Scribd
Cargar
224 vistas6 páginas

Ingeniería Social en Seguridad Informática

La ingeniería social consiste en manipular a personas para que revelen voluntariamente información confidencial. Los ingenieros sociales usan técnicas como el engaño y la persuasión a través de llamadas telefónicas o internet para obtener contraseñas u otros datos. El principio clave es que los usuarios son el eslabón más débil de la seguridad de un sistema.

Cargado por

santiago hernandez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd
224 vistas6 páginas

Ingeniería Social en Seguridad Informática

La ingeniería social consiste en manipular a personas para que revelen voluntariamente información confidencial. Los ingenieros sociales usan técnicas como el engaño y la persuasión a través de llamadas telefónicas o internet para obtener contraseñas u otros datos. El principio clave es que los usuarios son el eslabón más débil de la seguridad de un sistema.

Cargado por

santiago hernandez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd

INSTITUCION EDUCATIVA JOSE MARIA ESPINOSA

ESPECIALIDA PRIETO
D: HERRAMIENTAS OFIMÁTICAS
TÉCNICO DOCENTE: DAISY KATERINE RODRÍGUEZ DURÁN
EN
SISTEMAS
Año:2012
Grado: 10

INGENIERIA SOCIAL
La ingeniería social consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían.

En el campo de la inseguridad informática, ingeniería social es la práctica


de obtener información confidencial a través de la manipulación de usuarios
legítimos. Es una técnica que pueden usar ciertas personas, tales como
investigadores privados, criminales, o delincuentes computacionales, para
obtener información, acceso o privilegios en sistemas de información que les
permitan realizar algún acto que perjudique o exponga la persona u
organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema


"los usuarios son el eslabón débil". En la práctica, un ingeniero social usará
comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por
ejemplo, un empleado de algún banco o alguna otra empresa, un compañero
de trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a
páginas web o memos falsos que solicitan respuestas e incluso las famosas
"cadenas", llevando así a revelar información sensible, o a violar las políticas
de seguridad típicas. Con este método, los ingenieros sociales aprovechan la
tendencia natural de la gente a reaccionar de manera predecible en ciertas
situaciones, -por ejemplo proporcionando detalles financieros a un aparente
funcionario de un banco- en lugar de tener que encontrar agujeros de
seguridad en los sistemas informáticos.

Quizá el ataque más simple pero muy efectivo


sea engañar a un usuario llevándolo a pensar
que un administrador del sistema esta
solicitando una contraseña para varios
propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente
reciben mensajes que solicitan contraseñas o información de tarjeta de
crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u
otra operación benigna; a este tipo de ataques se los llama phishing (pesca).
Los usuarios de estos sistemas deberían ser advertidos temprana y
frecuentemente para que no divulguen contraseñas u otra información
sensible a personas que dicen ser administradores. En realidad, los
administradores de sistemas informáticos raramente (o nunca) necesitan
saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin
embargo, incluso este tipo de ataque podría no ser necesario — en una
encuesta realizada por la empresa Boixnet, el 90% de los empleados de
oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de
un bolígrafo barato.

Objetivos (¿Qúe Quieren Hacer?)


Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o
“cracking” dependiendo de quien lo haga) en general: ganar acceso no
autorizado a los sistemas, redes o a la información para:
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.

(¿A Quien Van Dirigidos?)


• Las víctimas típicas incluyen:
> Empresas Telefónicas
> Servicios de Helpdesk y CRM
> Corporaciones Renombradas
> Agencias e Instituciones Gubernamentales y Militares
> Instituciones Financieras
> Hospitales.

El boom del internet tuvo su parte de culpa en la proliferación de ataques a


pequeños “start-up´s”, pero en general, los ataques se centran en grandes
compañias.

TÉCNICAS Y HERRAMIENTAS DE INGENIERÍA SOCIAL

 Invasivas o Directas o Físicas:


 El Teléfono
 El Sitio de Trabajo
 La Basura
 La Internet-Intranet
 Fuera de la Oficina

1. El Teléfono
 • Personificación Falsa y Persuación
 Tretas Engañosas: Amenazas, Confusiones Falsas.
 Falsos Reportes de Problemas.
 • Personificación Falsa en llamadas a HelpDesks y Sistemas CRM
 Completación de Datos Personales
 • Robo de Contraseñas o Claves de Acceso

 Telefónico:
 Consulta de buzones de voz.
 Uso fraudulento de líneas telefónicas.
 Uso de Sistemas Internacionales de Voz sobre IP.

2. La Basura
• “Dumpster Diving” o ¿Qué hay en nuestra basura?:
 Listados Telefónicos.
 Organigramas.
 Memorandos Internos.
 Manuales de Políticas de la Compañia.
 Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
 Manuales de Sistemas.
 Impresiones de Datos Sensibles y Confidenciales.
 “Logins”, “Logons” y a veces... contraseñas.
 Listados de Programas (código fuente).
 Disquettes y Cintas.
 PapelMembretado y Formatos Varios.
 Hardware Obsoleto.

3. La Internet-Intranet
 Si en algo es consistente un usuario es en repetir passwords.
 “Password Guessing”
 Placa del carro.
 Nombre de la HIJA + 2005.
 Fecha de nacimiento.
 Encuestas, Concursos, Falsas Actualizaciones de Datos.
 Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota
y Screen Rendering.

4. Fuera de la Oficina
 Almuerzos “De Negocios” de Viernes, que terminan en volada de oficina
y “Happy Hours”, con potenciales consecuencias desastrosas:
 Sesiones de confesión de contraseñas, extensiones, direcciones de
correo electrónico. Al otro dia, la víctima no se acuerda.
 Conexiones “de oficina a Oficina”:
 ¿Puedo leer mi e-mail desde aqui?
 Eso está en la Intranet de la Empresa, pero (en tono jactancioso) yo
puedo entrar desde aqui.
 Lo que no sabe la victima es de la existencia de “KeyGrabbers”
 Solución: One Time Passwords.

TÉCNICAS DE INGENIERÍA SOCIAL (Seductivas y/o Inadvertidas.)


 Autoridad: Pretender estar con la gente de TI o con un alto ejecutivo en
la Empresa o Institución.
 Puede usar un tono de voz: Intimidante, amenazante, urgente.
 Carisma: Se usan modales amistosos, agradables. • Se conversa sobre
intereses comunes. • Puede usar la adulación para ganar información del
contexto sobre una persona, grupo o producto.
 Reciprocidad: Se ofrece o promete ayuda, información u objetos que no
necesariamente han sido requeridos. • Esto construye confianza, dá la
sensación de autenticidad y confiabilidad.
 Consistencia: Se usa el contacto repetido durante un cierto período de
tiempo para establecer familiaridad con la “identidad” del atacante y
probar su confiabilidad.
 Validación Social: Acecha el comportamiento normal de tratar de
satisfacer un requerimiento.
 Se puede tomar ventaja de esta tendencia al actuar como un compañero
de trabajo necesitando información, contraseñas o documentos para su
trabajo. • La victima usualmente es una persona con cierto potencial de
ser segregada dentro de su grupo, o que necesita “ser tomada en
cuenta”.
 Ingeniería Social Reversa: Ocurre cuando el Hacker crea una persona
que parece estar en una posición de autoridad de tal modo que le
pedirán información a él, en vez de que él la requiera.
 Las tres fases de los ataques de ISR: ** Sabotaje, **Promoción,
**Asistencia.

¿Como opera?
El Hacker sabotea una red o sistema, ocasionando un problema. Este Hacker
entonces promueve que él es el contacto apropiado par solucionar el
problema, y entonces, cuando comienza a dar asistencia en el arreglo el
problema, requiere pedacitos de información de los empleados y de esa
manera obtiene lo que realmente quería cuando llegó. Los empleados nunca
supieron que él era un hacker, porque su problema se desvaneció, él lo
arreglo y todo el mundo está contento.

TIPS SIMPLES PARA DEFENDERSE


 Mantenga una actitud cautelosa y revise constantemente sus tendencias
de ayudar a personas que no conoce. Ojo: No tiene que volverse una
persona huraña y paranóica.
 Verifique con quien habla, especialmente si le estan preguntando por
contraseñas, datos de empleado u otra información sensitiva.
 Al teléfono, obtenga nombres e identidades (Nro. De Empleado, por
ejemplo). Corrobórelos y llámelos a su pretendida extensión.
 No se deje intimidar o adular para terminar ofreciendo información.
 No le permita a una persona desconocida “descrestarlo” con su aparente
conocimiento.

Ejemplo: Aquellos que conocen detalles técnicos o usan acrónimos o la jerga


propia de la empresa o industria.
 Muchos pueden sonar como parte de “la-cosa-real”, pero pueden ser
parte de la conspiración.
 Sea cauteloso (de nuevo, no paranóico) en las encuestas, concursos y
ofertas especiales via internet, teléfono y correo electrónico y
convencional.
 Estas son formas comunes de cosechar direcciones de correo electrónico,
contraseñas y otros datos personales.
 Y... ¡Por Favor...!!! ¡¡¡NO RESPONDA MENSAJES EN CADENA...!!!

LA SEGURIDAD INFORMÁTICA tiene por objetivo el asegurar que los datos


que almacenan nuestros ordenadores se mantengan libres de cualquier
problema, y que el servicio que nuestros sistemas prestan se realice con la
mayor efectividad y sin caídas. En este sentido, la seguridad informática
abarca cosas tan dispares como:
 Los aparatos de aire acondicionado que mantienen los sistemas en las
temperaturas adecuadas para trabajar sin caídas.
 La calificación del equipo de administradores que deberá conocer su
sistema lo suficiente como para mantenerlo funcionando correctamente.
 La definición de entornos en los que las copias de seguridad han de
guardarse para ser seguros y como hacer esas copias.
 El control del acceso físico a los sistemas.
 La elección de un hardware y de un software que no de problemas.
 La correcta formación de los usuarios del sistema.
 El desarrollo de planes de contingencia.

TALLER
1) ¿Por qué "el caballo de Troya" no es ingeniería social?
2) ¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
3) ¿Cuántas veces ha recibido un correo que promete cierto dinero $ por
cada mensaje que reenvíe a sus amigos o a sus enemigos?
4) ¿Se ha planteado alguna vez cómo robar en Internet?
5) ¿Cuándo nace la ingeniería social?
6) ¿Cómo combatir la ingeniería social?
7) ¿Cuáles son los métodos agresivos de la ingeniería social?
8) ¿Cuáles son las técnicas presenciales no agresivas de la ingeniería
social?
9) ¿Qué es el Spam?
10) ¿Qué son los Phishing?
11) ¿Qué son los HOAX?
12) ¿Cómo podemos contribuir a la educación a nuestros usuarios para que
no sean víctima de los Ingenieros Sociales?

También podría gustarte