Aury M. Curbelo-Ruiz, Ph.D      Seminario- ISSA        June 21,2012       ©2012Curbelo
http://about.me/acurbelo
http://www.bsecure.com.mx/home/
Herramientas    Discusión deIntroducción                disponibles       casos                               Desarrolland...
¿Por qué Ingeniería      Social?
http://www.ocalarh.pr.gov/
Todas las organizaciones tienen una                                                            vulnerabilidad en común: lo...
Asobancaria es el gremio representativo del sector financiero colombiano.Está integrada por los bancos comerciales naciona...
Busca generaralineamientos de políticaen ciberseguridad yciberdefensa orientados adesarrollar una estrategianacional que c...
http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
http://www.mintic.gov.co/
http://www.latinuxmagazine.com/index.php?option=com_content&view=article&id=26282:jornada-de-infoalfabetizacion-digital-ta...
Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluiráel viernes en San José, asisten representan...
"Si Anonymos decidiera                                                                            atacarnos, situación que...
Una gasolinera del algun lugar de nuestra islita querida…PUERTO RICO
Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA
El Servicio de Extensión Agrícola (SEA)                                                                        de la Unive...
http://www.uprm.edu/agricultura/sea/newmap.html
http://academic.uprm.edu/ofarrill/id34.htm
http://academic.uprm.edu/jhuerta/HTMLobj-112/Evaluacion_SEA.pdf
http://academic.uprm.edu/= mucha información…..
El 80% de los ataques informáticos se deben aerrores relacionados con el factor humano y no atemas específicos de tecnolog...
¿qué puedo hacer conun poco de información? Nombre, Apellido   Dirección   # TeléfonoCorreo electrónicoRecibos de Luz/Agua
Crear una identidad falsa       Tomar $$$ prestadoHackear su correo                Abusar del crédito   electrónico     No...
McAfee estimated                                                    that cybercrime                                       ...
Compañías Hackeadas                                                           •google.com.pr                              ...
“Desde el año 2007 el crimen de robo de  identidad en Puerto Rico se intensificó como parte  de una ola de escalamientos e...
“La fiscal Díaz Rex señaló a preguntas de laprensa que el “set” de certificados denacimiento y de tarjetas de seguro socia...
Las autoridades                                                                              estadounidenses              ...
La gran cantidad de                                                                         certificados de nacimiento    ...
Le costó US$46                                         billones en el                                         2002 a las  ...
El tiempo promedio               antes de detectar roboSólo 1 de cada de identidad:    un año700 personascometiendo robode...
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Pue...
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Pue...
http://www.daco.gobierno.pr/Repositorio/Reglamentos/ReglamentosobreInformacionalCiudadanosobreSeguridadBancosdeInformacion...
¿Cómo y donde puedoencontrar esa información?  Nombre, Apellido     Dirección     # Teléfono  Correo electrónico  Recibos ...
“La ingeniería social es la técnica más eficaz para hacersecon secretos celosamente protegidos, ya que no requiere deuna s...
   De acuerdo a Borghello (2009):     La Ingeniería Social puede definirse como una     acción o conducta social destina...
   La Ingeniería Social, se centra en lograr    la confianza de las personas para luego    engañarlas y manipularlas para...
   Ingeniería Social:     Son aquellas conductas y técnicas      utilizadas para conseguir información      de las perso...
   “La gente por no querer quedar mal o crear    un escándalo, brinda a cualquiera que le    solicita, “información sensi...
RecepcionistasVendedoresPersonal de NóminaPersonal de Recursos HumanosPersonal de FinanzasAdministración de Oficinas
   Kevin Mitnick, uno de los hackers    más famosos del mundo por delitos    utilizando la Ingeniería Social como    prin...
Kevin Mitnick
   Mitnick fundamenta las estrategias de    Ingeniería Social en los siguientes    postulados:     Todos los seres human...
   Estos procesos son comúnmente utilizados en    campañas de mercadeo y negocios para    influenciar sobre la gente.    ...
   Pruebas Sociales - es más cómodo hacer lo    mismo que hace la gente.   Autoridad – las personas reconocen ciertos   ...
   El usuario es tentado a realizar una acción    necesaria para vulnerar o dañar un sistema:     Esto ocurre cuando el ...
   Las personas son engañadas para que revelen    información confidencial tal como:     # de tarjetas de crédito     d...
   El usuario es llevado a confiar información    necesaria para que el atacante realice una acción    fraudulenta con lo...
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208803634
   Durante junio de este año se llevó a cabo una    auditoria en una empresa estadounidense que    se dedica a conceder c...
   Estrategia:     La empresa tomó 20 memorias USB de muestra.     Colocaron archivos de varios tipos, incluyendo un   ...
   De las veinte (20) memorias, quince (15)    fueron encontradas por empleados de la    empresa en cuestión.   Las quin...
Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCAAYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO
Identificar a la                  Victima  Salir                            Reconocimiento Obtener la                     ...
Consiste en recolectar        Se lleva acabo con la   información sensiblemediante la interacción entre        ayuda de la...
Ingeniería Social:Basada en Humanos
Consiste en recolectar   información sensiblemediante la interacción entre   1. Imitando ser un usuario        humanos.   ...
   Imitando ser un usuario legítimo.     Provee una identificación y solicita información     sensible.
“Hola Fulano, soy deldepartamento X, y se meolvidó mi password, me lopuede indicar ó me lo puedecambiar
   Imitando ser una persona importante (alto                     rango)
“Saludos le habla Juan (Gerencial de  Alto Rango) y el VP me solicitó un  informe sobre los años de servicio  del personal...
   Imitando ser personal técnico -Llama y se    hace pasar por técnico
Fulano te habla José de Centrocómputos, anoche tuvimos unacaída en el sistema y estamosverificando si hubo alguna perdidad...
   Espiar por encima de su    hombro (Shoulder    Surfing)- consiste en    mirar por encima del    hombro para conseguir ...
Herramientas para prevenirel espionaje por encima del hombro
3M Privacy Filters
Dumpster Diving
   Dumpster Diving- Buscando en los zafacones.     Recibos de facturas, luz, agua, teléfono, cable u        otros servic...
 libretas telefónicas      manuales de operación memos                      de sistemas  organigramas              re...
¿Cuán común es la práctica de  revisión de desperdicios o           basura?
http://news.cnet.com/Oracle-chief-defends-Microsoft-snooping/2100-1001_3-242560.html
     "In 1998, the Supreme Court ruled that        Americans do not have a right to privacy        regarding trash. The E...
   Candado a los zafacones   Colocando portones   Colocando letreros de “No pase”   Luces   Utilizando Cámaras de seg...
   According to a recent study* conducted by      the Alliance for Secure Business Information      (ASBI):       80% of...
¿Cómo puedo disponer de losdocumentos importantes de la         oficina?
http://fellowes.com/shredderselector/ http://www.consumersearch.com/paper-shreddershttp://www.sileo.com/fellowes/
   Estrategia utilizada por el atacante haciendo    uso de un cuestionario para recolectar    información personal tal co...
   Utilizan la estrategia de identificarse como el    empleado de una compañía de auditoría para    recoger datos.   Por...
Ejemplos de llamadastramposas
   Una vez conocemos todo de la víctima, y    podemos predecir como actuará frente a    determinados estímulos.   Conoce...
•   ¿Hola, Juan del Pueblo?• Le hablamos del servicio de marketing de CASA, estamos  ofreciendo una promoción especial a n...
Ingeniería Social:Basada en Computadora
Se lleva acabo con la                            ayuda de las1. Email con Malware      computadoras2. PopUp Windows3. Spam...
La mejor manera de estar protegido es el            conocimiento Educar a las personas, a todas las personas. No informa...
   Conozca los procesos de ingeniería social, sus    principios, sus técnicas, la manipulación y la    explotación de los...
   Trabaje en crear la cultura de la cautela,    desconfianza y prudencia ante todas las    situaciones.   Los atacantes...
 Este bien alerta, hay personas que tienen un talento  increíble para “sacarle” información a otras  personas. Cuando us...
Dra. Aury M. Curbelo            acurbelo@gmail.com               (787-202-8643)Redes Sociales:http://www.facebook.com/acur...
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
Próxima SlideShare
Cargando en…5
×

Ingenieria Social: El Lado Humano del Hacking

2.552 visualizaciones

Publicado el

Se presentan los tipos de ingeniería social, y se hacen recomendaciones para desarrollar un plan de adiestramiento para empleados en el área de seguridad en informática.

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
2.552
En SlideShare
0
De insertados
0
Número de insertados
27
Acciones
Compartido
0
Descargas
137
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Ingenieria Social: El Lado Humano del Hacking

  1. 1. Aury M. Curbelo-Ruiz, Ph.D Seminario- ISSA June 21,2012 ©2012Curbelo
  2. 2. http://about.me/acurbelo
  3. 3. http://www.bsecure.com.mx/home/
  4. 4. Herramientas Discusión deIntroducción disponibles casos Desarrollando Valor de la Metas de los una CULTURAinformación atacantes de Seguridad Tipos de Personal Ingeniería Vulnerable a Social ataques
  5. 5. ¿Por qué Ingeniería Social?
  6. 6. http://www.ocalarh.pr.gov/
  7. 7. Todas las organizaciones tienen una vulnerabilidad en común: los humanos. Los humanos. A pesar de que el factor humano es el recurso más valioso de una organización tristemente es la cadena más vulnerable en la seguridad de la información, en este curso estaremos explotando esas debilidades. Los participantes de este curso podrán aprender las estrategias y técnicas utilizadas en la Ingeniería Social (IS). Asimismo se discutirán los aspectos éticos de los ataques de ingeniería social, así como el proceso de seleccionar las potenciales víctimas de ataques, estrategias de colectar información, crear reportes y planificar el ataque.http://www.asobancaria.com/portal/page/portal/Eventos/proximas_capacitaciones/2011/proximas_capacitaciones_ingenieria_social
  8. 8. Asobancaria es el gremio representativo del sector financiero colombiano.Está integrada por los bancos comerciales nacionales y extranjeros, públicos yprivados, las más significativas corporaciones financieras e instituciones oficialesespeciales.
  9. 9. Busca generaralineamientos de políticaen ciberseguridad yciberdefensa orientados adesarrollar una estrategianacional que contrarreste elincremento de lasamenazas informáticas queafectan significativamente aColombia.Tambien, recoge losantecedentes nacionales einternacionales, así comola normatividad del país entorno al tema.
  10. 10. http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
  11. 11. http://www.mintic.gov.co/
  12. 12. http://www.latinuxmagazine.com/index.php?option=com_content&view=article&id=26282:jornada-de-infoalfabetizacion-digital-taller-qingenieria-socialq-colombia&catid=34&Itemid=325&lang=es http://procedimientospolicialescolombia.blogspot.com/2008/09/ingenieria-social.html
  13. 13. Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluiráel viernes en San José, asisten representantes de Colombia, Chile, Perú,Panamá y Venezuela, República Dominicana, El Salvador, Guatemala, Haití,Honduras, México y Nicaragua, según indicó hoy el ministerio de Ciencia yTecnología de Costa Rica (MICIT).El taller, de acuerdo con las autoridades, “tiene como objetivo el reforzarlas políticas, estrategias, legislación, y otras medidas prácticas en materiade delito cibernético y la seguridad cibernética”. http://www.micit.go.cr/http://elmundo.com.sv/latinoamerica-busca-fortalecer-seguridad-cibernetica
  14. 14. "Si Anonymos decidiera atacarnos, situación que no veo ocurrir porque no tiene razón para hacerlo, seguramente estaríamos en la misma posición (de vulnerabilidad) que el gobierno federal, ya que nadie tiene cómo defenderse ante estos ataques", indicó Juan Eugenio Rodríguez, principal ejecutivo de información (CIO) del Gobierno de Puerto Rico.http://www.elnuevodia.com/vulnerablelaislaanteunataquedeanonymous-1174300.html
  15. 15. Una gasolinera del algun lugar de nuestra islita querida…PUERTO RICO
  16. 16. Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA
  17. 17. El Servicio de Extensión Agrícola (SEA) de la Universidad de Puerto Rico instó a la ciudadanía a estar alerta porque existe una persona que se está haciendo pasar por empleado de esa dependencia universitaria para timar a la gente. el modus operandi de esta persona, que viste “impecablemente de chaqueta”, es ir directo a los negocios, lo que no hace el personal de Extensión Agrícola, y ofrecer la matrícula del curso de Inocuidad de Alimentos que es requerido por ley. Una vez hace el ofrecimiento, el timador indica que debe cobrarlo. Dicha persona utiliza una hoja de matrícula con el logo del SEA. Sin embargo, las autoridades del Servicio de Extensión Agrícola afirmaron que “este no es el protocolo establecido para estos fines y el personal del Servicio de Extensión Agrícola no funge como recaudador”.http://www.dialogodigital.com/index.php/Estafador-se-hace-pasar-por-empleado-de-Extension-Agricola.html
  18. 18. http://www.uprm.edu/agricultura/sea/newmap.html
  19. 19. http://academic.uprm.edu/ofarrill/id34.htm
  20. 20. http://academic.uprm.edu/jhuerta/HTMLobj-112/Evaluacion_SEA.pdf
  21. 21. http://academic.uprm.edu/= mucha información…..
  22. 22. El 80% de los ataques informáticos se deben aerrores relacionados con el factor humano y no atemas específicos de tecnología.http://www.tecnoseguridad.net/el-80-de-los-ataques-informaticos-se-debe-a-errores-de-nosotros-mismos/
  23. 23. ¿qué puedo hacer conun poco de información? Nombre, Apellido Dirección # TeléfonoCorreo electrónicoRecibos de Luz/Agua
  24. 24. Crear una identidad falsa Tomar $$$ prestadoHackear su correo Abusar del crédito electrónico Nombre, Correo Dirección Electrónico Teléfono Apellido Crear un perfil falso en Exponerte a situaciones Facebook embarazosas
  25. 25. McAfee estimated that cybercrime costs corporations $1 trillion globally each year.http://news.cnet.com/8301-1009_3-10153858-83.html
  26. 26. Compañías Hackeadas •google.com.pr •microsoft.com.pr •hotmail.com.pr •live.com.pr •msn.pr •yahoo.com.pr •coca-cola.com.pr •nike.com.pr •hsbc.com.pr •nokia.pr Varias webs comprometidas por un ataque a NIC Puerto Rico lunes 27 de abril de 2009“Aprovechándose de una vulnerabilidad de inyeccion SQL (todavía presente) enNic.pr, unos atacantes lograron modificar los DNS de varios dominios pertenecientesa reconocidas empresas.”http://blog.segu-info.com.ar/2009/04/varias-webs-comprometidas-por-un-ataque.html
  27. 27. “Desde el año 2007 el crimen de robo de identidad en Puerto Rico se intensificó como parte de una ola de escalamientos en escuelas públicas en donde se hurtaron diferentes tipos de documentación como certificados de nacimiento y tarjetas de identificación en aproximadamente 50 escuelas públicas a través de todo Puerto Rico… son miles las víctimas, entre 5,000 a 7,000”, afirmó la jefa de la Fiscalía Federal en la Isla, Rosa Emilia Rodríguez”http://www.vocero.com/noticia-18103-hasta_7000_las_vctimas_de_robo_de_identidad.html
  28. 28. “La fiscal Díaz Rex señaló a preguntas de laprensa que el “set” de certificados denacimiento y de tarjetas de seguro socialtenían un costo de entre $150 a $250.”http://www.vocero.com/noticia-18103-hasta_7000_las_vctimas_de_robo_de_identidad.html
  29. 29. Las autoridades estadounidenses arrestaron el martes a miembros una banda que robó información personal de 7,000 estudiantes de escuelas públicas en Puerto Rico y la vendió en Estados Unidos. ..muchos de los estudiantes afectados "ahora mismo probablemente no saben" que fueron víctimas de robo de identidad.Mitchelson añadió que muchas de las víctimas no sentirán lasconsecuencias del robo de su información hasta tiempo después. "Ellosllegan a los 18, 20 años de edad, van comprar un carro y su crédito está dañado".http://www.elexpresso.com/index.php?option=com_content&view=article&id=2286:arrestos-por-robo-de-identidad-en-puerto-rico&catid=23:locales&Itemid=65
  30. 30. La gran cantidad de certificados de nacimiento que se solicitan y expiden en Puerto Rico provocó una “epidemia de robo de identidad” aquí y en Estados Unidos, denunció hoy el director regional de la Oficina de Pasaportes en Miami, Ryan Dooley. La Causa es…“la facilidad con que se hallan los duplicados de los certificados de nacimiento de Puerto Rico”.…el valor en el mercado ilegal de un certificado de nacimiento de Puerto Rico esde cerca de $5,000. Estimó, por otra parte, que cerca del 40 por ciento decasos de robo de identidad en Estados Unidos es de documentos de Puerto Rico.http://www.primerahora.com/diario/noticia/otras_panorama/noticias/exceso_de_certificados_facilita___robo_de_identidad/331994
  31. 31. Le costó US$46 billones en el 2002 a las Es el crimen de instituciones más rápido financieras en crecimiento en EEUU Estados UnidosMás de 7millones depersonas fueron http://www.hdmdesigns.com/erp/robo.htmvíctimas en E.U.en el 2002
  32. 32. El tiempo promedio antes de detectar roboSólo 1 de cada de identidad: un año700 personascometiendo robode identidad sonatrapadas. http://www.hdmdesigns.com/erp/robo.htm
  33. 33. http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/
  34. 34. http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Puerto+Rico+Security+Breach+Laws.htm
  35. 35. http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Puerto+Rico+Security+Breach+Laws.htm
  36. 36. http://www.daco.gobierno.pr/Repositorio/Reglamentos/ReglamentosobreInformacionalCiudadanosobreSeguridadBancosdeInformacion.pdfhttp://www.senadopr.us/Proyectos%20del%20Senado/rs0182.pdf
  37. 37. ¿Cómo y donde puedoencontrar esa información? Nombre, Apellido Dirección # Teléfono Correo electrónico Recibos de Luz/Agua
  38. 38. “La ingeniería social es la técnica más eficaz para hacersecon secretos celosamente protegidos, ya que no requiere deuna sólida formación técnica, ni de grandes conocimientossobre protocolos y sistemas operativos", dice el informe deETEK.” "Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una buena dosis de sicología.”http://www.channelplanet.com/index.php?idcategoria=10126
  39. 39.  De acuerdo a Borghello (2009):  La Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Visentini (2006):  Es una disciplina que consiste básicamente en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información sensible" y que normalmente no lo haría.
  40. 40.  La Ingeniería Social, se centra en lograr la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa.
  41. 41.  Ingeniería Social:  Son aquellas conductas y técnicas utilizadas para conseguir información de las personas.
  42. 42.  “La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
  43. 43. RecepcionistasVendedoresPersonal de NóminaPersonal de Recursos HumanosPersonal de FinanzasAdministración de Oficinas
  44. 44.  Kevin Mitnick, uno de los hackers más famosos del mundo por delitos utilizando la Ingeniería Social como principal arma: "usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es hacer una llamada a un empleado desprevenido y podemos obtener la información. Los empleados tienen toda la información en sus manos".
  45. 45. Kevin Mitnick
  46. 46.  Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:  Todos los seres humanos quieren ayudar.  El primer movimiento es siempre de confianza hacia el otro.  No nos gusta decir No.  A todos nos gusta que nos alaben.
  47. 47.  Estos procesos son comúnmente utilizados en campañas de mercadeo y negocios para influenciar sobre la gente.  Reciprocidad – una persona hace un favor a otra, entonces la otra tiene que devolverle el favor.  Compromiso y Consistencia – una persona dijo que haría una acción y se ve obligada a hacerla, y debe ser consistente con su forma general de pensar.
  48. 48.  Pruebas Sociales - es más cómodo hacer lo mismo que hace la gente. Autoridad – las personas reconocen ciertos tipos de autoridad real o aparente, y los respetan. Escasez – las personas se sienten atraídas por lo que es escaso.
  49. 49.  El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema:  Esto ocurre cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web recomendada o ver un supuesto video.
  50. 50.  Las personas son engañadas para que revelen información confidencial tal como:  # de tarjetas de crédito  datos bancarios  contraseñas de correos, etc. Esta información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.
  51. 51.  El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. En el caso del “Scam” y el “Phishing”, el usuario entrega información al delincuente creyendo que lo hace a una entidad de confianza o con un pretexto de que obtendrá algo a cambio, generalmente un “gran premio”.
  52. 52. http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208803634
  53. 53.  Durante junio de este año se llevó a cabo una auditoria en una empresa estadounidense que se dedica a conceder créditos. El objetivo principal de la auditoria fue el mostrar la inseguridad de las memorias USB.
  54. 54.  Estrategia:  La empresa tomó 20 memorias USB de muestra.  Colocaron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora.  Estos USB fueron dejados «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.
  55. 55.  De las veinte (20) memorias, quince (15) fueron encontradas por empleados de la empresa en cuestión. Las quince terminaron por ser conectadas en computadoras conectados a la red de la compañía, que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema.
  56. 56. Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCAAYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO
  57. 57. Identificar a la Victima Salir Reconocimiento Obtener la Crear el escenarioinformación Realizar el ataque
  58. 58. Consiste en recolectar Se lleva acabo con la información sensiblemediante la interacción entre ayuda de las humanos. computadoras
  59. 59. Ingeniería Social:Basada en Humanos
  60. 60. Consiste en recolectar información sensiblemediante la interacción entre 1. Imitando ser un usuario humanos. legítimo. 2. Imitando ser una persona importante (alto rango) 3. Imitando ser personal técnico 4. Espiar por encima de su hombro (Shoulder Surfing) 5. “Dumpster Diving”- Buscando en los zafacones 6. En persona 7. Organización Privada
  61. 61.  Imitando ser un usuario legítimo.  Provee una identificación y solicita información sensible.
  62. 62. “Hola Fulano, soy deldepartamento X, y se meolvidó mi password, me lopuede indicar ó me lo puedecambiar
  63. 63.  Imitando ser una persona importante (alto rango)
  64. 64. “Saludos le habla Juan (Gerencial de Alto Rango) y el VP me solicitó un informe sobre los años de servicio del personal en la oficina de XYZ, y es con urgencia, ya sabes como es aquí de un día para otro, anyway por favor enviame la información al tecogidebobo@correo.com”
  65. 65.  Imitando ser personal técnico -Llama y se hace pasar por técnico
  66. 66. Fulano te habla José de Centrocómputos, anoche tuvimos unacaída en el sistema y estamosverificando si hubo alguna perdidade datos por lo que le solicito meindique su nombre de usuario y sucontraseña.
  67. 67.  Espiar por encima de su hombro (Shoulder Surfing)- consiste en mirar por encima del hombro para conseguir los password.
  68. 68. Herramientas para prevenirel espionaje por encima del hombro
  69. 69. 3M Privacy Filters
  70. 70. Dumpster Diving
  71. 71.  Dumpster Diving- Buscando en los zafacones.  Recibos de facturas, luz, agua, teléfono, cable u otros servicios.  Información financiera  Se busca “post it”  Números de teléfono  Matrículas  Otros
  72. 72.  libretas telefónicas  manuales de operación memos de sistemas organigramas  reportes con manuales de información procedimientos  cuentas de usuarios y calendarios (de sus contraseñas reuniones, eventos y  formatos con vacaciones) membretes  Papel timbrado
  73. 73. ¿Cuán común es la práctica de revisión de desperdicios o basura?
  74. 74. http://news.cnet.com/Oracle-chief-defends-Microsoft-snooping/2100-1001_3-242560.html
  75. 75.  "In 1998, the Supreme Court ruled that Americans do not have a right to privacy regarding trash. The Economic Espionage Act of 1996, which made it a federal offense to steal trade information, doesn’t protect firms that fail to take reasonable steps to protect data." CIO Magazine, 2007http://www.cio.com/article/28510/Best_Practices_for_Shredding_Corporate_Documents
  76. 76.  Candado a los zafacones Colocando portones Colocando letreros de “No pase” Luces Utilizando Cámaras de seguridad Vigilancia Implementando una política de triturar documentos Utilizando trituradoras en la oficinas Utilizando servicios de trituradoras
  77. 77.  According to a recent study* conducted by the Alliance for Secure Business Information (ASBI):  80% of large organizations surveyed indicated that they had experienced one or more data breaches over the previous 12 months  49% of those breaches involved the loss or theft of paper documents.  The average breach recovery cost $6.3 Million!http://www.fellowes.com/asbi/
  78. 78. ¿Cómo puedo disponer de losdocumentos importantes de la oficina?
  79. 79. http://fellowes.com/shredderselector/ http://www.consumersearch.com/paper-shreddershttp://www.sileo.com/fellowes/
  80. 80.  Estrategia utilizada por el atacante haciendo uso de un cuestionario para recolectar información personal tal como:  Tipo de equipo que utilizan (compras)  Información de Contacto  Horarios  Otros
  81. 81.  Utilizan la estrategia de identificarse como el empleado de una compañía de auditoría para recoger datos. Por ejemplo:  Saludos, soy Fulano de Tal, el jefe me envió para que recogiera el informe de auditoría/ informe de gastos de X,Y, Z. ¿Me lo podría entregar?
  82. 82. Ejemplos de llamadastramposas
  83. 83.  Una vez conocemos todo de la víctima, y podemos predecir como actuará frente a determinados estímulos. Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.
  84. 84. • ¿Hola, Juan del Pueblo?• Le hablamos del servicio de marketing de CASA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada.• Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos….• - …….
  85. 85. Ingeniería Social:Basada en Computadora
  86. 86. Se lleva acabo con la ayuda de las1. Email con Malware computadoras2. PopUp Windows3. Spam (correo no deseado)4. Cadena de cartas (Chain letters)5. Emails de engaño (Hoaxes)6. “Phishing”7. Instalando un “Keylogger”
  87. 87. La mejor manera de estar protegido es el conocimiento Educar a las personas, a todas las personas. No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc. Control de acceso físico al sitio donde se encuentran los documentos importantes de la compañía. Políticas de seguridad.******
  88. 88.  Conozca los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas. De esta forma podrá anticiparse a los riesgos de los ataques.
  89. 89.  Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada.
  90. 90.  Este bien alerta, hay personas que tienen un talento increíble para “sacarle” información a otras personas. Cuando usted note que alguien intenta “sacarle” información, confronte a esta persona y pregúntele ¿por que quiere saber esa información? Así la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar “sacarle” información.
  91. 91. Dra. Aury M. Curbelo acurbelo@gmail.com (787-202-8643)Redes Sociales:http://www.facebook.com/acurbeloruizhttp://twitter.com/acurbeloWebsite:http://digetech.net

×