Hacking Ético

Master en Seguridad Informática

Curso 2018/2019

Nicolás Aquiles Durango Goéz

Correo: nadg0001@red.ujaen.es

Entrega de actividades voluntarias

“Tema 4: Ingeniería Social”

Actividades:
 Busca información sobre formas de aplicar ingeniería social, e idea una
forma de aplicarlo sobre tu objetivo.
 Genera un pdf con la información que hayas obtenido, y súbelo a la
actividad de ILIAS “Tema 4: ingeniería social”

Ingeniería social

La ingeniería social es el método más fuerte porque ataca un punto muy vulnerable,
los empleados.

Es el conjunto de técnicas o estrategias sociales utilizadas de forma premeditada

por un usuario para obtener algún tipo de ventaja respecto a otro u otros.

Además, podemos considerar que hay dos grandes grupos dentro de la ingeniería
social:

Hunting: Son aquellos ataques que buscan obtener información específica del
objetivo con la menor exposición directa posible. Con el menor contacto. En la
práctica hablamos de ataques de ingeniería social enfocados a obtener X dato
(normalmente credenciales de acceso a un servicio o cuenta, activación o
desactivación de alguna configuración que puede complicar el objetivo final o como
apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone
en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo
desenlace es el pretendido inicialmente. Y el mejor ejemplo son las campañas de
phishing por email, en el que únicamente se suele tener contacto directo con el
cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad
o conocido, habitualmente para que insertes tus datos en una supuesta web
legítima).

Farming: Pues justo lo contrario, el objetivo es mantener el engaño el mayor tiempo

posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima.
 Hacking Ético
Master en Seguridad Informática
Curso 2018/2019
Para ello, se suele recurrir a granjas de
identidades, que por lo general han sido robadas con anterioridad.

Para la ingeniería social se cubren seis de las más eficaces técnicas que los
atacantes usan tanto dentro como fuera de Internet, proporcionando información
sobre cómo funciona cada uno, lo que logra y las tecnologías, métodos y políticas
para detectar y responder a saboteadores sociales y Manteniéndolos a raya.

Técnica uno.
Habilitación de macros. Los Cybercrooks están utilizando la ingeniería social para
engañar a los usuarios de la organización para habilitar macros para que el malware
de macros funcione. En los ataques a la infraestructura crítica ucraniana, los
cuadros de diálogo falsos que aparecen en los documentos de Microsoft Office les
indicaron a los usuarios que permitieran que las macros mostraran correctamente
el contenido creado en una versión más reciente del producto de Microsoft.

Técnica dos: Sextorsión.

En los ataques llamados catphishing, los ciber-delincuentes se presentan como
posibles amantes para atraer a las víctimas a compartir videos y fotos
comprometedoras y luego chantajearlas. “Estas trampas han evolucionado para
apuntar a la empresa”,

Técnica tres: Ingeniería social de afinidad expandida.

La ingeniería social de afinidad basa su operación en formar un vínculo con la futura
víctima.

Los atacantes establecen estas conexiones mediante intereses en común como

opiniones políticas compartidas, aficiones, deportes, cine o intereses de
videojuegos, activismo y situaciones de crowdsourcing

Técnica cuatro: Reclutadores falsos

Con tantos cazatalentos que buscan a candidatos de trabajo, no es sospechoso
cuando un farsante viene adelante para bombear para arriba el ego de un empleado
y para ofrecer posiciones tentadoras pero fabricadas para conseguir la información.

“Esto puede que no genere directamente contraseñas de computadoras, pero un

atacante puede obtener suficientes datos para averiguar a quién le pueden robar
las contraseñas dentro de su empresa. El atacante también puede amenazar con
decirle al jefe del empleado que está planeando dejar la compañía y ya ha
compartido información confidencial para ganar influencia sobre la víctima “
 Hacking Ético
Master en Seguridad Informática
Curso 2018/2019

Técnica cinco: Pasantes

Mientras que los pasantes una vez fueron sólo jóvenes sin experiencia, muchos
ahora son personas más calificadas y con mayor experiencia laboral. Un atacante
que se presenta como un pasante tiene el conocimiento y la experiencia necesariaa
para cometer espionaje industrial, saber qué preguntas hacer y dónde y cómo
encontrar información confidencial.

Técnica seis: Bots de ingeniería social

Los robots maliciosos son a menudo responsables de ataques de ingeniería social
altamente sofisticados y perjudiciales.
Los robots infectan los navegadores web con extensiones maliciosas que
secuestran las sesiones de navegación web y usan credenciales de redes sociales
guardadas en el navegador para enviar mensajes infectados a sus amigos,

Ingeniería social a mi objetivo

Entre las muchas técnicas que he resumido, me inclino más por la técnica de los
falsos técnicos en mantenimiento, se puede crear una empresa que genere este
servicio o trabajar para una empresa que se encuentre como asesora de nuestro
objetivo, estos servicios en las empresas siempre son terceriados, por tal motivo se
crea un puerta a través de este enlace para la extraer los datos necesarios.

Otra de las formas más exactas, es la del practicante, el cual realiza la función de
espía, aunque no tiene acceso a todo por ser novato, puede generar mucha
información de los detalles o en su defecto copia de programas.

Bibliografía
https://www.pabloyglesias.com/mundohacker-ingenieria-social/

https://revistaitnow.com/las-6-tecnicas-mas-eficaces-ingenieria-social/

https://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-
evolucionaron-presta-atencion/