I

CASO PRÁCTICO
Ingeniería social

Alberto Lázaro Belinchón 31/03/2020

Objetivo del caso

Plantear un plan de ataque de ingeniería social para una empresa ficticia con el fin de
concienciar a los empleados del riesgo que suponen el uso de la tecnología y de las redes sin
tomar las medidas de seguridad adecuadas. Como resultado de esta actividad se entregará el
documento con la planificación del ataque.

Características de la empresa

Sector: Seguros
Número de empleados: 100
Departamentos: Finanzas, Legal, Ventas, Marketing, TI
La empresa ocupa un edificio de oficinas completo

Infraestructura:
 CPD con servidores. Cerrado y con apertura con tarjeta de empleado (sólo para
autorizados)
 PCs de sobremesa como puesto de trabajo general
 Los 10 comerciales del departamento de ventas disponen de portátil
 90 empleados usan smartphone de empresa. Existen grupos de WhatsApp de
empleados
 El puesto de recepción del edificio tiene PC de sobremesa y teléfono fijo
 Existe apertura de puertas mediante tarjeta de empleado

Aplicaciones:
 Office 365
 Portal corporativo con Área privada de clientes y agentes de seguros

Planificación del ataque

El plan debe describir los siguientes puntos:
1. Cronograma de actividades
2. Identificación de los vectores de ataque
3. Procedimiento y técnicas de recopilación de la información
4. Procedimiento y técnicas de establecimiento de compenetración
5. Procedimiento y herramientas de explotación y ejecución
6. Procedimiento de eliminación del rastro.

Hay muchas variables que abarcar, pero con imaginación todo es posible.
1. CRONOGRAMA DE ACTIVIDADES.

1. Recopilar información de la víctima.

2. Realizar viajes para conocer la estructura del edificio.
3. Conocer las rutinas de los empleados y horarios (vigilando)
4. Crear los scripts necesarios para el ataque
5. Ataque
6. Borrar huellas

2. IDENTIFICACION DE LOS VECTORES DE ATAQUE

Suplantación de identidad de un trabajador de la empresa.

Suplantación de identidad de un trabajador de soporte técnico.
Llamada de teléfono al teléfono fijo que hay en recepción haciéndose pasar por un trabajador
de la empresa.
Robar contraseñas a través de un USB malicioso (Rubber Ducky)

3. PROCEDIMIENTO Y TÉCNICAS DE RECOPILACIÓN DE LA INFORMACIÓN

Algunas técnicas que se utilizarán en este caso serán:

-Piggybacking, para poder colarse dentro del edificio.

-Vhising, para poder realizar llamadas, pero para no dejar rastros se utilizará un teléfono de
prepago comprado con dinero en efectivo.
-Visita al edifico, para saber si de entrada publica o es necesaria una tarjeta para poder entrar.
(En este caso, como no se indica en el ejercicio diremos que se necesita una tarjeta para poder
entrar en el edificio.)

4. PROCEDIMIENTO Y TÉCNICAS DE ESTABLECIMIENTO DE COMPRENETRACIÓN

El primer encuentro será en la entrada del edificio, donde el atacante llegaría “trajeado”, con
apariencia de tener mucha prisa y preocupación. Forzaría el encuentro con un empleado
cualquiera que entrase al edifico y le haría llegar dicha frustración diciendo lo siguiente:
“tenía una reunión muy importante la cual no puedo llegar tarde y se me había olvidado la
tarjeta para poder entrar al edificio. ¿Podría dejarme entrar con usted?”
Por lo general la gente es empática así que este proceso tiene altas probabilidades de éxito.

El segundo encuentro sería una vez dentro del edificio (en el baño, por ejemplo, para más
privacidad) a través de una llamada a la persona encargada del puesto de recepción
haciéndose pasar por alguien importante de la empresa (Su identidad la descubrimos en el
punto 3.) El objetivo de dicha llamada es hacer que la persona se dirija al despacho de ese alto
cargo con el fin de que abandone su puesto de trabajo.

5. PROCEDIMIENTO Y HERRAMIENTAS DE EXPLOTACIÓN Y EJECUCIÓN

Una vez que la persona de recepción haya abandonado su puesto de trabajo, disponemos de
unos minutos antes de que vuelva el trabajador, así que nos acercamos al puesto de trabajo e
insertamos el USB malicioso (Rubber Ducky), para poder robar todas las credenciales del
equipo. Una vez completado el proceso borramos todo el rastro posible del ordenador y
salimos del edificio. (Aunque esto es más perteneciente del paso 6)
Ahora en mi poder tengo las contraseñas de las personas que trabajan en la recepción, por lo
que accedería a la BBDD de la empresa y daría de alta un nuevo empleado con autorización
para poder entrar en la sala de los servidores y a su vez ordenaría una tarjeta con dichos
privilegios.
Una vez encargado esa orden, recogería en recepción la tarjeta e iría a la sala de servidores
donde haría un backup de toda la empresa a un servidor externo controlado por mí.

6. PROCEDIMIENTO DE ELIMINACIÓN DEL RASTRO.

Una vez hecho esto borraría todos los rastros de la sala de servidores o resetearía los
servidores para que no haya rastros. Y también las cámaras de vigilancia, muy importante.

Con el backup se podría extorsionar a dicha empresa, pero como no es el objetivo del ejercicio