Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CASO PRÁCTICO
Ingeniería social
Plantear un plan de ataque de ingeniería social para una empresa ficticia con el fin de
concienciar a los empleados del riesgo que suponen el uso de la tecnología y de las redes sin
tomar las medidas de seguridad adecuadas. Como resultado de esta actividad se entregará el
documento con la planificación del ataque.
Características de la empresa
Sector: Seguros
Número de empleados: 100
Departamentos: Finanzas, Legal, Ventas, Marketing, TI
La empresa ocupa un edificio de oficinas completo
Infraestructura:
CPD con servidores. Cerrado y con apertura con tarjeta de empleado (sólo para
autorizados)
PCs de sobremesa como puesto de trabajo general
Los 10 comerciales del departamento de ventas disponen de portátil
90 empleados usan smartphone de empresa. Existen grupos de WhatsApp de
empleados
El puesto de recepción del edificio tiene PC de sobremesa y teléfono fijo
Existe apertura de puertas mediante tarjeta de empleado
Aplicaciones:
Office 365
Portal corporativo con Área privada de clientes y agentes de seguros
Hay muchas variables que abarcar, pero con imaginación todo es posible.
1. CRONOGRAMA DE ACTIVIDADES.
El primer encuentro será en la entrada del edificio, donde el atacante llegaría “trajeado”, con
apariencia de tener mucha prisa y preocupación. Forzaría el encuentro con un empleado
cualquiera que entrase al edifico y le haría llegar dicha frustración diciendo lo siguiente:
“tenía una reunión muy importante la cual no puedo llegar tarde y se me había olvidado la
tarjeta para poder entrar al edificio. ¿Podría dejarme entrar con usted?”
Por lo general la gente es empática así que este proceso tiene altas probabilidades de éxito.
El segundo encuentro sería una vez dentro del edificio (en el baño, por ejemplo, para más
privacidad) a través de una llamada a la persona encargada del puesto de recepción
haciéndose pasar por alguien importante de la empresa (Su identidad la descubrimos en el
punto 3.) El objetivo de dicha llamada es hacer que la persona se dirija al despacho de ese alto
cargo con el fin de que abandone su puesto de trabajo.
Una vez que la persona de recepción haya abandonado su puesto de trabajo, disponemos de
unos minutos antes de que vuelva el trabajador, así que nos acercamos al puesto de trabajo e
insertamos el USB malicioso (Rubber Ducky), para poder robar todas las credenciales del
equipo. Una vez completado el proceso borramos todo el rastro posible del ordenador y
salimos del edificio. (Aunque esto es más perteneciente del paso 6)
Ahora en mi poder tengo las contraseñas de las personas que trabajan en la recepción, por lo
que accedería a la BBDD de la empresa y daría de alta un nuevo empleado con autorización
para poder entrar en la sala de los servidores y a su vez ordenaría una tarjeta con dichos
privilegios.
Una vez encargado esa orden, recogería en recepción la tarjeta e iría a la sala de servidores
donde haría un backup de toda la empresa a un servidor externo controlado por mí.
Una vez hecho esto borraría todos los rastros de la sala de servidores o resetearía los
servidores para que no haya rastros. Y también las cámaras de vigilancia, muy importante.
Con el backup se podría extorsionar a dicha empresa, pero como no es el objetivo del ejercicio