Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información
Es uno de los activos más valiosos para las
organizaciones.
3
Conceptos Básicos
Definición
Es el acto de manipular a una persona a través de
técnicas psicológicas y habilidades sociales (como
la influencia, la persuasión y sugestión)
implementadas hacia un usuario directa o
indirectamente.
4
Objetivos
5
¿Cómo piensan los ingenieros sociales?
Insider (Empleado o exempleado):
● Alto nivel de confianza en la empresa
● Conoce a detalle los sistemas de la empresa
Motivaciones:
● Venganza por problemas laborales o personales con algún compañero
● Ve la oportunidad de vender secretos de la empresa a los competidores
Es un perfil muy común en todo el mundo y se creé que es la causa del 80% de
las filtraciones de información delicada de las empresas.
6
Ciberdelincuente:
● Muy alto conocimiento técnico en técnicas de hacking tradicionales y
avanzados.
Hackers éticos:
● Analistas y consultores de seguridad, además de pentesters.
● Auditorías perimetrales de la red y sistemas de la empresa que contrata sus
servicios
● Prueban todo tipo de ataques y proporcionan un informe detallado.
● Trabajan bajo el margen de la ley
● No tienen intención de dañar a la empresa.
7
Estafadores:
● Usan de forma consciente sus habilidades sociales para convencer a las
personas a realizar o dar algo en su beneficio.
● Son personas muy ambicio$a$
● Sabe que a la gente no le gusta decir que no.
● Sabe que a las personas les gusta ayudar o les hace creer que están
ayudando.
8
Espias:
● Trabaja para una entidad gubernamental o privada.
● Su objetivo es conocer e informar a quien le está pagando por su servicio
● Es capaz de infiltrarse en cualquier lugar.
● Es una persona que no levanta sospechas de sus actos.
● Es un experto en el borrado de sus huellas en caso de infiltrarse en un
sistema.
Motivación:
● El dinero (trabaja para quien le pague más)
● Ideología politica
9
Reclutadores o cazatalentos:
● Acceden a las redes sociales (Linkedin, Facebook y Twitter) para buscar
información de un perfil específico de candidatos.
● Seleccionan a los que tienen una buena imagen digital.
● Les ofrecen puestos, sueldos o prestaciones por encima de los que le ofrece
su trabajo actual.
● Convencen a los candidatos y le roban
El talento a otra empresa.
Motivación:
● Incrementar el valor intelectual de la
Empresa para la que trabajan.
10
Phishing
¿Qué es?
Consiste en enviar mensajes que suelen contener un link a páginas web
aparentemente reales de las entidades citadas, pero que en realidad
conduce a sitios falsos.
¿Cómo lo hacen?
Se hace pasar por una persona o entidad de confianza imitando el
formato, el lenguaje y la imagen de entidades bancarias o financieras.
11
Modelo de actuación del scam y phishing
12
Caso real
Cierta empresa industrial consideraba que todo el mundo allí era parte
de la “familia” y que no era necesario aplicar políticas de despido de
empleados.
13
Hubo un apretón de manos y entonces el exdirectivo hizo la fatídica
pregunta: ¿Puedo tomarme una hora para limpiar mi mesa y sacar
algunas fotos personales del computador?
Al tener buenas sensaciones después de la reunión todos estuvieron
rápidamente de acuerdo y se fueron entre alegres sonrisas.
14
Entonces el exdirectivo se fue a su despacho, empaquetó sus
objetos personales, sacó las fotos y otros datos de su
computador, se conectó a la red y limpió el equivalente a 11
servidores en información: registros de contabilidad, nóminas,
facturas, órdenes, historiales, gráficos y mucho más, todo
borrado en cuestión de minutos.
El exdirectivo abandonó el edificio sin dejar pruebas de que él
fue quien llevó a cabo este ataque.
15
En resumen
16
Tipos de ataques
Físico
Psicosocial
Lógico 17
Nivel Físico
Ataque por
teléfono
cara ra a
Ataq rnet
Inte
e ca
ue v
Dumpster
u Diving o
Ataq
ía
Trashing
(Zambullida
en la basura)
A ía
co taq e v
rre ue
o p vía a qu S
os At SM
ta
l
18
Nivel Psicosocial
la E
t ar d 01 fa xplo
m
plo ida ilia it de
Ex xual rid
se ad
05 02
Hackeo
situ ar una
humano
Leer
a
Cre
c ión
corp
el le l
hos
ngu
ora
til
aje
04 03
Conseguir
empleo en el
mismo lugar 19
Pensando como el atacante
20
Efectividad
El Hacker Kevin Mitnick establece 4 principios comunes que aplican a todas las
personas en general:
21
Uno de los factores más aprovechados son las temáticas populares de actualidad.
ESET Latinoamérica ha detectado que utilizaron noticias, personas y sucesos de relevancia como
gancho para captar víctimas mediante campañas destinadas a usuarios de Latinoamérica:
● Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo
entradas para asistir a los partidos de la Copa.
● Alerta de terremoto en México: un email prometía imágenes satelitales que sólo descargan
malware.
● ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para
convertir la computadora en un zombi que formará parte de una botnet.
● Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modifica
los archivos hosts de la computadora afectada para hacer redirecciones.
● Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del
presidente de Panamá que descargaba un troyano.
22
Cómo evitar Ataques de ingeniería Social
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por
tanto a evitar ser víctima de este tipo de ataques :
● Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas
de crédito, cuentas bancarias, etc.).
● Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden
datos personales.
23
● Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar
dinero con facilidad.
● Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en
una web datos de acceso, asegúrese de que la dirección de la web es correcta.
● No confíe en las direcciones de los remitentes de e-mail o en los identificadores del
número llamante en el teléfono: pueden falsearse con suma facilidad.
● Instale en su ordenador un buen software de seguridad que incluya si es posible
funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos.
● Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada
sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que
le solicitan.
24
Serie de Netflix “Black Mirror”
Temporada 3
Capitulo 3
“Shut up and
dance”
(Callate y baila)
25
Conclusión
26