1. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
ALGUNAS TECNICAS DE INGENIERIA SOCIAL
Pretexting / Impersonate: estas técnicas van de la mano y pueden usarse tanto
en los ataques locales como en los remotos. Un claro ejemplo puede darse
cuando el atacante se hace pasar por un empleado de soporte técnico de la
empresa en la cual trabaja la víctima (impersonate). De esta manera trata de
generar empatía para ganar credibilidad, pero acto seguido presenta algún tipo de
excusa o pretexto (pretexting), como alertar a la víctima de un comportamiento
inadecuado en su equipo, el cual requiere de su intervención. Así podrá dar
instrucciones específicas que terminarán en la instalación de algún tipo de
malware, concretando así su objetivo (tomar el control del equipo, obtener datos
sensibles, etc).
* Tailgaiting: este tipo de ataque se aprovecha de la solidaridad y buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando
a su empresa, la cual posee algún tipo de restricción en su acceso físico. Por
ejemplo: tarjetas RFID, molinetes, etc. El atacante irá corriendo con una gran
“sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar)
haciendo un gesto de haber olvidado su tarjeta de acceso. En caso de existir un
molinete, ingresará junto a la víctima, disculpándose por su “torpeza”.
* Falla en controles físicos de seguridad: este es quizás unos de los ataques
más usados, ya que existen muchas empresas con fallas en sus controles físicos.
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de
seguridad o recepcionista. Esta persona solicita nombre, apellido, número de
documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o
recepcionista no solicita el documento físico ni tampoco llama al empleado que
está siendo “visitado”. Este tipo de ataque es muy efectivo para realizar Baiting
(explicado más abajo), ya que si el control falla desde el inicio es muy probable
que se pueda llegar hasta las oficinas de interés para el atacante.
Shoulder Surfing, aunque parezca mentira la técnica de “espiar por encima del
hombro” es muy utilizada y da grandes resultados.
Shoulder Surfing, aunque parezca mentira la técnica de “espiar por encima del
hombro” es muy utilizada y da grandes resultados.
2. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
* Dumpster Diving: aunque no lo crean, una de las técnicas muy utilizadas es
revisar la basura, ya que muchas –pero muchas– veces se arrojan papeles con
información sensible sin haberlos destruidos previamente. Hablamos de usuarios y
contraseñas que fueron anotadas en algún Postit, números de cuentas, mails
impresos, etc. También se suelen encontrar distintos medios de almacenamiento
sin su debida destrucción, como CDs, discos duros, etc.
* Shoulder Surfing: esta es una técnica muy utilizada por los Ingenieros Sociales
(y por los curiosos también). No es ni más ni menos que espiar por encima del
hombro de las personas. En algunos casos se hace para poder observar lo que
está tecleando la víctima y así poder dilucidar su password, PIN o patrones de
desbloqueos en teléfonos.
TIPOS DE ALMACENAMIENTO EN LA NUBE:
Público: Se trata de un servicio en la nube que requiere poco control
administrativo y que se puede acceder en línea por cualquier persona que este
autorizada. El almacenamiento en la nube pública utiliza un mismo conjunto de
hardware para hacer el almacenamiento de la información de varias personas, con
medidas de seguridad y espacios virtuales para que cada usuario pueda ver
únicamente la información que le corresponde. Este servicio es alojado
externamente, y se puede acceder mediante Internet, y es el que usualmente una
persona individual puede acceder, por su bajo costo y el bajo requerimiento de
mantenimiento.
Ejemplos:
Dropbox.
Google drive.
Box
Sugar Sync.
Privado: Almacenamiento en la nube privada funciona exactamente como el
nombre sugiere. Un sistema de este tipo está diseñado específicamente para
cubrir las necesidades de una persona o empresa. Este tipo de almacenamiento
en la nube puede ser presentado en dos formatos: on-premise (en la misma
3. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
oficina o casa) y alojado externamente. Este modelo es más usado por empresas,
no tanto así las personas individuales. En este modelo la empresa tiene el control
administrativo, y por lo tanto le es posible diseñar y operar el sistema de acuerdo a
sus necesidades específicas.
Ejemplos:
CA Technologies,
Cisco
Dell
Egenera
EMC
VENTAJAS DEL LECTOR RSS:
Las páginas web y blogs distribuyen a través de los canales RSS las
últimas actualizaciones de aquellas páginas web que son de su interés. A
través de RSS podrás enterarte de las últimas noticias;
La decisión está del lado del usuario ya que él es quien elige a qué páginas
web suscribirse y cuando darse de baja de estas páginas web;
El RSS supone un importante ahorro en el tiempo de navegación y
búsqueda de información. En el lector RSS, el usuario tendrá un resumen
de los artículos para poder decidir qué información quiere leer;
El RSS está libre de SPAM, porque no tienes que dar tu correo electrónico.
Esto no ocurre con suscripciones por correo electrónico, en las que además
de recibir noticias, podrías recibir también SPAM u otra información no
deseada. Cuando estás suscrito a las fuentes RSS de una página web, no
recibirás otra información que la que se publique en las páginas web que
son de tu interés.
DESVENTAJAS DEL LECTOR RSS:
Algunos de los programas o lectores RSS no están en español (aunque
los más importantes sí tienen versión en español).
No todos los lectores RSS muestran las fotos (aunque muchos sí lo
hacen).
Recibir los canales RSS crean mayor tráfico y demanda en el servidor,
por lo que puede hacer que la conexión a Internet se vuelva algo más
4. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
lenta (aunque en realidad, el consumo de banda de los Canales RSSes
mínimo),
Dado que se trata de una nueva tecnología, es posible que algunas
páginas web de interés no publiquen todavía sus noticias a través de un
canal o fuente RSS.
El vocabulario que se utiliza y la jerga, son algo confusas. Se trata de
términos en inglés que a menudo no se traducen al español. Además, y
dado que se trata de una tecnología nueva para la mayoría de los
usuarios, los términos en español son algo confusos. En esta página,
damos un ejemplo ilustrativo para explicar el significado de las palabras
que más se usan en español.
SERVICIOS DE STREAMING:
El primer enlace conduce a una emisora online. Ellos presentan contenido en vivo
y en directo y realizan programas y entrevistas para transmitir en tiempo real a
través de Internet. No tienen frecuencia en AM o FM. Es solo por Internet.
El segundo link es más que reconocido. Se trata de la señal en vivo que presta el
canal institucional de la empresa ETB en Colombia para que usuarios y
empleados de todo el mundo vean su señal sin límites geográficos.
En otras palabras, el Streaming es el comúnmente llamado Radio online, TV
online o WebTV.
No entraremos en tecnicismos ni fórmulas matemáticas. El streaming simplemente
es la tecnología que nos permite ver un archivo de audio o video directamente
desde internet en una página sin descargarlo previamente a nuestro computador.
Lo visualizamos a medida que va descargando al PC.
Una transmisión de streaming nunca queda almacenada en el equipo del usuario,
razón por la cual la hace un poco más segura para evitar plagio o que capturen el
archivo de audio/video.
Además, permite ver u oír transmisiones en vivo y en directo a través de
reproductores específicos o en una página web a través de flash player.
Cliente
Existe software libre y gratuito que permite realizar la conexión con un servidor de
streaming para comenzar la emision de audio. Winamp es el mas popular de todos
y de la mano con Zara Radio lograra tener su emisora online en pocos minutos.
5. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
En cuanto al vídeo existe también software de distribución libre como el Flash
Media Encoder para realizar la transmisión.
En ambos casos estos software lo que hacen es realizar la codificación de los
datos de tal forma de que sean lo suficientemente “livianos” para tranmistirse
rapidamente sin perder calidad. Codecs como AAC plus y mp3 para el Audio y
H264 o VP6 en video son los más comunes. (En próximos artículos detallaremos
cada uno).
Servidor:
Finalmente, tal vez el eslabón más importante de toda la cadena, el servidor de
Streaming.
Es este quien se encarga de recibir la señal desde el emisor, codificarla o
decodificarla según sea el caso, y redistribuir dichos datos a tantos usuarios como
se soliciten desde la página web del usuario.
Técnicamente cualquier PC podría ser servidor de streaming, sin embargo dado
que son estos equipos quienes procesan todos los datos de audio y video
requieren gran capacidad de procesamiento. Generalmente son servidores XEON
QuadCore con hasta 8 núcleos. Por otra parte también son los encargados de la
distribución hacia todo Internet. por tanto deben tener un gran ancho de banda y
transferencia para poder recibir cientos o miles de solicitudes simultaneas. Son
equipos ubicados en datacenter con conexiones redundantes de 100Mbps o hasta
de 1Gbps o más Gbps. Comparados con los 2, 4 u 8Mbps que podamos tener en
casa, la diferencia es bastante grande.
Si pusiéramos un servicio de estos en nuestro hogar, no lograríamos transmitir
nuestra señal a más de 5 personas al mismo tiempo.
En cuanto a servidores se refiere, hay cientos de empresas proveedores de
servicio de streaming, al igual que con el hosting existen otras tantas que ofrecen
este servicio gratuitamente bajo algunas condiciones de uso (Publicidad y uso de
marca). Es decisión de cada usuario cual es el servicio que más le conviene (De
pago o gratis) según el uso o requerimiento que tenga para su empresa o
compañía. CeHis ltda, está dispuesto y a la orden, para implementar este servicio
en su empresa.
6. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
¿PARA QUE SIRVE?
Piense por ejemplo en el lanzamiento del último producto de su compañía. Esa
asamblea que es importante que los miembros de su empresa vean, un seminario,
una conferencia o la feria y/o exposición a la que no todos sus clientes podrán
asistir, esa fiesta que quiere que todo el mundo vea, o tal vez hacer que su
emisora finalmente tenga más audiencia de la que el AM o FM puede ofrecerle.
Aquí es donde el streaming es perfecto para usted.
¿QUE SON LOS SERVICIOS DE FTP?
El Protocolo de transferencia de archivos (en inglés File Transfer Protocol o FTP)
es un protocolo de red para la transferencia de archivos entre sistemas
conectados a una red TCP (Transmission Control Protocol), basado en la
arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un
servidor para descargar archivos desde él o para enviarle archivos,
independientemente del sistema operativo utilizado en cada equipo.
El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red
TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un
problema básico de FTP es que está pensado para ofrecer la máxima velocidad
en la conexión, pero no la máxima seguridad, ya que todo el intercambio de
información, desde el login y password del usuario en el servidor hasta la
transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de
cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al
servidor y/o apropiarse de los archivos transferidos.
FTPS GRATUITOS:
WinSCP
FireFTP
FileZilla
MODULO DE TRANSMISIONDE DATOS:
El modelo OSI (Open System Interconection) es utilizado por prácticamente la
totalidad de las redes del mundo. Este modelo fue creado por el ISO
(Organización Internacional de Normalización), y consiste en siete niveles o capas
donde cada una de ellas define las funciones que deben proporcionar los
7. JOHAN NICOLAYLEON FLOREZ
UNIDADESTECNOLOGICAS
09/11/2018
protocolos con el propósito de intercambiar información entre varios sistemas.
Esta clasificación permite que cada protocolo se desarrolle con una finalidad
determinada, lo cual simplifica el proceso de desarrollo e implementación. Cada
nivel depende de los que están por debajo de él, y a su vez proporciona alguna
funcionalidad a los niveles superiores.
Los siete niveles del modelo OSI son los siguientes:
Aplicación:
El nivel de aplicación es el destino final de los datos donde se proporcionan los
servicios al usuario.
Presentación:
Se convierten e interpretan los datos que se utilizarán en el nivel de aplicación.
Sesión:
Encargado de ciertos aspectos de la comunicación como el control de los tiempos.
Transporte:
Transporta la información de una manera fiable para que llegue correctamente a
su destino.
Red:
Nivel encargado de encaminar los datos hacia su destino eligiendo la ruta más
efectiva.
Enlace:
Enlace de datos. Controla el flujo de los mismos, la sincronización y los errores
que puedan producirse.
Físico: