SlideShare una empresa de Scribd logo

La ingenieria-social

Marcos Escorche
Marcos Escorche

Ingenieria Social por marcos escorche

Tecnología
1 de 6
Descargar para leer sin conexión
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 1La Ingeniería Social La ingeniería social (Social Engineering) se ha convertido, hoy por hoy, en una de las principales armas de los hackers, Crackers, et … Es la forma en que se puede conseguir información sin usar una computadora. En el ámbito de la seguridad informática, la Ingeniería Social se considera la práctica de obtener información privilegiada ( o t aseñas, ue tas a a ias, datos o fide iales…) de ciertas personas mediante engaños telefónicos o a través de Internet haciéndose pasar por personas o empresas que no son. Un ejemplo es el email que te llega desde una correo electrónico de Hotmail diciéndote que son la Dirección de Hotmail y que si no activas tu cuenta en el siguiente formulario te la borrarán porque Hotmail tiene muchísimas cuentas inactivas (todo esto más detallado claro). Introduces tu email y contraseña en un bonito formulario y cuando le das a enviar tus datos llegan a un usuario que se ha aprovechado de la llamada ingeniería social, es decir, de tu confianza. Una de las prácticas más extendidas es el Phishing. Según Kevin Mitnick, uno de los hackers y phreakers más conocidos de EEUU (en su historia está basada la película Hackers 2 o El Asalto Final), existen 4 principios básicos en la Ingeniería Social que son comunes a todas las personas (o en su gran mayoría). 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. Debemos tener en mente que la información no es más que una herramienta que otorga la posibilidad de ser usada y manipulada en beneficio de quien la posee. Se puede ver a un sistema informático como un cúmulo de información que ahí está, pero espera ser develada. A lo largo de mi experiencia en el campo de la seguridad informática he podido aprender o descubrir que no importa si instalas antivirus, un firewall, un antispyware o cualquier otro software de seguridad, la información siempre estará vulnerable y siempre, siempre habrá uno más listo que otro. Solo es cuestión de tiempo para que descubran la vulnerabilidad y explotarla. En algo estoy de acuerdo con Mitnick, el ser humano es más vulnerable. Continuamente escuchamos en los medios de comunicación, robos a entidades bancarias vía internet, miles de personas afectadas, los ahorros de toda su vida desaparecen sin explicación , surge la pregunta ¿cómo lo hicieron?. La ingeniería social es parte de la respuesta, Kevin Mitnick hizo popular este término. La ingeniería social no solo es aplicada por los delincuentes
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 2informáticos, también es utilizada por los ladrones de toda la vida, cuando averiguan el nombre de los ocupantes de una casa y vigilan sus actividades diarias. Como el caso de una señora que todos los años a una fecha determinada recibía la encomienda de una hija, cierto día dos hombres, con apariencia de mensajeros, llegaron a su casa y le informaron que llevaban una caja con ropa que enviaba su hija desde Los Ángeles, confiada les abrió la puerta, ellos entraron y en menos de cinco minutos robaron sus objetos de valor. En una posterior declaración la señora dijo: "No sé cómo averiguaron el nombre de mi hija; son astutos". Lo cierto es que el criminal tiene éxito porque conoce a plenitud a su víctima; hay que desconfiar de todo, orientar bien a los empleados para que por ningún motivo abran la puerta a desconocidos o den información comprometedora. Y eso aplica para el ciberespacio y nuestra vida diaria. El siguiente es parte de un artículo redactado por Violeta Villar, para la agencia EFE, en él, Kevin Mitnick explica "Que es la ingeniería social según su óptica o experiencia". Según Mitnick: La ingeniería social es una de las principales herramientas de un delincuente. Ese término se refiere a los sistemas de engaño que emplea el atacante para obtener información o bienes. "En muchas empresas pretenden usar un firewall para protegerse de ese tipo de agresiones, pero eso no es suficiente, dice Mitnick. El afirma que los ataques a compañías no sólo tienen un fundamento tecnológico. "Atribuyo al error humano el conocimiento que tienen los hackers de ciertas situaciones internas, lo cual favorece el acceso a las bases de datos o a sistemas que en teoría son seguros. Los ingenieros sociales tienen cientos de trampas guardadas en la manga", dice. En materia de métodos no todo está escrito, pero Mitnick dio el ejemplo del truco que usó con Motorola: "Mi objetivo era conocer el código fuente del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente, quien me facilitó el código fuente (las instrucciones originales con las que se crea un programa). Yo no quería venderlo ni nada, mi único interés era ver ese código". En opinión de Mitnick hay varios factores que hacen vulnerable una organización: "Primero, la gente tiene mucha confianza en los demás; solemos creer lo que nos dice la otra persona. Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con sus órdenes". En las compañías grandes no hay suficiente contacto humano. Cualquiera de la noche a la mañana puede disfrazar sus intenciones de robo con el uniforme del mensajero o del vigilante. También puede ocurrir cuando las empresas tienen una alta rotación de personal; las caras nuevas pasan y entre ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones parecen insólitas, pero ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un computador portátil, conectarlo a la red de la oficina y permanecer varias horas ante la vista de todos.
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 3Ya leyeron mi punto de la ingeniería social y la de Kevin Mitnick. Ahora veremos como un ingeniero social puede conseguir información más detalla y para ellos creare un objetivo ficticio. Ingeniero Social actuando en tiempo real El objetivo del hacker o Cracker es conocer que existe algún tipo de información y hallar el modo de conseguirla sin violentar sistemas. No existe ningún tipo de información que sea totalmente inútil para un hacker. Un hacker siempre sabe que es bueno conocer algo, captar y almacenar uno o dos datos, porque nunca sabemos cuándo vamos a necesitar retrotraer la información que se recibe o adquiere. Nunca hay que dejarla en la memoria propia, simplemente porque que es muy volátil y la información puede perderse para siempre, a menos que uno tenga memoria fotográfica. Existen datos que requieren ser anotados en papel, incluso una servilleta puede ser útil de vez en cuando, o pasarlos a un medio extraíble como en un DDP, memoria flash o un hasta CD-ROM. A diferencia de lo que la mayoría de las personas creen, un sistema informático no solo se compone de hardware (el equipo físico) y software (los programas). Las máquinas no funcionan solas y siempre existen personas de carne y hueso detrás de ellas y de cada sistema. Hasta el momento no se conoce una máquina que para ponerse en funcionamiento se acerque ella misma a la fuente de poder y se enchufe sola. El personal del departamento de sistemas computacionales de cualquier empresa también forma parte integral del sistema informático, al igual que la computadora y los programas que en ella residen. Es de saberse que las personas vivas son las que tienen más vulnerabilidades que los fríos sistemas de proceso, muchos grandes ataques se han generado a partir del enfoque al personal. Debemos recordar que se puede atacar al software y se puede atacar al personal. Cuando hablamos de atacar al software nos referimos simplemente a enfocar nuestra atención en el Sistema Operativo o en los programas de usuario. Hay mucha variedad en el ataque contra el software, existen vulnerabilidades que pueden ser explotadas en nuestro beneficio, pero también hay que conocer cómo detectarlas y prevenirlas, porque esto llega a ser un problema de seguridad importante. Al hablar de atacar al personal nos referimos a lo que se ha dado a llamar Ingeniería Social. Esta técnica consiste básicamente en mantener un trato social con las personas que custodian los datos. Es simplemente atacar a quien posee la información.
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 4La ingeniería social indaga en las costumbres de las personas, en conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado, con la calidad de un corte de bisturí. Esta actividad incluye desde la suplantación de identidades confiables hasta la búsqueda en botes de basura de la información relevante y, con toda probabilidad, es el tipo de ataques del que menos se habla, pues no existe un manual práctico, depende mucho de las circunstancias, del Know-how del atacante y sus habilidades, de los conocimientos que pueda poseer la víctima, etc. Bien manejada, la ingeniería social es uno de los métodos más efectivos de recolección de información. No hay duda de eso como ya lo vieron anteriormente en mi explicación y la de Mitnick. Atacando al Personal Las personas siempre son la mejor fuente de información a la hora de revelar datos que no deben. Y no es porque esa gente peque de estúpida o que sean muy ingenuas, sino que es condición natural de muchas personas la sociabilidad, las ganas de ayudar al prójimo y sentirse útiles, he aquí donde vemos los principios de la ingeniería social nombrados anteriormente. En muchas ocasiones, la información se resbala por error y el hacker siempre estará preparado para recibir cualquier pequeño dato y guardarlo. Sobra decir que esto le puede jugar una mala pasada a los empleados que manejan la información sensible si se llegan a topar con alguien que tenga la capacidad de aprovecharse de ella, hasta pueden perder su empleo. Lamentablemente, tras sufrir una experiencia de este tipo, las personas se vuelven desconfiadas. Esta es la actitud adecuada siempre. Cuando se manejan muchos datos críticos hay que volverse un poco paranoico. La desconfianza es el principio de la seguridad tanto en la vida real como en la virtual. Aunque los humanos solemos ser inherentemente buenos, el sentido común indica que hay que poner ciertos límites, pero desde luego, no hay que bajar la guardia. Esta es la razón por la que nadie sale de su casa sin haber echado llave a la puerta. Un hacker tiene que ser también un buen psicólogo, entender el comportamiento humano, prever las reacciones y anticiparse a los acontecimientos. Debe ser capaz de ir más allá de lo que indica un simple gesto o lo que realmente quiere decir una frase. Para atacar al personal se pueden usar técnicas agresivas. Si sabemos su correo electrónico, se puede falsear el propio y escribirles un correo parecido a este: From: administrador@empresavictima.com To: isabeltontamevi@empresavictima.com Saludos Isabel soy Marcos Escorche, de aquí de Sistemas.
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 5Me parece que alguien nos ha estado espiando. El programa detector de espías se activó y aunque no se menciona nada en el reporte, pues no me confío. Voy a cambiar todas las contraseñas del personal y necesito las antiguas para colocar las nuevas. Por favor envíame tu contraseña a esta dirección de correo sólo dale un For ard . A uelta de correo te enviaré una nueva para que puedas memorizarla y después de que lo hagas, haz favor de eliminar este correo inmediatamente para mayor seguridad. Gracias.! Personas con mayor don de gentes pueden lograr mayor información, variando las preguntas, situaciones, etc. Por supuesto, esto puede también ser infructuoso y no obtener ni un ápice de información. Ahí está el riesgo y la prueba. Sin embargo, según estadísticas, resulta sorprendente lo mucho que se usa esta técnica, el porcentaje de éxito del que goza y los resultados que arroja. Hay que tener ciertos aspectos en mente. A las personas les gusta ayudar, pero sin sentirse agobiadas ni atacadas, siempre hay que saber dónde está el límite. Es bien sabido que la gente se sie te ás at aída po pe so as ue pa e e desvalidas . F ases o o Hola, soy uevo , soy estudia te y e esito ie ta i fo a ió p edispo e a la pote ial víctima a facilitar información. En resumen, solo hay que saber dónde, cuándo y cómo aplicar la técnica. Como parte de la técnica puede estar el ir personalmente a la oficina y comprobar cómo trabajan, echando una ojeada a las pantallas mientras te paseas por las instalaciones. Esto mejora cuando la empresa a la que visitas es de las grandes, donde el personal casi no se conoce. Hay veces que en una llamada telefónica no se obtienen los datos buscados. Como en una compañía grande no siempre contesta la misma persona, la recolección se haría en varias llamadas y anotando en papel cada pedacito de información vital. A ésta técnica se le conoce como pi otea el aíz . Al fi al solo se e uie e u i todos los pedazos pa a ap e ia el uad o fi al. Esto es lo que sucede a menudo con compañías como América Online (AOL). Consejos Para evitar ser atacados les daré un par de consejos que son efectivos si saben cómo aplicarlos bien. 1. Crear políticas de seguridad y velar porque cada una sea cumplida. 2. Entrenar muy bien al personal.
Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 6Aclaraciones Los correos nombrados en el ejemplo no existen, tampoco creo que haya un dominio con ese nombre. Esto no es para causar terror en la las personas o volverlas más paranoicas de lo que pueden ser, el objetivo es tener una clara idea de lo que es la ingeniería social y tomar medidas de seguridad más efectivas. Según un estudio hecho por la compañía de seguridad Kaspersky Lab Venezuela no está en la lista de los países más vulnerable a grandes ataques informáticos ya que somos un país subdesarrollado y aun no contamos con un control de bombas nucleares como los tienen Rusia, Estados Unidos, China, Japón, Corea del Norte y Corea del Sur. Contactos Twiiter: @mden_65

Recomendados

Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
Victor M. Bastidas S.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
ssuserb44661
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
albalucia1983
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Autenticación Adaptativa
Autenticación AdaptativaAutenticación Adaptativa
Autenticación Adaptativa
Asociación de Marketing Bancario Argentino
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
DaliaKauil
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria Social
Luis R Castellanos
 
Revista maria-herrera
Revista maria-herreraRevista maria-herrera
Revista maria-herrera
mariaisabelHERRERACO
 

Recomendados

Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
Victor M. Bastidas S.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
ssuserb44661
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
albalucia1983
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Autenticación Adaptativa
Autenticación AdaptativaAutenticación Adaptativa
Autenticación Adaptativa
Asociación de Marketing Bancario Argentino
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
DaliaKauil
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria Social
Luis R Castellanos
 
Revista maria-herrera
Revista maria-herreraRevista maria-herrera
Revista maria-herrera
mariaisabelHERRERACO
 
Revista maria.herrera
Revista maria.herreraRevista maria.herrera
Revista maria.herrera
mariaisabelHERRERACO
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
Paola Andrea Peña
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
tomasa18
 
Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridad
Alfredo Vela Zancada
 
Trabajo william galvan informatica
Trabajo william galvan informaticaTrabajo william galvan informatica
Trabajo william galvan informatica
william galvan
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
OBS Business School
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
jesuspericana3
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
Luis Flores
 
Delincuentes informaticos 1
Delincuentes informaticos 1Delincuentes informaticos 1
Delincuentes informaticos 1
Laudy Rugeles
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
maldonado2411
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
Alexander Velasque Rimac
 
La Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad InformáticaLa Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad Informática
Universidad Autónoma de Baja California
 
Guia didáctica curso
Guia didáctica curso Guia didáctica curso
Guia didáctica curso
Universidad Tecnológica del Perú
 
jorgegavilanesviscarra
jorgegavilanesviscarrajorgegavilanesviscarra
jorgegavilanesviscarra
jorge gavilanes
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
NicolleSierraVega
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
xShaoranx1
 
Seguridad informática - Miguel Jimenez
Seguridad informática - Miguel JimenezSeguridad informática - Miguel Jimenez
Seguridad informática - Miguel Jimenez
MiguelJimenezGutierr
 
La era digital
La era digitalLa era digital
La era digital
Alejandro García Díaz
 
Lluis Clopes - Modulo 1
Lluis Clopes - Modulo 1Lluis Clopes - Modulo 1
Lluis Clopes - Modulo 1
Jleon Consultores
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
Manuel Fdz
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
Ac. 2
Ac. 2Ac. 2
Ac. 2
KARENLIZETH25
 

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Revista maria.herrera
Revista maria.herreraRevista maria.herrera
Revista maria.herrera
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridad
 
Trabajo william galvan informatica
Trabajo william galvan informaticaTrabajo william galvan informatica
Trabajo william galvan informatica
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesus
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
 
Delincuentes informaticos 1
Delincuentes informaticos 1Delincuentes informaticos 1
Delincuentes informaticos 1
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
La Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad InformáticaLa Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad Informática
 
Guia didáctica curso
Guia didáctica curso Guia didáctica curso
Guia didáctica curso
 
jorgegavilanesviscarra
jorgegavilanesviscarrajorgegavilanesviscarra
jorgegavilanesviscarra
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Seguridad informática - Miguel Jimenez
Seguridad informática - Miguel JimenezSeguridad informática - Miguel Jimenez
Seguridad informática - Miguel Jimenez
 
La era digital
La era digitalLa era digital
La era digital
 
Lluis Clopes - Modulo 1
Lluis Clopes - Modulo 1Lluis Clopes - Modulo 1
Lluis Clopes - Modulo 1
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 

Similar a La ingenieria-social

Technological updating
Technological updatingTechnological updating
Technological updating
DanielaGA19
 

Similar a La ingenieria-social (20)

Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
 
Ac. 2
Ac. 2Ac. 2
Ac. 2
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackers
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
Presentación Ingeniería social
Presentación Ingeniería socialPresentación Ingeniería social
Presentación Ingeniería social
 
Ingenieria social
Ingenieria social Ingenieria social
Ingenieria social
 
Informatica. RIESGO Y SEGURIDAD EN LOS COMPUTADORES. Crismar Gonzalez. 298767...
Informatica. RIESGO Y SEGURIDAD EN LOS COMPUTADORES. Crismar Gonzalez. 298767...Informatica. RIESGO Y SEGURIDAD EN LOS COMPUTADORES. Crismar Gonzalez. 298767...
Informatica. RIESGO Y SEGURIDAD EN LOS COMPUTADORES. Crismar Gonzalez. 298767...
 
Revista tecnologica
Revista tecnologicaRevista tecnologica
Revista tecnologica
 
Ensayo delitos informaticos
Ensayo delitos informaticosEnsayo delitos informaticos
Ensayo delitos informaticos
 
Tipos de hackers tics
Tipos de hackers tics Tipos de hackers tics
Tipos de hackers tics
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privada
 
Revista Tecnologica
Revista TecnologicaRevista Tecnologica
Revista Tecnologica
 
INGENIERÍA SOCIAL
INGENIERÍA SOCIALINGENIERÍA SOCIAL
INGENIERÍA SOCIAL
 
delitos informaticos
delitos informaticos delitos informaticos
delitos informaticos
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
RIESGOS Y SEGURIDAD EN LOS COMPUTADORES.pdf
RIESGOS Y SEGURIDAD EN LOS COMPUTADORES.pdfRIESGOS Y SEGURIDAD EN LOS COMPUTADORES.pdf
RIESGOS Y SEGURIDAD EN LOS COMPUTADORES.pdf
 
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad iiConferencia delitos y crimenes de alta tecnologia y la sociedad ii
Conferencia delitos y crimenes de alta tecnologia y la sociedad ii
 
Technological updating
Technological updatingTechnological updating
Technological updating
 
Ingeniería Social y Social Inversa
Ingeniería Social y Social InversaIngeniería Social y Social Inversa
Ingeniería Social y Social Inversa
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (10)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 

La ingenieria-social

  • 1. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 1La Ingeniería Social La ingeniería social (Social Engineering) se ha convertido, hoy por hoy, en una de las principales armas de los hackers, Crackers, et … Es la forma en que se puede conseguir información sin usar una computadora. En el ámbito de la seguridad informática, la Ingeniería Social se considera la práctica de obtener información privilegiada ( o t aseñas, ue tas a a ias, datos o fide iales…) de ciertas personas mediante engaños telefónicos o a través de Internet haciéndose pasar por personas o empresas que no son. Un ejemplo es el email que te llega desde una correo electrónico de Hotmail diciéndote que son la Dirección de Hotmail y que si no activas tu cuenta en el siguiente formulario te la borrarán porque Hotmail tiene muchísimas cuentas inactivas (todo esto más detallado claro). Introduces tu email y contraseña en un bonito formulario y cuando le das a enviar tus datos llegan a un usuario que se ha aprovechado de la llamada ingeniería social, es decir, de tu confianza. Una de las prácticas más extendidas es el Phishing. Según Kevin Mitnick, uno de los hackers y phreakers más conocidos de EEUU (en su historia está basada la película Hackers 2 o El Asalto Final), existen 4 principios básicos en la Ingeniería Social que son comunes a todas las personas (o en su gran mayoría). 1. Todos queremos ayudar. 2. El primer movimiento es siempre de confianza hacia el otro. 3. No nos gusta decir No. 4. A todos nos gusta que nos alaben. Debemos tener en mente que la información no es más que una herramienta que otorga la posibilidad de ser usada y manipulada en beneficio de quien la posee. Se puede ver a un sistema informático como un cúmulo de información que ahí está, pero espera ser develada. A lo largo de mi experiencia en el campo de la seguridad informática he podido aprender o descubrir que no importa si instalas antivirus, un firewall, un antispyware o cualquier otro software de seguridad, la información siempre estará vulnerable y siempre, siempre habrá uno más listo que otro. Solo es cuestión de tiempo para que descubran la vulnerabilidad y explotarla. En algo estoy de acuerdo con Mitnick, el ser humano es más vulnerable. Continuamente escuchamos en los medios de comunicación, robos a entidades bancarias vía internet, miles de personas afectadas, los ahorros de toda su vida desaparecen sin explicación , surge la pregunta ¿cómo lo hicieron?. La ingeniería social es parte de la respuesta, Kevin Mitnick hizo popular este término. La ingeniería social no solo es aplicada por los delincuentes
  • 2. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 2informáticos, también es utilizada por los ladrones de toda la vida, cuando averiguan el nombre de los ocupantes de una casa y vigilan sus actividades diarias. Como el caso de una señora que todos los años a una fecha determinada recibía la encomienda de una hija, cierto día dos hombres, con apariencia de mensajeros, llegaron a su casa y le informaron que llevaban una caja con ropa que enviaba su hija desde Los Ángeles, confiada les abrió la puerta, ellos entraron y en menos de cinco minutos robaron sus objetos de valor. En una posterior declaración la señora dijo: "No sé cómo averiguaron el nombre de mi hija; son astutos". Lo cierto es que el criminal tiene éxito porque conoce a plenitud a su víctima; hay que desconfiar de todo, orientar bien a los empleados para que por ningún motivo abran la puerta a desconocidos o den información comprometedora. Y eso aplica para el ciberespacio y nuestra vida diaria. El siguiente es parte de un artículo redactado por Violeta Villar, para la agencia EFE, en él, Kevin Mitnick explica "Que es la ingeniería social según su óptica o experiencia". Según Mitnick: La ingeniería social es una de las principales herramientas de un delincuente. Ese término se refiere a los sistemas de engaño que emplea el atacante para obtener información o bienes. "En muchas empresas pretenden usar un firewall para protegerse de ese tipo de agresiones, pero eso no es suficiente, dice Mitnick. El afirma que los ataques a compañías no sólo tienen un fundamento tecnológico. "Atribuyo al error humano el conocimiento que tienen los hackers de ciertas situaciones internas, lo cual favorece el acceso a las bases de datos o a sistemas que en teoría son seguros. Los ingenieros sociales tienen cientos de trampas guardadas en la manga", dice. En materia de métodos no todo está escrito, pero Mitnick dio el ejemplo del truco que usó con Motorola: "Mi objetivo era conocer el código fuente del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente, quien me facilitó el código fuente (las instrucciones originales con las que se crea un programa). Yo no quería venderlo ni nada, mi único interés era ver ese código". En opinión de Mitnick hay varios factores que hacen vulnerable una organización: "Primero, la gente tiene mucha confianza en los demás; solemos creer lo que nos dice la otra persona. Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con sus órdenes". En las compañías grandes no hay suficiente contacto humano. Cualquiera de la noche a la mañana puede disfrazar sus intenciones de robo con el uniforme del mensajero o del vigilante. También puede ocurrir cuando las empresas tienen una alta rotación de personal; las caras nuevas pasan y entre ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones parecen insólitas, pero ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un computador portátil, conectarlo a la red de la oficina y permanecer varias horas ante la vista de todos.
  • 3. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 3Ya leyeron mi punto de la ingeniería social y la de Kevin Mitnick. Ahora veremos como un ingeniero social puede conseguir información más detalla y para ellos creare un objetivo ficticio. Ingeniero Social actuando en tiempo real El objetivo del hacker o Cracker es conocer que existe algún tipo de información y hallar el modo de conseguirla sin violentar sistemas. No existe ningún tipo de información que sea totalmente inútil para un hacker. Un hacker siempre sabe que es bueno conocer algo, captar y almacenar uno o dos datos, porque nunca sabemos cuándo vamos a necesitar retrotraer la información que se recibe o adquiere. Nunca hay que dejarla en la memoria propia, simplemente porque que es muy volátil y la información puede perderse para siempre, a menos que uno tenga memoria fotográfica. Existen datos que requieren ser anotados en papel, incluso una servilleta puede ser útil de vez en cuando, o pasarlos a un medio extraíble como en un DDP, memoria flash o un hasta CD-ROM. A diferencia de lo que la mayoría de las personas creen, un sistema informático no solo se compone de hardware (el equipo físico) y software (los programas). Las máquinas no funcionan solas y siempre existen personas de carne y hueso detrás de ellas y de cada sistema. Hasta el momento no se conoce una máquina que para ponerse en funcionamiento se acerque ella misma a la fuente de poder y se enchufe sola. El personal del departamento de sistemas computacionales de cualquier empresa también forma parte integral del sistema informático, al igual que la computadora y los programas que en ella residen. Es de saberse que las personas vivas son las que tienen más vulnerabilidades que los fríos sistemas de proceso, muchos grandes ataques se han generado a partir del enfoque al personal. Debemos recordar que se puede atacar al software y se puede atacar al personal. Cuando hablamos de atacar al software nos referimos simplemente a enfocar nuestra atención en el Sistema Operativo o en los programas de usuario. Hay mucha variedad en el ataque contra el software, existen vulnerabilidades que pueden ser explotadas en nuestro beneficio, pero también hay que conocer cómo detectarlas y prevenirlas, porque esto llega a ser un problema de seguridad importante. Al hablar de atacar al personal nos referimos a lo que se ha dado a llamar Ingeniería Social. Esta técnica consiste básicamente en mantener un trato social con las personas que custodian los datos. Es simplemente atacar a quien posee la información.
  • 4. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 4La ingeniería social indaga en las costumbres de las personas, en conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado, con la calidad de un corte de bisturí. Esta actividad incluye desde la suplantación de identidades confiables hasta la búsqueda en botes de basura de la información relevante y, con toda probabilidad, es el tipo de ataques del que menos se habla, pues no existe un manual práctico, depende mucho de las circunstancias, del Know-how del atacante y sus habilidades, de los conocimientos que pueda poseer la víctima, etc. Bien manejada, la ingeniería social es uno de los métodos más efectivos de recolección de información. No hay duda de eso como ya lo vieron anteriormente en mi explicación y la de Mitnick. Atacando al Personal Las personas siempre son la mejor fuente de información a la hora de revelar datos que no deben. Y no es porque esa gente peque de estúpida o que sean muy ingenuas, sino que es condición natural de muchas personas la sociabilidad, las ganas de ayudar al prójimo y sentirse útiles, he aquí donde vemos los principios de la ingeniería social nombrados anteriormente. En muchas ocasiones, la información se resbala por error y el hacker siempre estará preparado para recibir cualquier pequeño dato y guardarlo. Sobra decir que esto le puede jugar una mala pasada a los empleados que manejan la información sensible si se llegan a topar con alguien que tenga la capacidad de aprovecharse de ella, hasta pueden perder su empleo. Lamentablemente, tras sufrir una experiencia de este tipo, las personas se vuelven desconfiadas. Esta es la actitud adecuada siempre. Cuando se manejan muchos datos críticos hay que volverse un poco paranoico. La desconfianza es el principio de la seguridad tanto en la vida real como en la virtual. Aunque los humanos solemos ser inherentemente buenos, el sentido común indica que hay que poner ciertos límites, pero desde luego, no hay que bajar la guardia. Esta es la razón por la que nadie sale de su casa sin haber echado llave a la puerta. Un hacker tiene que ser también un buen psicólogo, entender el comportamiento humano, prever las reacciones y anticiparse a los acontecimientos. Debe ser capaz de ir más allá de lo que indica un simple gesto o lo que realmente quiere decir una frase. Para atacar al personal se pueden usar técnicas agresivas. Si sabemos su correo electrónico, se puede falsear el propio y escribirles un correo parecido a este: From: administrador@empresavictima.com To: isabeltontamevi@empresavictima.com Saludos Isabel soy Marcos Escorche, de aquí de Sistemas.
  • 5. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 5Me parece que alguien nos ha estado espiando. El programa detector de espías se activó y aunque no se menciona nada en el reporte, pues no me confío. Voy a cambiar todas las contraseñas del personal y necesito las antiguas para colocar las nuevas. Por favor envíame tu contraseña a esta dirección de correo sólo dale un For ard . A uelta de correo te enviaré una nueva para que puedas memorizarla y después de que lo hagas, haz favor de eliminar este correo inmediatamente para mayor seguridad. Gracias.! Personas con mayor don de gentes pueden lograr mayor información, variando las preguntas, situaciones, etc. Por supuesto, esto puede también ser infructuoso y no obtener ni un ápice de información. Ahí está el riesgo y la prueba. Sin embargo, según estadísticas, resulta sorprendente lo mucho que se usa esta técnica, el porcentaje de éxito del que goza y los resultados que arroja. Hay que tener ciertos aspectos en mente. A las personas les gusta ayudar, pero sin sentirse agobiadas ni atacadas, siempre hay que saber dónde está el límite. Es bien sabido que la gente se sie te ás at aída po pe so as ue pa e e desvalidas . F ases o o Hola, soy uevo , soy estudia te y e esito ie ta i fo a ió p edispo e a la pote ial víctima a facilitar información. En resumen, solo hay que saber dónde, cuándo y cómo aplicar la técnica. Como parte de la técnica puede estar el ir personalmente a la oficina y comprobar cómo trabajan, echando una ojeada a las pantallas mientras te paseas por las instalaciones. Esto mejora cuando la empresa a la que visitas es de las grandes, donde el personal casi no se conoce. Hay veces que en una llamada telefónica no se obtienen los datos buscados. Como en una compañía grande no siempre contesta la misma persona, la recolección se haría en varias llamadas y anotando en papel cada pedacito de información vital. A ésta técnica se le conoce como pi otea el aíz . Al fi al solo se e uie e u i todos los pedazos pa a ap e ia el uad o fi al. Esto es lo que sucede a menudo con compañías como América Online (AOL). Consejos Para evitar ser atacados les daré un par de consejos que son efectivos si saben cómo aplicarlos bien. 1. Crear políticas de seguridad y velar porque cada una sea cumplida. 2. Entrenar muy bien al personal.
  • 6. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT, Diseño Web 6Aclaraciones Los correos nombrados en el ejemplo no existen, tampoco creo que haya un dominio con ese nombre. Esto no es para causar terror en la las personas o volverlas más paranoicas de lo que pueden ser, el objetivo es tener una clara idea de lo que es la ingeniería social y tomar medidas de seguridad más efectivas. Según un estudio hecho por la compañía de seguridad Kaspersky Lab Venezuela no está en la lista de los países más vulnerable a grandes ataques informáticos ya que somos un país subdesarrollado y aun no contamos con un control de bombas nucleares como los tienen Rusia, Estados Unidos, China, Japón, Corea del Norte y Corea del Sur. Contactos Twiiter: @mden_65