ESCUELA SUPERIOR POLITCNICA DEL LITORAL

MATERIA
FUND. SEGURIDAD DE REDES: ROUTERS
TEMA

PHISHING E INGENIERIA SOCIAL

PROFESOR
ING. ALBERT ESPINAL SANTANA
ESTUDIANTE

ELVIS FLORES GOMEZ

Ingeniera Social

El trmino "ingeniera social" hace

referencia al arte de manipular personas
para eludir los sistemas de seguridad.

La ingeniera social puede llevarse a cabo a

travs de una serie de medios:
Por

telfono,
Por correo electrnico,
Por correo tradicional,
Por mensajera instantnea,
etc.

Cmo puede protegerse?

La mejor manera de protegerse contra las tcnicas

de ingeniera social es utilizando el sentido comn y
no divulgando informacin que podra poner en
peligro la seguridad de la compaa. Sin importar el
tipo de informacin solicitada, se aconseja que:

En primer lugar, usar soluciones de seguridad como antivirus, que

prevendrn infecciones mediantes exploits o cdigos maliciosos, entre
otros.
No aceptar en redes sociales a gente desconocida.

Ser cuidadosos con los correos electrnicos recibidos de remitentes

desconocidos: pueden robar informacin y estar infectado con archivos
maliciosos adjuntos.

Descargar aplicaciones de su fuente original. Esto evitar las infecciones

en el equipo.

En conexiones libres como en bares, cafs y lugares pblicos, es bueno

tener en cuenta no usar servicios que requieran informacin sensible
como usuario y contrasea. Algo que podra ayudarte si necesitaras
estos servicios, es el uso de VPN, que enviar todas las comunicaciones
cifradas.

La siempre mencionada poltica de crear contraseas robustas y fuertes,

va a prevenir ataques. Puede resultar un poco tedioso tener diferentes
contraseas para los servicios utilizados, pero se pueden usar
aplicaciones gestoras de usuarios y contraseas; informacin que es
almacenada en un archivo cifrado.
En sitios web que requieran informacin de usuario y contrasea,
chequear que utilizan https en lugar de http.

Qu es el Phishing?
El "phishing" es una modalidad de estafa
con el objetivo de intentar obtener de un
usuario
sus
datos,
claves,
cuentas
bancarias, nmeros de tarjeta de crdito,
identidades, etc. Resumiendo "todos los
datos posibles" para luego ser usados de
forma
fraudulenta.

En que consiste?
Se puede resumir de forma fcil, engaando al posible
estafado, "suplantando la imagen de una empresa o entidad
publica", de esta manera hacen "creer" a la posible vctima que
realmente los datos solicitados proceden del sitio "Oficial"
cuando en realidad no lo es.

Cmo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a
su telfono mvil, una llamada telefnica, una web que simula una entidad,
una ventana emergente, y la ms usada y conocida por los internautas, la
recepcin de un correo electrnico. Pueden existir mas formatos pero en
estos
momentos
solo
mencionamos
los
ms
comunes;

- SMS (mensaje corto); La recepcin de un mensaje donde le solicitan sus

datos
personales.
- Llamada telefnica; Pueden recibir una llamada telefnica en la que el
emisor suplanta a una entidad privada o pblica para que usted le facilite
datos privados, como su cuenta corriente, que luego utilizan para hacerles
cargos
monetarios.
- Pgina web o ventana emergente; es muy clsica y bastante usada. En
ella se simula suplantando visualmente la imagen de una entidad oficial ,
empresas, etc pareciendo ser las oficiales. El objeto principal es que el
usuario facilite sus datos privados. La ms empleada es la "imitacin" de
pginas web de bancos, siendo el parecido casi idntico pero no oficial.
Tampoco olvidamos sitios web falsos con seuelos llamativos, en los cuales
se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos.

Correo electrnico, el ms usado y ms conocido por los

internautas. El procedimiento es la recepcin de un correo
electrnico donde SIMULAN a la entidad o organismo que
quieren suplantar para obtener datos del usuario novel. Los
datos son solicitados supuestamente por motivos de
seguridad, mantenimiento de la entidad, mejorar su servicio,
encuestas, confirmacin de su identidad o cualquier excusa,
para que usted facilite cualquier dato.

El correo puede contener formularios, enlaces falsos, textos

originales, imgenes oficiales, etc., todo para que
visualmente sea idntica al sitio web original.

Tambin aprovechan vulnerabilidades de navegadores y

gestores de correos, todo con el nico objetivo de que el
usuario introduzca su informacin personal y sin saberlo lo
enva directamente al estafador, para que luego pueda
utilizarlos de forma fraudulenta: robo de su dinero, realizar
compras, etc.

Qu tipo de informacin roba? y Cmo se

distribuye?

Circuito de un ataque de phishing

Cuanto podra a llegar a ganar un atacante?

Cmo protegerme?
Para protegernos es bsico tener un programa antivirus instalado y actualizado con
filtro anti-spam. Cualquiera de las soluciones de Panda Security mantendr limpia de
phishing su bandeja de entrada.

Verifique la fuente de informacin. No conteste automticamente a ningn correo

que solicite informacin personal o financiera.

Escriba la direccin en su navegador de Internet en lugar de hacer clic en el

enlace proporcionado en el correo electrnico.

Compruebe que la pgina web en la que ha entrado es una direccin segura.

Para ello, ha de empezar con https:// y un pequeo candado cerrado debe
aparecer en la barra de estado de nuestro navegador.

Revise peridicamente sus cuentas para detectar transferencias o transacciones

irregulares.
No olvide que las entidades bancarias no solicitan informacin confidencial a
travs de canales no seguros, como el correo electrnico.

Haga un anlisis de su equipo y compruebe si est libre de phishing.

Nunca le entregue sus datos por correo electrnico. Las empresas y bancos jams
le solicitaran sus datos financieros o de sus tarjetas de crdito por correo.