Este documento define e ilustra el concepto de ingeniería social, que se refiere al arte de manipular hábilmente a las personas para obtener información u otros objetivos. Explica que la ingeniería social puede usarse para fines positivos o negativos, y proporciona ejemplos como el phishing, el robo de empleados y las estafas nigerianas. También describe diferentes tipos de ingenieros sociales y técnicas como la recopilación de información.
Este documento explica los conceptos básicos de la ingeniería social. Define la ingeniería social como el acto de manipular a una persona a través de técnicas psicológicas para que revele información sensible sin darse cuenta. Explora cómo piensan diferentes tipos de atacantes como insiders, estafadores, espías y reclutadores. También describe técnicas comunes como el phishing y cómo los atacantes aprovechan temas de actualidad para engañar a las víctimas.
Este documento resume los conceptos clave de la ingeniería social. Explica que la ingeniería social es la práctica de obtener información confidencial manipulando a usuarios legítimos. Detalla varios métodos comunes como pretextos, redes sociales, phishing y vishing. Finalmente, ofrece consejos para prevenir ataques de ingeniería social como usar contraseñas seguras, autenticación de dos factores y monitorear cuentas.
La ingeniería social es la manipulación psicológica de personas para obtener información u objetivos específicos. Se basa en que el eslabón más débil de la seguridad son los seres humanos. Algunas técnicas incluyen hacerse pasar por alguien de confianza, crear estrés o aprovecharse de la sexualidad. La mejor defensa es la educación y concientización sobre seguridad de la información.
Robo de identidad y consecuencias socialesGuadalupeprz
¿Qué es el robo de identidad por Internet?
¿Qué daños puede causar el robo de identidad?
Métodos utilizados para el Robo de Identidad.
Fraudes con mayor incidencia.
Medidas de seguridad para Prevención de robo de identidad por Internet.
Consejos
Marco Jurídico en México
Este documento describe la ingeniería social y sus características. Explica que la ingeniería social implica manipular a las personas para obtener información valiosa a través de engaños. Se enfoca principalmente en empresas y usa técnicas tanto físicas como digitales. También detalla modos comunes de ataque como phishing y redes sociales. Finalmente, incluye el testimonio de una víctima que perdió dinero debido a compras fraudulentas con sus tarjetas de crédito resultado de ingeniería social.
Este documento describe los delitos informáticos y cómo identificar y prevenir problemas como el robo de cuentas a través de artefactos tecnológicos. Explica que el phishing es un delito común que usa correos electrónicos falsos para robar información personal. También proporciona consejos como usar contraseñas seguras, mantener los sistemas actualizados y verificar la legitimidad de los correos electrónicos y enlaces antes de proporcionar datos personales.
Este documento explica los conceptos básicos de la ingeniería social. Define la ingeniería social como el acto de manipular a una persona a través de técnicas psicológicas para que revele información sensible sin darse cuenta. Explora cómo piensan diferentes tipos de atacantes como insiders, estafadores, espías y reclutadores. También describe técnicas comunes como el phishing y cómo los atacantes aprovechan temas de actualidad para engañar a las víctimas.
Este documento resume los conceptos clave de la ingeniería social. Explica que la ingeniería social es la práctica de obtener información confidencial manipulando a usuarios legítimos. Detalla varios métodos comunes como pretextos, redes sociales, phishing y vishing. Finalmente, ofrece consejos para prevenir ataques de ingeniería social como usar contraseñas seguras, autenticación de dos factores y monitorear cuentas.
La ingeniería social es la manipulación psicológica de personas para obtener información u objetivos específicos. Se basa en que el eslabón más débil de la seguridad son los seres humanos. Algunas técnicas incluyen hacerse pasar por alguien de confianza, crear estrés o aprovecharse de la sexualidad. La mejor defensa es la educación y concientización sobre seguridad de la información.
Robo de identidad y consecuencias socialesGuadalupeprz
¿Qué es el robo de identidad por Internet?
¿Qué daños puede causar el robo de identidad?
Métodos utilizados para el Robo de Identidad.
Fraudes con mayor incidencia.
Medidas de seguridad para Prevención de robo de identidad por Internet.
Consejos
Marco Jurídico en México
Este documento describe la ingeniería social y sus características. Explica que la ingeniería social implica manipular a las personas para obtener información valiosa a través de engaños. Se enfoca principalmente en empresas y usa técnicas tanto físicas como digitales. También detalla modos comunes de ataque como phishing y redes sociales. Finalmente, incluye el testimonio de una víctima que perdió dinero debido a compras fraudulentas con sus tarjetas de crédito resultado de ingeniería social.
Este documento describe los delitos informáticos y cómo identificar y prevenir problemas como el robo de cuentas a través de artefactos tecnológicos. Explica que el phishing es un delito común que usa correos electrónicos falsos para robar información personal. También proporciona consejos como usar contraseñas seguras, mantener los sistemas actualizados y verificar la legitimidad de los correos electrónicos y enlaces antes de proporcionar datos personales.
Este documento discute varios temas relacionados con la seguridad privada. Resume el modelo de dos ruedas propuesto por Leoluca Orlando para combatir la mafia en Sicilia, el cual involucra tanto la rueda de la legalidad como la rueda de la cultura. También describe las técnicas comunes de ingeniería social usadas por atacantes para obtener información sensible de empresas y la importancia de concientizar a los empleados sobre estas amenazas. Finalmente, contrasta los enfoques de disuasión y detección para la prevención del
El documento habla sobre la seguridad en Internet y técnicas como la ingeniería social y el phishing. Explica que la ingeniería social se refiere al arte de manipular personas para eludir sistemas de seguridad obteniendo información de los usuarios. También describe el phishing como la suplantación de identidad mediante correos electrónicos fraudulentos para robar información personal o financiera. Además, da recomendaciones sobre la navegación segura en Internet y la tarea asignada a los estudiantes sobre estos temas.
La ingeniería social utiliza técnicas de persuasión para engañar a las personas y obtener información confidencial. Existen diferentes categorías de ataques como los ataques técnicos a través de phishing o los ataques basados en contacto humano buscando simpatía o intimidación. Es importante que las organizaciones capaciten a sus usuarios para mitigar estos riesgos y proteger la información.
La ingeniería social se basa en manipular las emociones humanas como el miedo, la curiosidad o el deseo de complacer para ganarse la confianza de las personas y obtener información confidencial. Los atacantes suelen alertar a los usuarios sobre peligros reales o ficticios para distraerlos y ofrecer su ayuda. Para defenderse, es importante estar educados y alertas para no caer en engaños que buscan acceso no autorizado a sistemas de información.
La Ingeniería Social es un conjunto de técnicas y estrategias que se utiliza de forma premeditada con el objetivo de engañar a las personas para que faciliten sus datos confidenciales, abran enlaces a sitios web infectados, se descarguen archivos maliciosos o acaben haciendo algo que no desean hacer.
La ingeniería social es el arte de manipular personas para obtener información confidencial mediante técnicas como ganarse su confianza fingiendo ser alguien más, crear falsas alarmas para desestabilizarlos, y distraerlos. Los hackers usan varias técnicas como personificar empleados, intimidar, enviar correos maliciosos y clonar páginas para robar datos. Para protegerse, no se debe revelar información personal a desconocidos y asegurarse de hablar con quien se cree.
Robo de identidad y consecuencias sociales Guadalupeprz
¿Qué es el robo de identidad por internet?
¿Qué daños puede causar el robo de identidad?
Métodos utilizados para el Robo de Identidad.
Fraudes con mayor incidencia.
Medidas de seguridad para Prevención de robo de identidad por Internet.
Consejos
Marco Jurídico en México
Seguridad infrormática básica en linea - EmanuelMuoz11
El documento presenta información sobre seguridad informática y ciberamenazas como ingeniería social, "hackeo" de cuentas en redes sociales, phishing y distribución de estafas. Explica que la seguridad informática protege la integridad y privacidad de la información almacenada. Además, brinda consejos para protegerse como no realizar compras en sitios desconocidos y verificar la autenticidad de las ofertas.
La ingeniería social el ataque informático más peligrosoMartín Pachetta
La ingeniería social es una técnica que manipula psicológicamente a las personas para obtener información confidencial. El phishing es una forma de ingeniería social donde los atacantes se hacen pasar por empresas confiables para robar datos a través de correos electrónicos, mensajes o llamadas. Ambos son amenazas comunes que afectan a individuos y empresas.
El phishing es un tipo de fraude en el que los criminales se hacen pasar por empresas o individuos de confianza para robar información personal o financiera de las víctimas. Utilizan técnicas como correos electrónicos falsos o sitios web falsos para engañar a las víctimas y hacerles revelar contraseñas u otros datos confidenciales. Esto puede causar daños económicos a las víctimas o el robo de su identidad. Para combatir el phishing, las organizaciones y las autoridades han implementado medidas técnicas,
La ingeniería social es la práctica de obtener información confidencial manipulando a usuarios legítimos. Se basa en aprovechar la tendencia humana a ayudar, confiar y complacer. Un ingeniero social engaña a las personas para que revelen información privada como contraseñas haciéndose pasar por alguien autorizado. Kevin Mitnick fue uno de los hackers más famosos que utilizó esta técnica.
Delitos que se cometen en internet remberto-633Rembert
Este documento resume los principales tipos de delitos informáticos, cómo surgen y cómo pueden evitarse. Explica que los delitos informáticos son acciones ilegales relacionadas con el uso de computadoras y la información. Surgen debido al desarrollo de la tecnología y a la naturaleza humana. Algunos ejemplos son la piratería, el fraude con tarjetas de crédito y la suplantación de identidad. Para prevenirlos, se recomienda mantener software actualizado y no descargar archivos de fuentes des
Exposicion de Cesar Chavez Martinez
IV Congreso Internacional de Informatica Forense y Hacking Etico
Sabado 13 de Septiembre
Sociedad de Ingenieros de Bolivia - Departamental Chuquisaca
Sucre 2014
El documento habla sobre la suplantación de identidad en Internet. Explica que consiste en apropiarse del nombre, contraseñas y/o patrimonio de otra persona con fines delictivos, como cometer fraude o ciberacoso. Indica que cualquier persona puede ser víctima de suplantación de identidad en servicios como redes sociales. Finalmente, menciona que la suplantación de identidad es considerada un delito legal.
Este documento describe las redes sociales, incluyendo sus usos, aplicaciones, tipos, beneficios y riesgos. Explica que las redes sociales conectan a las personas a través de amistades, familia e intereses. También menciona medidas de seguridad importantes para usar las redes sociales de manera segura.
Este documento describe la importancia del factor humano en la seguridad informática. Explica que más del 75% de los problemas de seguridad se deben a errores humanos y mal uso de la tecnología por parte de los empleados. También describe técnicas comunes de ingeniería social como engañar a usuarios para que revelen información confidencial a través de llamadas telefónicas, correos electrónicos o conversaciones en persona. Resalta la necesidad de concientizar a los usuarios para que sepan cómo protegerse de estas tácticas de
Exposicion #10 acosta ana paula, herrera bethsabeAnaPaulaAcosta
Este documento describe la importancia del factor humano en la seguridad informática. Explica que más del 75% de los problemas de seguridad se deben a errores humanos y mal uso de la tecnología por parte de los empleados. También describe técnicas comunes de ingeniería social como engañar a usuarios para que revelen información confidencial a través de llamadas telefónicas, correos electrónicos o conversaciones en persona. El documento concluye enfatizando la necesidad de concientizar a los usuarios sobre seguridad informática para ev
La ingeniería social es una técnica utilizada por hackers para obtener información confidencial de personas mediante el engaño. Se basa en principios como que las personas quieren ayudar y confían en los demás. Un hacker podría fingir ser un empleado para engañar a alguien y que le den información valiosa, como hizo Kevin Mitnick para obtener el código fuente de Motorola. La ingeniería social es efectiva porque ataca la vulnerabilidad humana y se aprovecha de la naturaleza sociable de las personas.
Este documento discute varios temas relacionados con la seguridad privada. Resume el modelo de dos ruedas propuesto por Leoluca Orlando para combatir la mafia en Sicilia, el cual involucra tanto la rueda de la legalidad como la rueda de la cultura. También describe las técnicas comunes de ingeniería social usadas por atacantes para obtener información sensible de empresas y la importancia de concientizar a los empleados sobre estas amenazas. Finalmente, contrasta los enfoques de disuasión y detección para la prevención del
El documento habla sobre la seguridad en Internet y técnicas como la ingeniería social y el phishing. Explica que la ingeniería social se refiere al arte de manipular personas para eludir sistemas de seguridad obteniendo información de los usuarios. También describe el phishing como la suplantación de identidad mediante correos electrónicos fraudulentos para robar información personal o financiera. Además, da recomendaciones sobre la navegación segura en Internet y la tarea asignada a los estudiantes sobre estos temas.
La ingeniería social utiliza técnicas de persuasión para engañar a las personas y obtener información confidencial. Existen diferentes categorías de ataques como los ataques técnicos a través de phishing o los ataques basados en contacto humano buscando simpatía o intimidación. Es importante que las organizaciones capaciten a sus usuarios para mitigar estos riesgos y proteger la información.
La ingeniería social se basa en manipular las emociones humanas como el miedo, la curiosidad o el deseo de complacer para ganarse la confianza de las personas y obtener información confidencial. Los atacantes suelen alertar a los usuarios sobre peligros reales o ficticios para distraerlos y ofrecer su ayuda. Para defenderse, es importante estar educados y alertas para no caer en engaños que buscan acceso no autorizado a sistemas de información.
La Ingeniería Social es un conjunto de técnicas y estrategias que se utiliza de forma premeditada con el objetivo de engañar a las personas para que faciliten sus datos confidenciales, abran enlaces a sitios web infectados, se descarguen archivos maliciosos o acaben haciendo algo que no desean hacer.
La ingeniería social es el arte de manipular personas para obtener información confidencial mediante técnicas como ganarse su confianza fingiendo ser alguien más, crear falsas alarmas para desestabilizarlos, y distraerlos. Los hackers usan varias técnicas como personificar empleados, intimidar, enviar correos maliciosos y clonar páginas para robar datos. Para protegerse, no se debe revelar información personal a desconocidos y asegurarse de hablar con quien se cree.
Robo de identidad y consecuencias sociales Guadalupeprz
¿Qué es el robo de identidad por internet?
¿Qué daños puede causar el robo de identidad?
Métodos utilizados para el Robo de Identidad.
Fraudes con mayor incidencia.
Medidas de seguridad para Prevención de robo de identidad por Internet.
Consejos
Marco Jurídico en México
Seguridad infrormática básica en linea - EmanuelMuoz11
El documento presenta información sobre seguridad informática y ciberamenazas como ingeniería social, "hackeo" de cuentas en redes sociales, phishing y distribución de estafas. Explica que la seguridad informática protege la integridad y privacidad de la información almacenada. Además, brinda consejos para protegerse como no realizar compras en sitios desconocidos y verificar la autenticidad de las ofertas.
La ingeniería social el ataque informático más peligrosoMartín Pachetta
La ingeniería social es una técnica que manipula psicológicamente a las personas para obtener información confidencial. El phishing es una forma de ingeniería social donde los atacantes se hacen pasar por empresas confiables para robar datos a través de correos electrónicos, mensajes o llamadas. Ambos son amenazas comunes que afectan a individuos y empresas.
El phishing es un tipo de fraude en el que los criminales se hacen pasar por empresas o individuos de confianza para robar información personal o financiera de las víctimas. Utilizan técnicas como correos electrónicos falsos o sitios web falsos para engañar a las víctimas y hacerles revelar contraseñas u otros datos confidenciales. Esto puede causar daños económicos a las víctimas o el robo de su identidad. Para combatir el phishing, las organizaciones y las autoridades han implementado medidas técnicas,
La ingeniería social es la práctica de obtener información confidencial manipulando a usuarios legítimos. Se basa en aprovechar la tendencia humana a ayudar, confiar y complacer. Un ingeniero social engaña a las personas para que revelen información privada como contraseñas haciéndose pasar por alguien autorizado. Kevin Mitnick fue uno de los hackers más famosos que utilizó esta técnica.
Delitos que se cometen en internet remberto-633Rembert
Este documento resume los principales tipos de delitos informáticos, cómo surgen y cómo pueden evitarse. Explica que los delitos informáticos son acciones ilegales relacionadas con el uso de computadoras y la información. Surgen debido al desarrollo de la tecnología y a la naturaleza humana. Algunos ejemplos son la piratería, el fraude con tarjetas de crédito y la suplantación de identidad. Para prevenirlos, se recomienda mantener software actualizado y no descargar archivos de fuentes des
Exposicion de Cesar Chavez Martinez
IV Congreso Internacional de Informatica Forense y Hacking Etico
Sabado 13 de Septiembre
Sociedad de Ingenieros de Bolivia - Departamental Chuquisaca
Sucre 2014
El documento habla sobre la suplantación de identidad en Internet. Explica que consiste en apropiarse del nombre, contraseñas y/o patrimonio de otra persona con fines delictivos, como cometer fraude o ciberacoso. Indica que cualquier persona puede ser víctima de suplantación de identidad en servicios como redes sociales. Finalmente, menciona que la suplantación de identidad es considerada un delito legal.
Este documento describe las redes sociales, incluyendo sus usos, aplicaciones, tipos, beneficios y riesgos. Explica que las redes sociales conectan a las personas a través de amistades, familia e intereses. También menciona medidas de seguridad importantes para usar las redes sociales de manera segura.
Este documento describe la importancia del factor humano en la seguridad informática. Explica que más del 75% de los problemas de seguridad se deben a errores humanos y mal uso de la tecnología por parte de los empleados. También describe técnicas comunes de ingeniería social como engañar a usuarios para que revelen información confidencial a través de llamadas telefónicas, correos electrónicos o conversaciones en persona. Resalta la necesidad de concientizar a los usuarios para que sepan cómo protegerse de estas tácticas de
Exposicion #10 acosta ana paula, herrera bethsabeAnaPaulaAcosta
Este documento describe la importancia del factor humano en la seguridad informática. Explica que más del 75% de los problemas de seguridad se deben a errores humanos y mal uso de la tecnología por parte de los empleados. También describe técnicas comunes de ingeniería social como engañar a usuarios para que revelen información confidencial a través de llamadas telefónicas, correos electrónicos o conversaciones en persona. El documento concluye enfatizando la necesidad de concientizar a los usuarios sobre seguridad informática para ev
La ingeniería social es una técnica utilizada por hackers para obtener información confidencial de personas mediante el engaño. Se basa en principios como que las personas quieren ayudar y confían en los demás. Un hacker podría fingir ser un empleado para engañar a alguien y que le den información valiosa, como hizo Kevin Mitnick para obtener el código fuente de Motorola. La ingeniería social es efectiva porque ataca la vulnerabilidad humana y se aprovecha de la naturaleza sociable de las personas.
1. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
“La Ingeniería Social: El Arte del Engaño”
El principio en el que se sustenta la Ingeniería Social es aquel que afirma
que en cualquier sistema los usuarios y el personal son el eslabón débil de
la cadena. En la práctica, un Ingeniero Social utiliza comúnmente el
teléfono o internet para engañar a gente simulando, por ejemplo, ser un
empleado de un banco o de una empresa, un compañero de trabajo, un
técnico o un cliente y así obtener información de una persona o empresa.
En otras palabras, es el arte de persuadir con engaño para que casi sin
darse cuenta, los afectados compartan datos vitales con un desconocido.
De acuerdo a Christopher Hadnagy en su libro “Ingeniería Social el Arte
del Hacking Personal” se define a la Ingeniería Social como “El acto de
manipular a una persona para que lleve a cabo una acción que -puede
ser o no- lo más conveniente para cumplir con cierto objetivo. Este puede
ser la obtención de información, conseguir algún tipo de acceso o logar
que se realice una determinada acción”. Por ejemplo, los médicos, los
psicólogos y los terapeutas a menudo utilizan elementos que se consideran
de Ingeniería Social para “manipular” a sus pacientes para que realicen
acciones que son buenas para ellos, mientras que un estafador utiliza
elementos de la Ingeniería Social para convencer a su víctima para que
realice acciones que le perjudican. Aunque el resultado es muy diferente,
el proceso puede ser muy parecido.
Otras definiciones de ingeniería Social:
“La Ingeniería Social es mentir a la gente para obtener información”.
“La Ingeniería Social es ser un buen actor”.
“La Ingeniería Social es saber cómo conseguir cosas gratis”.
Wikipedia la define como el “acto de manipular a la gente para llevar a
cabo acciones o divulgar información confidencial. Aunque parecido a
una estafa o un simple fraude, el término se aplica normalmente a las
artimañas o engaños con el propósito de obtener la información, llevar a
cabo un fraude o acceder a un sistema informático; en la mayoría de los
casos, el atacante nunca se enfrenta cara a cara con la víctima”.
2. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
El diccionario de Webster define “social” como “relativo o perteneciente a
la vida, el bienestar y las relaciones de los seres humanos en una
comunidad”. También define la “ingeniería” como el “arte o la ciencia de
llevar a aplicación práctica el conocimiento de las ciencias puras como la
física o la química, en la construcción de máquinas, puentes,
edificaciones, minas, embarcaciones y plantas químicas o artilugios
ingeniosos; maniobrar”.
Combinando ambas definiciones se puede ver fácilmente que la
Ingeniería Social es el arte, o mejor aún, la ciencia, de maniobrar
hábilmente para lograr que los seres humanos actúen de cierta forma en
algún aspecto de sus vidas.
La Ingeniería Social es utilizada en la vida diaria, por ejemplo, en la manera
en que los niños consiguen que los padres atiendan a sus peticiones. Es
utilizada por los profesores en el modo de interactuar con sus estudiantes y
por los doctores, abogados o psicólogos para obtener información de sus
pacientes o clientes.
En definitiva, es utilizada en cualquier interacción humana, desde los niños
hasta los políticos.
La Ingeniería Social no es una acción resuelta, sino una recopilación de las
habilidades que, cuando se unen, componen la acción, el ingenio y la
ciencia a la cual se le llama Ingeniería Social. De la misma manera, una
buena comida no es sólo un ingrediente, sino que se crea con la mezcla
cuidadosa de varios ingredientes. Podría decirse que un buen Ingeniero
Social es como un chef.
La Ingeniería Social y su lugar en la sociedad
La Ingeniería Social puede utilizarse en muchas facetas de la vida, pero no
todos estos usos son maliciosos o negativos. Muchas veces la Ingeniería
Social puede utilizarse para motivar a una persona para realizar una
acción que es buena para ella: ¿Cómo?
Piense en esto: Juan necesita perder peso. Sabe que su salud es mala y
que tiene que hacer algo al respecto. Todos los amigos de Juan tienen
sobrepeso también. Incluso hacen chistes sobre las alegrías de tener
sobrepeso y dicen cosas como “me encanta no tener que preocuparme
por mi figura”. Por una parte, esto es un aspecto de la Ingeniería Social. Es
3. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
una prueba social o consenso, donde lo que se considera aceptable está
determinado por quienes están alrededor. Sin embargo, si uno de los
amigos de Juan pierde peso y en vez de criticar a los demás decide
intentar ayudarlos, existe la posibilidad de que cambie la estructura
mental de Juan sobre su peso y empiece a pensar que adelgazar es
posible y bueno para él.
Esto es, en esencia, Ingeniería Social. A continuación, otros ejemplos:
1.- El Timo 419: Llamado también la Estafa Nigeriana, se lleva a cabo
principalmente por correo electrónico no solicitado. Adquiere su nombre
del número de artículo del código penal de Nigeria que viola, ya que
buena parte de estas estafas provienen de ese país.
Si recibe algo de correo basura, con mucha seguridad ya debe haber
recibido un e-mail en inglés donde la explica que cierto funcionario que
tiene acceso a unos fondos acumulados pero que tiene problemas para
efectuar él mismo la operación, porque se trata de fondos secretos y
como tiene que sacarlo de Nigeria lo más rápido posible, entonces ofrece
una compensación fuera de lo común.
Los defraudadores profesionales ofrecen transferir millones de dólares a su
cuenta bancaria a cambio de un pequeño cargo. Si usted responde al
ofrecimiento inicial, es posible que reciba documentos que parecen ser
oficiales. Entonces, generalmente se le pide que provea los números de sus
cuentas bancarias y una serie de información de carácter privado para
hacer efectivo el traspaso.
Por increíble que parezca, en el año 2001 alrededor de 2.600 ciudadanos
fueron víctimas de esta estafa, con una pérdida de más de $300.000
dólares.
2.- Robo de empleados:
El tema de robo de empleados puede llenar volúmenes enteros. Más del
60% de los empleados entrevistados admitieron haber tomado
información de algún tipo de sus empleadores. Muchas veces esta
información se vende a la competencia. Otras veces, lo que roban los
empleados es tiempo o recursos; en algunos casos, un empleado
descontento puede causar mucho daño.
4. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
Caso:
Cierta empresa consideraba que todo el mundo allí era parte de la
“familia” y que no era necesario aplicar políticas de despido de
empleados. Desgraciadamente llegó el día de despedir a uno de los
directivos de más alto rango de esta empresa. El despido fue amigable y el
directivo fue comprensivo. Una cosa que la empresa hizo correctamente
fue llevar el despido a la última hora de la jornada para evitar el bochorno
o cualquier tipo de distracción. Hubo un apretón de manos y entonces el
ex directivo hizo la fatídica pregunta: ¿Puedo tomarme una hora para
limpiar mi mesa y sacar algunas fotos personales del computador?
Al tener buenas sensaciones después de la reunión todos estuvieron
rápidamente de acuerdo y se fueron entre alegres sonrisas. Entonces el ex
directivo se fue a su despacho, empaquetó sus objetos personales, sacó las
fotos y otros datos de su computador, se conectó a la red y limpió el
equivalente a 11 servidores en información: registros de contabilidad,
nóminas, facturas, órdenes, historiales, gráficos y mucho más, todo borrado
en cuestión de minutos. El ex directivo abandonó el edificio sin dejar
pruebas de que él fue quien llevó a cabo este ataque.
Un empleado descontento al que se deja actuar libremente puede ser
más devastador que un equipo de hackers decididos y experimentados. La
pérdida estimada sólo en empresas de Estados Unidos por robos de
empleados es del orden de 15.000 millones de dólares.
3.- Phishing:
Un ataque muy simple pero efectivo es engañar al usuario llevándolo a
pensar que un administrador del sistema le está pidiendo una contraseña
para propósitos legítimos. Quienes navegan en internet frecuentemente
reciben mensajes que solicitan contraseñas o información de su tarjeta de
crédito con el motivo de crear una cuenta, reactivar una configuración u
otra operación aparentemente inofensiva. A este tipo de ataques se lo
llama phishing. Los usuarios de estos sistemas deberían ser advertidos
temprana y frecuentemente para que no divulguen contraseñas u otra
información sensible a personas que dicen ser administradores.
5. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
4.- Spoofing:
Técnicas de suplantación de identidad en la red generalmente con usos
maliciosos. Por ejemplo, a fuerza de haber sufrido virus gracias a correos
engañosos, bloqueos de casillas a causa del spam y otras delicias, muchos
usuarios sólo chequean el correo electrónico proveniente de remitentes
conocidos y “seguros”. Esta (última) opción también se ve amenazada
gracias al spoofing, técnica que puede engañar a cualquier usuario
enviando e-mails de todo tipo (propaganda, agitación política, etc.) bajo
la máscara de una dirección ”segura” de un remitente conocido.
En este caso, alguien se apropia del nombre y la contraseña de una
dirección de correo y la utiliza para enviar correo masivo preferentemente
a las personas que no dudarían en abrir una mensaje proveniente de esa
dirección (dato fácilmente extraíble de la lista de correo).
Los distintos tipos de Ingenieros Sociales
La Ingeniería Social puede adoptar muchas formas. Como lo habíamos
dicho anteriormente, Puede ser maliciosa o amigable puede crear o
destruir. Es por ello que existen diferentes tipos de Ingenieros Sociales:
- Hackers.
- Probadores de seguridad.
- Espías.
- Ladrones de identidad.
- Empleados descontentos.
- Artistas del timo.
- Agentes de recursos humanos.
- Vendedores.
- Gobiernos: No siempre son vistos como Ingenieros Sociales, pero los
gobiernos utilizan la Ingeniería Social para controlar el mensaje que
envían a las personas que gobiernan.
- Médicos, Psicólogos, Abogados.
6. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
Parece que se puede encontrar la Ingeniería Social o algún aspecto de
ella en cualquier campo. Por eso, se sostiene firmemente que la
Ingeniería Social es una ciencia.
El Entorno Conceptual de la Ingeniería Social y Cómo Utilizarlo
El conocimiento es poder, cierto. En este sentido, la formación es la
mejor defensa contra la mayoría de los ataques de Ingeniería Social.
Incluso en aquellos contra los que el conocimiento no puede protegerle
al100%, conocer en detalle estos ataques le mantendrá alerta. La
formación puede ayudarle a mejorar sus propias habilidades y a estar
vigente.
No obstante, además de formación, necesita práctica.
Recopilar Información
Se dice que no hay información irrelevante. En términos de Ingeniería
Social, hasta el menor detalle puede conducir a una brecha
beneficiosa para el éxito de sus propósitos.
Caso:
Se desea acceder a una empresa que apenas tiene rastro en internet.
Ya que la empresa tiene muy pocas vías por las que penetrar, conseguir
acceder a ella constituye un auténtico reto.
Primero se comenzó barriendo Internet en busca de algún detalle que
conduzca a un camino de entradas. En una de las búsquedas se
localizó a un alto directivo de la empresa que utilizaba su correo
electrónico corporativo en un foro de coleccionista de sellos.
Rápidamente, el recopilador registró una URL similar a
www.stampcolletion.com y buscó unas cuantas fotos de sellos antiguos
en Google. Creó un sencillo sitio web para mostrar su “colección de
sellos” y después envió un correo electrónico al directivo de la
empresa:
“Estimado Señor:
He visto en www.forum.com que le interesan los sellos de los años
cincuenta. Mi abuelo falleció recientemente y me dejó una colección
7. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
de sellos que me gustaría vender. He creado un sitio para tal efecto. Si
quisiera ver la colección, visite por favor www.stampcollection.com.”
Antes de enviar el correo electrónico al objetivo, quería asegurarse de
lograr el máximo impacto. Consiguió el número de teléfono del
directivo a través del foro y le dejó un mensaje en el buzón de voz:
“Buenos días señor. Vi su mensaje en www.forum.com. Mi abuelo acaba
de fallecer y me ha dejado unos cuantos sellos de los años 50 y 60. He
hecho unas fotos y he creado un sitio web. Si está interesado puedo
enviarle un vínculo para que eche un vistazo”.
El directivo estaba ansioso por ver la colección y aceptó de buena
gana el correo. El recopilador de información le envió el correo y esperó
que hiciera un clic en el vínculo. Lo que hizo el recopilador, fue incrustar
un marco malicioso en el sitio web. Este marco contenía un código que
explotaría una vulnerabilidad, muy conocida entonces, del navegador
Internet Explorer y daría al recopilador control sobre todo el
computador del directivo.
La espera no duró mucho tiempo. En cuanto el directivo recibió el
correo, hizo clic en el vínculo poniendo a su empresa en peligro.
Una minúscula cantidad de información (el correo electrónico que
utilizaba el directivo para buscar sellos) fue lo que condujo a la situación
de peligro. Ninguna información es irrelevante. Con esa idea en mente,
surgen algunas preguntas en relación a la recopilación de información:
- ¿Cómo se puede recopilar información?
- ¿Qué fuentes de recopilación de información existen para Ingenieros
Sociales?
- ¿Qué puede deducir de esos datos para retratar a sus objetivos?
- ¿Cómo puede localizar, almacenar y catalogar toda esta
información para facilitar su utilización?
Un área excelente para la recopilación de información es la de ventas.
Los vendedores suelen ser muy habladores y fáciles de tratar suelen ser
muy buenos reuniendo información sobre aquellos con quienes
interactúan.
8. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
Recopilar información es como construir una casa. Si intenta empezar
por el tejado, lo más probable es que fracase. Una buena casa se
construye empleando unos cimientos sólidos y edificando a partir de
ahí, del suelo hacia arriba. Al recopilar información una persona puede
sentirse abrumada intentando organizar y utilizar el material, por lo que
es buena idea crear un archivo o iniciar una aplicación de recopilación
para reunir datos.
Existen muchas herramientas que ayudan a recopilar y utilizar la
información. Para realizar pruebas de seguridad y auditorías de
Ingeniería Social es recomendable la utilización de una distribución de
Linux llamada BackTrack específicamente diseñada con este propósito.
BackTrack, como casi todas las distribuciones de Linux, es de software
libre y fuente abierta. Quizás su mayor ventaja sea que contiene más de
300 herramientas diseñadas para ayudar en auditorías de seguridad.
Dos instrumentos de BackTrack especialmente útiles para la
recopilación y almacenaje de información son Dradis y BasKet.
Para un Ingeniero Social, reunir información es la clave de cada
actuación, pero si no se puede recuperar y utilizar información
rápidamente, entonces resulta inútil. Una herramienta como BasKet
hace que guardar y utilizar datos sea muy sencillo.
Aunque BasKet es una gran herramienta, si hace mucha recopilación
de información o si trabaja en equipo y necesita reunir, guardar y utilizar
los datos, entonces es importante tener una herramienta que permita
compartir la información por varios usuarios. Esta herramienta es Dradis.
Este programa es una aplicación web independiente que proporciona
un almacén centralizado de la información que se ha reunido y un
medio a partir del cual planificar los siguientes pasos.
Pensar como un Ingeniero Social
Caso:
“En una ocasión arrendé un auto para hacer un viaje de negocios. Mi
acompañante y yo cargamos nuestro equipaje en el maletero; cuando
entramos en el auto reparamos en una pequeña bolsa de basura que
había atrás. La persona que iba conmigo dijo: Este servicio va de mal
9. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
en peor. Se supone que por lo que pagamos podrían al menos limpiar
el coche.
Es cierto, sería lógico, pero antes de que tirara la bolsa al basurero más
cercano, dije: Déjame echar un vistazo rápido. Cuando abrí la bolsa y
aparté los envoltorios lo que encontré allí, me pareció a simple vista
impactante: era la mitad de un cheque partido. Inmediatamente
volqué el contenido de la bolsa y encontré un recibo del banco y la
otra mitad del cheque. Una vez pegado con cinta, el cheque revelaba
el nombre de la persona, la empresa, su número de teléfono, número
de cuenta bancaria y el código de identificación bancaria. Por suerte
para el propietario de estos datos, no soy una mala persona porque
sólo se necesitan un par de pasos más para cometer un robo de
identidad.
Esta historia personifica la relación que tiene la gente con su
información valiosa. Esta persona que arrendó el auto antes que yo y
después, al tirar el cheque, estaba convencido de que lo que había
hecho desaparecer de forma segura”.
Fuentes de Recopilación de Información
Existen muchas fuentes diferentes de recopilación de información. La
siguiente lista no puede abarcar todas las posibilidades existentes, pero
perfila las opciones más importantes.
1.- Recopilar Información de los sitios web
Los sitios web personales o corporativos pueden proporcionar una gran
cantidad de información. Lo primero que hará normalmente un buen
Ingeniero Social es reunir todos los datos que pueda del sitio web de la
persona o de la empresa. Dedicarle tiempo al sitio web puede llevarle
claramente a:
- Lo que hacen.
- Los productos y servicios que ofrecen.
- Las localizaciones físicas.
- Las ofertas de puestos de trabajo.
10. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
- Los números de contacto.
- Las biografías de los ejecutivos o del consejo administrativo.
- El foro de apoyo.
- La nomenclatura de los correos electrónicos.
- Palabras o frases especiales que pueden ayudar a determinar
contraseñas.
2.- Servidores Públicos
Los servidores públicos de una empresa también son buenas fuentes de
la información que sus sitios web no proporcionan.
Las direcciones IP pueden decir si los servidores están alojados
localmente o con un proveedor, con los registros de DNS puede
determinar nombres y funciones de servidores y direcciones IP.
3.- Redes Sociales
Muchas empresas han empezado a interesarse por las redes sociales. Es
publicidad barata que llega a un gran número de clientes potenciales.
También es una nueva corriente de información de una empresa que
puede proporcionar algunos datos útiles.
Caso:
“El presidente de Hewlett- Packard reveló más que su jerarquía laboral
cuando mencionó la iniciativa de almacenamiento en la web de la
firma fabricante de computadoras en su perfil de LinkedIn.
En un descuido, alertó a sus competidores sobre detalles que no se
habían difundido antes respecto de los servicios de cloud computing de
la marca. La información se retiró más tarde, si bien no antes de que los
rivales pudieran ver los planes.
Conforme los empleados brindan más información online sobre su vida,
desde actualizaciones sobre su situación, controles de ubicación y
cambios en el currículum, los empleadores corren más riesgos de que
los competidores observen todos sus movimientos.
11. Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
En una encuesta de Forrester Research del año pasado entre más de
150 compañías que monitorean medios sociales, más del 82% expresó
que usaba esos datos para inteligencia competitiva”.
4.- Sitios de usuarios blogs y otros
Los sitios de usuarios como los blogs, wikis y videos online no solo
pueden proporcionar información sobre la empresa objetivo, sino que
también ofrecen una conexión más personal a través del contenido
subido por el usuario. Un empleado descontento que está hablando en
su blog sobre sus problemas en la empresa, puede ser susceptible de
compartir información privilegiada que cualquiera puede ver y leer.
Un buen ejemplo es esta web www.icanstalku.com Al contrario de lo
que indica su nombre “puedo acosarte”, no anima a la gente a acosar
a otros. Este sitio pone de manifiesto el total descuido de muchos
usuarios de Twitter. Rastrea el sitio de Twitter y busca usuarios que son
tan imprudentes como para colgar fotos hechas con sus teléfonos
Smartphone. Mucha gente no sabe que la mayoría de los Smartphone
incrustan datos de localización en sus fotos. Cuando un usuario cuelga
una foto en la web con esta información incrustada, puede conducir a
una persona hasta su localización.
Fuente:
Ingeniería Social. El Arte del Hacking Personal, Christopher Hadnagy.
Ethical hacking, las técnicas de los hacker al servicio de la seguridad,
Manuales Users.
Diario La Segunda, Edición Lunes 26 de Septiembre de 2011.