49)
 

Ingenieria social

  • 1. INTRODUCCIÓN Esta monografía tiene como tema central a la Ingeniería Social, una técnica que se ha convertido en una amenaza para las personas tanto conocedoras como no tan conocedoras acerca del mundo de la informática. En la primera parte se tocarán los orígenes de la ingeniería social y como sus fundamentos que son el engaño, la manipulación, el espionaje, etc. están presentes en los mitos y el folclore popular. Ya en una segunda parte del trabajo tenemos algunas técnicas empleadas por los más grandes ingenieros sociales, uno de ellos por ejemplo Kevin Mitnick, quien popularizó el término de Ingeniería Social con sus constantes huidas al FBI y hasta un cambio completo de identidad gracias a estas técnicas, como por ejemplo: El espionaje, el phising, la ingenieria social inversa. También se habla de cómo podemos evitar estos ataques En un último apartado encontraremos una técnica que tiene por fin el ayudar a las personas, hablamos del hacking ético, importante para darle un contraste al tema visto.
  • 2. LOS ORÍGENES DE LA INGENIERÍA SOCIAL Popularizada por Kevin Mitnick, la ingeniería social es en esencia el arte de la persuasión: convencer a las personas para que revelen datos confidenciales o realicen alguna acción. Aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la sustentan están presentes desde los albores de la humanidad. Existen historias de engaño y manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la literatura. PROMETEO, ¿EL DIOS DE LA INGENIERÍA SOCIAL? Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides. Se le atribuye la creación del hombre, modelado a partir de barro. En lo que se conoce como el "Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. Enojado por el engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. Sin embargo, en un acto más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte Olimpos y se lo legó a los hombres. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. Como castigo para los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando incontables plagas. EL ATAQUE DE PHISHING DE JACOB Y REBECA Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, Esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería que fuera Jacob en lugar de Esaú el que recibiera las bendiciones de Isaac, Rebeca concibió un plan. Jacob, reacio al principio, dijo: "Esaú mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una maldición y no una bendición.” (Génesis 27:11- 12.) Para engañar a Isaac y hacerle creer que estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó
  • 3. la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser para Esaú. SANSÓN Y DALILA: ESPIONAJE A SUELDO Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de su fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los filisteos la convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de 1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) Sansón se resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Así que ella le dijo: “¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”Nunca ha pasado navaja sobre mi cabeza, pues he sido Nazareo para Dios desde el vientre de mi madre. Si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió, Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a Sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre. EL PRIMER CABALLO DE TROYA La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibió una estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado Sinón. Tras ser capturado por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traería mala suerte a los griegos. El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos fue su perdición. Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa táctica de ingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.
  • 4. LA INGENIERÍA SOCIAL Concepto En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
  • 5. La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben. COMO PROTEGERSE La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que: Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico); Si es posible, verifique la información proporcionada; Pregúntese qué importancia tiene la información requerida.
  • 6. UN CASO EN FASES La primera fase, al realizar un trabajo de ingeniería social artesanal, implica un acercamiento para generar confianza del usuario. Esto lo logran a través de correos haciéndose pasar por representantes técnicos de algún servicio o incluso a través de una presentación formal en una charla coloquial, mostrándose empático y sacándonos de una eventual situación de alerta ante el extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido, etc.) La atención que ponen en esta etapa es fundamental para captar cualquier información que digamos y tomarla como valorable. Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. En base a su curiosidad o deseo, ésta estará predispuesta consciente e inconscientemente a brindar información. La idea del experto será observar nuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato a conseguir tiene un nivel alto de preservación. Lo demás será prueba y error según el caso al que nos estemos refiriendo. Por ejemplo, si un investigador simplemente quiere encontrar una forma de acceder a tu correo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosas personales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir “corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el password porque lo ha olvidado. Si por casualidad en la pregunta de seguridad pusiste “Cuál es mi mejor amigo de la infancia”, probablemente el experto esté matándose de la risa y ya haya entrado a tu correo con información que tú mismo le diste. Si no lo consigue de esa manera, su trabajo no ha terminado y buscará técnicas más agresivas o repetirá el proceso para conseguir nueva información. Todo esto, repito, está supeditado al caso en el que nos refiramos. Si el cracker está intentando tirar abajo el sistema informático de un Estado, obviamente no irá a revisar los blogs personales de los encargados de limpieza del lugar.
  • 7. TÉCNICAS EL ESPIONAJE Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial. Las técnicas comunes del espionaje han sido históricamente la infiltración y la penetración, en ambas es posible el uso del soborno y el chantaje. MÉTODOS La infiltración es la técnica utilizada para introducir unidades propias en las filas del contrario o blanco, para que suministren información de interés inmediato o potencial sobre las actividades, capacidades, planes, proyectos, etc. del contrario. También podría decirse que es la acción que consiste en la utilización de una persona, conocida como topo, cuyo cometido básico es ganarse la confianza de aquéllos que poseen la información para tener acceso a la misma. La penetración es la técnica que consiste en lograr la colaboración consciente o inocente de un miembro de la organización o grupo contrario con el fin de que proporcione datos e información confidencial del grupo al que pertenece. Generalmente, esta actividad se realiza de forma encubierta y emplea personas reclutadas que han sido persuadidas para trabajar en secreto en contra de su propia organización por diferentes motivaciones: ideológicas, económicas, morales, religiosas o personales. A la penetración le precede un estudio o selección de personas con acceso a lo que se quiere conocer, sus motivaciones y vulnerabilidades. Con posterioridad, se provoca un acercamiento, a través de terceros, de apariencia casual por parte de un agente de inteligencia o reclutador quien inicia un proceso denominado «desarrollo de la fuente», dirigido a cultivar la confianza del futuro informante y prepararlo para la propuesta de colaboración futura. De ambos métodos, las agencias de inteligencia y los diferentes servicios de espionaje prefieren la penetración, dado que es más segura y requiere un menor esfuerzo logístico que la infiltración. Existen diferentes técnicas para realizar este tipo de delito informático, entre ellas: Dialers: Es la instalación de un marcador que provoca que la conexión a Internet se realice a través de un número de tarificación especial y no a través del nodo indicado por el operador con el que se haya contratado dicha conexión. Adware: Son programas que recogen o recopilan información acerca de los hábitos de navegación del usuario en cuestión.
  • 8. Programas de acceso remoto: que permiten el acceso de un tercero a su ordenador para un posterior ataque o alteración de los datos. Son fácilmente reconocibles por los antivirus. Caballos de Troya: Este programa es conocido ya que una vez instalado en el ordenador provoca daños o pone en peligro la seguridad del sistema. Virus o gusanos (worms): Es un programa o código que provoca daños en el sistema, como alteración o borrado de datos, se propaga a otros computadores haciendo uso de la Red, del correo electrónico, etc. Programas de espionaje o spyware: Es un programa que se encarga en registrar todo lo que se realiza en un PC, hasta un sencillo 'clic' en el ratón queda almacenado. Se utiliza para obtener información confidencial o conocer cuál es el funcionamiento que una persona le está dando a la máquina. RECURSOS Explotación de la sexualidad: A menudo los ingenieros sociales suelen enviar invitaciones ofreciendo contenido sexual atractivo, esto hace caer a la víctima más rápido. Exploit de Identidad: El atacante hace creer a la víctima que es una persona que puede ayudarle a resolver sus problemas o simplemente le habla de buena manera para que pueda confiar. Esta técnica es utilizada mucho para hacer el conocido phising. Ataque en la web: La herramienta más utilizada para hacer ingeniria social es la red, donde millones de cibernautas navegan confiando en cualquier persona que quiera sacarle información confidencial.
  • 9. LA INGENIERÍA SOCIAL REVERSA Cuando un usuario legítimo tiene dificultades, y él o ella te pide ayuda. En el proceso de ayudar al usuario en su problema, podemos obtener contraseñas, nombres de cuentas (lo que se te ocurra). A qué hora dejan de usar la pc y cuando la prende. Cuando la dejan prendida sin estar al frente de la misma. ESTO CONSISTE EN DOS PASOS. Ayuda y publicidad. La publicidad consiste en hacer saber al usuario que estás disponible para contestar preguntas relacionadas con la computadora. (Llamar antiguos o usuarios de pc, al asar clientes para hacerle saber tu nuevo numero de teléfono “un que sea el mismo”. Siempre tienen un problema con la PC. De todas maneras hay que comprender por que es mejor hacer que te llamen en vez de lo inverso. Tener una base de datos de usuarios locales. Llamarles y comunicarle tu numero nuevo. El primer paso para hacer ISI es descomponer la computadora blanco del ataque o la capacidad del usuario de usar esa computadora. Esto significa que el usuario no podrá tener todos los privilegios. Se desactivaran varias propiedades de control del S.o. El usuario llamara sin duda cuando, su pc no funcione correctamente. CAUSAS. Alterar un parámetro que ellos no conocen. Ejemplo desabilitar los controladores de la impresora, color de la pantalla, configuración del periférico. Mi favorito es cambiar el idioma del teclado. Instalar programas que saturen el inicio de sesión. Programas de simulación de errores (en el inicio). En resumen, el uso de esta técnica se reduce a causar daños en un sistema para después ofrecerse a arreglar el problema, una vez dentro el atacante es capaz de hacer y deshacer con la información que se le brinda con el objetivo de que “repare el problema”. El usuario siempre quedará contento puesto que el problema desapareció y todo parece indicar que la persona que le dijo que lo arreglaría lo hizo.
  • 10. HACKING ÉTICO Ethical Hacking es basicamente lo mismo que "hackear" solo que con propositos "buenos", en otras palabras sirve para hacer inspecciones a los sistemas y poder asi detectar fallas en los protocolos seguridad informatica que se esten utilizando, se puede implementar haciendo o simulando ataques que podria sufrir la empresa y/o sus sistemas pero hechos premeditadamente por un especialista en seguridad informatica que puede ser interno o externo (outsourcing) a la compañia. Se pueden utilizar diferentes herramientas para hacerlo, lo importante es poder prepararse ante un posible ataque verdadero.