Ingeniería Social

Ing. Flores Aguilar Luis

Geovanni
Introducción “Los usuarios son el eslabón débil”

Información
Es uno de los activos más valiosos para las
organizaciones.

Las instituciones buscan la manera de implementar

controles de seguridad para proteger su
información.

Hay un recurso inseguro que almacena información

muy sensible: la mente humana.

Por olvido o por el reto que implica asegurar la

información dentro de las cabezas de sus
empleados, las organizaciones no le prestan mucha
atención a este aspecto
2
Conceptos Básicos
¿Qué es ingeniería social?
“Es mentir a la gente para obtener información”.
“Es manipular para que alguien haga o diga algo”
“Es ser un buen actor”.
“Es saber cómo conseguir cosas gratis”.
“Es la técnica más usada para el hackeo de
humanos”
Ventajas
Le permite a un atacante burlar toda una
infraestructura de seguridad perimetral en
cuanto a hardware y software para extraer
información confidencial, atacar una
organización desde dentro.
3
Conceptos Básicos

Definición
Es el acto de manipular a una persona a través de
técnicas psicológicas y habilidades sociales (como
la influencia, la persuasión y sugestión)
implementadas hacia un usuario directa o
indirectamente.

Y así éste revele información sensible o datos

útiles sin estar conscientes de su maliciosa
utilización eventual.

4
Objetivos

● Un ingeniero social debe realizar una investigación a fondo

del personal de la empresa evitando los sistemas de
seguridad de la red, simplemente manipulando a los
empleados para que revelen información sensible.

● El usuario es tentado a realizar una acción necesaria para

vulnerar o dañar un sistema.

● El usuario es llevado a confiar la información necesaria para

que el atacante realice una acción fraudulenta con los datos
obtenidos.

5
 ¿Cómo piensan los ingenieros sociales?
Insider (Empleado o exempleado):
● Alto nivel de confianza en la empresa
● Conoce a detalle los sistemas de la empresa

Motivaciones:
● Venganza por problemas laborales o personales con algún compañero
● Ve la oportunidad de vender secretos de la empresa a los competidores

Es un perfil muy común en todo el mundo y se creé que es la causa del 80% de
las filtraciones de información delicada de las empresas.

6
Ciberdelincuente:
● Muy alto conocimiento técnico en técnicas de hacking tradicionales y
avanzados.

Hackers éticos:
● Analistas y consultores de seguridad, además de pentesters.
● Auditorías perimetrales de la red y sistemas de la empresa que contrata sus
servicios
● Prueban todo tipo de ataques y proporcionan un informe detallado.
● Trabajan bajo el margen de la ley
● No tienen intención de dañar a la empresa.

7
Estafadores:
● Usan de forma consciente sus habilidades sociales para convencer a las
personas a realizar o dar algo en su beneficio.
● Son personas muy ambicio$a$
● Sabe que a la gente no le gusta decir que no.
● Sabe que a las personas les gusta ayudar o les hace creer que están
ayudando.

8
Espias:
● Trabaja para una entidad gubernamental o privada.
● Su objetivo es conocer e informar a quien le está pagando por su servicio
● Es capaz de infiltrarse en cualquier lugar.
● Es una persona que no levanta sospechas de sus actos.
● Es un experto en el borrado de sus huellas en caso de infiltrarse en un
sistema.

Motivación:
● El dinero (trabaja para quien le pague más)
● Ideología politica

9
Reclutadores o cazatalentos:
● Acceden a las redes sociales (Linkedin, Facebook y Twitter) para buscar
información de un perfil específico de candidatos.
● Seleccionan a los que tienen una buena imagen digital.
● Les ofrecen puestos, sueldos o prestaciones por encima de los que le ofrece
su trabajo actual.
● Convencen a los candidatos y le roban
El talento a otra empresa.

Motivación:
● Incrementar el valor intelectual de la
Empresa para la que trabajan.

10
 Phishing
¿Qué es?
Consiste en enviar mensajes que suelen contener un link a páginas web
aparentemente reales de las entidades citadas, pero que en realidad
conduce a sitios falsos.

¿Cómo lo hacen?
Se hace pasar por una persona o entidad de confianza imitando el
formato, el lenguaje y la imagen de entidades bancarias o financieras.

11
Modelo de actuación del scam y phishing

Etapa Primera Etapa Segunda Etapa Tercera

Conseguir a los Los intermediarios Traspasos en forma
intermediarios intentan conseguir piramidal de las
mediante chats, el mayor número de sumas de dinero.
foros y correos estafados, a través
electrónicos. de la técnica del
PHISHING.

12
 Caso real

Cierta empresa industrial consideraba que todo el mundo allí era parte
de la “familia” y que no era necesario aplicar políticas de despido de
empleados.

Desgraciadamente llegó el día de despedir a uno de los directivos de

más alto rango de esta empresa.

El despido fue amigable y el directivo fue comprensivo.

Una cosa que la empresa hizo correctamente fue llevar el despido a la
última hora de la jornada para evitar el bochorno o cualquier tipo de
distracción.

13
Hubo un apretón de manos y entonces el exdirectivo hizo la fatídica
pregunta: ¿Puedo tomarme una hora para limpiar mi mesa y sacar
algunas fotos personales del computador?
Al tener buenas sensaciones después de la reunión todos estuvieron
rápidamente de acuerdo y se fueron entre alegres sonrisas.

14
Entonces el exdirectivo se fue a su despacho, empaquetó sus
objetos personales, sacó las fotos y otros datos de su
computador, se conectó a la red y limpió el equivalente a 11
servidores en información: registros de contabilidad, nóminas,
facturas, órdenes, historiales, gráficos y mucho más, todo
borrado en cuestión de minutos.
El exdirectivo abandonó el edificio sin dejar pruebas de que él
fue quien llevó a cabo este ataque.

15
 En resumen

Un empleado descontento al que

se deja actuar libremente puede
ser
más devastador que un equipo de
hackers decididos y
experimentados.
La pérdida estimada sólo en
empresas de Estados Unidos por
robos de empleados es del orden
de 15.000 millones de dólares.

16
 Tipos de ataques

Físico
Psicosocial

Lógico 17
Nivel Físico
Ataque por
teléfono

cara ra a

Ataq rnet
Inte
e ca

ue v
Dumpster
u Diving o
Ataq

ía
Trashing
(Zambullida
en la basura)

A ía
co taq e v
rre ue
o p vía a qu S
os At SM
ta
l

18
Nivel Psicosocial
la E
t ar d 01 fa xplo
m
plo ida ilia it de
Ex xual rid
se ad

05 02
Hackeo

situ ar una
humano
Leer

a
Cre
c ión
corp
el le l

hos
ngu
ora

til
aje

04 03

Conseguir
empleo en el
mismo lugar 19
 Pensando como el atacante

➢ Seleccionando una víctima

➢ 1, 2, 3, probando
➢ Haciéndonos "amigos" de la víctima
➢ Obteniendo información de contacto
➢ Realizando el ataque
➢ Matando varios pájaros de un solo tiro

20
 Efectividad

El Hacker Kevin Mitnick establece 4 principios comunes que aplican a todas las
personas en general:

● Todos queremos ayudar

● Siempre, el primer movimiento hacia el otro, es de confianza
● Evitamos decir NO
● A todos nos gusta que nos alaben

21
Uno de los factores más aprovechados son las temáticas populares de actualidad.

ESET Latinoamérica ha detectado que utilizaron noticias, personas y sucesos de relevancia como
gancho para captar víctimas mediante campañas destinadas a usuarios de Latinoamérica:

● Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo
entradas para asistir a los partidos de la Copa.
● Alerta de terremoto en México: un email prometía imágenes satelitales que sólo descargan
malware.
● ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para
convertir la computadora en un zombi que formará parte de una botnet.
● Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modifica
los archivos hosts de la computadora afectada para hacer redirecciones.
● Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del
presidente de Panamá que descargaba un troyano.

22
 Cómo evitar Ataques de ingeniería Social

La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.

¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha

hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y
qué hacemos? Pues le damos nada a cambio de algo.

Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por
tanto a evitar ser víctima de este tipo de ataques :

● Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas
de crédito, cuentas bancarias, etc.).
● Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden
datos personales.
23
● Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar
dinero con facilidad.
● Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en
una web datos de acceso, asegúrese de que la dirección de la web es correcta.
● No confíe en las direcciones de los remitentes de e-mail o en los identificadores del
número llamante en el teléfono: pueden falsearse con suma facilidad.
● Instale en su ordenador un buen software de seguridad que incluya si es posible
funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos.
● Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada
sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que
le solicitan.

24
Serie de Netflix “Black Mirror”

Temporada 3
Capitulo 3
“Shut up and
dance”
(Callate y baila)

25
Conclusión

La seguridad de la información no sólo debe entenderse

como un conjunto de elementos técnicos y físicos, sino
como un proceso cultural de personas y organizaciones.
Si el usuario es el eslabón más débil, deben existir
controles que ayuden a disminuir el riesgo que éste
pueda representar.

26