Ingenieria Social PDF

GUAS PRCTICAS PARA USO DE TCNICAS DE INGENIERA SOCIAL CON
LA HERRAMIENTA SET INCLUIDA EN LA DISTRIBUCIN BACKTRACK 4 R2
AUTORES:
CARMEN LUCIA PEDRAZA GARZN
VIVIANA ANDREA CAVIEDES FIGUEROA
CORPORACION UNIVERSITARIA MINUTO DE DIOS

FACULTAD DE INGENIERA
TECNOLOGA EN REDES DE COMPUTADORES Y SEGURIDAD
INFORMTICA
BOGOTA, COLOMBIA 2011
Guas prcticas para uso de tcnicas de ingeniera social con la herramienta SET
incluida en la distribucin BackTrack 4 R2
CARMEN LUCIA PEDRAZA GARZN

VIVIANA ANDREA CAVIEDES FIGUEROA
Tesis De Grado Para Obtener El Titulo De

TECNOLOGO EN REDES Y SEGURIDAD INFORMATICA
Director:
ING. FEDERICO GACHARNA
rea
SEGURIDAD DE LA INFORMACIN
CORPORACIN UNIVERSITARIA MINUTO DE DIOS

FACULTAD DE INGENIERA
TECNOLOGA EN REDES DE COMPUTADORES Y SEGURIDAD INFORMTICA
BOGOT DC.
2011
Guas prcticas para uso de tcnicas de ingeniera social con la herramienta SET incluida en la
distribucin BackTrack 4 R2
Nota de Aceptacin
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_______________________________
Jurado
_______________________________
Jurado
_______________________________
Jurado
A los __ das del mes ________ del ao ____. Bogot DC.
El tiempo es el mejor autor: siempre encuentra un final perfecto

Charles Chaplin (1889 1977). Actor ingls.
Cuando ms buena es el alma de un hombre, menos sospecha la maldad en los

otros.
Seneca
DEDICATORIA
A mis padres, por creer y confiar en mis decisiones, a mi hermano por la energa y fuerza
que me da para nunca rendirme y en general a todo mi ncleo familiar y amigos por que
con su amor y apoyo me llenan de motivacin.
Andrea Caviedes.
A toda mi familia, especialmente a mis padres y a mi abuelita materna por darme una
carrera para mi futuro, por creer en m, brindarme toda su ayuda y sabios consejos, a mis
amigos por apoyarme en cuanto proyecto emprendo. A todos mil gracias han sido una
bendicin en mi vida.
Lucia Pedraza.
AGRADECIMIENTOS
En primera medida queremos agradecerle a Dios por permitirnos llegar a este momento
tan importante en nuestras vidas. Igualmente le queremos agradecer a todas las personas
que se vieron involucradas de alguna manera en este proyecto y especialmente a nuestro
director Ing. Federico Gacharna, por su a apoyo, sus apreciados y relevantes aporte,
criticas, comentarios y sugerencias durante el proceso de desarrollo del proyecto, tambin
al Ing. Fabin Valero que aunque no pudo culminar con el proceso del proyecto nos
colaboro en su momento.
CONTENIDO
I. Descripcin del problema............................................................................................. 11
I.1. Formulacin de la pregunta ...................................................................................... 12
II. Antecedentes ................................................................................................................ 13
III. Objetivos ...................................................................................................................... 14
III.1 Objetivo General ..................................................................................................... 14
III.2 Objetivos Especficos ............................................................................................. 14
IV. Alcances y limitaciones ............................................................................................ 15
V. Justificacin ................................................................................................................. 16
VI. Marco de Referencia ................................................................................................... 19
VI.1 Marco Terico ........................................................................................................ 19
VI.1.1 Seguridad informtica................................................................................... 19
VI.1.2 Polticas de seguridad .................................................................................. 21
VI.1.3 Ingeniera Social ........................................................................................... 22
VI.1.4 Tcnicas de ataque ...................................................................................... 23
VI.1.5 BackTrack..................................................................................................... 28
VI.1.6 Social Engineering Toolkit (SET) ................................................................. 29
VI.1.7 Metasploit Framework .................................................................................. 29
VI.2 Marco conceptual ................................................................................................... 31
VI.3 Marco Legal ............................................................................................................ 33
VI.3.1 Derechos de autor ........................................................................................ 33
VI.3.2 Renuncia de Responsabilidad ...................................................................... 35
VII. Diseo Metodolgico ................................................................................................. 36
VII.1 Tipo de Investigacin ............................................................................................ 36
VII.2 Mtodos ................................................................................................................. 37
VII.2.1 Tesis, Anttesis y Sntesis............................................................................ 37
VII.2.1.1 Tesis .................................................................................................. 37

VII.2.1.2 Anttesis ............................................................................................. 38
VII.2.1.2 Sntesis .............................................................................................. 39
VII.2.2 Prueba Error ................................................................................................ 40
VII.3 Universo ................................................................................................................ 40
VII.4 Poblacin............................................................................................................... 40
VII.5 Muestra ................................................................................................................. 41
VII.6 Tcnicas o Instrumentos de Recoleccin de Informacin .................................... 43
VII.6.1 Encuesta ..................................................................................................... 43
VII.6.2 Entrevista .................................................................................................... 43
Bibliografa y Webgrafia .................................................................................................. 44
RESUMEN
En la actualidad la seguridad informtica se ha convertido en un tema importante del

mbito tecnolgico. Por ello, se busca cuidar en un mayor nivel, la informacin personal y
empresarial, se han identificado distintos tipos de ataques, para conseguir informacin
sensible. La ingeniera social es sin duda la tcnica ms poderosa para lograr este
cometido, ya que a travs de manipulacin y engaos se logra que un usuario autorizado
revele informacin que, compromete al sistema. Para realizar este tipo de ataques existe
SET, que es un kit de herramientas diseado especficamente para realizar ataques de
ingeniera social, su objetivo principal es hacer que el usuario sea tentado a realizar una
accin necesaria para daar el sistema, como por ejemplo abrir un archivo adjunto o abrir
una pgina web aparentemente legitima, pero en realidad falsa.
En el presente documento se analiza la importancia de la seguridad de la informacin,

basada en el factor humano como mayor vulnerabilidad, y proponiendo acciones para
contrarrestar la ingeniera social.
ABSTRACT
Today computer
security has become an important
Therefore, it seeks a
higher
issue of
the
level care, personal and business information,
technology.
we
have
identified different types of attacks, to obtain sensitive information. Social engineering is

arguably the most powerful technique to achieve this goal, as through manipulation and
deception is
accomplished
information that compromises the
by an
system. To
authorized
user
to disclose
perform this type of attack exists SET,
which is a toolkit designed specifically for social engineering attacks, its main goal is to
make the user is tempted to perform
as opening a file enclosed or
an action necessary to damage the system,
open a web page appears legitimate, but actually
such
false.
This paper discusses the importance of information security based on human factors such
as increased vulnerability, and propose actions to counter social engineering.
10
INTRODUCCIN
Aunque se dice que el nico ordenador seguro es el que est desenchufado, un

ingeniero social siempre se encargara de convencer a alguien para que lo enchufe.
Conferencista congreso "Access All Areas" de 1997.
La seguridad informtica tiene por objetivo principal asegurar que los datos que se
almacenan magnticamente, se mantengan confidenciales, ntegros y disponibles, pero
Qu hacer cuando la vulnerabilidad ms inminente y peligrosa de este activo es el
mismo usuario? Existen varias tcnicas y mtodos usados para obtener datos, accesos o
privilegios de un sistema informtico con el fin de manipular o exponer informacin
sensible de una organizacin o persona, la mayora de veces quienes
las ejecutan
requieren grandes conocimientos tcnicos y amplia experiencia para que los ataques
sean efectivos, sin embargo, la tcnica ms usada para este fin, es la ingeniera social ya
que omite cualquier cuestin tcnica y se basa en el aprovechamiento de errores y
omisiones del usuario, para conseguir por medio de engaos, la informacin deseada.
Sucumbir ante la ingeniera social es difcil de evitar pero no imposible. Aunque es una
vulnerabilidad universal debido a que cualquier equipo depende del factor humano, se
debe tener en cuenta que lo ms importante, es educar y capacitar a los usuarios,
tomando en consideracin las polticas de seguridad suministradas por la direccin de la
organizacin.
I.
11
DESCRIPCIN DEL PROBLEMA
Actualmente es evidente la importancia de software que incluya aplicaciones para realizar

test de seguridad y anlisis forense informtico, por esta razn existe BackTrack 1,
(distribucin libre de Linux), que fue diseada para ser utilizada en auditoras de
seguridad y ajustada especficamente para no dejar registros de sus actividades. Incluye
mltiples herramientas para realizar test de penetracin, entre las que se destaca SET.
Social engineering toolkit, se programo para ser liberado con el lanzamiento del sitio web
http://www.social-engineer.org, y se ha convertido rpidamente en una herramienta
estndar, un arsenal de test de penetracin que incorpora mltiples ataques. Fue liberado
en Septiembre de 2009 y se ha actualizado hasta la versin 1.3.5.
A pesar de ser una herramienta potente, carece de documentacin adecuada que

explique detalladamente los ataques. Comnmente, los tutoriales se encuentran alojados
en foros, manejan conceptos tcnicos complejos, no estn redactados para principiantes y
se encuentran en diferentes idiomas, creando as una problemtica de uso.
Por tanto, se propone elaborar guas prcticas con el fin de solucionar la escasa
documentacin,
se pretende ayudar a personas interesadas en la herramienta de
ingeniera social SET 2 ofreciendo una solucin til a principiantes, estudiantes,

profesionales e investigadores, teniendo presente que el mundo de la seguridad
informtica y la informacin avanza constantemente.
1
Web oficial: http://www.backtrack-linux.org/?lang=es

Kit de herramientas de la ingeniera social, que sirve para realizar ataques automatizados y
cuenta con
algunos mtodos como la clonacin de sitios web.
I.1
12
Formulacin de pregunta
Cmo construir una serie de guas prcticas en espaol, que ilustre la forma correcta en
que, se instala, configura, implementa y usa la herramienta de ingeniera social SET
contenida en BackTrack 4 R2, y que sea comprensible para la mayora de usuarios?
II.
13
ANTECEDENTES
Como es evidente, la mayora de desarrolladores de herramientas y live cd de auditora

de seguridad informtica, se encargan de generar las aplicaciones y no manuales de
usuario. Los escasos manuales estn hechos por comunidades, y no redactados para
principiantes y estn disponibles en idiomas diferentes al del interesado.
En el caso de la documentacin de SET y BackTrack, se encuentran manuales y videotutoriales de la configuracin inicial:
Descargar Backtrack 4 R2 (2 Ago. 2010), Consultado el 3 de Septiembre de 2010,

de http://www.dragonjar.org/descargar-backtrack-4-r1.xhtml
Video Tutorial BackTrack: Booteo, Interfaz Grfica y Directorios (23 Jul. 2009)
Consultado el 3 de Septiembre de 2010, de http://labs.dragonjar.org/video-tutorialbacktrack-booteo-interfaz-grafica-y-directorios
BackTrack 4 Instalacin en disco duro, (n. d.), Consultado el 3 de Septiembre de

2010, de http://www.backtrack-linux.org/tutorials/backtrack-hard-driveinstall/?lang=es
Instalar BackTrack 4 Live USB, (n. d.), Consultado el 3 de Septiembre de 2010, de

http://www.backtrack-linux.org/tutorials/usb-live-install/?lang=es
SET Tutorials: Intro, (n. d.), Consultado el 3 de Septiembre de 2010, de

http://www.social-engineer.org/resources/settuts/01.html
LoganWHD, (n. d.), Social Engineering Tools, Videos and Resources: Malicious
PDF Email Attack, Consultado el 3 de Septiembre de 2010, de http://www.socialengineer.org/resources/Social-Engineering-Email-Attack-using-SET/SocialEngineering-Email-Attack-using-SET.html
LoganWHD, (n. d.), Social Engineering Tools, Videos and Resources: Phishing
using SET, Consultado el 3 de Septiembre de 2010, de http://www.socialengineer.org/resources/Phishing-Social-Engineer-Toolkit/Phishing-SocialEngineer-Toolkit.html
III.
OBJETIVOS
III.1
Objetivo General
14
Realizar guas prcticas que faciliten la instalacin, configuracin implementacin y uso

de la herramienta de ingeniera social SET contenida en BackTrack 4 R2 documentando
los ataques SPEAR-PHISHING y WEBSITE ATTACK VECTORS con el fin de contribuir
con la poca documentacin disponible en Espaol e igualmente para que sirva de
documento preventivo, teniendo en cuenta que al momento de consultarlas se identificara
las posibles formas de ser vctima de estos ataques.
III.2
Objetivo Especficos
Determinar cules opciones de las herramientas del kit sern documentadas.
Explicar detalladamente el proceso de las tcnicas de spear-phishing y website

attack vectors, para lograr: suplantar una pgina web y conseguir informacin
sensible.
Realizar las pruebas en ambientes controlados sin infringir la ley.
Publicar las guas para que estn a disposicin de personas sin conocimiento
avanzado en el rea de seguridad informtica y de la informacin, logrando
prevenir a cualquier usuario para que no sea vctima de la ingeniera social.
15
ALCANCE Y LIMITACIONES.
IV.3
Debe advertirse que en el desarrollo del proyecto, no se incurri en conductas delictivas y

se tuvo siempre en cuenta la legislacin vigente en Colombia como las conductas e
infracciones contempladas en el Cdigo Penal, la Ley 1273 de 2009 (de la proteccin de
la informacin y de los datos), la ley 842 de 2003 (Ley de tica del Ingeniero).
Asimismo
un documento habilitante 3 en donde se especifica que est permitida la
realizacin de dichas pruebas. El documento habilitante fue establecido por medio de una
carta de autorizacin concedida por la empresa SADEXIM S.A.S.
En el proceso del desarrollo de las pruebas tcnicas, se crearon cuentas de correo

electrnico de prueba, y en ningn caso se atacaron sitios diferentes a los permitidos. No
se causaron daos ni perjuicios en infraestructuras o bienes ajenos ya que fueron
realizados en ambientes controlados.
La finalidad de las guas, es describir el vector de ataque de spear-phishing y website

attack vectors, ms no como tomar control del sistema informtico del objetivo. Entre sus
funciones esta:
Demostrar la metodologa y los vectores de ataque, para prevenir ser vctima de

ellos.
Permitir la comprensin, evitando tecnicismos en la elaboracin de las guas.
Ver Anexo 2
16
Estas guas estn dirigidas a informticos, tcnicos y auditores de seguridad,

administradores de red y de sistemas, responsables de TI y al pblico en general, para
que puedan conocer los factores que alteran la seguridad, privacidad de los datos y
puedan tomar medidas para evitar ataques de ingeniera social y los perjuicios que
implican
V.3 JUSTIFICACIN
Con datos recabados en investigaciones previas, se identific que la mayora de

informacin se encuentra en otros idiomas y la poca documentacin disponible en espaol
est incompleta o redactada para personas con conocimientos previos en el tema.
Adems, se realiz una encuesta 4 a 250 personas conocedoras e interesadas en SET, de
forma presencial y mediante un formulario web* en 3 universidades: Corporacin
universitaria Minuto de Dios, Universidad Catlica, Universidad Pedaggica, con el fin de
verificar la problemtica real del uso de la herramienta. Los resultados obtenidos son los
siguientes:
Ver anexo
17
A partir de los resultados adquiridos, se propuso elaborar guas prcticas para darle
solucin a la problemtica de no tener documentacin adecuada y unificada acerca de las
herramientas de ingeniera social contenidas en la ltima versin de BackTrack 4 R2.
18
Las guas pretenden describir el manejo de las herramientas de SET, con el fin de
beneficiar a la sociedad compartindolas para que puedan ser estudiadas, consultadas y
as mismo usadas como mecanismo de precaucin frente a estas tcnicas. De igual
forma a la Corporacin Universitaria Minuto de Dios, porque fortalecer la lnea de
investigacin de seguridad informtica, y as, podr ser utilizado de antecedente para los
futuros trabajos de grado orientados a esta temtica.
Igualmente, buscan proporcionar los elementos que puedan alterar la seguridad y

privacidad de los datos.
Se espera el mejor uso de estas, ya que fueron realizadas con
fines educativos y pretenden generar la documentacin faltante.
VI.3
MARCO DE REFERENCIA
VI.1
MARCO TERICO
19
VI.1.1 SEGURIDAD INFORMTICA
Es un conjunto de actividades destinadas a identificar, proteger, y prevenir, aquello

considerado como susceptible 5 de robo, prdida o dao, ya sea de manera personal,
grupal o empresarial.
Para que un sistema pueda ser definido como seguro debe cumplir con los siguientes
componentes:
Integridad: Se debe garantizar que los datos no son modificados por personal no
autorizado, y son consistentes y verdicos.
Informacin sensible, aquella cuya difusin puede comprometer la seguridad y convertirse en un

punto de exposicin innecesario.
20
Confidencialidad: A travs de mtodos como el cifrado se debe garantizar que la

informacin pueda ser accesada nicamente por usuarios autorizados.
Disponibilidad: Los datos deben estar disponibles siempre, de tal modo que
quienes tengan acceso legtimo a la informacin puedan consultarla en el
momento en que as se requiera.
No repudiacin: No se puede negar la autora, el remitente debe ser quien dice

ser. Es decir, un emisor de un mensaje no puede negar que lo gener y viceversa.
Observancia: Cuando la informacin relacionada con las acciones y actividades

de los usuarios (personas o procesos) se encuentra debidamente registrada y
monitoreada. Adicionalmente, la administracin de la seguridad y accesos
privilegiados tambin son monitoreados. La observancia promueve el adecuado
funcionamiento de todo el modelo de seguridad informtica.
Control de acceso: Es la habilidad de permitir o denegar el acceso a sistemas

informticos especficos y recursos,
pueden ser usados para cuidar recursos
fsicos y recursos lgicos.
Dependiendo de la naturaleza de la amenaza existen dos tipos de seguridad:
Seguridad fsica: consiste en la "aplicacin de barreras fsicas y procedimientos

de control, como medidas de prevencin y contramedidas ante amenazas a los
recursos e informacin confidencial***. Se refiere a los controles y mecanismos de
seguridad de equipos y los medios de acceso remoto hacia y desde el mismo
(cmaras
de
seguridad,
mantenimiento elctrico,
anti-incendio,
humedad),
implementados para proteger los equipos. Este tipo de seguridad est enfocado a
21
cubrir amenazas ocasionadas por el hombre y la naturaleza, del ambiente fsico

en que se encuentran los equipos.
Seguridad lgica: consiste en la aplicacin de barreras y procedimientos que

resguarden el acceso a los datos y slo se permita acceder a ellos a las personas
autorizadas para hacerlo**.
VI.1.2
POLTICAS DE SEGURIDAD
Conjunto de requisitos definidos por responsables de un sistema, que indican lo que est
o no permitido para mantener segura la informacin. Igualmente se convierten en medio
para concienciar al personal sobre la importancia de la informacin y servicios crticos que
pueden verse afectados por uso inadecuado de los sistemas.
Bsicamente, una poltica de seguridad hace la descripcin de lo que se desea proteger y

el por qu de ello, cada poltica es una invitacin a reconocer la informacin como activo
principal. Por tal razn, estas deben tener una posicin consciente y vigilante del personal
en cuanto al uso, limitaciones de los recursos y servicios informticos, para asegurar los
cuatro aspectos fundamentales de la seguridad informacin que son: disponibilidad,
integridad y confidencialidad.
22
Es importante que al momento de redactar polticas de seguridad se tenga en cuenta,

emplear derechos de acceso a datos y recursos con herramientas de control y
mecanismos de identificacin, ya que permiten verificar que slo se tengan los permisos
asignados. Algunas Tcnicas para asegurar el sistema, pueden ser: Codificar la
informacin (Criptografa, contraseas difciles), Vigilancia de red, Zona desmilitarizada,
Tecnologas repelentes o protectoras (cortafuegos, sistema de deteccin de intrusos antispyware, Antivirus), Mantener los sistemas de informacin con las ltimas
actualizaciones, Sistema de Respaldo Remoto, Servicio de BackUp remoto.
Otro punto importante que abarca las polticas de seguridad es la capacitacin a usuarios
de vulnerabilidades de servicios informticos, ya que las polticas son una forma de
comunicarse con los usuarios con recomendaciones como:
No ejecutar un programa de procedencia desconocida.
No informar telefnicamente de las caractersticas tcnicas de la red.
Nunca tirar documentacin tcnica a la basura, sino destruirla.
Verificar previamente la veracidad de la fuente que solicite cualquier informacin

sobre la red.
No proporcionar cuentas de correo electrnico y otros datos personales a

personas u entidades que puedan utilizar estos con otros fines.
Utilizar claves de acceso complejas.
Claramente las decisiones en cuanto a polticas de seguridad, determinan que tan segura
estar la informacin, y el nivel de funcionalidad que ofrecer.
VI.1.3
23
INGENIERA SOCIAL
Es un conjunto de tcnicas psicolgicas y habilidades sociales que permiten que las

personas realicen voluntariamente acciones que normalmente no haran. Se vale de
errores y fallas en la seguridad informtica. Tiene tres tipos. El primero, tcnicas pasivas
como lo es la observacin; el segundo, tcnicas no presenciales como el uso del telfono,
carta, fax o mail; y el tercero, tcnicas presenciales que a su vez tiene dos tipos: las
agresivas y las no agresivas. Las agresivas son el uso de suplantacin de identidad,
extorsin o presin psicolgica. Y las no agresivas como la bsqueda en la basura
(Dumpster Diving), mirar por encima del hombro (Shoulder Sourfing), el seguimiento de
personas, entre otras.
Existen herramientas y tcnicas creadas con el fin de atraer usuarios a determinadas

pginas donde se les ofrece algn producto ilcitamente, otros con el fin de llevarlos
engaados a una pgina web idntica a la de algn banco, o entidad que permita hacer
pagos por Internet, donde se solicita al usuario ingresar sus datos personales para
utilizarlos de manera ilegal.
Estas herramientas pueden ser usadas para recopilacin de informacin de sospechosos

o delincuentes.
VI.1.4
TCNICAS DE ATAQUE
DENEGACIN DE SERVICIOS: tiene como objetivo imposibilitar el acceso a los servicios

y recursos de una organizacin durante un perodo indefinido de tiempo. Por lo general,
24
este tipo de ataques est dirigido a los servidores de una compaa, para que no puedan
utilizarse ni consultarse, puede afectar a cualquier servidor conectado a Internet. Su
objetivo no reside en recuperar ni alterar datos, sino en daar la reputacin de las
compaas con presencia en Internet y potencialmente impedir el desarrollo normal de sus
actividades en caso de que stas se basen en un sistema informtico.
La mayora de los ataques de denegacin de servicio aprovechan las vulnerabilidades
relacionadas con la implementacin de un protocolo TCP/IP modelo.
Generalmente, estos ataques se dividen en dos clases:
Las denegaciones de servicio por saturacin, que saturan un equipo con

solicitudes para que no pueda responder a las solicitudes reales.
Las denegaciones de servicio por explotacin de vulnerabilidades, que aprovechan

una vulnerabilidad en el sistema para volverlo inestable. Los ataques por
denegacin de servicio envan paquetes IP o datos de tamaos o formatos
atpicos que saturan los equipos de destino o los vuelven inestables y, por lo tanto,
impiden el funcionamiento normal de los servicios de red que brindan.
Cuando varios equipos activan una denegacin de servicio, el proceso se conoce como
"sistema distribuido de denegacin de servicio" (DDOS, Distributed Denial of Service).
FUERZA BRUTA: se caracteriza por una tentativa continuada de obtener acceso a un

servicio del sistema (ssh, smtp, http, etc.), intentando diversas combinaciones de nombre
del usuario y su contrasea. Para llevar a cabo este ataque, el atacante puede usar un
25
software que gestiona diversas combinaciones de caracteres o basarse en una lista de

palabras (diccionario).
En ambos casos, un ataque de este gnero es un vido consumidor de recursos y
potencialmente bastante peligroso, especialmente si los usuarios del sistema no tienen un
mnimo de cuidado al elegir sus contraseas.
MAN IN THE MIDDLE: es un ataque en donde se intercepta los mensajes en un

intercambio de claves pblicas y luego se retransmite, sustituyendo su propia clave
pblica para el atacante, por lo que las dos partes iniciales an parecen estar
comunicndose entre s.
El ataque debe su nombre al juego de pelota donde dos personas tratan de lanzar un
baln directamente el uno al otro, mientras que una persona de entre ellos lo intenta
capturar. En un MAN IN THE MIDDLE, el intruso utiliza un programa que parece ser el
servidor al cliente y parece ser que el cliente al servidor. El ataque puede ser usado
simplemente para tener acceso al mensaje, o permitir al atacante modificar el mensaje
antes de retransmitirlo.
PHARMING: consiste en manipular las direcciones DNS (Domain Name Server) que
utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la
pgina que desean ver. Pero a travs de esta accin, los ladrones de datos consiguen
que las pginas visitadas no se correspondan con las autnticas, sino con otras creadas
para recabar datos confidenciales, sobre todo relacionadas con la banca online.
A travs del pharming, cuando el usuario teclea en su navegador la direccin de la
pgina a la que quiere acceder, en realidad puede ser enviado a otra creada por el
26
hacker, que tiene el mismo aspecto que la original. As, el internauta introducir sus datos
confidenciales sin ningn temor, sin saber que los est remitiendo a un delincuente.
El pharming puede tener algunas similitudes con las estafas de phishing que se llevan a
cabo a travs del correo electrnico, aunque las primeras resultan ms insidiosas, dado
que pueden desviar al usuario a un sitio falso sin que aqul participe o tenga conocimiento
de ello.
SPOOFING: se conoce como la creacin de tramas TCP/IP utilizando una direccin IP

falseada; la idea de este ataque es: desde su equipo, un pirata simula la identidad de otra
mquina de la red para conseguir acceso a recursos de un tercer sistema que ha
establecido algn tipo de confianza basada en el nombre o la direccin IP del host
suplantado.
BOMBAS LGICAS: ataque con fines maliciosos que se ejecuta un da especifico, en

una hora especfica, etc, y que puede ejecutar modificaciones como borrado de un disco
duro, entre otras acciones.
WARDRIVING: ataque usado para crackear contraseas de redes inalmbricas. Es el

mtodo ms conocido para detectar las redes inalmbricas inseguras. Se realiza
habitualmente con un dispositivo mvil, como un ordenador porttil o un PDA. El mtodo
es realmente simple: el atacante simplemente pasea con el dispositivo mvil y en el
momento en que detecta la existencia de la red, se realiza un anlisis de la misma.
Para realizar el Wardriving se necesitan realmente pocos recursos. Los ms habituales
son un ordenador porttil con una tarjeta inalmbrica, un dispositivo GPS para ubicar el
27
PDA en un mapa y el software apropiado (AirSnort para Linux, BSD- AriTools para BSD o
NetStumbler para Windows).
WARCHALKING: Se trata de un lenguaje de smbolos utilizado para marcar sobre el

terreno la existencia de las redes inalmbricas, de forma que puedan ser utilizadas por
aquellos que 'pasen por all'.
PHISHING: es una forma de engaar a los usuarios para que revelen informacin
personal o financiera mediante un mensaje de correo electrnico o sitio web fraudulento.
Normalmente, una estafa por suplantacin de identidad empieza con un mensaje de
correo electrnico que parece un comunicado oficial de una fuente de confianza, como un
banco, una compaa de tarjeta de crdito o un comerciante en lnea reconocido. En el
mensaje de correo electrnico, se dirige a los destinatarios a un sitio web fraudulento,
donde se les pide que proporcionen sus datos personales, como un nmero de cuenta o
una contrasea. Despus, esta informacin se usa para el robo de identidad.
TROYANOS: cdigo malicioso que se ejecuta sin que la vctima se d cuenta, permite el
acceso remoto del atacante al computador vctima, denegaciones de servicio, robo de
contraseas y usuarios, entre otras.
BUFFER OVERFLOW: Es un error de sistema causado por un defecto de programacin,

de tal forma que el programa que lo sufre pretende escribir ms informacin en el buffer
(unidad de memoria) de la que este puede alojar.
28
Este desbordamiento es posible porque el autor del programa no incluy el cdigo

necesario para comprobar el tamao y capacidad del buffer en relacin con el volumen de
datos que tiene que alojar.
Los problemas comienzan cuando el exceso de datos se escribe en otras posiciones de
memoria, con la perdida de los datos anteriores.
Si entre los datos perdidos por la sobre escritura se encuentran rutinas o procedimientos
necesarios para el funcionamiento del programa que se est ejecutando, el programa
dar error.
Cuando la memoria de un programa llega a sobrescribir en forma aleatoria, el programa
generalmente se colgar.
SQL INJECTION: consiste en la insercin directa de cdigo en variables especificadas

por el usuario que se concatenan con comandos SQL y se ejecutan. Existe un ataque
menos directo que inyecta cdigo daino en cadenas que estn destinadas a
almacenarse en una tabla o como metadatos. Cuando las cadenas almacenadas se
concatenan posteriormente en un comando SQL dinmico, se ejecuta el cdigo daino.
El proceso de inyeccin consiste en finalizar prematuramente una cadena de texto y

anexar un nuevo comando. Como el comando insertado puede contener cadenas
adicionales que se hayan anexado al mismo antes de su ejecucin, el atacante pone fin a
la cadena inyectada con una marca de comentario "--". El texto situado a continuacin se
omite en tiempo de ejecucin.
29
BLIND SQL INJECTION: ataque a ciegas de inyeccin de sentencias SQL, usado para
explotar las vulnerabilidades de una base de datos que despus de ser inyectadas se
espera que retorne un error (proceso de adivinacin).
SMURF: ataque de denegacin de servicios, que junto a spoofing busca dejar fuera de
servicio un sistema con el uso de grandes paquetes icmp.
VI.1.5
BACKTRACK
Es un software que usa un arsenal de pruebas de intrusin basado en Linux que ayuda a
profesionales de la seguridad en la capacidad de realizar evaluaciones en un entorno
nativo exclusivamente dedicado al Hacking. Sin importar si se est utilizando
como sistema operativo principal, arranque de un Live Cd, o en una maquina virtual,
BackTrack se ha personalizado hasta el ltimo paquete de configuracin del kernel, la
escritura, entre otros, con el propsito de realizar pruebas de intrusin. Se ha ampliado
desde su creacin 4 veces haciendo que cada versin sea mejor que la anterior para de
esta forma lograr que sea un marco de pruebas de penetracin confiable.
BackTrack 4 R2 es la segunda actualizacin para la rama 4 en donde se incluye el kernel

2.6.34 y a la cual se le hicieron varias mejoras tales como el soporte de hardware, la
capacidad de respuesta del escritorio, entre muchas otras. Este software de seguridad, es
considerado por el equipo que lo desarrollo la mejor versin que se ha publicado a la
fecha.
30
Fue diseado para la auditora de seguridad y relacionado con la seguridad informtica

en general, su enfoque es la realizacin de test de penetracin y proporciona acceso
a ms de 300 herramientas de todo tipo (sniffers, Exploits, auditora wireless, anlisis
forense, etc) entre las que se destaca el kit de herramientas de ingeniera social SET.
IV.1.6 SOCIAL ENGINEERING TOOLKIT (SET)
Es un kit de herramientas que ayuda en la tarea de realizar ataques de ingeniera social,

permite suplantar fcilmente la identidad de un sitio determinado, o enviar ataques por
mail a las cuentas de correo de alguna compaa o persona, infectar memorias USB, etc,
fue diseado por David Kennedy (ReL1K).
Estas herramientas se usan para verificar el nivel de vulnerabilidad de una empresa ante
ataques de ingeniera social y
para tomar las medidas correspondientes. La versin
actual es la 1.3 y fue liberada en abril de 2011.
VI.1.7
METASPLOIT FRAMEWORK
31
Es una solucin de pruebas de penetracin de cdigo abierto desarrollado por la

comunidad de Open Source y Rapid7. Estndar para pruebas de penetracin, con la base
de datos publica ms grande y de calidad para explotar.
Es la herramienta lder en pruebas de penetracin del mundo. Se trata de un proyecto de

cdigo abierto que proporciona el software de pruebas de penetracin, la informacin
sobre vulnerabilidades de seguridad, y permite el cdigo de explotacin y el desarrollo de
firma DS.
El Metasploit Framework, est desarrollado en Ruby con algunos componentes C y

assembler, es la plataforma de desarrollo real utilizada para crear herramientas de
seguridad de prueba y mdulos de explotacin, tambin se puede utilizar como un
sistema de pruebas de penetracin. Es una herramienta de lnea de comandos muy
poderosa que ha publicado algunas de las hazaas ms sofisticadas a las
vulnerabilidades de seguridad pblica. Tambin es conocida por sus herramientas antiforense y de evasin, que se construyen en el marco de Metasploit.
VI.2
MARCO CONCEPTUAL
32
Ambiente controlado: Es el entorno o lugar donde se cuida hasta el mnimo detalle de

control y seguridad para el desarrollo de actividades de experimentacin, investigacin y
enseanza de ataques informticos.
Ataque informtico: Mtodo organizado por el cual se intenta tomar el control,

desestabilizar o daar un sistema informtico o red.
Auditoria: Conjunto de procedimientos y tcnicas para evaluar y controlar, total o

parcialmente, un sistema informtico, con el fin de proteger sus activos y recursos,
verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa
informtica y general existentes en cada empresa y para conseguir la eficacia exigida.
BT4R2: Backtrack 4 release 2, ltima versin lanzada de este software, distribucin en

live cd diseada para la auditoria de seguridad.
Confidencialidad: Calidad de secreto, que no puede ser revelado a terceros o personas

no autorizadas.
Control de accesos: Se utiliza para restringir el acceso a determinadas reas del PC, de
la red, mainframes, Internet, ftp, web, etc... El permiso o la denegacin de acceso puede
realizarse en funcin de la direccin IP, el nombre de dominio, nombre de usuario y
password, certificados del clientes, protocolos de seguridad de redes, etc...
33
Delito informtico: Delito cometido utilizando un PC; tambin se entiende por delito
informtico cualquier ataque contra un sistema de PC's.
Informacin sensible: Informacin personal privada, aquella que podra daar los
intereses de una organizacin o terceros, ocasionando daos o perdidas por su revelacin
no autorizada.
SET: Kit de herramientas que ayuda en la tarea de realizar ataques de ingeniera social,
permite suplantar fcilmente la identidad de un sitio determinado.
Vector de ataque: Bsicamente son los pasos y estrategias q se deben realizar para
lograr el xito de un ataque informtico.
Vulnerabilidad:
Debilidad en
un sistema
permitiendo
un atacante violar
la
confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o

de sus datos y aplicaciones.
VI.3
34
MARCO LEGAL
VI.3.1 Derechos De Autor
Ley 23 De 1982 sobre Derechos de Autor

El Derecho de Autor es el conjunto de normas que protegen los derechos subjetivos de
los creadores de las obras. Comprende dos aspectos: los derechos morales y los
derechos patrimoniales. Los primeros hacen referencia al conjunto de prerrogativas en
virtud de las cuales el autor podr reivindicar en todo tiempo la paternidad de la obra,
oponerse a cualquier deformacin que demerite la obra o su reputacin, publicarla, o
conservarla indita, modificarla y a retirarla de circulacin. Los derechos morales son
intransferibles, irrenunciables e imprescriptibles.
Por su parte, los derechos patrimoniales son todas las facultades que le permiten al autor
explotar econmicamente la obra. El titular de tales derechos podr realizar, autorizar o
prohibir cualquier forma de utilizacin que se quiera hacer de la obra, tales como
reproducirla, comunicarla al pblico, distribuirla, transformarla, ponerla a disposicin, entre
muchas otras. Su trmino de duracin est limitado a la vida del autor ms 80 aos
despus de su muerte.
De esta forma, Las estudiantes ceden voluntariamente y gratuitamente los derechos

patrimoniales de autor a la Corporacin Universitaria Minuto de Dios diligenciando un
formato con firma reconocida ante notario pblico de acuerdo con la normatividad vigente.
De esta forma la Universidad podr hacer uso patrimonial de este trabajo de grado.
35
En cuanto a la publicacin de las guas, los derechos reservados son:
RECONOCIMIENTO-NOCOMERCIAL-COMPARTIRIGUAL 2.5 COLOMBIA
Usted es libre de:
Copiar, distribuir y comunicar pblicamente la obra
Hacer obras derivadas
Bajo las condiciones siguientes:

Reconocimiento Debe reconocer los crditos de la obra de la manera
especificada por el autor o el licenciador (pero no de una manera que sugiera
que tiene su apoyo o apoyan el uso que hace de su obra).
No comercial No puede utilizar esta obra para fines comerciales.
Compartir bajo la misma licencia Si altera o transforma esta obra, o genera

una obra derivada, slo puede distribuir la obra generada bajo una licencia
idntica a sta.
Entendiendo que:
Renuncia Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del
titular de los derechos de autor
Dominio Pblico Cuando la obra o alguno de sus elementos se halle en el dominio
pblico segn la ley vigente aplicable, esta situacin no quedar afectada por la licencia.
36
Otros derechos Los derechos siguientes no quedan afectados por la licencia de

ninguna manera:
Los derechos derivados de usos legtimos u otras limitaciones reconocidas por ley
no se ven afectados por lo anterior.
Los derechos morales del autor
Derechos que pueden ostentar otras personas sobre la propia obra o su uso, como
por ejemplo derechos de imagen o de privacidad.
Aviso Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la
licencia de esta obra.
VI.3.2
RENUNCIA DE RESPONSABILIDAD
Considerando la existencia de leyes vigentes en Colombia se especifica que LAS

AUTORAS, EL DIRECTOR DEL PROYECTO Y LA CORPORACIN UNIVERSITARIA
MINUTO DE DIOS, NO se responsabilizan por el uso indebido o mal intencionado que se
haga de todo lo aqu expuesto ya que el contenido e intencin de las guas es netamente
de carcter educativo. Asimismo, se advierte que se tomara en cuenta el principio de la
territorialidad de la ley que ejercen los Estados. Los usuarios de las guas aceptan y se
hacen responsables de cualquier dao o perjuicio que se presente como consecuencia de
del uso de las guas, siendo consientes de que si infringe la ley, esta conducta ser
castigada
VII.
37
DISEO METODOLGICO
VII.1
TIPO DE INVESTIGACIN
La propuesta metodolgica del presente proyecto se basa en la investigacin exploratoria

ya que no existen investigaciones previas sobre el objeto de estudio, y por lo tanto se
requiere explorar e indagar, con el fin de alcanzar el objetivo planteado.
Los estudios exploratorios se efectan, normalmente, cuando el objetivo es examinar un tema

o problema de investigacin poco estudiado o que no ha sido abordado antes. Es decir,
cuando la revisin de la literatura revela que nicamente hay guas no investigadas e
ideas vagamente relacionadas con el problema de estudio.
La investigacin exploratoria terminar cuando, a partir de los datos recolectados, se

adquiera el suficiente conocimiento como para saber qu factores son relevantes al
problema y cules no. Hasta ese momento, se est ya en condiciones de encarar un
anlisis de los datos obtenidos de donde surgen las conclusiones y recomendaciones
sobre la investigacin 6.
HERNNDEZ SAMPIERI y otros (1994). Metodologa de la investigacin, Mxico, Mc Graw Hill,

Cap. 4
VII.2
38
MTODOS
VII.2.1 TESIS ANTTESIS Y SNTESIS
VII.2.1.1
TESIS
La ingeniera social es la tcnica ms usada para obtener acceso a informacin usando

mtodos de convencimiento y persuasin contra el elemento humano, los cuales explotan
las debilidades propias y la falta de mantenimiento de un sistema de informacin. Ya sea
por ingenuidad, inocencia, ignorancia, los humanos cometen errores muy seguidamente
que pueden poner en peligro la seguridad de un sistema y la mayora de veces la vctima
no se percata de lo que est haciendo. Algunos ejemplos: una llamada telefnica en
donde un cierto personaje se hace pasar por agente de soporte tcnico de alguna
aplicacin o empresa, que pregunta ciertos datos para corroborar el estado de dicha
aplicacin; la informacin transmitida a travs de un correo electrnico en donde se
suplanta la identidad de un sitio oficial para que el usuario descargue o acceda a sitios en
donde puede ser estafado; hacerse pasar por las autoridades policiales afirmando estar
en un proceso que requiere la mayor colaboracin y sobre todo discrecin con la
informacin que se est solicitando para un determinado caso; espiar la pantalla y el
teclado de alguna persona mientras esta est ingresando a un sitio que requiera
informacin confidencial o autenticacin; o pedir prestado el computador de la victima ya
sea para ser usado directamente o para que la victima permita conectar un dispositivo de
almacenamiento a l; entre otras.
La seguridad de la informacin no solo se basa en los controles de accesos fsicos y
lgicos o en las polticas de seguridad,
sino tambin debe enfocarse al elemento
humano ya que este es el encargado de interactuar con estos elementos que por s solos
39
no se equivocan, como lo son el hardware y el software. El ingeniero social est

entrenado en tcnicas que permitan la deteccin de vulnerabilidades de la persona, desde
verificar si la informacin que est brindando es verdica de forma presencial (expresiones
faciales, tono de voz, expresin corporal, uso de los sentidos y las emociones) hasta
lograr tender la trampa bien estructurada para que la vctima no se percate del ataque (via
web).
VII.2.1.2 ANTTESIS
Con los avances tecnolgicos de hoy en da, los sistemas de informacin crecen de
forma ms rpida y con estos los problemas de seguridad de la informacin. Una de las
amenazas ms importantes es la ingeniera social ya que por medio de la psicologa logra
manipular al elemento humano para obtener la informacin necesaria y conseguir
penetrar un sistema. Esta es una problemtica que afecta directamente a las grandes
compaas ya que los crackers y delincuentes informticos se centran en conseguir un
beneficio propio, algo de dinero o simplemente el desprestigio de dicha compaa, su
objetivo principal son las personas ms influyentes, las que poseen la mayor informacin
para que el ataque sea exitoso, la ingeniera social se aplica a las personas que tienen
contacto con la tecnologa y por esto en las polticas de seguridad se encuentran
implementados los antivirus y los firewalls que estn en la capacidad de prevenir en gran
parte ser vctima de los ataques. La mejor estrategia para prevenir ser vctima es la
inversin en equipos de cmputo y la implementacin de software.
40
VII.2.1.3 SNTESIS
La falta de creacin y cumplimiento de polticas de seguridad, fallas en la programacin,

poca actualizacin de software, falta de educacin y prevencin para los usuarios, son
algunos de los motivos que hacen vulnerable un sistema de informacin, pero en gran
medida el elemento humano es el ms importante y al cual se le debe prestar ms
atencin ya que este constituye uno de los problemas ms importantes porque tienen la
capacidad de decidir voluntaria o involuntariamente, romper las reglas y normas
impartidas en las polticas de seguridad, permitindole a un atacante obtener informacin
y acceder a un sistema informtico eludiendo los mecanismos y las tecnologas de
seguridad.
La ingeniera social va mas all de los conocimientos tcnicos, por esta razn es una
grave amenaza que puede ocasionar enormes prdidas sin precedentes 7, ya sea a
grandes o pequeas empresas e igualmente a cualquier persona.
No se puede afirmar que el hecho de tener una buena estructura tecnolgica garantiza la
seguridad informtica. Por esta razn se debe disminuir el riesgo de ser vctimas de la
ingeniera social, teniendo claro que es fundamental la capacitacin del usuario ya que el
desconocimiento de este tema es la mayor ventaja que tiene un ingeniero social, y puede
ser contrarrestada creando conciencia sobre los riesgos y daos potenciales frente a
estos ataques.
Ver anexo 3
VII.2.2
41
PRUEBA ERROR
Este mtodo se caracteriza por ser cclico, es decir, se prueba una opcin y se observa si
funciona. Si funciona, entonces se tiene una solucin. Si no, esto es un error y se intenta
otra opcin, as sucesivamente hasta llegar a una solucin.
Segn lo anterior, se tendrn en cuenta algunos parmetros para la realizacin de las

guas y la obtencin de posibles soluciones en cada una de ellas:
Las guas tratarn de encontrar slo una solucin, no todas las soluciones, ni
tampoco la mejor.
Requieren de diferentes medios para realizarse y no siempre el resultado

obtenido es exitoso.
Las guas no descubrirn por qu funciona una solucin, sino que slo seala
cul es la solucin.
VII.3
UNIVERSO
Todas las empresas privadas ubicadas sector en la ciudad de Bogot, especficamente

concesionarios de carros y motos que distribuyan accesorios y tengan acceso a internet.
VI.4
42
POBLACIN
Concesionarios de motos que presten servicio tcnico a sus clientes, tengan acceso a
internet y estn ubicadas en el rea noroccidente de la ciudad de Bogot, ms
exactamente en la Av. Boyac, entre las calles 53 y 68.
VII.5
MUESTRA
Se tomar como prototipo la empresa SADEXIM S.A.S ubicada en la direccin Av.

Boyac # 67-34 Barrio Normanda - Bogot.
VII.6
TCNICAS
INSTRUMENTOS
DE
RECOLECCIN
DE
INFORMACIN
Por la complejidad del tema, se implementaron dos tcnicas para la obtencin de

informacin que permitieron la medicin de
las variables a fin de obtener los datos
necesarios para el estudio del problema o aspecto de la realidad.

Inicialmente se realizo una encuesta para determinar el porcentaje de la problemtica del
proyecto, esto con el fin de determinar cules eran los aspectos ms importantes para
tener en cuenta al momento de realizar las guas y darle solucin al problema.
Asimismo se realizo una entrevista antes y despus de lanzar algn ataque, a las
victimas escogidas y as determinar las posibles causas que hacan vulnerable a la
persona al momento de enfrentarse con un ataque de ingeniera social.
43
VII.6.1 ENCUESTA: Es una Tcnica cuantitativa que consiste en una investigacin

realizada sobre una muestra de sujetos, recogen informacin de una porcin de la
poblacin de inters, dependiendo el tamao de la muestra en el propsito del
estudio. Con esta se pueden detectar ideas, necesidades, preferencias, hbitos de
uso, etc. La encuesta tiene la ventaja de su amplio alcance, puede ser rpida en
su construccin y econmica en su aplicacin. Bsicamente su finalidad es
conseguir mediciones cuantitativas sobre una gran cantidad de caractersticas
objetivas y subjetivas de la poblacin.
VII.6.2 ENTREVISTA Este es un mtodo de investigacin social que sigue los

mismos pasos de la investigacin cientfica; slo que en su fase de recoleccin de
datos, stos se obtienen mediante un conjunto de preguntas, orales o escritos, que
se les hace a las personas involucradas en el problema o motivo de estudio.
44
CONCLUSIONES
Las guas prcticas para uso de tcnicas de ingeniera social, Estn elaboradas para
permitir la comprensin del usuario, en su elaboracin se evito el uso de tecnicismos,
pero tambin se omite el paso de toma de control de la vctima, es decir en las guas se
ilustran los pasos para realizar el ataque pero nunca como tomar control de la vctima,
esto no quiere decir q los ataques no sean exitosos, simplemente q se pretende mostrar
cuales son los pasos que hace un delincuente para robar nuestra informacin. Esto se
hizo porque nuestras guas estn dirigidas al publico general y no sabemos q tan
responsable sea la persona al momento de usarlas. Adems contienen anexos en donde
se explican los Exploits y las cargas maliciosas a usar.
En cuanto a las pruebas, se realizaron en ambientes controlados teniendo siempre
presentes las leyes vigentes. Con los resultados de las pruebas se puede comprobar que
es importante la actualizacin del software, ya que si estos no las poseen pueden ser
explotadas las vulnerabilidades y el atacante puede tomar el control de la mquina
vctima. Adems, se deben realizar capacitaciones en donde se informe de los efectos
que pueden causar un ataque exitoso de ingeniera social y las formas de identificarlos o
contrarrestarlos.
La mayora de personas de la muestra fueron vulnerables ante la ingeniera social. Desde
que el atacante clone o robe una cuenta de correo electrnico autorizada es ms alto el
porcentaje de victimas.
SET es una herramienta poderosa que junto a Metasploit logra hacer ataques de
ingeniera social, para ejecutarla no se necesita el mayor conocimiento sobre seguridad.
El elemento que permite ataques de Ingeniera Social y una serie de problemticas que
se encierran dentro del conocimiento y desconocimiento sobre el tema es sin duda
alguna, el factor humano, ya que es parte esencial y primordial de la seguridad. No existe
un sistema informtico que no dependa de algn dato ingresado por un usuario. Por esta
razn se convierte en una debilidad de seguridad universal, independiente de
45
plataformas, software, red, equipo y la edad de la persona que sea afectada. La falta de
conocimiento y capacitacin sobre las distintas tcnicas y maneras de ser atacados con el
uso de la Ingeniera Social es lo que hace vulnerable a cualquier usuario.
Tambin existen otras causas como: Permitir el acceso a alguna parte del sistema,
fsicamente o electrnicamente, por parte de personas externas o propias de la empresa
que no tengan relacin con lo que se realice. Desconocimiento de polticas y protocolos
de la organizacin por parte de los empleados, en donde se les explique la manera de
trabajo de la misma. Indiferencia del personal para respaldar informacin y mantenerse
alerta a distintos sistemas de seguridad de informacin. Utilizacin de herramientas que
no proporcionen seguridad a la informacin ni al personal, y con esto permitan el robo, o
algn dao al sistema. Debido a esto la ingeniera social es un asunto de extremado
cuidado para cualquier persona y aun ms para empresas u organizaciones. Es vital tener
en cuenta las siguientes recomendaciones:
Actualizaciones oportunas del software (parches)
Capacitacin a los usuarios y personal, desde los operarios hasta personal de

limpieza.
Anlisis con antivirus de todos los correos recibidos
No informar telefnicamente de las caractersticas tcnicas de la red, ni nombre de

personal a cargo.
Control de acceso fsico al sitio donde se encuentra los ordenadores.
Polticas de seguridad a nivel de Sistema Operativo.
Por otra parte tambin se concluye que son bastantes las personas que caen a causa de
estos ataques, la ingeniera social tiene como fin persuadir, por esta razn se muestran
los resultados de las pruebas realizadas (Ver anexo 4).
En sntesis se puede decir que La mejor manera de estar protegido contra la
ingeniera social y sus tcnicas, es el conocimiento.
46
BIBLIOGRAFA Y WEBGRAFIA
Ataque por denegacin de servicio, (16 Oct 2008), Consultado el 28 de Abril de

2011, de http://es.kioskea.net/contents/attaques/dos.php3
BackTrack 4 R1 Dev Public Release (10 Mayo 2010), Consultado el 3 de

Septiembre de 2010, de http://www.offensive-security.com/backtrack/penetrationtesting-information-security-distribution/
Biscione. Carlos A., (n, d),

Consultado
el
12
INGENIERA SOCIAL PARA NO CREYENTES,

de
Septiembre
de
2010,
de
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jornada_de_Segurida
d/IngenieraSocial_CarlosBiscione.pdf
Conceptos bsicos de Seguridad Informtica, (n, d,), Consultado el 12 de

Septiembre de 2010, de http://www.eurologic.es/conceptos/conbasics.htm
Computer Based Social Engineering Tools: Social Engineer Toolkit (SET), (16 Sep
2009), Consultado el 3 de Septiembre de 2010, de http://www.socialengineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Eng
ineer_Toolkit_(SET)
Descargar BackTrack 4 R2 (2 Ago. 2010), Consultado el 3 de Septiembre de 2010,

de http://www.dragonjar.org/descargar-backtrack-4-r1.xhtml
HERNNDEZ SAMPIERI y otros (1994). Metodologa de la investigacin, Mxico,

Mc Graw Hill, Cap. 4
Inyeccin de cdigo SQL, (N, D), Consultado el 28 de Abril de 2011, de

http://msdn.microsoft.com/es-es/library/ms161953.aspx
Man in the middle attack (fire brigade attack), (22 Nov 2000), Consultado el 28 de
Abril de 2011, de http://searchsecurity.techtarget.com/definition/man-in-the-middleattack
Nueva tcnica de fraude informtico: el pharming, (30 Mar 2005), Consultado el

28 de Abril de 2011, de http://www.belt.es/noticias/2005/abril/01/pahrming.htm
Prevencin de ataque de fuerza bruta, (N, D), Consultado el 28 de Abril de 2011,

de http://servidordebian.wikidot.com/squeeze-es:security-bruteforceattack
Qu es la suplantacin de identidad (phishing)?, (N, D), Consultado el 28 de Abril

de 2011, de http://windows.microsoft.com/es-XL/windows-vista/What-is-phishing
47
Qu es un buffer overflow ?, (14 Ene 2007), Consultado el 28 de Abril de 2011,

de http://www.ignside.net/man/seguridad/buffer_o.php
Seguridad de las redes inalmbricas: Wardriving y Warchalking, (19 Nov 2002),

Consultado el 28 de Abril de 2011, de http://www.hispasec.com/unaaldia/1486
Video Tutorial SET (Social Engineering Toolkit), (24 May 2010), Consultado el 12
de Septiembre de 2010, de
http://www.dragonjar.org/video-tutorial-set-social-
engineering-toolkit.xhtml
Visentin. Maximiliano, (13 Dic 2006), La Ingeniera Social Oportunidades que le

brindan las nuevas amenazas, Consultado el 12 de Septiembre de 2010, de
http://www.eset-la.com/pub/mvis.pdf
48
Anexo 1
ENCUESTA
Nombre:________________________________________________________Edad:____
Ocupacin: _____________________ Correo electrnico:_________________________
Por favor responda las siguientes preguntas:
1. Ejecuta usted el kit de herramientas de ingeniera social (SET) usando:
a. BackTrack
b. Descarga directa a su distribucin de Linux preferida
2. Ha tenido problemas al usar SET?
a. Si
b. No
3. Si la respuesta anterior fue si, Cul ha sido el principal problema a la hora de
usar SET?
a. El idioma en el que se encuentra
b. La poca documentacin en la red
c. Todas las anteriores
4. Qu tipo de ayudas ha usado usted?
a. Foros
b. Manuales
c. Video-tutoriales
d. FAQ
e. Ninguna de las anteriores
5. Las ayudas son entendibles?
a. Si
b. No
6. Califique las ayudas que ha utilizado de SET:
1. Excelente
2. Bueno
3. Regular
4. Malo
5. Psimo
7. Cul sera el mejor mtodo de ayuda para SET?
a. Video-tutoriales
b. Guas paso a paso
c. Clase presencial
d. Otra, cul?: __________________
ANEXO 2
49
50
ANEXO 3
Estudio de prdidas a causa de ingeniera social.
La ingeniera social es el tema ms relevante al momento de hablar de seguridad de la

informacin. Pero no todo el mundo es realmente consciente de ello, por esta razn se
realizo un proyecto de investigacin sobre la ingeniera social, con el objetivo de
demostrar que la mayora de los usuarios de la red no puede identificar un vnculo o la
legitimidad de un correo electrnico. El experimento fue diseado en base a una encuesta
on-line y que incluye tres secciones principales.
La primera seccin recoge datos demogrficos sobre los encuestados, conocimientos de

informtica, la educacin y su uso de Internet. Esto es seguido por la parte principal de la
encuesta, que consisti en una prueba pequea, compuesta de nueve preguntas, cada
presentacin de los participantes con un mensaje de correo electrnico o una URL, y un
juzgamiento de su legitimidad. En todos los casos, los encuestados pueden elegir una de
tres opciones ("ilegtimo", "legtimo" y "No s"). Si optan por ilegtimo, a continuacin, se
pregunta por qu creen que el correo electrnico que se presento es ilegtimo?
De acuerdo con los resultados el total de participantes incluy a 17 nacionalidades

diferentes y la mayora de los participantes fueron de Estados Unidos y Puerto Rico. Esto
incluy una mezcla de gnero de 70% hombres y 30% mujeres. La mayora de edad de
los participantes fue de 30 a 49 aos de edad con un 51%, 39% de la gama de 10-29 y
9% a partir de las edades de 50 a 69. En una nota interesante que la mayora de los
51
participantes (45%) tenan un ttulo de licenciatura, y una cantidad significativa tenan

educacin superior, como una maestra con un 27%.
A los efectos de esta investigacin este dato es muy importante, en un grado el nivel de
educacin de los usuarios significa que son ms capaces de comprender un curso de
sensibilizacin de mejor detallado que los que no tienen una educacin. Aunque se
necesitan ms investigaciones para probar este punto, se sugiere que una mejor
distribucin de los cursos de sensibilizacin puede beneficiar a la organizacin.
Las personas con algn tipo de grado de la universidad tienden a tener ms comprensin
de las computadoras que otros. Podra ser que la gente con educacin han estado ms
expuestos al uso de las computadoras que las personas sin una educacin. Adicional a la
investigacin podra proporcionar una evidencia ms de este asunto, pero para el alcance
52
del proyecto, parece que el tipo de sistema operativo utilizado es importante para ver
entender el tipo de usuario de la computadora.
La mayora de los participantes mencionaron que el uso de ordenadores cada da tanto

en casa como en el trabajo. El propsito de uso vara, pero el sistema de correo
electrnico era la mayora. La figura 11 representa los nmeros:
La segunda parte de la encuesta fue la prueba con la direccin URL y correos

electrnicos. Como se mencion anteriormente esta parte se compone de nueve
preguntas, donde cuatro mensajes de correo electrnico y direcciones URL para
identificar cinco. Todos los correos electrnicos en la encuesta donde fuera ilegtima y de
la direccin URL cinco expuestos slo dos eran legtimos. Si el participante identificar el
correo electrnico o la direccin URL como ilegtimo, l / ella fue impugnada con un
53
cuadro de texto para explicar su razonamiento. Una observacin rpida de los ms de

todos los resultados: de los nueve preguntas expuestas en cuatro de ellos (13, 15,21, y
29) la mayora de los participantes en el correcto sobre el correo electrnico o una URL y
sostenida la respuesta de por qu. Esto significa que el 56% de la prueba global causado
algn tipo de problemas para que el participante identifique correctamente. En la pregunta
17, la mayora de los participantes (57%) indicaron que la direccin era ilegtimo, sino
porque la mayora slo el 52% de ellos pudo mantener su configuracin de nuevo esta
respuesta mayoritaria a un 28%. En el resto de la prueba a menos que la mitad de los
participantes indicaron que la respuesta correcta, e incluso menor que la mitad no podra
sostener su respuesta
54
El principal objetivo de esta investigacin se bas en el hecho de que muchas personas,

incluso los que tienen un curso de conocimiento de la informacin carecen de los
conocimientos necesarios para identificar una estafa. La encuesta identifica que los
cursos de conocimiento de la informacin deben ser dirigidas a un pblico especfico y
que la informacin recurrente La sensibilizacin debe incluir ejemplos de ingeniera social
y las pruebas para medir realmente la eficacia de la formacin.
55
ANEXO 4
INFORMACIN DE LA MUESTRA
SADEXIM S.A.S
Es una empresa dedicada a la importacin y comercializacin de motocicletas, la cual
tiene como casa matriz al grupo MAHINDRA 2 WHEELERS, una empresa de la India
dedicada a la fabricacin y comercializacin en toda la industria automovilstica y en otras
industrias, cuenta con tres seccionales a nivel nacional y una auxiliar en Bogot. La
totalidad de empleados es de 150 a los cuales sern aplicadas las pruebas de
penetracin. Estas pruebas se realizarn con el fin de identificar cuan vulnerable son los
empleados frente a la ingeniera social usando el kit de herramientas SET. Se tomaran en
cuenta los empleados de todas las reas y no de un departamento especfico.
En la sede principal se encuentra centralizado todo el sistema,
56
La red empresarial
implementa una topologa estrella, siguiendo algunos de los estndares de instalacin de

cableado estructurado.
Los PCs y dispositivos estn conectados a un switch que se encarga de distribuir los
recursos y aplicaciones necesarios que provee los servidores para el funcionamiento de la
empresa, adems facilita la comunicacin entre clientes y otros dispositivos de la red.
Consta de 3 servidores: Apolo, servidor Linux Centos 5.5 que provee la telefona VoIP y la
seguridad de la infraestructura a nivel nacional; Atenea, servidor Windows server 2008R2
que provee los servicios de carpetas compartidas, servidor de transferencia de archivos
(FTP) y servicios de impresin; Zeus, servidor WEB, Windows server 2008R2 que maneja
las bases de datos y el sistema contable. Sus seccionales se conectan a la sede principal
a travs de enlaces VPN.
57
Visin
Superar con excelencia las expectativas de nuestros clientes y nuestra casa matriz
compitiendo nacional internacionalmente en el mercado; ubicarnos en el pdium de los
importados y comercializadores ms importantes de motocicletas logrando as forjar un
nuevo estilo de vida
Misin
Forjar un estilo de vida ofreciendo cuidado calidad e innovacin
Valores
Perseverancia, integridad e innovacin
ANEXO 5
Estadsticas de las pruebas
58

Ingenieria Social PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ingenieria Social PDF

Cargado por

Copyright:

Formatos disponibles

GUAS PRCTICAS PARA USO DE TCNICAS DE INGENIERA SOCIAL CON

LA HERRAMIENTA SET INCLUIDA EN LA DISTRIBUCIN BACKTRACK 4 R2

CORPORACION UNIVERSITARIA MINUTO DE DIOS

BOGOTA, COLOMBIA 2011

CARMEN LUCIA PEDRAZA GARZN

Tesis De Grado Para Obtener El Titulo De

CORPORACIN UNIVERSITARIA MINUTO DE DIOS

A los __ das del mes ________ del ao ____. Bogot DC.

El tiempo es el mejor autor: siempre encuentra un final perfecto

Cuando ms buena es el alma de un hombre, menos sospecha la maldad en los

VII.2.1.1 Tesis .................................................................................................. 37

En la actualidad la seguridad informtica se ha convertido en un tema importante del

En el presente documento se analiza la importancia de la seguridad de la informacin,

security has become an important

level care, personal and business information,

identified different types of attacks, to obtain sensitive information. Social engineering is

information that compromises the

perform this type of attack exists SET,

an action necessary to damage the system,

open a web page appears legitimate, but actually

Aunque se dice que el nico ordenador seguro es el que est desenchufado, un

DESCRIPCIN DEL PROBLEMA

Actualmente es evidente la importancia de software que incluya aplicaciones para realizar

A pesar de ser una herramienta potente, carece de documentacin adecuada que

se pretende ayudar a personas interesadas en la herramienta de

ingeniera social SET 2 ofreciendo una solucin til a principiantes, estudiantes,

Web oficial: http://www.backtrack-linux.org/?lang=es

Como es evidente, la mayora de desarrolladores de herramientas y live cd de auditora

Descargar Backtrack 4 R2 (2 Ago. 2010), Consultado el 3 de Septiembre de 2010,

BackTrack 4 Instalacin en disco duro, (n. d.), Consultado el 3 de Septiembre de

Instalar BackTrack 4 Live USB, (n. d.), Consultado el 3 de Septiembre de 2010, de

SET Tutorials: Intro, (n. d.), Consultado el 3 de Septiembre de 2010, de

Realizar guas prcticas que faciliten la instalacin, configuracin implementacin y uso

Determinar cules opciones de las herramientas del kit sern documentadas.

Explicar detalladamente el proceso de las tcnicas de spear-phishing y website

Realizar las pruebas en ambientes controlados sin infringir la ley.

Debe advertirse que en el desarrollo del proyecto, no se incurri en conductas delictivas y

un documento habilitante 3 en donde se especifica que est permitida la

En el proceso del desarrollo de las pruebas tcnicas, se crearon cuentas de correo

La finalidad de las guas, es describir el vector de ataque de spear-phishing y website

Demostrar la metodologa y los vectores de ataque, para prevenir ser vctima de

Permitir la comprensin, evitando tecnicismos en la elaboracin de las guas.

Estas guas estn dirigidas a informticos, tcnicos y auditores de seguridad,

Con datos recabados en investigaciones previas, se identific que la mayora de

Igualmente, buscan proporcionar los elementos que puedan alterar la seguridad y

Se espera el mejor uso de estas, ya que fueron realizadas con

fines educativos y pretenden generar la documentacin faltante.

VI.1.1 SEGURIDAD INFORMTICA

Es un conjunto de actividades destinadas a identificar, proteger, y prevenir, aquello

Informacin sensible, aquella cuya difusin puede comprometer la seguridad y convertirse en un

Confidencialidad: A travs de mtodos como el cifrado se debe garantizar que la

No repudiacin: No se puede negar la autora, el remitente debe ser quien dice

Observancia: Cuando la informacin relacionada con las acciones y actividades

Control de acceso: Es la habilidad de permitir o denegar el acceso a sistemas

pueden ser usados para cuidar recursos

fsicos y recursos lgicos.

Dependiendo de la naturaleza de la amenaza existen dos tipos de seguridad:

Seguridad fsica: consiste en la "aplicacin de barreras fsicas y procedimientos

cubrir amenazas ocasionadas por el hombre y la naturaleza, del ambiente fsico

Seguridad lgica: consiste en la aplicacin de barreras y procedimientos que

Bsicamente, una poltica de seguridad hace la descripcin de lo que se desea proteger y

Es importante que al momento de redactar polticas de seguridad se tenga en cuenta,

No ejecutar un programa de procedencia desconocida.

A los das del mes __ del ao . Bogot DC.