Descargar para leer sin conexión
Ingenieria social
- 1. SEPTIEMBRE 2018 NATALIA ARDILA INGENIERÍASOCIAL Contenido 1. Concepto........................................................................................................................... 1 2. ¿Cómo se utiliza la I.S a los ataques de empresas?............................................................... 2 2.1. Motivadores Psicológicos............................................................................................ 2 2.2. Objetivo del Ataque.................................................................................................... 2 2.3. Contenido.................................................................................................................. 2 2.4. Vector o Medio.......................................................................................................... 3 3. ¿Por qué debería preocuparnos la ingeniería social?............................................................ 3 4. ¿Cómo protegerme? .......................................................................................................... 3 5. Tipos de Ingeniería Social ................................................................................................... 4 5.1. Ataques locales .......................................................................................................... 4 5.1.1. Pretexting / Impersonate..................................................................................... 4 5.1.2. Fallaen controles físicos de seguridad.................................................................. 4 5.1.3. Dumpster Diving................................................................................................. 4 5.1.4. Distracción.......................................................................................................... 4 5.1.5. Baiting................................................................................................................ 4 5.2. Ataques remotos........................................................................................................ 5 5.3.1. Phishing.............................................................................................................. 5 5.3.2. Redes Sociales..................................................................................................... 5 6. Mi experiencia personal ..................................................................................................... 5 7. Bibliografía........................................................................................................................ 6 1. Concepto La Ingeniería Social es el conjunto de actividades o engaños que los atacantes usan para obtener información o bienes de las organizaciones a través de la manipulación de los usuarios legítimos. Es decir, la Ingeniería Social es la ciencia y el arte de hackear a las personas.
- 2. Nuestras debilidades naturalescomo humamos pueden ser explotadas en muchas ocasiones mucho más fácilmente que las de un software o hardware. La ingeniería social hace esto, explota nuestras debilidades psicológicas para extraer información. Aplicar principios sociológicos para solucionar cualquier tipo particular de problemas, o utilizar la manipulación de las posiciones sociales de los individuos para intentar cambiar la sociedad; son ambos, conceptos aplicables a la ingeniería social. Ahora bien, en el contexto de la seguridad informática, la ingeniería social tiene que ver con la manipulación psicológica de las personas para extraer información de ellas. 2. ¿Cómo se utiliza la I.S a los ataques de empresas? 2.1. Motivadores Psicológicos Los motivadores psicológicos más comunes y efectivos en los ciber ataques son la urgencia y/o el miedo (46%); la autoridad (43%); y, la costumbre, la curiosidad y la falsa confianza (11%). 2.2. Objetivo del Ataque 1. Fraude: consiste en robar dinero sin usar la fuerza. 2. Infección: se engaña a las víctimas para que descarguen software malicioso. 3. Robo de credenciales: se les redirige a las víctimas a un sitio web falso, y se sustraen ahí claves de acceso a diferentes sistemas electrónicos. 2.3. Contenido Los cibercriminales utilizan varios temas de interés: mediáticos, políticos, de deportes, de trabajo, etc. Además, cuando desean algo específico de una empresa, llegan a conocer los gustos e intereses de una persona en particular dentro de la misma.
- 3. 2.4. Vector oMedio Los vectores (es decir, los canales o medios de despliegue) más comunes son el correo electrónico, la navegación, las redes sociales, las redes inalámbricas, los dispositivos de almacenamiento, e – incluso – las visitas personales en el sitio de trabajo. 3. ¿Por qué debería preocuparnos la ingeniería social? Actualmente, vemos que la Ingeniería Social es la punta de la lanza para los ciber ataques. Lastimosamente, no se le da la debida importancia y se enfoca la Seguridad de la Información en las herramientas tecnológicas. Se adquieren antivirus, firewalls, anti-spam, etc., pero estos productos se deben complementar con la gestión para los recursos humanos. 4. ¿Cómo protegerme? Aunque podría decirse que solo con tener sentido común basta, esto solo es cierto para ataques simples y fáciles de detectar. Ser siempre desconfiado sea tal vez la única protección, pero no se puede estar tan alerta todo el tiempo. Algunas medidas que podemos tomar son: 1. Verificar siempre la identidad de alguien que nos solicite información personal. Por ejemplo, si recibimos una llamada telefónica de un operador que nos solicita datos personales, podemos pedirle todos sus datos de empleado, pero la mejor manera de confirmar si es quien dice ser, es ofrecerle algunos datos ligeramente equivocados para contra-verificar que realmente es un operador y tiene en sus manos, la información correcta que dimos a la empresa. 2. No debemos nunca abrir archivos adjuntos ni hacer clic en enlaces de correos con remitentes desconocidos o sospechosos. 3. Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o nombres de usuario con nadie vía correo electrónico. 4. No reveles tus contraseñas a nadie, ni tampoco las mantengas a la vista en una nota en el escritorio ni nada parecido. 5. Cuando trabajamos con información sensible, procuremos estar pendientes de si alguien está observándonos. Ya sea la pantalla del ordenador en el trabajo, o hasta la del móvil en la calle. Este es básicamente el mismo consejo que te da el banco al usar un cajero automático, no permitir que nadie se acerque lo suficiente como para que pueda ver cuando ingresas tu PIN. 6. No creer cualquier cosa que te diga un extraño por muy "bueno" que parezca.
- 4. 5. Tipos deIngeniería Social 5.1. Ataques locales Son los que el atacante realiza en persona, si necesidad de una conexión de telecomunicaciones. Entre ellos tenemos los siguientes: 5.1.1. Pretexting / Impersonate Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como en los remotos. Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate). De esta manera trata de generar empatía para ganar credibilidad, pero acto seguido presenta algún tipo de excusa o pretexto (pretexting), como alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención. Así podrá dar instrucciones específicas que terminarán en la instalación de algún tipo de malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc). 5.1.2. Falla en controles físicos de seguridad Este es quizás unos de los ataques más usados, ya que existen muchas empresas con fallas en sus controles físicos. Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista. Esta persona solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”. 5.1.3. Dumpster Diving Aunque no lo crean, una de las técnicas muy utilizadas es revisar la basura, ya que muchas (pero muchas) veces se arrojan papeles con información sensible sin haberlos destruidos previamente. Hablamos de usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, mails impresos, etc. También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción, como CD’s, discos duros, etc. 5.1.4. Distracción Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo. Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa). Gracias a esto el atacante puede, por ejemplo, sacar una foto de la pantalla o papeles con datos importantes, robar un Token, pendrive o algún otro dispositivo de almacenamiento. 5.1.5. Baiting Es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso, los que dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc). Para asegurarse del éxito
- 5. en la explotacióne estudia a la víctima previamente, detectando así la vulnerabilidad a ser explotada. 5.2. Ataques remotos Se concretan por medio de redes de telecomunicaciones, incluida Internet. Los principales son los siguientes: 5.3.1. Phishing Esta técnica busca “pescar” víctimas. Para ello se utiliza el envío de correos electrónicos conteniendo adjuntos con malware o links a páginas falsas (home banking, tarjeta de crédito, etc.) con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos. El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que envíe distintos datos personales y una fotocopia del documento para “verificar” su identidad) 5.3.2. Redes Sociales Esta técnica tiene dos grandes objetivos, obtener información de la víctima por una lado y generar una relación con la misma por otro. 6. Mi experiencia personal Durante el transcurso de mi vida usando redes sociales me ve visto afectada por la Ingeniería Social, en muy pocas ocasiones y la mayoría siendo menor de edad pues no tenía conocimiento de cómo debía cuidar mis datos o mis cuentas en internet. Muchas veces compartía mi contraseña con personas que no eran de mi entera confianza o dejaba mi correo personal abierto en algunos computadores ya sean tiendas de internet o los equipos del colegio, luego sufría de hackeos o perdía el acceso a mi correo personal el cual conectaba con la mayoría de mis redes sociales. Con el tiempo aprendí a tener hábitos de seguridad pues considero que aunque antes era un riesgo hoy en día el peligro es mayor. Así que ahora trato de mantener una sola clave para todas mis cuentas y cambiarla cada 6 meses. Anclar correos a mi correo principal por si en algún momento pierdo el acceso. También sincronizo mi dispositivo móvil para tener total control de si existe actividad en mis redes en
- 6. caso dado deque no sea yo. No comparto mi contraseña con nadie a menos de que sea necesario, luego de eso, prefiero volverla a cambiar. Por el momento no he tenido ciber ataques pues considero que soy mucho más cuidadosa y estricta con la seguridad de mi información personal. 7. Bibliografía ¿Quées la Ingeniería Social? (2018). Obtenidode GMS seguridadde lainformación: https://gmsseguridad.com/ing-social-info.html González,G.(24 de Marzo de 2015). ¿Qué es la Ingeniería Social? Obtenidode Hipertextual : https://hipertextual.com/2015/03/que-es-la-ingenieria-social Piscitelli,E.(4de Diciembre de 2015). Ingeniería Social: Cuálesson los tipos deataque . Obtenido de RedUSERS: http://www.redusers.com/noticias/ingenieria-social-cuales-son-los-tipos- de-ataque/