Este documento trata sobre la ingeniería social. Explica que es la obtención de información confidencial a través de la manipulación de usuarios legítimos. Describe que se basa en que las personas quieren ayudar, confían en los demás y no les gusta decir que no. Detalla diferentes técnicas como el phishing y el uso de troyanos. Resalta la importancia de la capacitación para prevenir ser víctima de ingeniería social.
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Qué es la ingeniería social y por qué es efectiva
1.
2.
¿Qué es?
Es la práctica de obtener información confidencial a través de
la manipulación de usuarios legítimos. Es una técnica que pueden
usar ciertas personas, tales como investigadores privados,
criminales, o delincuentes informáticos, para obtener
información, acceso o privilegios en sistemas de información que
les permitan realizar algún acto que perjudique o exponga la
persona u organismo comprometido a riesgo o abusos.
3.
Principios
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin
Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro
principios:
1. Todos queremos ayudar
2. el primer movimiento es siempre de confianza
hacia otro
3. No nos gusta decir NO
4. A todos nos gusta que nos Alaben.
4.
Historia
El principio que sustenta la ingeniería social es que los usuarios “son el
eslabón débil”. Un ingeniero social usará el teléfono o internet para engañar
a la gente. También por internet se envían solicitudes para renovar permisos
de accesos o inclusive las cadenas para obtener información sensible o violar
las políticas de seguridad. Con este método se aprovechan de la tendencia
natural de la gente a reaccionar de manera predecible a ciertas situaciones.
Los perfiles de usuarios son:
Usuarios confiados
Usuarios desconfiados que no razonan
Usuarios desconfiados que razonan.
6.
Técnicas
Las técnicas de Ingeniería Social, a nivel método de acción sobre los
usuarios, están dividas en categorías que se caracterizan por el grado de
interacción que se tiene con la persona dueña de la información a
conseguir.
7. Tipo de técnicas, según el nivel de interacción del ingeniero social:
Técnicas Pasivas
Técnicas No Presenciales
Técnicas Presenciales no Agresivas
8. Técnicas Pasivas:
que se basan simplemente (lo que no
implica que sea fácil) en la
Observación de las acciones de esa
persona. Lo principal es que cada caso
es diferente, y por lo tanto cada
desenvolvimiento del experto está
supeditado al ambiente, naturaleza y
contexto en el que la información a
conseguir se mueva
9. Técnicas no presenciales:
No presenciales, donde a
través de medios de
comunicación como Carta,
Correo electrónico, teléfono
y otros se intenta obtener
información útil según el
caso.
10. Técnicas presenciales no agresivas:
Técnicas presencias no agresivas
incluyen seguimiento de personas,
vigilancia de domicilios, inmersión en
edificios, acceso a agendas y Dumpster
Diving
12.
Nunca revelar por teléfono o e-mail datos confidenciales (como
claves de acceso, números de tarjetas de crédito, cuentas
bancarias, etc.).
Nunca hacer click en enlaces de una pagina web que llegue a través de
un e-mail en el que piden datos personales
Asegurarse de que la dirección de la pagina web es correcta y segura
antes de ingresar con un usuario y clave
Instalar un buen software de seguridad que incluya antivirus,
antiphising, antispyware, antimalware para minimizar los riesgos en su
ordenador.
13.
Utilizar el sentido común y pregúntese siempre que reciba un
mensaje o llamada sospechosa si alguien puede obtener
algún beneficio de forma ilícita con la información que le
solicitan
Prestar atención a los URL de sitios web que utiliza un
dominio web
Proporcionar capacitación al personal de la empresa con el
fin de prevención e identificación de ataques de ingeniería
social.
19. ¿Qué son los troyanos?
1. Es un programa que bajo una
apariencia inofensiva y útil para el
usuario se inserta en un ordenador,
y permite que usuarios externos
accedan a la información contenida
o controlen de forma remota el
equipo
2. Los troyanos son creados para
obtener información privilegiada
de la máquina anfitriona
3. No se reproducen
20.
Ejemplo
Se utiliza la ingeniería social
cuando se descarga un
programa de Internet pensado
que es un antivirus para el
ordenador y de esta forma estar
a salvo de posibles amenazas.
Al ejecutar el programa la
computadora es infectada por
un troyano
21.
¿Por qué caen las personas en
estas trampas?
Total desconocimiento del tema
No se puede reconocer un ataque de
ingeniería social, porque ni siquiera se
reconoce el término, mucho menos se
podrá identificar quién es un ingeniero
social y por qué se hacen las preguntas
para obtener información
Falta de información accesible
No se encuentra información accesible, clara y
específica sobre esta disciplina ya que la misma
forma parte de un cuerpo de integrado del tema de
seguridad en informática. Aunque en otros ya se ha
estudiado como una disciplina aparte y hasta se ha
creado un estudio sobre la misma, aún la ingeniería
social es considerada una herramienta más para
hacking y otros.
22.
¿Por qué caen las personas en
estas trampas?
Falta de adiestramientos
La falta de adiestramientos es la variable
más común en la lucha por la prevención e
identificación de ataques de ingeniería
social. Si no se capacita a la fuerza laboral
sobre estos temas las empresas seguirán
siendo víctimas de estos ataques.
Actitud: “A mí no me va a pasar”
Esta actitud refleja la negación de muchas
empresas a invertir en adiestramientos y en
contramedidas para atacar la ingeniería social en
el área laboral. Esta negación a capacitar al
personal no técnico así como al técnico se ha
traducido en cientos de miles de pérdidas
anuales por la fuga de información.