Ingeniera social (Primer tomo)

Introduccin:
Hola a todos me presento soy zweix010 y me e encargado personalmente de buscar informacin relacionada a la ingeniera social, no tengo grandes conocimientos, solo soy un explorador, una mente curiosa como la que lee estas palabras, apasionado con la informtica y sus diferentes reas ;) Todo el texto que encontraran aqu ah sido editado, corregido o adaptado para su mejor comprensin, si bien no es un gran texto o un libro sobre el tema, ah sido preparado para aquellos que no saben lo que es la ingeniera social o para aquellos que ya estn familiarizados con el tema les servir como un refuerzo o para entenderlo de otra perspectiva etc. Les recuerdo que ha sido preparado con mucho cuidado, que me a ha llevado a escribirlo? Pues si bien el tema no es muy complejo como la ingeniera inversa o otras materias conocidas o poco conocidas es un tema que ah servido mucho desde sus inicios con mltiples beneficios y a diferencia de otras materias( desde ahora materia sern todos los estudios diferentes como la ingeniera inversa o cracking etc.) esta la podemos usar tanto en lo que respecta a la informtica como en la vida diaria y aqu en adelante se entender mejor el Por qu? Y el Cmo?. Desde que empec a navegar por el ciber-espacio me encontrados con muchos foros, sitios web, blog entre otros con poca informacin sobre esta materia y eso me ah desilusionado un poco, por ese motivo en vez de reclamar en los foros para que suban informacin los mas capacitados o los con mas experiencia decid yo mismo dar el primer paso y fue as como empec este proyecto Repito: todo el contendido de este Primer tomo no es de mi propiedad, ah sido una recopilacin, traduccin, adaptacin o correccin de otras fuentes, espero que sea lo mas fcil de entender posible y si tienen alguna duda no vacilen en enviarme un mp(mensaje privado) y si yo no tengo la respuesta la buscare para no dejar a nadie desorientado o confundido.

ndice: *Qu es la ingeniera social? *Historia *De que me puede servir en la red? *De que me sirve en la vida diaria? *Comportamientos vulnerables

*Qu es la ingeniera social?*

La ingeniera social es un mtodo no tcnico para obtener informacin de diferentes tipos, basado en el factor mas vulnerable, el usuario(las personas manipuladoras de un computador, celular, etc.) para fines de lucros, venganzas, caprichos, diversin etc. Es el proceso de engaar a los dems usuarios para convencerlos de una o otra manera de entregarla informacin que queramos tener a nuestra disposicin sin que ellos se den cuenta que estn siendo engaados mediantes redes sociales, chat, e-mails, telefona, correo (cartas etc.) Los diferentes tienden a crear un perfil que establezca la confianza de la victima aun que a veces en algunos casos no se hace mediante confianza, se aplica mediante amenazas o estafas El uso de estos mtodos establecen y dejan bien claro que el usuario es el eslabn mas dbil de la cadena de seguridad

*Historia*
Popularizada por Kevin Mitnick, la ingeniera social es en ese ncia el arte de la persuasin: convencer a las personas para que revelen datos confidenciales o realicen alguna accin. Aunque el trmino ingeniera social es relativamente nuevo, las tcnicas y filosofas que la sustentan estn presentes desde los albores de la humanidad. Existen historias de engao y manipulacin en muchas pginas de la historia, el folclore, la mitologa, la religin y la literatura.

Prometeo el dios de la ingeniera social?

Segn la mitologa griega, el nivel de competencia actual del ser humano en la ingeniera social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que poda engaar a Zeus, el mayor de los dioses. En la Teogona y Trabajos y das, el poeta pico Hesodo narra la historia de Prometeo, un Titn conocido por sus maas y sus astutos ardides. Se le atribuye la creacin del hombre, modelado a partir de barro. En lo que se conoce como el "Engao de Mecona", Prometeo present a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estmago, la otra era el esqueleto del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligi la ltima y, como consecuencia, en lo sucesivo la humanidad debera sacrificar a los dioses slo huesos y grasa, conservando la carne para s. Enojado por el engao de Prometeo, Zeus castig a los mortales quitndoles el fuego. Sin embargo, en un acto ms de ingeniera social contra Zeus, Prometeo rob el brillo que se ve de lejo s del infatigable fuego en una hueca caaheja del monte Olimpos y se lo leg a los hombre s. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada da llegaba un guila que le coma el hgado; por la noche ste le volva a crecer. Como castigo para los hombres, Zeus cre a la primera mujer, Pandora, quien portaba un nfora que ella abri por curiosidad, liberando incontables plagas.

El ataque de phishing de Jacob y Rebeca

Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utiliz una tcnica de ingeniera social que es la base de los actuales ataques de phishing: hacer creer a la vctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se qued ciego en los ltimos aos de su vida. Mientras se preparaba para morir, orden a su hijo mayor, Esa: treme caza y preprame un buen guisado como a m me gusta y tremelo para que yo coma y que mi alma te bendiga antes que yo muera. (Gnesis 27:2-4.) Como quera que fuera Jacob en lugar de Esa el que recibiera las bendiciones de Isaac, Rebeca concibi un plan. Jacob, reacio al principio, dijo: "Esa mi hermano es hombre velludo y yo soy lampio. Quiz mi padre me toque, y entonces ser para l un engaador y traer sobre m una maldicin y no una bendicin. (Gnesis 27:11 -12.) Para engaar a Isaac y hacerle creer que estaba con Esa, Rebeca prepar la comida de Isaac, visti a Jacob con las mejoras ropas de Esa y le puso piel de cabrito en las partes lampias de las manos y el cuello. Jacob le entreg la comida a Isaac, super la prueba de autenticacin y consigui las bendiciones que deban ser para Esa

El primer caballo de Troya

La historia del caballo de Troya, famosa gracias a la obra pica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaos de ingeniera social ms inteligentes de la historia de la humanidad. D urante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibi una estratagema para inducir a los troyanos a creer que los griegos haban abandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado Sinn. Tras ser capturado por los troyanos, Sinn les dijo que los griegos haban dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo haban hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traera mala suerte a los griegos. El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jams, y de Laocoonte , un sacerdote troyano. La falta de juicio de los troyanos fue su perdicin. Esa

noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejrcito. Gracias a la ingeniosa tctica de ingeniera social ideada por Ulises, los griegos derrotaron a los troyanos.

El caballo de Troya actual

Cuando Ulises traz su plan para infiltrarse en Troya, poco imaginaba l que estaba sentando un precedente para los siglos venideros. El tipo de malware ms frecuente que se encuentra en la actualidad, el trmino "caballo de Troya" electrnico lo acu Daniel Edwards de la Agencia de Seguridad Nacional de Estados Unidos en los aos setenta. Edwards le puso ese nombre por la tcnica de ingeniera social utilizada por los griegos. Antes de Internet, los usuarios de PC que queran compartir archivos de software lo hacan mediante dispositivos fsicos o conectndose a los sistemas de tabln de anuncios (BBS). Los piratas informticos con fines malintencionados se dieron cuenta enseguida de que podan inducir a los usuarios a ejecutar un cdigo malintencionado sencillamente disfrazndolo como un juego o una utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todava emplean esta tcnica de ingeniera social siglos despus. En la actualidad, el nmero de usuarios de PC que se dejan infectar con troyanos es alarmante. Les atrae la tentacin de la msica, los vdeos, el software gratuitos y los simpticos mensajes electrnicos de annimos seres queridos.

Un timo actualizado
El fraude del pago por adelantado, ms conocido como timo nigeriano (timo 419), ha circulado durante dcadas y sigue siendo uno de los tipos de spam ms prolficos. El nmero 419 hace referencia a la seccin del Cdigo Penal de Nigeria que prohbe esta prctica. Esta tctica de ingeniera social de enriquecimiento rpido lleg en forma de carta y empez a distribuirse por correo postal en los setenta. El timo evolucion hacia faxes no solicitados en los ochenta y, en la actualidad, se enva casi exclusivamente a travs del correo electrnico. Sus orgenes se remontan al siglo diecisis, cuando se

conoca como el timo del prisionero espaol. El plan es bien sencillo: se informa a una vctima ingenua sobre un prisionero espaol enormemente rico que necesita ayuda para ser liberado. Este por as llamarlo prisionero contaba con que el estafador recaudara la cantidad necesaria para el rescate. El estafador abordaba a la vctima contndole la historia y permita que l o ella le ayudaran con una parte de la recaudacin de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. El timo nigeriano atrae a sus vctimas con la tentadora promesa de un pago multimillonario a cambio de una inversin de slo unos pocos miles de dlares. Aunque la mayora de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. Segn los servicios secretos de EE. UU., los timadores estafaron a sus vctimas una media de 100 millones de dlares anuales.

El trmino phishing fue acuado por los piratas informticos. Proviene de fishing (pesca) porque esta tcnica de ingeniera social engaa a sus vctimas para que desvelen sus nombres de usuario, contraseas, nmeros de tarjeta de crdito y otros datos personales. En los aos noventa, muchos piratas informticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de America Online (AOL) utilizando nmeros falsos de tarjetas de crdito generados automticamente, que no se correspondan con cuentas reales. Despus de que AOL mejorase su seguridad y las pruebas de validacin de tarjetas de crdito para garantizar que los nmeros de dichas tarjetas fueran legtimos, los malhechores se lanzaron a la bsqueda de nombres de usuario y contraseas reales para introducirse en las redes de AOL. Empezaron enviando correos electrnicos y mensajes instantneos falsos que parecan proceder del servicio tcnico de AOL. Muchas vctimas desprevenidas facilitaron sus datos y a continuacin se les facturaron actividades y compras que los piratas informticos realizaron en sus cuentas. Los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de xito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, Amazon y otras) que realizaban transacciones comerciales electrnicas.

La historia se repite
Ya se llame ingeniera social, artimaas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. Si se pregunta a expertos en seguridad, convendrn que las personas somos el eslabn ms dbil de la cadena de seguridad. Podemos desarrollar el software ms seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad ms restrictivas e intentar lograr la utpica educacin del usuario. Sin embargo, mientras sigamos dejndonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecue ncias, correremos el riesgo de sufrir nuestra propia versin de una tragedia troyana. El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni direccin que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, estn condenados a repetirlo.George Santayana, en La razn en el sentido comn, de La vida de la razn o fases del progreso humano.

*De que me puede servir en la red?*

Llegado a este punto tal vez se estn preguntando Y de que me va a servir la ingeniera social en cuando navego por el ciber espacio? Pues es una pregunta con una respuesta bien amplia, pongamos unos ejemplos ;) *para obtener datos ajenos de alguna empresa, institucin o persona *Para instalar un virus con o sin el consentimiento *para hacer que otros hagan algo que no quieres *etc. La ingeniera social sirve para muchas cosas, es cosa de tener imaginacin y saber como aplicarla para obtener los resultados que uno espera conseguir

Mas adelante pondr las categoras en las cuales se puede usar :D

de que me sirve en la vida diaria?

Tal vez algunos pienses que solo se usa en el ciber-espacio, no? Pues estn equivocados : p la ingeniera social sirve para poder estafar a la gente tanto en la red como fuera de ella

En resumen les puede servir para tanto como en la red como fuera de ella conseguir lo que quieran manipulando a las personas, hay muchas formas de hacerlo y mtodos diferentes, es cosa de encontrar el que mas se les acomode segn su necesidad

*Comportamientos vulnerables*

Ahora les dir algunos de los comportamientos que se pueden usar para aplicar la ingeniera social *Confianza: La confianza propia de la naturaleza humana es la base de cualquier ataque de la ingeniera social Ignorancia: La ignorancia o la subestimacin sobre la ingeniera social y sus efectos hace de la organizacin de un blanco fcil Miedo: Advertencias y amenazas de grave peligro en caso del incumplimiento De la solicitud Codicia: Promesa de algo por nada, decir que regalaremos algo a cambio de nada Deber moral: Cumplimiento de lo solicitado por un sentido de obligacin moral ( es decir, usar creencias, amistades, compromisos, lazos familiares o cualquier

cosa que haga que la victima no tenga mas opcin que seguir los trminos dados

Bueno amigos as termina el primer todo de ingeniera social Espero les haya servido Cualquier duda hganla presente, reclamos, agradecimiento o lo que sea, para que el siguiente Tomo sea mejor que el anterior. Si alguien quiere aportar algo dganme y el material que entrega ser publicado en los futuros tomos ;) Quiero agradecer a Itech Por que parte de la informacin fue recopilada desde sus fuentes n.n Pero en especial quiero agradecerte a ti por darte el tiempo de leer todo esto ;) En el siguiente tomo vendr el siguiente contenido:

Segundo tomo: *Fases de la ingeniera social* *Informacin sensible* *Tipos de ataques comunes* *Comprendiendo los ataques internos* *Comprendiendo el robo de identidades*