Por: Ing.

Edwin Calle Terrazas

TIPOS DE ATAQUES: INGENIERA SOCIAL

Son ataques en los que se intenta engaar a algn usuario para
hacerle creer como cierto algo que no lo es.
Ejemplo:
- Buenos das, Es la secretaria del Director del Departamento?
- Si dgame, que desea?
- Soy Pedro, tcnico informtico del Centro de Apoyo a Usuarios y
me han avisado para reparar un virus del ordenador del director
pero la clave que me han indicado para entrar no es correcta,
podra ayudarme, por favor?
Otros ataques de este tipo son:
Farming
SPAM
Phishing
2

Phishing
Es la capacidad de duplicar una pgina web para hacer creer al
visitante que se encuentra en la pgina original en lugar de la
copiada.
Normalmente se utiliza con fines delictivos duplicando pginas
web de bancos conocidos y enviando indiscriminadamente correos
para que se acceda a esta pgina a actualizar los datos de acceso al
banco.

De forma ms general, el nombre phishing tambin se aplica al acto

de adquirir, de forma fraudulenta y a travs de engao, informacin
personal como contraseas o detalles de una tarjeta de crdito,
hacindose pasar por alguien digno de confianza con una necesidad
verdadera de tal informacin en un e-mail parecido al oficial, un
mensaje instantneo o cualquier otra forma de comunicacin. Es
una forma de ataque de la ingeniera social.

Ing. Edwin Calle Terrazas

Phishing: Procedimiento para la proteccin

Al igual que en el mundo fsico, los estafadores continan
desarrollando nuevas y ms siniestras formas de engaar a travs de
Internet.
Si sigue estos cinco sencillos pasos podr protegerse y preservar la
privacidad de su informacin.

1. Nunca responda a solicitudes de informacin personal a travs de

correo electrnico. Si tiene alguna duda, pngase en contacto con la
entidad que supuestamente le ha enviado el mensaje.
2. Para visitar sitios Web, introduzca la direccin URL en la barra de
direcciones.
3. Asegrese de que el sitio Web utiliza cifrado.
4. Consulte frecuentemente los saldos bancarios y de sus tarjetas de
crdito.
5. Comunique los posibles delitos relacionados con su informacin
personal a las autoridades competentes.
Ing. Edwin Calle Terrazas

Paso 1: Nunca responda a solicitudes de informacin personal a travs

de correo electrnico
Las empresas de prestigio nunca solicitan contraseas, nmeros de tarjeta
de crdito u otro tipo de informacin personal por correo electrnico. Si
recibe un mensaje que le solicita este tipo de informacin, no responda.
Si piensa que el mensaje es legtimo, comunquese con la empresa por
telfono o a travs de su Sitio Web para confirmar la informacin recibida.
Paso 2: para visitar sitios Web, introduzca la direccin URL en la barra
de direcciones
Si sospecha de la legitimidad de un mensaje de correo electrnico de la
empresa de su tarjeta de crdito, banco o servicio de pagos electrnicos, no
siga los enlaces que lo llevarn al sitio Web desde el que se envi el mensaje.
Estos enlaces pueden conducirlo a un sitio falso que enviar toda la
informacin ingresada al estafador que lo ha creado.
Aunque la barra de direcciones muestre la direccin correcta, no se
arriesgue a que lo engaen. Los piratas conocen muchas formas para
mostrar una direccin URL falsa en la barra de direcciones del navegador.
Las nuevas versiones de los navegadores hacen ms difcil falsificar la barra
de direcciones. Para obtener ms informacin, consulte la informacin que
se ofrece en el sitio Proteja su equipo.
5

Paso 3: asegrese de que el sitio Web utiliza cifrado

Si no se puede confiar en un Sitio Web por su barra de direcciones, cmo se sabe
que ser seguro? Existen varias formas:
En primer lugar, antes de ingresar cualquier tipo de informacin personal,
compruebe si el Sitio Web utiliza cifrado para transmitir la informacin personal. En
los navegadores puede comprobarlo con el icono de color amarillo situado en la barra
de estado, tal como se muestra en la figura 1.
Para ver el grfico seleccione la opcin "Descargar" del men superior
Figura 1. Icono de candado de sitio seguro. Si el candado est cerrado, el sitio utiliza
cifrado.

Este smbolo significa que el sitio Web utiliza cifrado para proteger la informacin
personal que introduzca: nmeros de tarjetas de crdito, nmero de la seguridad
social o detalles de pagos.
Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El
nombre que aparece a continuacin de Enviado a debe coincidir con el del sitio en el que se
encuentra.
Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no est seguro de la
legitimidad de un certificado, no introduzca ninguna informacin personal. Sea prudente y
abandone el sitio Web.

Existen otras formas de determinar si un sitio es seguro, como por ejemplo ver si la
pgina posee un certificado de seguridad de algunas de las empresas proveedoras del
6
mismo como por ejemplo Verisign.

Paso 4: consulte frecuentemente los saldos bancarios y de sus tarjetas de

crdito
Incluso si sigue los tres pasos anteriores, puede convertirse en vctima de las
usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crdito
al menos una vez al mes, podr sorprender al estafador y detenerlo antes de que
provoque daos significativos.
Paso 5: comunique los posibles delitos relacionados con su informacin
personal a las autoridades competentes
Si cree que ha sido vctima de "phishing", proceda del siguiente modo:
Informe inmediatamente del fraude a la empresa afectada. Si no est seguro de cmo
comunicarse con la empresa, visite su Sitio Web para obtener la informacin de
contacto adecuada. Algunas empresas tienen una direccin de correo electrnico
especial para informar de este tipo de delitos.
Recuerde que no debe seguir ningn vnculo que se ofrezca en el correo electrnico recibido.
Debe introducir la direccin del sitio Web conocida de la compaa directamente en la barra de
direcciones del navegador de Internet.
Proporcione los detalles del estafador, como los mensajes recibidos, a la autoridad competente a
travs del Centro de denuncias de fraude en Internet. Este centro trabaja en todo el mundo en
colaboracin con las autoridades legales para clausurar con celeridad los sitios Web fraudulentos
e identificar a los responsables del fraude.

En este grfico podemos encontrar una estadstica con la cantidad de sitios que han
sido reportados realizando phishing, esta estadstica es semanal

Una vez que ya hemos conocido lo que es el phishing, a parte de saber su

existencia y significado, tambin gracias a este trabajo pudimos conocer
un procedimiento para protegernos de caer en esta trampa, que sabemos
que puede traer consecuencias muy negativas, como la entrega de datos
personales, nmeros de tarjetas de crditos con demasiadas
consecuencias negativas para el propietario y adems la prdida de
privacidad.

10

Phishing
Es la capacidad de duplicar una pgina web para hacer creer al
visitante que se encuentra en la pgina original en lugar de la
copiada.
Normalmente se utiliza con fines delictivos duplicando pginas
web de bancos conocidos y enviando indiscriminadamente correos
para que se acceda a esta pgina a actualizar los datos de acceso al
banco.

De forma ms general, el nombre phishing tambin se aplica al acto

de adquirir, de forma fraudulenta y a travs de engao, informacin
personal como contraseas o detalles de una tarjeta de crdito,
hacindose pasar por alguien digno de confianza con una necesidad
verdadera de tal informacin en un e-mail parecido al oficial, un
mensaje instantneo o cualquier otra forma de comunicacin. Es
una forma de ataque de la ingeniera social.

Ing. Edwin Calle Terrazas

11

Pharming
Es una modalidad de ataque utilizada por los atacantes, que consiste en
suplantar al Sistema de Resolucin de Nombres de Dominio (DNS, Domain
Name System) con el propsito de conducirte a una pgina web falsa. El
atacante logra hacer esto al alterar el proceso de traduccin entre la URL de
una pgina y su direccin IP.
De esta forma, cuando se introduce un determinado nombre de dominio
que haya sido cambiado, por ejemplo
http://www.seguridad.unam.mx, en tu explorador de Internet, acceder a la
pgina Web que el atacante haya especificado para ese nombre de dominio.
Para llevar a cabo redireccionamiento a las pginas Web falsas o maliciosas
se requiere que el atacante logre instalar en tu sistema alguna aplicacin o
programa malicioso (por ejemplo, un archivo ejecutable .exe, .zip, .rar, .doc,
etc.)
La entrada del cdigo malicioso en tu sistema puede producirse a travs de
distintos mtodos, siendo la ms comn a travs de un correo electrnico,
aunque puede realizarse tambin a travs de descargas
por Internet o a travs de unidades de almacenamiento removibles como
una memoria USB.
Ing. Edwin Calle Terrazas

12

Como se lleva a cabo un ataque Fharming

Una tcnica muy utilizada para realizar ste tipo de ataque es a travs del
envo masivo de correos electrnicos. El correo electrnico puede provenir
de distintas fuentes, las cuales, resultan llamativas para el usuario; algunos
de los principales temas que se utilizan son los siguientes:
Noticias falsas o amarillistas.
En este tipo de correos los intrusos crean una noticia llamativa y, en la
mayora de las ocasiones, utilizan un tema actual y de inters general para la
sociedad.
Envo de tarjetas postales electrnicas.
En este caso, el intruso enviar un correo invitando al usuario a abrir una
postal que supuestamente le ha enviado un amigo.
Supuesta obtencin de algn premio.
Estos correos intentan engaar al usuario dicindole que ha sido ganador de
algn premio: viaje, dinero en efectivo, autos, etctera
Supuestos boletines informativos de una institucin pblica o privada.
Los intrusos que utilizan este tipo de temas invitan al usuario al usuario a descargar
un archivo o visitar una pgina que supuestamente contiene un "boletn" o archivo
elaborado por alguna institucin reconocida y de confianza para la sociedad.
Ing. Edwin Calle Terrazas

13

Ejemplo de un correo electrnico Fharming

El usuario recibe un correo electrnico con el siguiente tema: Has recibido una tarjeta
de Gusanito.com! y podra provenir de una direccin aparentemente vlida como
cards@cards.gusanito.com.

El correo electrnico usualmente contiene un vnculo para que se descargue un

archivo ejecutable, el cual realiza la modificacin en el archivo hostsde tu sistema
para redireccionar tu navegador de Internet a pginas Web falsas.
Ing. Edwin Calle Terrazas

14

Ing. Edwin Calle Terrazas

15

Cual es la diferencia entre Fharming yPhishing

Normalmente cuando hablamos de pharming podemos confundirnos
con phishing y la razn es que ambas tcnicas actan de la siguiente
manera:
Un intruso crea un sitio falso para obtener informacin personal de
los usuarios (cuentas de correo, cuentas bancarias, etc.).
Creado el sitio, el intruso enva correos a mltiples cuentas de correo
El usuario recibe el correo y decide abrirlo convencido de la supuesta
veracidad del contenido y descarga y abre el archivo malicioso.
Posteriormente cuando el usuario intenta acceder a su sitio de
confianza escribiendo la direccin del sitio en su navegador,
automticamente es dirigido al sitio falso creado por el intruso.
El usuario abre el correo y convencido de la veracidad del contenido
decide descargar y ejecutar el archivo malicioso.
Finalmente el intruso podr utilizar la informacin obtenida en su
beneficio personal.
Ing. Edwin Calle Terrazas

16

En el phishing se necesita que cada usuario acceda en la direccin

que el estafador te enva directamente para caer en el engao,
mientras en el pharming basta con que el usuario realice una
consulta al servidor DNS atacado.

Ahora bien, en el Pharming el ataque ocurre cuando se enva el

correo electrnico y se concreta cuando el usuario abre su
contenido.
En el caso de Phishing lo podemos observar cuando el intruso crea
el sitio falso y completa su ataque cuando la vctima introduce sus
datos personales.

Ing. Edwin Calle Terrazas

17

Como puedo identificar si he sido victima de un ataque Fharming

Si sospechas que has sido vctima de un ataque pharming puedes verificar el
contenido del archivo hosts (sin extensin) ubicado en la carpeta:

C:\Winnt\system32\drivers\etc (en sistemas Windows 2000)

C:\WINDOWS\system32\drivers\etc (en sistemas Windows XP, Win7 y
Windows Server 2003 Y 2008)
La estructura de un archivo hosts con un contenido normal se muestra a
continuacin:

Ing. Edwin Calle Terrazas

18

Un archivo hosts modificado podra contener informacin similar a la siguiente:

Como puede observarse, existen distintas direcciones IP agregadas al archivo hosts

que redireccionarn a tu navegador de Internet a sitios Web falsos.

Ing. Edwin Calle Terrazas

19

Como restablezco mi sistema a la normalidad

Si detectas que fuiste vctima de un ataque tipo pharming una forma de volver a la
normalidad tu equipo es modificar manualmente el archivo hosts para que
contenga solo las entradas predeterminadas.
Como pudiste observar en la imagen que representa un archivo hosts normal, la
nica direccin vlida debera
ser 127.0.0.1 localhost, por lo que deberas eliminar cualquier otra direccin IP que
aparezca en el mismo.
Abre el archivo hosts, en la ruta mencionada anteriormente

Ing. Edwin Calle Terrazas

20

Haz doble clic sobre el archivo hosts y brelo con el Bloc de Notas.
Elimina todas las entradas distintas a 127.0.0.1 localhost
y a continuacin haz clic en el men Archivo y despus en Guardar.
El archivo debe quedar con la direccin 127.0.0.1 localhost, como estaba antes de
que realizar el ataque

21

Como pruedo protegerme del Fharming

Para prevenirte de este tipo de ataques te damos las siguientes

recomendaciones:
No abras correos electrnicos de desconocidos.
No proporciones informacin sensible (usuarios, contraseas,
datos de tarjetas de crdito) por correo electrnico o a travs de
enlaces a sitios Web contenidos en mensajes de correo electrnico
no solicitado.
No descargues archivos a travs de enlaces contenidos en un correo
electrnico no solicitado.
Instala y/o actualiza software antivirus y software antispyware.
Reporta los correos sospechosos a: phishing at seguridad dot unam
dot mx incidentes at seguridad dot unam dot mx

22