SlideShare una empresa de Scribd logo

Ingeniería Social

K
Keiny Tatiana Pacheco Cárcamo

¿Cuáles son los objetivos de la ingeniería social? ¿Cómo recopilan la información de la víctima? ¿Cuáles son las técnicas de ataque? ¿Cómo protegernos ante ellos? Descubramos un poco más sobre la ingeniería social a traves de un resumen con las técnicas más importantes que debemos conocer para prevenir y mitigar riesgos. Recuerda que todos somos vulnerables, por lo tanto, las empresas también lo son.

Ingeniería
1 de 30
Descargar para leer sin conexión
Resumen por Keiny Pacheco Ingeniería Social en Seguridad Informática
Obtener cualquier tipo de información para acceder a un sistema o escalar privilegios en el Burlar la seguridad de la información con diplomacia Estudiar el comportamiento humano para saber cómo acceder a ellos en determinados contextos Objetivos
Los Ingenieros Sociales Son mentirosos profesionales. Conocen su víctima y su entorno, lo cual le permite desempeñar un papel creíble Suelen estudiar material relacionado a la psicología y a la sociología Tienen muy desarrollada la escucha activa. De esta manera la víctima se abre al atacante 1 2 3
BUSCAR Maneras de recopilar información en internet
Es toda la información que podemos encontrar en internet, sin tener que hackear o robar para acceder a ella. Se puede buscar en páginas web personales, páginas de organizaciones policiales, revistas, blogs, redes sociales, la deep web, entre otros. OSINT Open Source Intelligence
Usando WHOIS podemos consultar información sobre el dominio y los datos de quién registró la página web. Existen plugins que permiten conocer que tecnologías hay detrás de esta. Conociendo el sistema operativo y lenguajes de programación, podemos mirar que vulnerabilidades podemos atacar. Muchas veces en las páginas web se encuentran nombres, correros, fotos con información reveladora (pasada por alto), que permiten conocer instalaciones o recursos claves de la víctima Datos de la página web
¿Has pensado que sucede cuando botas papeles como facturas, contratos, correos, entre otros? Hay alguien que estará dispuesto a buscarlos en la basura para extraer información. En ciertos lugares no es ilegal hacerlo... Si nos vamos al mundo digital, cuando eliminas un archivo, en el disco duro también queda almacenada esa información que se puede extraer con software especializado. Trashing Rebuscar información de la basura
Es común encontrar familiares y amigos que no son concientes de estos temas, el compartir información personal y profesional puede perjudicarlos, siendo más fácil vulnerar la seguridad en su entorno y círculo social. Ellos se preocupan por nosotros, por lo tanto desean ayudarnos a cualquier costo. El ingeniero social, actuará de manera apropiada proponiendo situaciones irreales para obtener información confidencial. Familias y conocidos
Podemos encontrar información como correos electrónicos, fechas de cumpleaños, fotos, contactos, ubicaciones, números telefónicos, entre otros. Con esta información podemos conocer a la víctima, ya que se conoce su cultura, sus comportamientos y pensamientos, información que le puede jugar en contra por un ingeniero social. Redes sociales
Si un ingeniero social tiene acceso a la plantilla de una empresa, podríamos decir que ya tiene todos los correos electrónicos de los mismos. Esto es porque muchas empresas tienen los correos electrónicos normalizados, por ejemplo nombre.apellido@empresa.com. Lo cual permite investigar mucho más fácil la organización y establecer estrategias de ataque según el perfil de cada empleado. Correos Electrónicos
Los archivos guardan metadatos que contienen información como el autor, la fecha de edición, datos de contacto, idioma, entre otros, los cuales pueden revelar información de quién lo comparte. Lo ideal, es revisar bien estos metadatos para que no revelen información confidencial. Lo mismo sucede con las cabeceras de los correos electrónicos. Metadatos
Una fotografía incluye metadatos como el modelo de la cámara, la fecha y hora, las coordenadas de la ubicación del fotógrafo, orientación de la cámara, por mencionar algunas. Esta información es útil para saber si ciertas fotos fueron manipuladas, o para seguirle el rastro a una persona. Afortunadamente, las redes sociales suelen borrar estos metadatos, pero en otros sitios como páginas web, las imágenes conservan la información. Metadatos en imágenes
Cuando se requiere investigar la identidad de una persona detrás de un alias o cuentas de usuario online, estamos haciendo "doxing". Para encontrar dicha información, se usa OSINT como herramienta. Una de las causas es la justicia social, por lo tanto se quiere desenmascarar a esta persona u organización para que puedan ser judicializados. También hay otras motivaciones, como conocer quien administra o tiene ciertos privilegios en un sistema, de esta manera armar el plan de ataque. Doxing ?
Herramientas para la ingeniería social Algunas de ellas...
Es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que escanea. Estos documentos pueden estar en páginas web y pueden descargarse y analizarse con FOCA. FOCA Fingerprinting Organizations with Collected Archives
Analiza las relaciones del mundo real entre la información que es públicamente accesible en Internet. Ofrece la capacidad de conectar fácilmente datos y funcionalidades de diversas fuentes utilizando Transforms. A través de Transform Hub, puede conectar datos de más de 80 socios de datos, una variedad de fuentes públicas (OSINT), así como sus propios datos.
Buscadores como Google permiten realizar búsquedas en internet con distintos operadores para filtrar la información. Por ejemplo, si queremos buscar páginas que en su URL tenga determinada palabra, usamos inurl. inurl:android Esto retornará una lista de páginas que tengan la palabra "android". Operadores de búsqueda
Aplicación desarrollada por Christian Martorella. La herramienta recopila nombres, correos electrónicos, IP, subdominios y URL mediante el uso de múltiples recursos públicos como motores de búsquedas y ataques de fuerza bruta. theHarvester
Técnicas de ataques de la ingeniería social
Forma presencial Chats Llamadas telefónicas
El atacante replica las identidades corporativas o personales para crear correos electrónicos en los que se pueda captar a la víctima. El objetivo se "engancha" ya que el correo se le hace familiar y procede hacer click en enlaces, responde enviando información confidencial, abre los archivos adjuntos (estos internamente contienen programas con fines maléficos), entre otros. Phishing
En forma de ventanas emergentes te avisan que tienes malwares o archivos maliciosos en tu computador y te indican que hagas click en ellos para que descargues aplicaciones que solucionan el problema (antivirus falsos) o ejecutes acciones predeterminadas por el programa (como ir a determinado sitio web infectado) Muchas personas caen en este tipo de ataques ya que suelen estar en páginas web muy concurridas y suelen ser bastante llamativas. Scareware
El atacante tiene dominios, correos electrónicos y cuentas de usuario que tienen alteraciones en algunas de sus letras haciendolo imperceptible para la víctima. www.banmco.com --- Original www.banrnco.com --- Alterado La idea es que no solamente las urls sean imperceptibles, sino también el contenido que contiene la página web o el correo electrónico para que el objetivo crea que está interactuando con la página real. Dominios engañosos
La curiosidad pone en jaque al humano. Esta técnica consiste en dejar abandonado una usb con malware para que el objetivo la encuentre. La curiosidad le hará conectar la usb a un computador para ver de quién es y qué contiene. Este irá más allá y abrirá los archivos; esa será la oportunidad perfecta para comenzar a ejecutar el malware. La técnica del USB
El ingeniero social, generalmente por llamadas, se hace pasar por técnico en sistemas y emplea frases como "hay que actualizar su computador", "hay que reparar tal hardware", ya que sus víctimas son personas que no tienen un conocimiento amplio en computadores. Aprovechandose de ello, hace que la víctima descargue software malicioso para "solucionar el problema", o la confianza va más allá que este le comparte información confidencial, sin levantar sospechas. El fallo informático
Prevención ante la ingeniería social
Concienciar sobre la seguridad en cada puesto de trabajo o vida personal Mantenernos actualizados para prevenir riesgos y minimizar daños Crear registros (logs) y controlar accesos a los sistema Guardar copias de seguridad para evitar perder la base de datos 1 3 4 2
Usar comunicación segura: VPN, conexiones SSL. Tener una lista de apps permitidas No usar recursos de la empresas para actividades privadas. Tener un plan de contigencia en caso de ataque 5 7 6
Los humanos somos vulnerables, entonces las empresas también lo son
¡Gracias! Resumen por Keiny Pacheco

Recomendados

Security audits & compliance
Security audits & complianceSecurity audits & compliance
Security audits & compliance
Vandana Verma
 
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
Edureka!
 
Cyber Threat Simulation Training
Cyber Threat Simulation TrainingCyber Threat Simulation Training
Cyber Threat Simulation Training
Bryan Len
 
Cybersecurity Awareness E-Book - WeSecureApp
Cybersecurity Awareness E-Book - WeSecureAppCybersecurity Awareness E-Book - WeSecureApp
Cybersecurity Awareness E-Book - WeSecureApp
WeSecureApp
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
Lily Diéguez
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
BugRaptors
 
Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017
TriNimbus
 
Social engineering
Social engineering Social engineering
Social engineering
Vîñàý Pãtêl
 

Recomendados

Security audits & compliance
Security audits & complianceSecurity audits & compliance
Security audits & compliance
Vandana Verma
 
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
What is Ethical Hacking? | Ethical Hacking for Beginners | Ethical Hacking Co...
Edureka!
 
Cyber Threat Simulation Training
Cyber Threat Simulation TrainingCyber Threat Simulation Training
Cyber Threat Simulation Training
Bryan Len
 
Cybersecurity Awareness E-Book - WeSecureApp
Cybersecurity Awareness E-Book - WeSecureAppCybersecurity Awareness E-Book - WeSecureApp
Cybersecurity Awareness E-Book - WeSecureApp
WeSecureApp
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
Lily Diéguez
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
BugRaptors
 
Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017Web App Security Presentation by Ryan Holland - 05-31-2017
Web App Security Presentation by Ryan Holland - 05-31-2017
TriNimbus
 
Social engineering
Social engineering Social engineering
Social engineering
Vîñàý Pãtêl
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticos
adrianruiz81
 
File upload vulnerabilities & mitigation
File upload vulnerabilities & mitigationFile upload vulnerabilities & mitigation
File upload vulnerabilities & mitigation
Onwukike Chinedu. CISA, CEH, COBIT5 LI, CCNP
 
introduction to cyber security
introduction to cyber securityintroduction to cyber security
introduction to cyber security
Slamet Ar Rokhim
 
Introduction to Social engineering | Techniques of Social engineering
Introduction to Social engineering | Techniques of Social engineeringIntroduction to Social engineering | Techniques of Social engineering
Introduction to Social engineering | Techniques of Social engineering
Prem Lamsal
 
Lessons from 100+ ransomware recoveries
Lessons from 100+ ransomware recoveriesLessons from 100+ ransomware recoveries
Lessons from 100+ ransomware recoveries
Databarracks
 
Malware Detection Approaches using Data Mining Techniques.pptx
Malware Detection Approaches using Data Mining Techniques.pptxMalware Detection Approaches using Data Mining Techniques.pptx
Malware Detection Approaches using Data Mining Techniques.pptx
Alamgir Hossain
 
Social engineering
Social engineeringSocial engineering
Social engineering
Maulik Kotak
 
The Six Stages of Incident Response
The Six Stages of Incident Response The Six Stages of Incident Response
The Six Stages of Incident Response
Darren Pauli
 
Ethical hacking ppt
Ethical hacking pptEthical hacking ppt
Ethical hacking ppt
Nitesh Dubey
 
Introduction to cyber security by cyber security infotech(csi)
Introduction to cyber security by cyber security infotech(csi)Introduction to cyber security by cyber security infotech(csi)
Introduction to cyber security by cyber security infotech(csi)
Cyber Security Infotech
 
Network security
Network securityNetwork security
Network security
Ujjwal 'Shanu'
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement Matrice
Vishal Kumar
 
OSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceOSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligence
Deep Shankar Yadav
 
14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness
Michel Bitter
 
Cyber Table Top Exercise -- Model Roadmap
Cyber Table Top Exercise -- Model RoadmapCyber Table Top Exercise -- Model Roadmap
Cyber Table Top Exercise -- Model Roadmap
David Sweigert
 
Intro to Web Application Security
Intro to Web Application SecurityIntro to Web Application Security
Intro to Web Application Security
Rob Ragan
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
Yolanda Corral
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
Nezar Alazzabi
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
Ben Boyd
 
Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2
jalecastro
 
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Karla Rdz
 

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticos
 
File upload vulnerabilities & mitigation
File upload vulnerabilities & mitigationFile upload vulnerabilities & mitigation
File upload vulnerabilities & mitigation
 
introduction to cyber security
introduction to cyber securityintroduction to cyber security
introduction to cyber security
 
Introduction to Social engineering | Techniques of Social engineering
Introduction to Social engineering | Techniques of Social engineeringIntroduction to Social engineering | Techniques of Social engineering
Introduction to Social engineering | Techniques of Social engineering
 
Lessons from 100+ ransomware recoveries
Lessons from 100+ ransomware recoveriesLessons from 100+ ransomware recoveries
Lessons from 100+ ransomware recoveries
 
Malware Detection Approaches using Data Mining Techniques.pptx
Malware Detection Approaches using Data Mining Techniques.pptxMalware Detection Approaches using Data Mining Techniques.pptx
Malware Detection Approaches using Data Mining Techniques.pptx
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
The Six Stages of Incident Response
The Six Stages of Incident Response The Six Stages of Incident Response
The Six Stages of Incident Response
 
Ethical hacking ppt
Ethical hacking pptEthical hacking ppt
Ethical hacking ppt
 
Introduction to cyber security by cyber security infotech(csi)
Introduction to cyber security by cyber security infotech(csi)Introduction to cyber security by cyber security infotech(csi)
Introduction to cyber security by cyber security infotech(csi)
 
Network security
Network securityNetwork security
Network security
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement Matrice
 
OSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceOSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligence
 
14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness
 
Cyber Table Top Exercise -- Model Roadmap
Cyber Table Top Exercise -- Model RoadmapCyber Table Top Exercise -- Model Roadmap
Cyber Table Top Exercise -- Model Roadmap
 
Intro to Web Application Security
Intro to Web Application SecurityIntro to Web Application Security
Intro to Web Application Security
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
 

Similar a Ingeniería Social

Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Karla Rdz
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
Chris Fernandez CEHv7, eCPPT, Linux Engineer
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informatica
Lautaro Lopez
 

Similar a Ingeniería Social (20)

Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2Profesionalizacion y certificacion en ciberseguridad 2
Profesionalizacion y certificacion en ciberseguridad 2
 
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
Unidad de aprendizaje I.- Búsqueda, veracidad y seguridad de la información.
 
Las tic
Las ticLas tic
Las tic
 
Medios digitales
Medios digitalesMedios digitales
Medios digitales
 
Hackers
HackersHackers
Hackers
 
Las técnicas del Pentesting.pptx
Las técnicas del Pentesting.pptxLas técnicas del Pentesting.pptx
Las técnicas del Pentesting.pptx
 
Protección de datos y equipos
Protección de datos y equiposProtección de datos y equipos
Protección de datos y equipos
 
Los hackers
Los hackersLos hackers
Los hackers
 
Revista informatica oriana gonzalez sede charallave
Revista informatica oriana gonzalez sede charallave Revista informatica oriana gonzalez sede charallave
Revista informatica oriana gonzalez sede charallave
 
Tipos de hackers tics
Tipos de hackers tics Tipos de hackers tics
Tipos de hackers tics
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informatica
 
Revista sistmas
Revista sistmasRevista sistmas
Revista sistmas
 
Revista sistmas
Revista sistmasRevista sistmas
Revista sistmas
 
Revista sistmas
Revista sistmasRevista sistmas
Revista sistmas
 
Spam
SpamSpam
Spam
 
Sabotajes y delitos por computadora
Sabotajes y delitos por computadoraSabotajes y delitos por computadora
Sabotajes y delitos por computadora
 
Seguridad de informatica
Seguridad de informaticaSeguridad de informatica
Seguridad de informatica
 
Identificacion del entorno y riesgos en el internet
Identificacion del entorno y riesgos en el internetIdentificacion del entorno y riesgos en el internet
Identificacion del entorno y riesgos en el internet
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
 

Último

TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
FRANCISCOJUSTOSIERRA
 
Circuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdfCircuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdf
JosueUlin1
 
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
ErnestoCano12
 

Último (20)

ESPECIFICACIONES TECNICAS MURO DE CONTENCION.docx
ESPECIFICACIONES TECNICAS MURO DE CONTENCION.docxESPECIFICACIONES TECNICAS MURO DE CONTENCION.docx
ESPECIFICACIONES TECNICAS MURO DE CONTENCION.docx
 
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 20.5 PREFERIDO.wbk.wbk SEG...
 
Diagramas de Tiempo.pptpara electronica aplicada
Diagramas de Tiempo.pptpara electronica aplicadaDiagramas de Tiempo.pptpara electronica aplicada
Diagramas de Tiempo.pptpara electronica aplicada
 
Circuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdfCircuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdf
 
DIAGRAMAS PID automatizacion y control.ppt
DIAGRAMAS PID automatizacion y control.pptDIAGRAMAS PID automatizacion y control.ppt
DIAGRAMAS PID automatizacion y control.ppt
 
Ciclo de Refrigeracion aplicado a ToniCorp.pptx
Ciclo de Refrigeracion aplicado a ToniCorp.pptxCiclo de Refrigeracion aplicado a ToniCorp.pptx
Ciclo de Refrigeracion aplicado a ToniCorp.pptx
 
ESFUERZO EN VIGAS SESIÓN 5 PROBLEMA RESUELTOS.pdf
ESFUERZO EN VIGAS SESIÓN 5 PROBLEMA RESUELTOS.pdfESFUERZO EN VIGAS SESIÓN 5 PROBLEMA RESUELTOS.pdf
ESFUERZO EN VIGAS SESIÓN 5 PROBLEMA RESUELTOS.pdf
 
Convocatoria de Becas Caja de Ingenieros_UOC 2024-25
Convocatoria de Becas Caja de Ingenieros_UOC 2024-25Convocatoria de Becas Caja de Ingenieros_UOC 2024-25
Convocatoria de Becas Caja de Ingenieros_UOC 2024-25
 
PRACTICAS_DE_AUTOMATIZACION_industrial (1).pdf
PRACTICAS_DE_AUTOMATIZACION_industrial (1).pdfPRACTICAS_DE_AUTOMATIZACION_industrial (1).pdf
PRACTICAS_DE_AUTOMATIZACION_industrial (1).pdf
 
Trabajo de cristalografia. año 2024 mes de mayo
Trabajo de cristalografia. año 2024 mes de mayoTrabajo de cristalografia. año 2024 mes de mayo
Trabajo de cristalografia. año 2024 mes de mayo
 
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPODIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
 
subestaciones electricas, distribucion de energia
subestaciones electricas, distribucion de energiasubestaciones electricas, distribucion de energia
subestaciones electricas, distribucion de energia
 
subestaciones electricas , elementos y caracteristicas
subestaciones electricas , elementos y caracteristicassubestaciones electricas , elementos y caracteristicas
subestaciones electricas , elementos y caracteristicas
 
expo unidad5 metodologia de los sistemas blandos .pptx
expo unidad5 metodologia de los sistemas blandos .pptxexpo unidad5 metodologia de los sistemas blandos .pptx
expo unidad5 metodologia de los sistemas blandos .pptx
 
Responsabilidad de padres con sus hijos (1).pptx
Responsabilidad de padres con sus hijos (1).pptxResponsabilidad de padres con sus hijos (1).pptx
Responsabilidad de padres con sus hijos (1).pptx
 
UNIDAD III Esquemas de comunicacion pptx
UNIDAD III Esquemas de comunicacion pptxUNIDAD III Esquemas de comunicacion pptx
UNIDAD III Esquemas de comunicacion pptx
 
herrramientas de resistividad para registro de pozos.pptx
herrramientas de resistividad para registro de pozos.pptxherrramientas de resistividad para registro de pozos.pptx
herrramientas de resistividad para registro de pozos.pptx
 
Diseno de Estructuras de Acero - 5ta Ed - McCormac.pdf
Diseno de Estructuras de Acero - 5ta Ed - McCormac.pdfDiseno de Estructuras de Acero - 5ta Ed - McCormac.pdf
Diseno de Estructuras de Acero - 5ta Ed - McCormac.pdf
 
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
707555966-El-Libro-de-La-Inteligencia-Artificial-Version-11-Alfredovela.pdf
 
REAJUSTE DE PRECIOS EN LOS CONTRATOS ADMINISTRATIVOS DE OBRA PUBLICA PACTADOS...
REAJUSTE DE PRECIOS EN LOS CONTRATOS ADMINISTRATIVOS DE OBRA PUBLICA PACTADOS...REAJUSTE DE PRECIOS EN LOS CONTRATOS ADMINISTRATIVOS DE OBRA PUBLICA PACTADOS...
REAJUSTE DE PRECIOS EN LOS CONTRATOS ADMINISTRATIVOS DE OBRA PUBLICA PACTADOS...
 

Ingeniería Social

  • 1. Resumen por Keiny Pacheco Ingeniería Social en Seguridad Informática
  • 2. Obtener cualquier tipo de información para acceder a un sistema o escalar privilegios en el Burlar la seguridad de la información con diplomacia Estudiar el comportamiento humano para saber cómo acceder a ellos en determinados contextos Objetivos
  • 3. Los Ingenieros Sociales Son mentirosos profesionales. Conocen su víctima y su entorno, lo cual le permite desempeñar un papel creíble Suelen estudiar material relacionado a la psicología y a la sociología Tienen muy desarrollada la escucha activa. De esta manera la víctima se abre al atacante 1 2 3
  • 5. Es toda la información que podemos encontrar en internet, sin tener que hackear o robar para acceder a ella. Se puede buscar en páginas web personales, páginas de organizaciones policiales, revistas, blogs, redes sociales, la deep web, entre otros. OSINT Open Source Intelligence
  • 6. Usando WHOIS podemos consultar información sobre el dominio y los datos de quién registró la página web. Existen plugins que permiten conocer que tecnologías hay detrás de esta. Conociendo el sistema operativo y lenguajes de programación, podemos mirar que vulnerabilidades podemos atacar. Muchas veces en las páginas web se encuentran nombres, correros, fotos con información reveladora (pasada por alto), que permiten conocer instalaciones o recursos claves de la víctima Datos de la página web
  • 7. ¿Has pensado que sucede cuando botas papeles como facturas, contratos, correos, entre otros? Hay alguien que estará dispuesto a buscarlos en la basura para extraer información. En ciertos lugares no es ilegal hacerlo... Si nos vamos al mundo digital, cuando eliminas un archivo, en el disco duro también queda almacenada esa información que se puede extraer con software especializado. Trashing Rebuscar información de la basura
  • 8. Es común encontrar familiares y amigos que no son concientes de estos temas, el compartir información personal y profesional puede perjudicarlos, siendo más fácil vulnerar la seguridad en su entorno y círculo social. Ellos se preocupan por nosotros, por lo tanto desean ayudarnos a cualquier costo. El ingeniero social, actuará de manera apropiada proponiendo situaciones irreales para obtener información confidencial. Familias y conocidos
  • 9. Podemos encontrar información como correos electrónicos, fechas de cumpleaños, fotos, contactos, ubicaciones, números telefónicos, entre otros. Con esta información podemos conocer a la víctima, ya que se conoce su cultura, sus comportamientos y pensamientos, información que le puede jugar en contra por un ingeniero social. Redes sociales
  • 10. Si un ingeniero social tiene acceso a la plantilla de una empresa, podríamos decir que ya tiene todos los correos electrónicos de los mismos. Esto es porque muchas empresas tienen los correos electrónicos normalizados, por ejemplo nombre.apellido@empresa.com. Lo cual permite investigar mucho más fácil la organización y establecer estrategias de ataque según el perfil de cada empleado. Correos Electrónicos
  • 11. Los archivos guardan metadatos que contienen información como el autor, la fecha de edición, datos de contacto, idioma, entre otros, los cuales pueden revelar información de quién lo comparte. Lo ideal, es revisar bien estos metadatos para que no revelen información confidencial. Lo mismo sucede con las cabeceras de los correos electrónicos. Metadatos
  • 12. Una fotografía incluye metadatos como el modelo de la cámara, la fecha y hora, las coordenadas de la ubicación del fotógrafo, orientación de la cámara, por mencionar algunas. Esta información es útil para saber si ciertas fotos fueron manipuladas, o para seguirle el rastro a una persona. Afortunadamente, las redes sociales suelen borrar estos metadatos, pero en otros sitios como páginas web, las imágenes conservan la información. Metadatos en imágenes
  • 13. Cuando se requiere investigar la identidad de una persona detrás de un alias o cuentas de usuario online, estamos haciendo "doxing". Para encontrar dicha información, se usa OSINT como herramienta. Una de las causas es la justicia social, por lo tanto se quiere desenmascarar a esta persona u organización para que puedan ser judicializados. También hay otras motivaciones, como conocer quien administra o tiene ciertos privilegios en un sistema, de esta manera armar el plan de ataque. Doxing ?
  • 14. Herramientas para la ingeniería social Algunas de ellas...
  • 15. Es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que escanea. Estos documentos pueden estar en páginas web y pueden descargarse y analizarse con FOCA. FOCA Fingerprinting Organizations with Collected Archives
  • 16. Analiza las relaciones del mundo real entre la información que es públicamente accesible en Internet. Ofrece la capacidad de conectar fácilmente datos y funcionalidades de diversas fuentes utilizando Transforms. A través de Transform Hub, puede conectar datos de más de 80 socios de datos, una variedad de fuentes públicas (OSINT), así como sus propios datos.
  • 17. Buscadores como Google permiten realizar búsquedas en internet con distintos operadores para filtrar la información. Por ejemplo, si queremos buscar páginas que en su URL tenga determinada palabra, usamos inurl. inurl:android Esto retornará una lista de páginas que tengan la palabra "android". Operadores de búsqueda
  • 18. Aplicación desarrollada por Christian Martorella. La herramienta recopila nombres, correos electrónicos, IP, subdominios y URL mediante el uso de múltiples recursos públicos como motores de búsquedas y ataques de fuerza bruta. theHarvester
  • 19. Técnicas de ataques de la ingeniería social
  • 21. El atacante replica las identidades corporativas o personales para crear correos electrónicos en los que se pueda captar a la víctima. El objetivo se "engancha" ya que el correo se le hace familiar y procede hacer click en enlaces, responde enviando información confidencial, abre los archivos adjuntos (estos internamente contienen programas con fines maléficos), entre otros. Phishing
  • 22. En forma de ventanas emergentes te avisan que tienes malwares o archivos maliciosos en tu computador y te indican que hagas click en ellos para que descargues aplicaciones que solucionan el problema (antivirus falsos) o ejecutes acciones predeterminadas por el programa (como ir a determinado sitio web infectado) Muchas personas caen en este tipo de ataques ya que suelen estar en páginas web muy concurridas y suelen ser bastante llamativas. Scareware
  • 23. El atacante tiene dominios, correos electrónicos y cuentas de usuario que tienen alteraciones en algunas de sus letras haciendolo imperceptible para la víctima. www.banmco.com --- Original www.banrnco.com --- Alterado La idea es que no solamente las urls sean imperceptibles, sino también el contenido que contiene la página web o el correo electrónico para que el objetivo crea que está interactuando con la página real. Dominios engañosos
  • 24. La curiosidad pone en jaque al humano. Esta técnica consiste en dejar abandonado una usb con malware para que el objetivo la encuentre. La curiosidad le hará conectar la usb a un computador para ver de quién es y qué contiene. Este irá más allá y abrirá los archivos; esa será la oportunidad perfecta para comenzar a ejecutar el malware. La técnica del USB
  • 25. El ingeniero social, generalmente por llamadas, se hace pasar por técnico en sistemas y emplea frases como "hay que actualizar su computador", "hay que reparar tal hardware", ya que sus víctimas son personas que no tienen un conocimiento amplio en computadores. Aprovechandose de ello, hace que la víctima descargue software malicioso para "solucionar el problema", o la confianza va más allá que este le comparte información confidencial, sin levantar sospechas. El fallo informático
  • 27. Concienciar sobre la seguridad en cada puesto de trabajo o vida personal Mantenernos actualizados para prevenir riesgos y minimizar daños Crear registros (logs) y controlar accesos a los sistema Guardar copias de seguridad para evitar perder la base de datos 1 3 4 2
  • 28. Usar comunicación segura: VPN, conexiones SSL. Tener una lista de apps permitidas No usar recursos de la empresas para actividades privadas. Tener un plan de contigencia en caso de ataque 5 7 6
  • 29. Los humanos somos vulnerables, entonces las empresas también lo son