Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Ingenieria Social

    Cargado por

    Fluidsignal Group S.A.
    399 vistas20 páginas
    ¿Qué sentido tiene invertir gran cantidad de dinero en seguridad de la información, si no se ataca la vulnerabilidad más importante? El factor humano es el mayor causante de incidentes de seguridad al interior de las organizaciones, bien sea por desconocimiento, por confiar en un individuo, por malestar o por otros factores, es bastante complejo controlar este tipo de problemas.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    ¿Qué sentido tiene invertir gran cantidad de dinero en seguridad de la información, si no se ataca la vulnerabilidad más importante? El factor humano es el mayor causante de incidentes de seguridad al interior de las organizaciones, bien sea por desconocimiento, por confiar en un individuo, por malestar o por otros factores, es bastante complejo controlar este tipo de problemas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    399 vistas20 páginas

    Ingenieria Social

    Cargado por

    Fluidsignal Group S.A.
    ¿Qué sentido tiene invertir gran cantidad de dinero en seguridad de la información, si no se ataca la vulnerabilidad más importante? El factor humano es el mayor causante de incidentes de seguridad al interior de las organizaciones, bien sea por desconocimiento, por confiar en un individuo, por malestar o por otros factores, es bastante complejo controlar este tipo de problemas.

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 20

    Desayuno de trabajo

    Ingeniería Social
    2011/05/19
    Orden del día
    Objetivos
    Definición
    Principios de la Ingeniería Social
    Perfil del atacante
    Técnicas
    Ataques de ingeniería social
    Precauciones
    Conclusiones
    Objetivos
    ● Introducir a los asistentes en el mundo de la
    ingeniería social, como herramienta primordial
    de recopilación de información para un
    atacante.
    ● Proporcionar a los asistentes algunas
    herramientas que les permitan identificar
    cuando son víctimas de un ataque de este tipo,
    y sepan como reaccionar.
    Definición

    ¿Qué es la Ingeniería Social?


    La ingeniería social puede definirse como el acto
    de manipulación psicológica para obtener
    acceso a recursos, lograr la divulgación de
    información o que las personas realicen
    acciones que vayan en contra de las políticas de
    seguridad de la organización.
    Principios básicos

    La ingeniería social se basa en cuatro principios


    básicos.
    1. “Todos queremos ayudar”
    2. “El primer movimiento es siempre de confianza hacia
    el otro (víctima)”
    3. “No nos gusta decir: No”
    4. “A todos nos gusta que nos alaben”
    Perfil del atacante
    ● Persona educada
    ● Excelente vocabulario

    ● Maneras finas

    ● Respetuoso

    ● Cordial

    ● Impecable presentación personal

    ● Seguro de si mismo

    ● Persuasivo

    ● Domina el lenguaje corporal

    ● Extremadamente inteligente
    Técnicas
    En ingeniería social se destacan dos tipos de
    técnicas básicas:
    ● Directas (interacción “cara-a-cara” con el
    sujeto)
    ● Indirectas (manipulación “remota” de la víctima)
    Cada una de estas técnicas tiene uno o más tipos
    de ataques.
    La tasa de éxito del ataque radicará en la pericia
    del atacante y en la combinación de técnicas.
    Ataques

    Phishing: Ataque indirecto, donde a través de


    un correo electrónico (por lo general) se solicita
    una validación de información, su principal
    objetivo es conseguir credenciales de
    validación en bancos y demás entidades
    financieras.
    Ataques

    Trojan Horses: Programas maliciosos que


    buscan hacer daño o robar información de la
    máquina.
    Se considera un tipo de ataque indirecto.
    Suelen ser desplegados en una organización, o
    bien a través de correo electrónico/web o
    utilizando la técnica de baiting (carnada).
    Ataques

    Baiting: Dejar “olvidado” en un lugar


    concurrido un medio de almacenamiento
    extraíble: (Memoria USB, CD/DVD) de manera
    que cualquier persona lo tome y al insertarlo en
    su máquina la infecte con un troyano.
    Ataques

    Pretexting: Valiéndose de un escenario ficticio


    y de su capacidad de mentir, el atacante
    consigue información sensible de la víctima.
    Clasifica como ataque directo.
    En un caso dado puede ser considerado un
    tipo de phishing-telefónico.
    Ataques

    Tailgating (Piggybacking): Forma de irrumpir


    en un área restringida sin contar con la debida
    autorización para tal fin.
    Ataques

    Dumpster diving: Acción de revisar los


    contenedores de basura, con la intención de
    buscar información que no haya sido
    apropiadamente descartada (destruida)
    Muy útil en casos de espionaje industrial
    Ataques

    Quid pro Quo (algo por algo): Conseguir lo


    que se busca a través de ofrecer una
    recompensa (soborno) a la víctima, o también a
    través de amenazas.
    Precauciones
    Redes sociales
    Verificación de identidad
    Signos de nerviosismo
    Contrastar la historia
    Información suministrada
    Separar lo laboral de lo personal
    Políticas de seguridad
    Efectos personales
    ¡Alerta Permanente!
    Conclusiones

    Toda cadena es tan débil, como el más débil de


    sus eslabones.
    La ingeniería social no tiene solución, se viene
    utilizando desde tiempos ancestrales y se
    seguirá utilizando.
    Conclusiones

    Las precauciones que se puedan adoptar,


    jamás serán pocas para mitigar un ataque de
    este tipo.
    Está en las personas facilitar o entorpecer la
    labor del atacante.
    Contáctenos

    Web: http://www.fluidsignal.com/
    Twitter: http://twitter.com/fluidsignal
    Youtube: http://www.youtube.com/fluidsignal
    Facebook: http://www.facebook.com/fluidsignal
    Correo: mercadeo.ventas@fluidsignal.com
    Teléfono: +57 (1) 2697800, +57 (4) 4442637
    Celular: +57 3108408002, +57 3136601911
    Ubicación: Calle 7D 43A-99 Oficina 509 Torre Almagran
    Clausula Legal
    Copyright 2011 Fluidsignal Group
    Todos los derechos reservados
    Este documento contiene información de propiedad de Fluidsignal Group.
    El cliente puede usar dicha información sólo con el propósito de
    documentación sin poder divulgar su contenido a terceras partes ya que
    contiene ideas, conceptos, precios y estructuras de propiedad de
    Fluidsignal Group S.A. La clasificación "propietaria" significa que ésta
    información es sólo para uso de las personas a quienes esta dirigida. En
    caso de requerirse copias totales o parciales se debe contar con la
    autorización expresa y escrita de Fluidsignal Group S.A. Las normas que
    fundamentan la clasificación de la información son los artículos 72 y
    siguientes de la decisión del acuerdo de Cartagena, 344 de 1.993, el
    artículo 238 del código penal y los artículos 16 y siguientes de la ley 256
    de 1.996.
    ¡Muchas Gracias!

    También podría gustarte