Estudiantes:

Cristian Ballesteros
Miguel Ángel Díaz Garzón
Cristian Beltran
Johan Barragan
GUIA DE LABORATORIO

1. Realizar cada una de los pasos indicados en la guía, para los dos tipos de
ataques.

2. Tomar las evidencias de pantalla o realizar un video indicando cada uno de los
pasos

3. De acuerdo a la información indicada sobre el ciclo de vida del Test de

Penetración indicar lo siguiente:

a. Describir las actividades que considere importantes para la fase de planeación

y preparación para cada una de las pruebas

-Una de las actividades seria llegar a un acuerdo con la persona a la cual se le va a

realizar la prueba de ingeniería social, dejando acuerdo de los procesos que se
realizaran.

-También decirle al usuario que la prueba de ingeniería social se le practicara a la

cuenta de Facebook y explicarle que podremos observar las credenciales al momento
de login.

-Presentar las personas que vamos a estar involucradas en la práctica a realizar.

b. Describir las actividades que considere hacen parte de la fase de pruebas

(pasos 1, 3,4 y 5 del gráfico ciclo de vida”

Paso1;
Se le pediría al usuario que nos deje revisar la red para poder realizar la práctica y que
nos facilite la información necesaria para tener acceso a la red del usuario.

Paso3;
La actividad a realizar es empezar a realizar los pasos correspondientes para la
obtención de la práctica de ingeniería social en backtrack.

Paso4;
La actividad a realizar es identificar las credenciales ingresadas por el usuario a la hora
de ingresar a la página o en este caso a Facebook.
4. Generar un reporte para estas pruebas que contenga:

a. Introducción: Descripción corta de la prueba: En la prueba de phising se

realizara la clonación de un sitio web que en este caso será a la página de
Facebook por medio de máquinas virtuales las cuales serán back-track y
Windows 7 donde en backtrack se realizara el ataque de ingeniería social hacia
la otra máquina de Windows 7 donde el usuario ingresara a la cuenta de
Facebook común y corriente pero la información registrada en la página de
Facebook de esta máquina la podremos observar en la otra máquina(back-track)
la cual sería la maquina atacante.

b. Objetivos: Se aprenderá un poco de cómo puede realizarse un ataque ya sea a

Facebook o alguna otra web de esta misma manera se espera aprender las
vulnerabilidades que podemos encontrar en internet algunas veces sin darnos
cuenta de estas.

c. Desarrollo de la prueba:

-Descripción de maquina atacante: Back-track montada en una máquina

virtual en el programa vmware en una red compartida con la maquina víctima.

Descripción maquina víctima: Windows 7 home premium montada en una

máquina virtual en el programa vmware en una red compartida con maquina
atacante.

Descripción del ataque:

1-Ip utilizada: 192.168.158.133

 2-Página web clonada: http://Facebook

3-Herramientas backtrack utilizadas: Set, Metasploit y ettercap

4-Tiempo que tardo ataque

Tiempo
PRUEBA PHISING – INCLUSION DE 9 minutos
TROYANO

PRUEBA DE DNS Spoofing

10 minutos

SERVICIOS ARP Y DNS SPOOFING 8 minutos

5-Activo de información atacado: Alterar el normal funcionamiento de una cuenta o perfil, sin
el permiso o el conocimiento del usuario.

6-Vulnerabilidades del activo identificadas (mínimo 2):

*No tener el conocimiento de amenazas al ingresar a un sitio web, El activo no se fija

en la seguridad de las páginas donde ingresa

*el activo no tiene en cuenta el mantener seguro el ordenado con un antivirus o anti
espía. No realiza mantenimiento preventivo al software

7-Amenazas:

 spywares pueden ser descargados de páginas Web, mensajes de e-mail, mensajes

instantáneos y en conexiones directas para compartir archivos. Además, un usuario puede
recibir spyware sin saberlo al aceptar un Acuerdo de Licencia de Usuario de un programa de
software.

El spam es la versión electrónica del correo basura. Conlleva el envío de mensajes

indeseados, a veces publicidad no solicitada, a un gran número de destinatarios. El spam es un
asunto serio de seguridad, ya que puede usarse para entregar e-mails que puedan contener
troyanos, virus, spyware y ataques enfocados a obtener información personal delicada.
8-Riesgos

1/ Tener modificaciones sobre el perfil, perdida de información y acceso a

conversaciones privadas y en el peor caso ser sobornado por los atacantes para que
no sea pública la información privada.

2/ Tener modificado el software para que comience a presentar problemas en el

funcionamiento.

9-Recomendaciones:

Mirar la dirección a la cual se va ingresar ya que puede ser que presenta una dirección
diferente a la que se quiere ingresar.

No utilizar otros computadores para ingresar a la cuenta de Facebook

Tener con clave de acceso el computador para evitar que lo utilicen personas
inescrupulosas

Mantener actualizado el antivirus y el software.

Tener conocimiento como navegar en la web

Analizar los archivos que sean descargados de internet.

Tener conocimiento de la persona que envía los correos y conocer las amenazas.

Conclusiones generales:

Como resultado del laboratorio de ingeniería social pudimos comprobar ciertas

vulnerabilidades que pueden estar presentes en un sitio web las cuales son
identificadas utilizando la gran variedad de herramientas que contiene backtrack. De
igual manera se analiza el ciclo de vida de un test de penetración en el cual se
plantean algunas actividades tenidas en cuenta para realizar los diferentes procesos
del test.

Por tal manera se han planteado variadas formas en que podemos intentar prevenir
que sean atacadas o vulneradas la información que se utilizan en diversas web.
También se interpreta que estas herramientas no sean utilizadas de mala manera.