Conceptos básicos sobre ingeniería social

1. Seguridad de Sistemas de Redes
Ingeniería Social

2. Ingeniería Social
 La ingeniería social es el arte de engañar a la gente
para que revelen información sensible.
 Los ataques que tienen éxito inician por alguien que
está fingiendo ser alguien que no es, el soporte
técnico, un ejecutivo, un empleado “urgido a
resolver un problema urgente” y puede hacerlo
solamente con tu ayuda
 Una llamada telefónica simple que solicita una cierta
información aparentemente benigna o para mejorar
los servicios a los que se tiene acceso se le conoce
como “information gathering”

3. ¿Por qué existen los Ingenieros Sociales?
 Es la abertura de seguridad mas dificil de detectar.
 Las compañías dedicaron todos sus recursos en las
soluciones técnicas para proporcionar seguridad,
detección de intrusión, Anti-Virus, los firewall…
etc.
 El hardware y el software pueden hacer poco para
proporcionar controles eficaces contra este tipo de
ataques.
 Realizar ataques con computadoras necesitan
amplios conocimientos

4.  Los ataques a las personas, son fáciles de prepetar por que se
toma ventaja de los institos básicos que todos tenemos como
seres humanos “Ayudar a otros”
 Existen muchos medios que permiten realizar ataques
 Help desk
 Servicio al cliente
 Ejecutivos de ventas
 Asistentes administrativos
 Técnicos de soportes, empleados, personal de reparaciones, Servicios
de terceros en los que confiamos, etc…
¿Por qué existen los Ingenieros Sociales?

5. Information Gathering
 Puede ser tan fácil como una búsqueda en google o tan sucio como
explorar en una papelera de basura.
 Se intenta recolectar información con diferentes métodos para detectar un
blanco, como es posible explotar las vulnerabilidades que pueden existir y
que pueden ser descubiertas
 La estructura básica de una compañía junto con nombres de los directivos
puede estar fácilmente descrita de los informes anuales y están disponibles
para todo público
 Una encuesta aparentemente inofensiva, a un encargado de tecnología que
intenta proporcionar un servicio o mejores servicios a sus clientes puede
ser una manera fácil de recopilar información valiosa que de otra manera
sería considerada por lo menos confidencial

6. Tipos de ataques
 Salami attack – “En la oficina”
 Data Diddling – Se modifican o se capturan datos antes de que entren al
sistema o bien antes salgan.
 Privilegios excesivos – Usuarios que tienen amplios derechos solo por que
ocupan una posición importante en la empresa, cambian de puesto, salen
de la empresa y nadie elimina sus cuentas
 Ataques a las contraseñas – sniffing (oliendo), brute force (fuerza bruta)
 Wiretapping – Las aplicaciones de Voz Ip proporcionan amenazas a la
seguridad.
 Fraude telefónico - esquina azul - Clonación de las frecuencias del
teléfono, esquina roja - simulación de una moneda entrando al teléfono,
PBX - mantener los módems con las configuraciones de fábrica.
 SPAM: Mensajes de correo no deseado.
 Phising: Duplicar la página web.

7. Privacidad, ética y computadoras
 La meta final del ingeniero social es tener acceso
desautorizado a información confidencial que podría
darle dinero, tal vez un aumento o simplemente un
poco de emoción
 Las computadoras proporcionan herramientas para
hacer nuestras vidas más simples y más productivas
es por eso que debemos protegerlas por que de esa
manera nos estamos protegiéndonos nosotros
mismos

8. Defenderse contra los ingenieros Sociales
 Las empresas deben establecer una fuerte política de
seguridad, incluyendo estándares, políticas,
procedimientos, lineamientos, por ejemplo:
 Políticas para las contraseñas
 Valoración de seguridad
 Clasificación de datos
 Aceptación del uso de políticas
 Procesos
 Respuesta ante incidentes
 Seguridad física
 Entrenamiento para disminuir los riesgos