1. IngenieríaSocial El lado Humano del Hacking EQUIPO Nº 11 Seguridad en Computación e Informática 1 UNFV
2. La única pc segura, es la que no ha sido encendida. R.R. Lopez. Google Siempre se puede convencer a alguien para que la encienda. Ingeniero Social 2
4. Introducción Cada vez mas y más empresas implementan tecnologías para proteger sus recursos informáticos, para protegerse de toda invasión externa (hackers, espías industriales, etc.) y mantienen una fuerza de seguridad física efectiva para protegerse contra las entradas no autorizadas, pero se presta muy poca atención a contraatacar las amenazas que suponen los ingenieros sociales. Y el usuario común tampoco esta exento de este tipo de practica, el acceso a sus redes sociales, cuentas bancarias o inclusive a su propio ordenador, solo es cuestión de manipulación. 4
8. Tecnologías& Ingeniera Social Phishing Spam Hoax www.themegallery.com Dos de los ejemplos más recientes son las páginas quienteadmite y noadmitidodestinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de mostrarle a los visitantes que las utilicen, quien los ha borrado de su lista de contactos. Esta técnica consiste en pedirle al usuario final su usuario o correo electrónico y luego la contraseña, datos que son enviados luego a la base de datos de el autor de la pagina, y así almacenando la información para poder acceder a dichas cuentas. 8
10. Situaciones La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una casilla que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Shakira desnuda", etc. El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda. La voz agradable de un hombre o mujer, que pertenece al soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, que nos requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red. 10
11. Ingeniero Social & Auditor Interno www.themegallery.com En el verano de 2002, un consultor de seguridad que utiliza el sobrenombre "Whurley" fue contratado por un grupo de centros turísticos de Las Vegas para realizar diferentes auditorías de seguridad…. 11
13. "No hay nada mágico en la ingeniería social. El ingeniero social emplea las mismas técnicas de persuasión que utilizamos todos los demás a diario. Adquirimos normas. Intentamos ganar credibilidad. Exigimos obligaciones recíprocas. Pero el ingeniero social aplica estas técnicas de una forma manipuladora, engañosa y muy poco ética, a menudo con efectos devastadores". Brad Sagarin (Dr. Psicólogo Social) 13
17. LegislaciónPeruana Art. 207-A Delito de Violación a la intimidad Art. 154 Delito de hurto agravado por transferencia electrónica y empleos de claves secretas. Art. 185 Art. 207-B Intrusión Informática SabotajeInformático 17
20. Conclusiones El factor humano es el punto débil en seguridad de información, es persuasible y manipulable debido a su naturaleza social. La ingeniera social apela a los sentimientos, deseos, creencias, experiencias e impulsos de las personas. La Ingeniería social se complementa con otras técnicas de hacking para realizar algún ataque, estafa, etc. Un ingeniero social es una persona que utiliza sus habilidades y conocimientos para disuadir o promover que una persona haga algo, dejando de lado la ética y moral. 20
22. Recomendaciones Organización: Desarrollar una política de clasificación de datos. Desarrollar planes de formación para concientizar la seguridad. Formar a los empleados para que sepan oponer resistencia a los ataques de ingeniería social. Poner a prueba la susceptibilidad de los empleados de ataques de ingeniería social mediante una evaluación de seguridad. 22
23. Recomendaciones Usuario Común: Debemos dejar de pensar que toda la tecnología con sus posibilidades, son seguras, como si el proveedor cuidara los detalles de seguridad y control. Vivimos en un ambiente de alta conectividad e información, expuestos a un escenario donde se nos pide compartir información, contraseñas, etc. Es por eso que debemos ser cautos, pensar sistemáticamente con todo lo que mandamos o colgamos en la nube. Recordar que La mejor manera de esta protegido pasa por el conocimiento. 23