2. La ingeniería social consiste en obtener información de terceros sin que éstos se den cuenta.
No existe limitación en cuanto al tipo de información obtenida ni a la utilización posterior
que se hace de ésta.
La ingeniería social aprovecha sentimientos tan variados como curiosidad, la avaricia, el
sexo, la compasión o el miedo.
Busca una acción por parte del usuario.
2
3. Grupos que la usan:
1. Los hackers.
2. Los espías.
3. Los ladrones o timadores.
4. Los detectives privados.
5. Los vendedores.
3
5. Requisitos: Teléfono
fijo o móvil.
Es un tipo de ataque
muy eficiente debido
a que no hay
contacto visual
entre víctima y
atacante.
No se pueden
percibir expresiones
del rostro ni de
lenguaje corporal
que diesen indicios
de que el atacante
nos está engañando.
El atacante puede
usar todo su
potencial de
persuasión.
5
6. Llamada telefónica indicando que la persona se ha ganado un viaje o sorteo y tiene
que confirmar que acepta el premio transfiriendo o depositando una determinada
cantidad a un numero de cuenta
6
7. Requisitos: Ordenador con
conexión a internet.
Actualmente es el medio
principal para llevar a
cabo ataques de todo tipo
contra los datos privados.
La línea entre ataque de
ingeniería social y el delito
es muy delgada, sobre todo
si se instala un programa
keylogger (programa que
captura las pulsaciones
del teclado) o troyano que
convierte al computador
en un bot (computador
secuestrado o zombi).
7
9. Requisitos: Un
apartado de
correos propio y
un modelo de
cupones descuento
o suscripción a
revista.
En los datos se
solicita una clave
que le interese al
atacante.
Está comprobado
que el usuario
promedio utiliza la
misma clave para
múltiples usos.
El atacante tiene
la esperanza de
que esa misma ya
se haya usado en
otros lugares más
sensibles por parte
de la víctima
9
10. El término phishing
proviene de la palabra
inglesa "fishing" (pesca),
haciendo alusión al intento
de hacer que los usuarios
"piquen en el anzuelo".
También se dice que
"phishing" es la contracción
de "password harvesting
fishing" (cosecha y pesca de
contraseñas).
10
11. Aplicado al sector bancario,
el objetivo es conseguir la
clave de acceso y el usuario
para luego proceder a
retirar fondos.
Consiste en obtener una
lista de correos
electrónicos.
•En el mercado negro.
•Hacerlo uno mismo.
Realizar un envío masivo
de un correo electrónico con
las siguientes
características:
11
12. Debe ser un correo
que aparente
proceder de una
entidad bancaria.
Debe transmitir la
idea de que el
banco ha tenido
problemas y
necesita
comprobar usuario
y contraseña de la
víctima.
Debe ser lo más
fiel posible a la
entidad original.
No importa si se
envía un correo de
una entidad de la
que la víctima no
es usuario.
Debe poseer un
enlace a una
página falsificada
en la que la
víctima pueda
introducir sus
datos.
Si no se hace lo
que indica el
correo, se amenaza
con un posible
cierre de la
cuenta.
12
14. Una vez introducido los
datos, el usuario,
satisfecho por no haber
perdido su cuenta se
olvidará del correo.
Muleros (las otras
víctimas)
•Sacan el dinero de la cuenta
de la víctima y traspasar el
dinero a otra cuenta de Pay-
Pal o Western Union,
controlada por el atacante.
•Son los que se ensucian las
manos y cometen un delito.
•Para captarlos se usa
nuevamente la IS ofreciendo
un empleo con altos
beneficios, jornada reducida y
muchas vacaciones.
14
18. OBJETIVO: que se produzca el mayor número de reenvío de correos
posible y obtener una cosecha del tipo:
18
19. Finalmente, se venden las listas con direcciones de correo
a los interesados.
¿Precio?
1 millón de envíos por 3 dólares.
800 dólares por el envío de un millón de correos basura aprox.
Envío de spam con ofertas de viagra, relojes, etc.
Con que responda un 0,5% de los millones de correos
enviados es rentable
19
20. Se usa la IS para instalar malware
(malicious software) “término formado a
partir de combinar las palabras
Software Malicioso.
Es un programa diseñado para hacer
daño a un sistema. Puede presentarse
en forma de
y se ejecuta automáticamente sin
consentimiento ni conocimiento por
parte de la víctima.” Se usa adjunto a
un .doc, .xls etc.
Puede venir en un link en el que se nos
avisa que hemos sido los ganadores de
algo
• virus,
• gusanos,
• caballos de Troya, etc.,
20
21. Se toma el control del
computador sin que el
usuario lo sepa.
Acciones que se hacen
con el computador:
•Enviar spam masivamente.
•Atacar a terceros. Ataques de
denegación de servicio.
•Diseminar virus informáticos.
•Capturar datos (contraseñas
y claves de acceso) mediante
el phishing
•Fraudes: Se usa la red para
generar dinero mediante la
manipulación de negocios
legítimos: pago por click o la
manipulación de encuestas.
21
22. ALGUNAS CIFRAS
• Entre el 40% y el 80% del spam se emite a través de computadores infectados sin que el
dueño lo sepa.
• En 2004 había entre medio y 2 millones de computadores infectados.
• España es el segundo país de Europa con más computadores infectados.
• En 2010 la operación Mariposa detuvo a tres personas que controlaban una red de 13
millones de computadores.
22
23. Nunca revelar por teléfono o
e-mail datos
confidenciales (como claves
de acceso, números de
tarjetas de crédito, cuentas
bancarias, etc.).
Nunca hacer clic en
un enlace a una página
web que le llegue a través
de un e-mail en el que le
piden datos personales.
Desconfiar de cualquier
mensaje de e-mail en el que
se le ofrece la posibilidad de
ganar dinero con facilidad.
24. Si es usuario de banca
electrónica o de cualquier
otro servicio que implique
introducir en una web datos
de acceso, asegúrese de que la
dirección de la web es
correcta.
No confiar en las direcciones
de los remitentes de e-mail o
en los identificadores del
número llamante en el
teléfono: pueden falsearse con
suma facilidad.
25. Instalar en su computador
un buen software de
seguridad que incluya si es
posible funcionalidad
antivirus, antiphising,
antispyware y antimalware
para minimizar los riesgos.
Utilizar el sentido común y
pregúntese siempre que
reciba un mensaje o llamada
sospechosa si alguien puede
obtener algún beneficio de
forma ilícita con la
información que le solicitan.
26. “La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque de
Ingeniería Social”
Kevin Mitnick
26
27. Referencias Bibliográficas
ESET-LA. (6 de Enero de 2016). We Live Security. Obtenido de Consultoria &
Seguridad: http://www.welivesecurity.com/la-es/2016/01/06/5-cosas-
sobre-ingenieria-social/
Navarro, A. (31 de Enero de 2015). TICS Consulting. Obtenido de
http://www.ticsconsulting.es/blog/generar-claves-seguras-3
Servuccion Seguridad. (12 de Junio de 2014). Servuccion Seguridad.
Obtenido de http://www.servuccion-seguridad.es/blog/seguridad-
online/ingenieria-social/