2. Introducción “Los usuarios son el eslabón débil”
2
Información
Es uno de los activos más valiosos para las
organizaciones.
Las instituciones buscan la manera de implementar
controles de seguridad para proteger su
información.
Hay un recurso inseguro que almacena información
muy sensible: la mente humana.
Por olvido o por el reto que implica asegurar la
información dentro de las cabezas de sus
empleados, las organizaciones no le prestan mucha
atención a este aspecto
3. Conceptos Básicos
Ventajas
Le permite a un atacante burlar toda una
infraestructura de seguridad perimetral en
cuanto a hardware y software para extraer
información confidencial, atacar una
organización desde dentro.
3
¿Qué es ingeniería social?
“Es mentir a la gente para obtener información”.
“Es manipular para que alguien haga o diga algo”
“Es ser un buen actor”.
“Es saber cómo conseguir cosas gratis”.
“Es la técnica más usada para el hackeo de
humanos”
4. Conceptos Básicos
4
Definición
Es el acto de manipular a una persona a través de
técnicas psicológicas y habilidades sociales (como
la influencia, la persuasión y sugestión)
implementadas hacia un usuario directa o
indirectamente.
Y así éste revele información sensible o datos
útiles sin estar conscientes de su maliciosa
utilización eventual.
5. 5
Objetivos
● Un ingeniero social debe realizar una investigación a fondo
del personal de la empresa evitando los sistemas de
seguridad de la red, simplemente manipulando a los
empleados para que revelen información sensible.
● El usuario es tentado a realizar una acción necesaria para
vulnerar o dañar un sistema.
● El usuario es llevado a confiar la información necesaria para
que el atacante realice una acción fraudulenta con los datos
obtenidos.
6. 6
¿Cómo piensan los ingenieros sociales?
Insider (Empleado o exempleado):
● Alto nivel de confianza en la empresa
● Conoce a detalle los sistemas de la empresa
Motivaciones:
● Venganza por problemas laborales o personales con algún compañero
● Ve la oportunidad de vender secretos de la empresa a los competidores
Es un perfil muy común en todo el mundo y se creé que es la causa del 80% de
las filtraciones de información delicada de las empresas.
7. 7
Ciberdelincuente:
● Muy alto conocimiento técnico en técnicas de hacking tradicionales y
avanzados.
Hackers éticos:
● Analistas y consultores de seguridad, además de pentesters.
● Auditorías perimetrales de la red y sistemas de la empresa que contrata sus
servicios
● Prueban todo tipo de ataques y proporcionan un informe detallado.
● Trabajan bajo el margen de la ley
● No tienen intención de dañar a la empresa.
8. 8
Estafadores:
● Usan de forma consciente sus habilidades sociales para convencer a las
personas a realizar o dar algo en su beneficio.
● Son personas muy ambicio$a$
● Sabe que a la gente no le gusta decir que no.
● Sabe que a las personas les gusta ayudar o les hace creer que están
ayudando.
9. 9
Espias:
● Trabaja para una entidad gubernamental o privada.
● Su objetivo es conocer e informar a quien le está pagando por su servicio
● Es capaz de infiltrarse en cualquier lugar.
● Es una persona que no levanta sospechas de sus actos.
● Es un experto en el borrado de sus huellas en caso de infiltrarse en un
sistema.
Motivación:
● El dinero (trabaja para quien le pague más)
● Ideología politica
10. 10
Reclutadores o cazatalentos:
● Acceden a las redes sociales (Linkedin, Facebook y Twitter) para buscar
información de un perfil específico de candidatos.
● Seleccionan a los que tienen una buena imagen digital.
● Les ofrecen puestos, sueldos o prestaciones por encima de los que le ofrece
su trabajo actual.
● Convencen a los candidatos y le roban
El talento a otra empresa.
Motivación:
● Incrementar el valor intelectual de la
Empresa para la que trabajan.
11. 11
Phishing
¿Qué es?
Consiste en enviar mensajes que suelen contener un link a páginas web
aparentemente reales de las entidades citadas, pero que en realidad
conduce a sitios falsos.
¿Cómo lo hacen?
Se hace pasar por una persona o entidad de confianza imitando el
formato, el lenguaje y la imagen de entidades bancarias o financieras.
12. 12
Etapa Primera
Conseguir a los
intermediarios
mediante chats,
foros y correos
electrónicos.
Etapa Segunda
Los intermediarios
intentan conseguir
el mayor número de
estafados, a través
de la técnica del
PHISHING.
Etapa Tercera
Traspasos en forma
piramidal de las
sumas de dinero.
Modelo de actuación del scam y phishing
13. Caso real
Cierta empresa industrial consideraba que todo el mundo allí era parte
de la “familia” y que no era necesario aplicar políticas de despido de
empleados.
Desgraciadamente llegó el día de despedir a uno de los directivos de
más alto rango de esta empresa.
El despido fue amigable y el directivo fue comprensivo.
Una cosa que la empresa hizo correctamente fue llevar el despido a la
última hora de la jornada para evitar el bochorno o cualquier tipo de
distracción.
13
14. Hubo un apretón de manos y entonces el exdirectivo hizo la fatídica
pregunta: ¿Puedo tomarme una hora para limpiar mi mesa y sacar
algunas fotos personales del computador?
Al tener buenas sensaciones después de la reunión todos estuvieron
rápidamente de acuerdo y se fueron entre alegres sonrisas.
14
15. Entonces el exdirectivo se fue a su despacho, empaquetó sus
objetos personales, sacó las fotos y otros datos de su
computador, se conectó a la red y limpió el equivalente a 11
servidores en información: registros de contabilidad, nóminas,
facturas, órdenes, historiales, gráficos y mucho más, todo
borrado en cuestión de minutos.
El exdirectivo abandonó el edificio sin dejar pruebas de que él
fue quien llevó a cabo este ataque.
15
16. En resumen
Un empleado descontento al que
se deja actuar libremente puede
ser
más devastador que un equipo de
hackers decididos y
experimentados.
La pérdida estimada sólo en
empresas de Estados Unidos por
robos de empleados es del orden
de 15.000 millones de dólares.
16
20. Pensando como el atacante
➢ Seleccionando una víctima
➢ 1, 2, 3, probando
➢ Haciéndonos "amigos" de la víctima
➢ Obteniendo información de contacto
➢ Realizando el ataque
➢ Matando varios pájaros de un solo tiro
20
21. Efectividad
El Hacker Kevin Mitnick establece 4 principios comunes que aplican a todas las
personas en general:
● Todos queremos ayudar
● Siempre, el primer movimiento hacia el otro, es de confianza
● Evitamos decir NO
● A todos nos gusta que nos alaben
21
22. Uno de los factores más aprovechados son las temáticas populares de actualidad.
ESET Latinoamérica ha detectado que utilizaron noticias, personas y sucesos de relevancia como
gancho para captar víctimas mediante campañas destinadas a usuarios de Latinoamérica:
● Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo
entradas para asistir a los partidos de la Copa.
● Alerta de terremoto en México: un email prometía imágenes satelitales que sólo descargan
malware.
● ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para
convertir la computadora en un zombi que formará parte de una botnet.
● Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modifica
los archivos hosts de la computadora afectada para hacer redirecciones.
● Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del
presidente de Panamá que descargaba un troyano.
22
23. Cómo evitar Ataques de ingeniería Social
23
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha
hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y
qué hacemos? Pues le damos nada a cambio de algo.
Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por
tanto a evitar ser víctima de este tipo de ataques :
● Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas
de crédito, cuentas bancarias, etc.).
● Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden
datos personales.
24. 24
● Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar
dinero con facilidad.
● Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en
una web datos de acceso, asegúrese de que la dirección de la web es correcta.
● No confíe en las direcciones de los remitentes de e-mail o en los identificadores del
número llamante en el teléfono: pueden falsearse con suma facilidad.
● Instale en su ordenador un buen software de seguridad que incluya si es posible
funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos.
● Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada
sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que
le solicitan.
25. Serie de Netflix “Black Mirror”
Temporada 3
Capitulo 3
“Shut up and
dance”
(Callate y baila)
25
26. Conclusión
La seguridad de la información no sólo debe entenderse
como un conjunto de elementos técnicos y físicos, sino
como un proceso cultural de personas y organizaciones.
Si el usuario es el eslabón más débil, deben existir
controles que ayuden a disminuir el riesgo que éste
pueda representar.
26