INSTITUCION EDUCATIVA JOSE MARIA ESPINOSA PRIETO

ESPECIALIDAD: HERRAMIENTAS OFIMTICAS

TCNICO DOCENTE: DAISY KATERINE RODRGUEZ DURN
EN
SISTEMAS
Ao:2012 Grado: 10

INGENIERIA SOCIAL
La ingeniera social consiste en la manipulacin de las personas para que
voluntariamente realicen actos que normalmente no haran.

En el campo de la inseguridad informtica, ingeniera social es la prctica de

obtener informacin confidencial a travs de la manipulacin de usuarios
legtimos. Es una tcnica que pueden usar ciertas personas, tales como
investigadores privados, criminales, o delincuentes computacionales, para
obtener informacin, acceso o privilegios en sistemas de informacin que les
permitan realizar algn acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.

El principio que sustenta la ingeniera social es el que en cualquier sistema "los

usuarios son el eslabn dbil". En la prctica, un ingeniero social usar
comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por
ejemplo, un empleado de algn banco o alguna otra empresa, un compaero
de trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente,
el envo de solicitudes de renovacin de permisos de acceso a pginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as
a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este
mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a
reaccionar de manera predecible en ciertas situaciones, -por ejemplo
proporcionando detalles financieros a un aparente funcionario de un banco- en
lugar de tener que encontrar agujeros de seguridad en los sistemas informticos.

Quiz el ataque ms simple pero muy efectivo sea

engaar a un usuario llevndolo a pensar que un
administrador del sistema esta solicitando una
contrasea para varios propsitos legtimos. Los
usuarios de sistemas de Internet frecuentemente
reciben mensajes que solicitan contraseas o
informacin de tarjeta de crdito, con el motivo
de "crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a
este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas
deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores.
En realidad, los administradores de sistemas informticos raramente (o nunca)
necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin
embargo, incluso este tipo de ataque podra no ser necesario en una encuesta
realizada por la empresa Boixnet, el 90% de los empleados de oficina de la
estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo
barato.

Objetivos (Qe Quieren Hacer?)

Los objetivos bsicos de la Ingeniera Social son los mismos del hacking o
cracking dependiendo de quien lo haga) en general: ganar acceso no
autorizado a los sistemas, redes o a la informacin para:
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.

(A Quien Van Dirigidos?)

Las vctimas tpicas incluyen:
> Empresas Telefnicas
> Servicios de Helpdesk y CRM
> Corporaciones Renombradas
> Agencias e Instituciones Gubernamentales y Militares
> Instituciones Financieras
> Hospitales.

El boom del internet tuvo su parte de culpa en la proliferacin de ataques a

pequeos start-ups, pero en general, los ataques se centran en grandes
compaias.

TCNICAS Y HERRAMIENTAS DE INGENIERA SOCIAL

Invasivas o Directas o Fsicas:

El Telfono
El Sitio de Trabajo
La Basura
La Internet-Intranet
 Fuera de la Oficina

1. El Telfono
Personificacin Falsa y Persuacin
Tretas Engaosas: Amenazas, Confusiones Falsas.
Falsos Reportes de Problemas.
Personificacin Falsa en llamadas a HelpDesks y Sistemas CRM
Completacin de Datos Personales
Robo de Contraseas o Claves de Acceso

Telefnico:
Consulta de buzones de voz.
Uso fraudulento de lneas telefnicas.
Uso de Sistemas Internacionales de Voz sobre IP.

2. La Basura
Dumpster Diving o Qu hay en nuestra basura?:
Listados Telefnicos.
Organigramas.
Memorandos Internos.
Manuales de Polticas de la Compaia.
Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
Manuales de Sistemas.
Impresiones de Datos Sensibles y Confidenciales.
Logins, Logons y a veces... contraseas.
Listados de Programas (cdigo fuente).
Disquettes y Cintas.
PapelMembretado y Formatos Varios.
Hardware Obsoleto.

3. La Internet-Intranet
Si en algo es consistente un usuario es en repetir passwords.
Password Guessing
Placa del carro.
Nombre de la HIJA + 2005.
Fecha de nacimiento.
Encuestas, Concursos, Falsas Actualizaciones de Datos.
Anexos con Troyanos, Exploits, Spyware, Software de Navegacin remota y
Screen Rendering.

4. Fuera de la Oficina
 Almuerzos De Negocios de Viernes, que terminan en volada de oficina y
Happy Hours, con potenciales consecuencias desastrosas:
Sesiones de confesin de contraseas, extensiones, direcciones de correo
electrnico. Al otro dia, la vctima no se acuerda.
Conexiones de oficina a Oficina:
Puedo leer mi e-mail desde aqui?
Eso est en la Intranet de la Empresa, pero (en tono jactancioso) yo puedo
entrar desde aqui.
Lo que no sabe la victima es de la existencia de KeyGrabbers
Solucin: One Time Passwords.

TCNICAS DE INGENIERA SOCIAL (Seductivas y/o Inadvertidas.)

Autoridad: Pretender estar con la gente de TI o con un alto ejecutivo en la
Empresa o Institucin.
Puede usar un tono de voz: Intimidante, amenazante, urgente.
Carisma: Se usan modales amistosos, agradables. Se conversa sobre
intereses comunes. Puede usar la adulacin para ganar informacin del
contexto sobre una persona, grupo o producto.
Reciprocidad: Se ofrece o promete ayuda, informacin u objetos que no
necesariamente han sido requeridos. Esto construye confianza, d la
sensacin de autenticidad y confiabilidad.
Consistencia: Se usa el contacto repetido durante un cierto perodo de
tiempo para establecer familiaridad con la identidad del atacante y
probar su confiabilidad.
Validacin Social: Acecha el comportamiento normal de tratar de satisfacer
un requerimiento.
Se puede tomar ventaja de esta tendencia al actuar como un compaero
de trabajo necesitando informacin, contraseas o documentos para su
trabajo. La victima usualmente es una persona con cierto potencial de ser
segregada dentro de su grupo, o que necesita ser tomada en cuenta.
Ingeniera Social Reversa: Ocurre cuando el Hacker crea una persona que
parece estar en una posicin de autoridad de tal modo que le pedirn
informacin a l, en vez de que l la requiera.
Las tres fases de los ataques de ISR: ** Sabotaje, **Promocin, **Asistencia.

Como opera?
El Hacker sabotea una red o sistema, ocasionando un problema. Este Hacker
entonces promueve que l es el contacto apropiado par solucionar el problema,
y entonces, cuando comienza a dar asistencia en el arreglo el problema, requiere
pedacitos de informacin de los empleados y de esa manera obtiene lo que
realmente quera cuando lleg. Los empleados nunca supieron que l era un
hacker, porque su problema se desvaneci, l lo arreglo y todo el mundo est
contento.

TIPS SIMPLES PARA DEFENDERSE

Mantenga una actitud cautelosa y revise constantemente sus tendencias
de ayudar a personas que no conoce. Ojo: No tiene que volverse una
persona huraa y paranica.
Verifique con quien habla, especialmente si le estan preguntando por
contraseas, datos de empleado u otra informacin sensitiva.
Al telfono, obtenga nombres e identidades (Nro. De Empleado, por
ejemplo). Corrobrelos y llmelos a su pretendida extensin.
No se deje intimidar o adular para terminar ofreciendo informacin.
No le permita a una persona desconocida descrestarlo con su aparente
conocimiento.

Ejemplo: Aquellos que conocen detalles tcnicos o usan acrnimos o la jerga

propia de la empresa o industria.
Muchos pueden sonar como parte de la-cosa-real, pero pueden ser
parte de la conspiracin.
Sea cauteloso (de nuevo, no paranico) en las encuestas, concursos y
ofertas especiales via internet, telfono y correo electrnico y
convencional.
Estas son formas comunes de cosechar direcciones de correo electrnico,
contraseas y otros datos personales.
Y... Por Favor...!!! NO RESPONDA MENSAJES EN CADENA...!!!

LA SEGURIDAD INFORMTICA tiene por objetivo el asegurar que los datos que
almacenan nuestros ordenadores se mantengan libres de cualquier problema, y
que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y
sin cadas. En este sentido, la seguridad informtica abarca cosas tan dispares
como:
Los aparatos de aire acondicionado que mantienen los sistemas en las
temperaturas adecuadas para trabajar sin cadas.
La calificacin del equipo de administradores que deber conocer su
sistema lo suficiente como para mantenerlo funcionando correctamente.
La definicin de entornos en los que las copias de seguridad han de
guardarse para ser seguros y como hacer esas copias.
El control del acceso fsico a los sistemas.
La eleccin de un hardware y de un software que no de problemas.
La correcta formacin de los usuarios del sistema.
El desarrollo de planes de contingencia.
 TALLER
1) Por qu "el caballo de Troya" no es ingeniera social?
2) Qu tiene que ver la Ingeniera Social con la seguridad informtica?
3) Cuntas veces ha recibido un correo que promete cierto dinero $ por
cada mensaje que reenve a sus amigos o a sus enemigos?
4) Se ha planteado alguna vez cmo robar en Internet?
5) Cundo nace la ingeniera social?
6) Cmo combatir la ingeniera social?
7) Cules son los mtodos agresivos de la ingeniera social?
8) Cules son las tcnicas presenciales no agresivas de la ingeniera social?
9) Qu es el Spam?
10) Qu son los Phishing?
11) Qu son los HOAX?
12) Cmo podemos contribuir a la educacin a nuestros usuarios para que
no sean vctima de los Ingenieros Sociales?