SlideShare a Scribd company logo

Ingenieria social

Download as PPTX, PDF
Mocho Padierna
Mocho Padierna
1 of 7
LA INGENIERIA SOCIAL En pocas palabras, la ingeniería social (IS) es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder a la información desde la fuente más confiable pero más vulnerable, el propio protegido.
La ingeniería social se ha convertido en uno de los métodos de ataque más frecuentes en nuestros días, provocando graves fallos de seguridad. El fallo RSA en 2011, por ejemplo, se baso en una campaña de phishing dirigido y u exploit incrustada en un archivo Excel. Además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social ser algo obligado para todas las compañías. Los atacantes en pruebas deben poder acceder rápidamente a datos sensib poder instalar un dispositivo en poco tiempo para probar su éxito ya que la ventana de la que disponen es muy breve. La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influen The Psychology of Persuasion (lanzado en 1984), estos seis motivadores cla
Existen cuatro técnicas de ingeniería social que los atacantes pueden usar para probar la seguridad de la organización: phishing, pretexting, media dropping y tailgating. Pruebas de seguridad de penetración mediante ingeniería social: Phishing El phishing implica el envió de un correo a un usuario donde se le convence para que haga algo. El objetivo de este ataque de prueba debería ser que el usuario haga clic en algo y después registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas mucho más extenso. En última instancia pueden instalar exploit adaptados al software del cliente para verificar problemas con los navegadores, contenido dinámico, plugins o software instalado Mejorando la calidad de las pruebas internas La clave del éxito de este sistema es la personalización. Personalizar el
Pruebas de seguridad de penetración mediante ingeniería socia Pretexting El pretexting (pretextos) implica llamar por teléfono al usuario y p ierta información, generalmente simulando ser alguien que prec ayuda. Esta técnica puede funcionar bien si se usa mediante aque usuarios de bajo nivel técnico y que tengan acceso a información ensible. a mejor estrategia para empezar es empezar con nombres reale pequeñas peticiones al personal de la organización que esté espe algo. En la conversación el atacante simula necesitar ayuda de la Mucha gente está dispuesta a hacer pequeñas tareas que no sea percibidas como algo sospechoso). Una vez establecido el contac atacante puede pedir algo más sustancial. a búsqueda de información de interés, usando Google y herram omo Maltego de Paterva puede impedir el éxito de este tipo de
Pruebas de seguridad de penetración mediante ingeniería social: Media dropping La descarga en medios suele implicar la presencia de un disco USB en un ugar razonable, como un aparcamiento o la entrada al edificio. El ngeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta. Dispositivos Drop box para pruebas de ataques Los atacantes en pruebas pueden instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los programas y dispositivos que los atacantes puedan crear con herramientas de sniffing y spoofing. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas. El SET “Generador de Medios
Pruebas de seguridad de penetración mediante ingeniería social: Tailgating El tailgating supone lograr acceso a una instalación física mediante engaño a su personal, o simplemente colándose dentro. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física. Los atacantes deberían ser capaces de obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito, ya que tienen poco tiempo para hacerlo antes de salir de la instalación. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo box con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa. Mediante el uso de estas cuatro técnicas de ingeniería social, el personal de pruebas puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y

Recommended

Script kiddie jenny
Script kiddie jennyScript kiddie jenny
Script kiddie jennyMelanie Torres
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011tecnodelainfo
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical HackingMarcos Harasimowicz
 
Antivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazaAntivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazapacifico2209
 
De qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasDe qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasLeandro Morales Alvarez
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos FrancisBuisaCalle
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 

Recommended

Script kiddie jenny
Script kiddie jennyScript kiddie jenny
Script kiddie jennyMelanie Torres
 
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT)Yenny Vasquez
 
Clase dieciocho 2011
Clase dieciocho 2011Clase dieciocho 2011
Clase dieciocho 2011tecnodelainfo
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical HackingMarcos Harasimowicz
 
Antivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazaAntivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazapacifico2209
 
De qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasDe qué estamos hablando seguridad informatica defensas
De qué estamos hablando seguridad informatica defensasLeandro Morales Alvarez
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos FrancisBuisaCalle
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidasUniversidad Tecnológica de México - UNITEC
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticosYokastha Duarte
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaLORENAJUYAR
 
Seguridad informática3
Seguridad informática3Seguridad informática3
Seguridad informática3AGCR22
 
Revista de conceptos informáticos
Revista de conceptos informáticosRevista de conceptos informáticos
Revista de conceptos informáticosAlan Resendiz
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaomigdfr
 
Fire eye mpc_ds
Fire eye mpc_dsFire eye mpc_ds
Fire eye mpc_dsIlyanna
 
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICASRIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICASMaurenBeatrizPlazasD
 
sophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfsophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfDennis Reyes
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la redI.E.S Teobaldo Power
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionWilliam Matamoros
 
Presentación cylance
Presentación cylancePresentación cylance
Presentación cylancevictor bueno
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicasjigabrego
 
Tp 3
Tp 3Tp 3
Tp 3ift
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Trabajo de ingenieria social
Trabajo de ingenieria socialTrabajo de ingenieria social
Trabajo de ingenieria socialCarlos Franco
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosLuis R Castellanos
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Seguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicosSeguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicosJavichu Moya
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 

More Related Content

What's hot

Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaLORENAJUYAR
 
Seguridad informática3
Seguridad informática3Seguridad informática3
Seguridad informática3AGCR22
 
Revista de conceptos informáticos
Revista de conceptos informáticosRevista de conceptos informáticos
Revista de conceptos informáticosAlan Resendiz
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaomigdfr
 
Fire eye mpc_ds
Fire eye mpc_dsFire eye mpc_ds
Fire eye mpc_dsIlyanna
 
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICASRIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICASMaurenBeatrizPlazasD
 
sophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfsophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfDennis Reyes
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionWilliam Matamoros
 
Presentación cylance
Presentación cylancePresentación cylance
Presentación cylancevictor bueno
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicasjigabrego
 
Tp 3
Tp 3Tp 3
Tp 3ift
 

What's hot (16)

Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
 
01 ataques informaticos
01 ataques informaticos01 ataques informaticos
01 ataques informaticos
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informática
 
Seguridad informática3
Seguridad informática3Seguridad informática3
Seguridad informática3
 
Revista de conceptos informáticos
Revista de conceptos informáticosRevista de conceptos informáticos
Revista de conceptos informáticos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Fire eye mpc_ds
Fire eye mpc_dsFire eye mpc_ds
Fire eye mpc_ds
 
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICASRIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
RIESGOS DE LA INFORMACIÓN ELECTRÓNICA VIRUS,ATAQUE Y VACUNAS INFORMATICAS
 
sophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdfsophos-incident-response-guide-es.pdf
sophos-incident-response-guide-es.pdf
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la red
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacion
 
Presentación cylance
Presentación cylancePresentación cylance
Presentación cylance
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Tp 3
Tp 3Tp 3
Tp 3
 

Similar to Ingenieria social

Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Trabajo de ingenieria social
Trabajo de ingenieria socialTrabajo de ingenieria social
Trabajo de ingenieria socialCarlos Franco
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosLuis R Castellanos
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Seguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicosSeguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicosJavichu Moya
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 
Client side explotation
Client side explotationClient side explotation
Client side explotationDiana
 
Client side explotation
Client side explotationClient side explotation
Client side explotationDiana
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Víctor Acosta Santivañez
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Modelos de ataques
Modelos de ataquesModelos de ataques
Modelos de ataquesomaroriel
 

Similar to Ingenieria social (20)

Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"
 
Trabajo de ingenieria social
Trabajo de ingenieria socialTrabajo de ingenieria social
Trabajo de ingenieria social
 
Como se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis CastellanosComo se evita la ingeniería social Luis Castellanos
Como se evita la ingeniería social Luis Castellanos
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Seguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicosSeguridad Informática - Conceptos básicos
Seguridad Informática - Conceptos básicos
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Client side explotation
Client side explotationClient side explotation
Client side explotation
 
Client side explotation
Client side explotationClient side explotation
Client side explotation
 
HackWeb
HackWebHackWeb
HackWeb
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Practica 07
Practica 07Practica 07
Practica 07
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...
 
Seguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptxSeguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptx
 
Seguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptxSeguridadinformatica fabian.pptx
Seguridadinformatica fabian.pptx
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2 ximello
Seguridad informatica 2 ximelloSeguridad informatica 2 ximello
Seguridad informatica 2 ximello
 
Modelos de ataques
Modelos de ataquesModelos de ataques
Modelos de ataques
 
Ataques informáticos
Ataques informáticosAtaques informáticos
Ataques informáticos
 

More from Mocho Padierna

Seguridad en servicios de internet
Seguridad en servicios de internetSeguridad en servicios de internet
Seguridad en servicios de internetMocho Padierna
 
Sistemas criptograficos
Sistemas criptograficosSistemas criptograficos
Sistemas criptograficosMocho Padierna
 
Problemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosProblemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosMocho Padierna
 
Problemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosProblemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosMocho Padierna
 

More from Mocho Padierna (11)

Seguridad web
Seguridad webSeguridad web
Seguridad web
 
Firewalls
FirewallsFirewalls
Firewalls
 
Servidores proxy
Servidores proxyServidores proxy
Servidores proxy
 
Seguridad en servicios de internet
Seguridad en servicios de internetSeguridad en servicios de internet
Seguridad en servicios de internet
 
Sistemas biometricos
Sistemas biometricosSistemas biometricos
Sistemas biometricos
 
Sistemas criptograficos
Sistemas criptograficosSistemas criptograficos
Sistemas criptograficos
 
Ciberterrorismo
CiberterrorismoCiberterrorismo
Ciberterrorismo
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Problemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosProblemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticos
 
Problemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticosProblemas de seguridad en redes y sistemas informaticos
Problemas de seguridad en redes y sistemas informaticos
 
Firewalls
FirewallsFirewalls
Firewalls
 

Ingenieria social

  • 1.
  • 2. LA INGENIERIA SOCIAL En pocas palabras, la ingeniería social (IS) es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder a la información desde la fuente más confiable pero más vulnerable, el propio protegido.
  • 3. La ingeniería social se ha convertido en uno de los métodos de ataque más frecuentes en nuestros días, provocando graves fallos de seguridad. El fallo RSA en 2011, por ejemplo, se baso en una campaña de phishing dirigido y u exploit incrustada en un archivo Excel. Además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social ser algo obligado para todas las compañías. Los atacantes en pruebas deben poder acceder rápidamente a datos sensib poder instalar un dispositivo en poco tiempo para probar su éxito ya que la ventana de la que disponen es muy breve. La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influen The Psychology of Persuasion (lanzado en 1984), estos seis motivadores cla
  • 4. Existen cuatro técnicas de ingeniería social que los atacantes pueden usar para probar la seguridad de la organización: phishing, pretexting, media dropping y tailgating. Pruebas de seguridad de penetración mediante ingeniería social: Phishing El phishing implica el envió de un correo a un usuario donde se le convence para que haga algo. El objetivo de este ataque de prueba debería ser que el usuario haga clic en algo y después registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas mucho más extenso. En última instancia pueden instalar exploit adaptados al software del cliente para verificar problemas con los navegadores, contenido dinámico, plugins o software instalado Mejorando la calidad de las pruebas internas La clave del éxito de este sistema es la personalización. Personalizar el
  • 5. Pruebas de seguridad de penetración mediante ingeniería socia Pretexting El pretexting (pretextos) implica llamar por teléfono al usuario y p ierta información, generalmente simulando ser alguien que prec ayuda. Esta técnica puede funcionar bien si se usa mediante aque usuarios de bajo nivel técnico y que tengan acceso a información ensible. a mejor estrategia para empezar es empezar con nombres reale pequeñas peticiones al personal de la organización que esté espe algo. En la conversación el atacante simula necesitar ayuda de la Mucha gente está dispuesta a hacer pequeñas tareas que no sea percibidas como algo sospechoso). Una vez establecido el contac atacante puede pedir algo más sustancial. a búsqueda de información de interés, usando Google y herram omo Maltego de Paterva puede impedir el éxito de este tipo de
  • 6. Pruebas de seguridad de penetración mediante ingeniería social: Media dropping La descarga en medios suele implicar la presencia de un disco USB en un ugar razonable, como un aparcamiento o la entrada al edificio. El ngeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta. Dispositivos Drop box para pruebas de ataques Los atacantes en pruebas pueden instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los programas y dispositivos que los atacantes puedan crear con herramientas de sniffing y spoofing. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas. El SET “Generador de Medios
  • 7. Pruebas de seguridad de penetración mediante ingeniería social: Tailgating El tailgating supone lograr acceso a una instalación física mediante engaño a su personal, o simplemente colándose dentro. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física. Los atacantes deberían ser capaces de obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito, ya que tienen poco tiempo para hacerlo antes de salir de la instalación. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo box con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa. Mediante el uso de estas cuatro técnicas de ingeniería social, el personal de pruebas puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y