Scribd
Cargar
28 vistas18 páginas

Ingenieria Social 1

La ingeniería social es la manipulación de personas para obtener información confidencial o realizar acciones específicas, siendo más fácil engañar a un humano que vulnerar un sistema. Existen dos ramas principales: el hunting, que busca información rápidamente, y el farming, que se basa en engaños prolongados. Los ataques pueden incluir técnicas como el pretexto, donde se crea una identidad falsa para ganar la confianza de la víctima y obtener datos sensibles.

Cargado por

Yhonatan Gonzales Godoy
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
28 vistas18 páginas

Ingenieria Social 1

La ingeniería social es la manipulación de personas para obtener información confidencial o realizar acciones específicas, siendo más fácil engañar a un humano que vulnerar un sistema. Existen dos ramas principales: el hunting, que busca información rápidamente, y el farming, que se basa en engaños prolongados. Los ataques pueden incluir técnicas como el pretexto, donde se crea una identidad falsa para ganar la confianza de la víctima y obtener datos sensibles.

Cargado por

Yhonatan Gonzales Godoy
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

INGENIERIA

SOCIAL
PSIC BLANCA LIZA VILCA
QUE IDEA NOS VIENE DE ESTA IMAGEN
ALGUIEN ESTA “ROBANDO INFORMACION”
La Ingeniería Social es el acto de manipular a una persona a través de técnicas
psicológicas y habilidades sociales para cumplir metas específicas. Éstas
contemplan entre otras cosas: la obtención de información confidencial, el acceso a
un sistema o la ejecución de una actividad más elaborada (como el robo de un
activo), pudiendo ser o no del interés de la persona objetivo.
La razón por la que los atacantes recurren a la ingeniería social es que es mucho
más fácil engañar a un humano que piratear un sistema o el software de una
computadora.
La forma más fácil de penetrar en los sistemas de alta tecnología de una
empresa es a través de las personas que los administran, operan y usan.
Los ataques de ingeniería social no se dirigen a los dispositivos
tecnológicos, sino a lo que el ingeniero social considera el eslabón más
vulnerable: el usuario.

El atacante se sirve de engaños basados en las respuestas psicológicas conscientes -la


lógica y la razón- o subconscientes de las personas, de tal forma que estas puedan
servirle para conseguir información personal, contraseñas o datos bancarios.

“Los ataques sin tecnología son más peligrosos porque escapan del radar de detección de
todas las herramientas de seguridad por software de las empresas. De este modo, las
filtraciones pueden permanecer varios meses, o incluso años, sin ser detectadas, dándole
RAMAS EN LA INGENIERIA
SOCIAL
• Dentro de la ingeniería social centrada en el mundo del cibercrimen se distinguen dos
grandes ramas: el
hunting y el farming
• El HUNTING hace referencia a los ataques que buscan conseguir los datos de la víctima
con la menor exposición posible, es decir, ataques en los que el delincuente consigue la
información hablando una sola vez con la víctima. Un ejemplo claro de este tipo son las
campañas de phishing, con un simple email te deben convencer de que son una
persona o empresa legítima y que puedes confiar en ellos para acceder a su web y dar
tus datos.
• EL FARMING se mantiene el engaño durante más tiempo para conseguir el máximo de
datos de la otra persona. Tal vez hayas conocido a una persona por internet con la que
lleves tiempo chateando y te ofrece ser socio de su negocio, o venderte algo, incluso
algún tipo de ayuda económica, debemos desconfiar.
 Para lograr sus objetivos utilizan principios como
 Reciprocidad: Urgencia Consistencia Confianza. Autoridad:
 Validación social: Los humanos tenemos la necesidad de que otros nos valoren de
manera positiva, por lo que muchas veces podemos caer en la trampa
RECOPILACION DE
INFORMACION
“Recopilar información requiere la creación de un archivo para reunir los datos, existen muchas herramientas
que ayudan a recopilar y utilizar información”

FUENTES DE RECOPILACION DE INFORMACION


RECOPILAR INFORMACIÓN DE LOS SITIOS WEB
Los sitios web personales o corporativos
de las personas
pueden y las empresas,
proporcionar gran cantidadpara
de entender:
- Lo que hacen
información,
- Los productos que ofrecen
- La localización física
- Ofertas de puestos de trabajo
- Números de contacto
- Biografía de ejecutivos
- El foro de apoyo
- La nomenclatura de correo
- Palabras o frases especiales que pueden determinar contraseñas
- Vida intima y personal
LINKEDIN O FACEBOOK, TWITER, WHATSAPP etc
MOTORES DE BUSQUEDA

“Básicamente, un motor de búsqueda web es un programa que ‘trae a la superficie’ los resultados
de muchos sitios web, que considera los más adecuados para satisfacer la necesidad o razón por la
que alguien escribió su consulta de búsqueda”.
•Google El motor de búsqueda mas conocido es GOOGLE “el gran Oraculo”
•YouTube es una plataforma para compartir videos
•Bing motor de búsqueda de Microsoft, WINDOW
•Yahoo uno de los primeros motores de búsqueda en internet su popularidad ha disminuido
• Amazon plataforma de compras en línea a nivel mundial: más de la mitad de
TODAS las búsquedas de compras en línea comienzan en Amazon.
•Baidu. Básicamente es el equivalente chino de Google. Su sede está en Shanghái
• Facebook es una empresa de redes sociales y social networking , ha llegado al 60% de la
población de usuarios en internet
FUENTES DE RECOPILACIÓN DE
INFORMACION

2. MEDIOS SOCIALES
Muchas empresas han empezado a interesarse por los medios sociales, publicidad barata
que llega a gran numero de potenciales clientes, las empresas también pueden
proporcionar datos útiles publicitan eventos, nuevos productos, notas de prensa, historias,
etc. LAS REDES SOCIALES han desarrollado una forma particular y son una increíble fuente
de información que esta en auge TWITTER, FACEBOOK, LINKEDIN, INSTAGRAM, PAGINAS
WEB, WHATSAPP donde se puede encontrar fácilmente información sobre la vida, fotos y
paradero de la gente porque teléfonos como smartphone incrusta datos de localización
GPS en sus fotos lo que permite su localización a veces sin consentimiento del usuario.
3. BLOG
es una página web o sitio web donde publicar contenidos en una página especial
(la página del blog) que sirve para escribir periódicamente con el fin de lograr
determinados objetivos. Estos contenidos publicados regularmente se llaman
“artículos” o “posts”.
Estos temas podrán ser ideas, opiniones, información personal o profesional,
experiencias, etc. Este público podrá dejar su comentario en el propio post o
artículo, por lo que recibiremos feedback de ellos si sabemos utilizarlo bien.
Un empleado descontento podrá poner información de la empresa lo cual puede ser
utilizado por el Ingeniero Social
5. MIRAR LA BASURA
Revisar la basura es una forma de recopilación de información mas útiles que existe
La gente tira, facturas, cartas, discos compactos, USB, que tienen gran cantidad de datos a la basura
MANIOBRAS DE OBTENCION DE
INFORMACION
“SON ELEMENTOS UTILIZADOS DIFICILES DE DETECTAR Y NO SON AMENAZANTES “

1. APELAR AL EGO DE UNA PERSONA un halago sutil puede introducir a una persona en una
conversación que de otra manera no hubiera tenido lugar y eso es lo que quiere el ingeniero social se
utilizan frases como “he escuchado al Sr Smith decir a los empleados que eres uno de los mejores ….”
“ Aquella
investigación que hiciste cambio el punto de vista de mucha gente sobre……”

2. EXPRESAR INTERES MUTUO Imaginemos el escenario


Atacante “Tienes formación en base de datos para ISO…. Si quieres te ayudamos…..”
Objetivo “ me gustaría echarle un vistazo
expresar interés mutuo es una maniobra de obtención de información importante amplia la relación
de conversación y permite que el atacante tome el control que puede ser a largo plazo
MANIOBRAS DE OBTENCION DE
INFORMACION
3. HACER UNA AFIRMACIÓN FALSA INTENCIONADAMENTE
Este tipo de afirmaciones si se realizan de forma efectiva pueden sonsacar una respuesta del
objetivo con datos reales. La mayoría de la gente siente la necesidad de corregir una
información incorrecta es como si se sintieran retados a probar que tiene la razón deseo de
informar a otro que son mas cultos y entendidos
4. OFRECER INFORMACION VOLUNTARIAMENTE
Existe la necesidad de sentirse obligado a compartir, cuando damos información la otra
parte se siente obligado a responder de esta manera se construye una conversación a su
alrededor
5. UTILIZAR LOS EFECTOS DEL ALCOHOL
Los efectos del alcohol hacen vulnerables a las personas con un interrogatorio adecuado
permite la obtención de información
6. UTILIZACION DE PREGUNTAS INTELIGENTES
PREGUNTAS ABIERTAS dan buenos resultados pero pueden encontrar cierta resistencia
PREGUNTAS CERRADAS no permiten recoger información pero si permiten dirigir al objetivo
PREGUNTAS DE CONOCIMIENTO ASUMIDO en estas se asume que el objetivo posee la
información que se busca por ello se utilizan cuando se tenga una idea sobre los hechos reales
Piense bien antes de contestar la siguiente pregunta?
Donde vive el Sr Smith?
EL PRETEXTO
• Es un acto de crear un escenario inventado para incitar al objetivo a que proporcione cierta
información o a que realice cierta acción
• Es mas que inventar una mentira en algunos casos puede consistir en crear una identidad
completamente nueva y utilizarla para manipular la obtención de información
• La calidad del Pretexto esta directamente relacionada con la calidad de la información obtenida, el
clásico pretexto es ser un técnico de servicio de asistencia
LOS PRINCIPIOS Y FASES DE PLANIFICACION DEL PRETEXTO
- Cuanto mas investigue, mas probabilidades de tener éxito
- Si involucra sus intereses personales aumentaran sus opciones
- Utilice el teléfono
- El pretexto debe ser espontaneo
- Cuanto mas simple sea el pretexto mayores serán las opciones de tener éxito
- Proporcione al objetivo una conclusión lógica
Historia de Stanley Mark Rifkin “Transferencia electrónica “
INGENIERÍA SOCIAL: ¿QUÉ SON LOS PRETEXTOS?
Los pretextos son una forma de ingeniería social en la que los atacantes se enfocan en crear
un pretexto, o un escenario forjado por ellos mismos, que puedan usar para intentar robar la
información personal de sus víctimas. Este tipo de ataques típicamente son llevados a cabo
por un estafador que simula necesitar cierta información de sus víctimas para confirmar sus
identidades.
Los pretextos también pueden ser utilizados para suplantar la identidad de compañeros
de trabajo, la policía, el banco, autoridades fiscales, el clero, investigadores de compañías
aseguradoras o cualquier otro individuo que, para la víctima, pudiese parecer tener la
autoridad necesaria para solicitar tal información. El atacante simplemente tiene que
preparar respuestas a las preguntas que la víctima pudiese hacerle. En algunos casos,
todo lo necesario es una voz autoritaria, un tono serio y la capacidad necesaria para improvisar
un escenario de pretexto.
¿PARA QUÉ SE USAN LOS PRETEXTOS?
Los ataques de pretextos se suelen usar para obtener información tanto delicada como no.
Un grupo de estafadores se hicieron pasar por representantes de agencias de modelaje y
servicios de acompañantes, inventó antecedentes y preguntas de entrevistas falsas para que
las mujeres, incluyendo adolescentes, les enviasen fotos desnudas de ellas mismas ─fotos que
después vendieron a negocios de pornografía a cambio de ingentes sumas de dinero
Uno de los aspectos más importantes de la ingeniería social es la confianza. Si no es capaz de
generar confianza, lo más probable es que se falle. Un pretexto sólido es parte fundamental
de la generación de confianza. Si su identidad o historias falsas tienen fisuras, o no suenan
creíbles, lo más probable es que la víctima sospeche. el pretexto adecuado proporciona las
señales adecuadas a los que le rodean, y puede desarmar sus dudas o sospechas y, por así
decirlo, abrirle las puertas.
¡CÓMO DEFENDERSE DE LOS ATAQUES CON
PRETEXTOS!
“Como cualquier otra defensa ante la ingeniería social, usted debe ser proactivo, en vez de reactivo”
• Si usted recibe un correo electrónico de alguien que afirma ser un trabajador de
mantenimiento que quiere visitarle, contacte a la empresa del remitente, no al
remitente. Deles una llamada, y verifique que en verdad desean enviar a alguien. Si
usted está en casa cuando lleguen, pídales hablar con su supervisor, pero no les crea
de buenas a primeras, sino que pídales el número de teléfono de la empresa y el
nombre de su supervisor, de modo que pueda llamarlos desde su número de teléfono
personal. Tal vez le parezca algo maleducado, pero si está tratando con un ingeniero
social, su mejor defensa consiste en romperle la fachada a sus mundos de fantasía.

• Lo mismo aplica a páginas web que anuncian eventos y exposiciones. Llame al centro
de eventos y pregunte por el evento específico. Vaya directo a la fuente. Si, por
ejemplo, solamente aceptan pagos en efectivo o por YAPEl, eso constituye una señal de
alarma.

• En cualquier caso, su mejor medida de protección es acudir a la fuente del pretexto. Si


el ingeniero social está empleando pretextos, su punto débil será el hecho de que su
fuente no existe, sino que es inventada.
PRACTICA N° 1
DE ACUERDO A LOS TEMAS DESARROLLADOS
1. UTILIZANDO LAS FUENTES DE INFORMACION DE LA WEB
RECOPILE INFORMACION DE TRES
OBJETIVOS PUEDEN SER PERSONAJES CONOCIDOS O
CUALQUIER PERSONA OBJETIVO
2. ELABORE LA NARRACION DE UN HECHO DONDE SE EVIDENCIE LA
MANIPULACION DE UNA PERSONA OBJETIVO IDENTIFICANDO EL
PRETEXTO UTILIZADO, EL MEDIO: TELEFONO, CORREO,
MENSAJE DE TEXTO, ETC Y LA RAMA DE LA INGENIERÍA SOCIAL “El
HUNTING o el EL FARMING

También podría gustarte