Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NACIONAL
DE LOJA
PROYECTO DE TITULACIÓN DE
INGENIERÍA EN SISTEMAS
Autor
Director:
Rene Guaman
LOJA-ECUADOR
2021
Índice General
Índice General.........................................................................................................................2
Índice de Figuras.....................................................................................................................3
Índice de Tablas......................................................................................................................3
A. Tema.............................................................................................................................4
B. Problemática....................................................................................................................5
1. Situación Problemática..........................................................................................5
2. Problema de Investigación....................................................................................6
C. Justificación.....................................................................................................................7
D. Objetivos......................................................................................................................8
1. Objetivo General.....................................................................................................8
2. Objetivos Específicos............................................................................................8
E. Alcance............................................................................................................................9
F. Marco Teórico...............................................................................................................10
Ingeniería Social............................................................................................................. 10
Definición....................................................................................................................... 10
Técnicas de Ingeniería Social[10].....................................................................................10
Tipos de Atacantes[11]....................................................................................................12
Casos de Ingeniería Social...............................................................................................15
Ingeniería Social en instituciones bancarias.....................................................................17
Leyes contra delitos Informáticos....................................................................................18
Mecanismos de Protección de Seguridad para evitar la Ingeniería Social[1].....................20
G. Metodología...............................................................................................................24
Métodos......................................................................................................................... 24
Técnicas......................................................................................................................... 24
H. Cronograma................................................................................................................25
I. Presupuesto y Financiamiento.......................................................................................26
J. Bibliografía....................................................................................................................27
K. Anexos.......................................................................................................................28
Índice de Figuras
2
Figura 1: Correo Malicioso................................................................................................17
Figura 2: Correo Electrónico Con Falso Mensaje DHL......................................................17
Figura 3: Descarga de un Falso Programa e Infección de Equipo.....................................18
Figura 4: Pilares de la seguridad.......................................................................................22
Índice de Tablas
Tabla 1: Cronograma........................................................................................................ 27
Tabla 2: Presupuesto........................................................................................................ 28
3
A. Tema
4
B. Problemática
1. Situación Problemática
Debido a lo antes mencionado cada día son más comunes los ataques informáticos en
instituciones bancarias aplicándose así la ingeniería social, que se caracteriza en explotar la
5
confianza del usuario para extraer información confidencial, por medio de diferentes
técnicas como pretexting, dumpster diving, shoulder surfing, phishing y redes sociales, con
el objetivo de la instalación de un tipo de malware para tomar el control del equipo, lograr
la infiltración de personas a entidades, robo o suplantación de identidad, a través del engaño
y manipulación psicológica e inocencias de las victimas[6].
Uno de los datos más llamativos fue una alarmante realidad del continente, en el que se
registraron 85 billones de intentos de ciberataques durante el 2019. Solo en Chile, se
registraron 1,5 billones de intentos ataques informáticos durante el año. En la mayoría de
estos incidentes, el objetivo principal de los hackers es penetrar en redes bancarias, obtener
información sensible de usuarios y robar dinero[7].
2. Problema de Investigación
6
C. Justificación
El desarrollo del presente Trabajo de Titulación tiene como finalidad analizar y comparar
estudios de carácter científico que contengan las distintas técnicas de Ingeniería Social en
los ataques informáticos en las instituciones bancarias. El objetivo del presente Trabajo es
servir como apoyo a la investigación académica en la Carrera de Ingeniería en Sistemas de
la Universidad Nacional de Loja.
Para lograr los objetivos de estudio, se acude al empleo de técnicas de investigación como
la revisión sistemática literaria con la metodología de Barbara Kitchenham para analizar así
la incidencia que tiene la ingeniería social en los fraudes informáticos de las instituciones
bancarias. Con ello se pretende conocer el nivel de riesgo que tienen las instituciones
bancarias ante las técnicas de ingeniería social.
Este tipo de trabajos se ajusta a las líneas de investigaciones definidas por la senescyt en el
área de la Tecnología de la Información y Comunicación (TIC). Además, se acopla en los
campos de estudio del libro blanco del ministerio de telecomunicaciones. Por ello, el
proyecto servirá como referencia académica para consulta a los estudiantes del último año
como guía para construir una revisión.
Para finalizar la Universidad Nacional de Loja cuenta con diversas areas de investigación,
una de las más destacadas es la Energía, Industrias y Recursos Naturales no Renovables, la
cual está formada por un conjunto de carreras, entre ellas la Carrera de Ingeniería en
Sistemas, la cual tiene algunas líneas de Investigación vinculándose directamente con este
trabajo de titulacion. La revision sistematica literaria, pretende observar la importancia de
aplicar las TIC en el sector financiero.
7
D. Objetivos
1. Objetivo General
2. Objetivos Específicos
8
E. Alcance
9
F. Marco Teórico
Ingeniería Social
Definición
Este tipo de ataque es muy simple, pero a la vez bastante efectivo, ya que se puede
conseguir información en muy poco tiempo, a comparación de otras técnicas de hackeo
sofisticadas, como un programa maligno desarrollado para acceder a sistemas y encriptarlos
que lleven a la recolección de datos.
10
Tailgaiting
Aprovechando la solidaridad o inconsciencia de un empleado, un atacante puede evadir
controles de acceso físico como puertas electrónicas e ingresar a una organización sin
autorización.
Dumpster diving
Se refiere al acto de husmear entre la basura, de esta manera se pueden obtener documentos
con información personal o financiera de una persona.
Shoulder surfing
Consiste en mirar por encima del hombro a un usuario descuidado mientras ingresa el
patrón de desbloqueo, pin o alguna otra contraseña.
Baiting
Técnica que consiste en colocar memorias externas con malware instalado en lugares donde
personas escogidas específicamente puedan encontrarlo e infectar sus ordenadores.
Phishing
Consiste en engañar a un grupo masivo de personas mediante correos electrónicos, páginas
web, perfiles sociales o sms falsos con fin de robar información confidencial.
Vishing
Llamadas telefónicas mediante las que se buscan engañar a la víctima suplantando a
compañías de servicios o de gobierno para que revele información privada
Redes sociales
Es una técnica que tiene dos grandes objetivos, por un lado, obtener información de la
víctima y por otro lado generar una relación con la misma por otro.
11
Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida
minuta a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya
que si la misma es el objetivo se podrá obtener muchísima información que será de gran
utilidad.
Ciberbullyng/Ciberacoso
Engloba el uso de las tecnologías de información y comunicación, para causar daño de
manera repetida, deliberada y hostil. Esto puede incluir, pero no limitarse, al uso de
Internet, teléfonos móviles u otros dispositivos electrónicos para difundir o colocar textos o
imágenes que dañan o avergüenzan a una persona.
Grooming
Conjunto de estrategias que una persona adulta realiza para ganarse la confianza de un
niño, niña o adolescente, a través del uso de las tecnologías de la comunicación
información, con el propósito de abusar o explotar sexualmente de él o ella. El adulto suele
crear un perfil falso en una red social, foro, sala de chat u otro, se hace pasar por un chico o
una chica y entablan una relación de amistad y confianza con el niño o niña con la
intención de acosarlo.
Tipos de Atacantes[11].
Hackers
Un Hacker es una persona dedicada a su arte, alguien que sigue el conocimiento hacia
donde este se dirija, alguien que se apega a la tecnología para explorarla, observarla,
analizarla y modificar su funcionamiento, es alguien que es capaz de hacer algo raro con
cualquier aparato electrónico y lo hace actuar distinto, alguien que no tiene límites para la
imaginación y busca información para después compartirla, es alguien al que no le interesa
el dinero con lo que hace, solo le importa las bellezas que pueda crear con su cerebro,
devorando todo lo que le produzca satisfacción y estimulación mental... Un hacker es aquel
12
que piensa distinto y hace de ese pensamiento una realidad con diversos métodos. Es aquel
que le interesa lo nuevo y que quiere aprender a fondo lo que le interesa.
Crackers
El cracker es conocido por utilizar sus conocimientos para romper sistemas, descifrar
claves y contraseñas de algoritmos de encriptación, crackear programas o juegos, es decir,
legalizar un software por tiempo ilimitado y sin tener que pagar por ello.
Lammers
Lammers son personas que carecen de conocimientos sobre la informática y que presumen
tener habilidades como las de los hackers.
Copyhackers
Es una nueva raza solo conocida en el terreno del crackeo de Hardware, mayoritariamente
del sector de tarjetas inteligentes empleadas en sistemas de telefonía celular. La principal
motivación de estos nuevos personajes, es el dinero.
Bucaneros
Comparados con los piratas informáticos, los bucaneros buscan el comercio negro de los
productos entregados por los Copyhackers. Los bucaneros tienen cabida fuera de la red, ya
que, dentro de ella, los que ofrecen productos "Crackeados" pasan a denominarse "Piratas
Informáticos" así puestas las cosas, el bucanero es simplemente un comerciante, el cual no
tienen escrúpulos a la hora de explotar un producto de Cracking a un nivel masivo.
Phreaker
La palabra phreaker proviene de phone (teléfono), hack y freak (monstruo). Es un término
que se utiliza para denominar así a las personas que investigan y practican el arte de
pasearse por las redes telefónicas, por ejemplo, para hacer llamadas internacionales
gratuitas. Se convirtió en una actividad de uso común cuando se publicaron las aventuras
13
del Capitán Crunch (John Draper) quién empleó un silbato que regalaban con una caja de
cereales de desayuno para lograr su objetivo.
Newbie
De acuerdo a (Revista Hacker, 2008): “Son personas sin experiencia que intentan
introducirse en sistemas de fácil acceso creados por otros hackers y fracasan en la mayoría
de los intentos, al contrario que los Lamers, los Newbies aprenden el Hacking siguiendo
todos los pasos meticulosamente para lograrlo y no se burla de su logro, sino que
aprenden.”
Script Kiddie
Se trata de simples usuarios de Internet, sin conocimientos sobre Hack o Crack en su estado
puro, en realidad son devotos de estos temas, pero no los comprenden. Simplemente son
internautas que se limitan a recopilar información de la Red.
Acercamiento
Esta consiste en generar confianza con la víctima, por lo general esto se logra haciéndose
pasar por servidores públicos o de algún servicio que pueda requerir o necesitar la víctima,
comúnmente este proceso de acercamiento se lo suele realizar por medios de comunicación
como correo o teléfono, cabe mencionar que el acercamiento también se suele realizar en
persona, el ingeniero social trata de ser simpático o interesado sobre algo en que pueda unir
a la víctima con el atacante, en esta etapa el esfuerzo es principal puesto que se puede
captar cualquier información valiosa.
14
Recopilación y Ejecución.
Esta fase se debe identificar preocupaciones, interés o necesidad de la víctima; puesto que
esto permitirá utilizar su curiosidad, deseo o afecto a algo o alguien a favor del atacante
para comenzar el ataque de una manera sutil sin levantar alerta, es decir, en el momento que
se desarrolla esta etapa se debe observar en todo momento la reacción de la víctima con la
finalidad de que la víctima no levante sospecha.
CASOS REALES.
Se envía un correo electrónico cuyo texto solo se puede ingresar pulsando un enlace que
redirige al usuario hacia otro sitio en este caso un dominio belga del cual se descargará
rápidamente un virus. El engaño es rápido y muy tentador para el usuario ya que se envía
como un mensaje normal de otro correo, donde le informan que ha recibido un telegrama
online y la forma de visualizarlo es pulsando en un enlace con ficheros malicioso.
15
Figura 1: Correo Malicioso.
Este mensaje está conformado por una etiqueta postal falsa, con un número de
fichero aleatorio, en realidad es un virus con diferentes características, desde un
falso virus hasta un troyano capaz de proporcionar tomar control del computador.
16
Cuando se produjo el terremoto en Haití el 12 de enero los atacantes ya estaban
listos para aprovechar esta oportunidad. Cuando un usuario buscaba información
sobre esta noticia y se le presentaban a sitios poco seguros, no confiables, donde
podían enlazarse con páginas maliciosas.
El envió de correos phishing, buscando engañar a los usuarios para que ayuden con
donativos a las víctimas, pero en realidad las páginas del pago son falsa e intentan
apoderase de la ingenuidad de las personas.
Con el acceso a estas páginas fraudulentas, intentan a los usuarios persuadir de que
su equipo está siendo infectado para de esta manera sugerirle descargue la solución
de seguridad, de esta manera el usuario compraría y descargaría el falso programa,
sin darse cuenta que el usuario habrá dado una fuerte suma de dinero por algo que
no funciona o simplemente infectara su equipo.
17
Ingeniería Social en instituciones bancarias
Una investigación hecha por Fortinet reveló que, en América Latina y el Caribe, se
registraron 85 billones de intentos de ciberataques durante 2019. Robar dinero, información
sensible de usuarios y acceso a redes bancarias serían los principales objetivos de los
ataques.
Uno de los datos más llamativos del informe fue la alarmante realidad del continente, en el
que se registraron 85 billones de intentos de ciberataques durante 2019. Solo en Chile,
se registraron 1,5 billones de intentos ataques informáticos durante el año 2019. En la
mayoría de estos incidentes, el objetivo principal de los hackers es penetrar en redes
bancarias, obtener información sensible de usuarios y robar dinero.
Entre las amenazas más detectadas durante el año 2019, se encuentran los dirigidos al
sector de la banca y gobierno[13].
Por otro lado, Emotet es un botnet dirigido a bancos que permite que un atacante remoto
pueda emitir comandos para realizar diferentes operaciones como descargas de malware y
ransomware[14].
18
https://tecno.americaeconomia.com/articulos/banca-salud-e-ingenieria-social-son-los-
principales-blancos-de-los-ciberataques-en
Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se
fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la
misma es decir los llamados Delitos Informáticos, como se los conoce, se sancionarían de
conformidad a lo dispuesto en nuestro Código Penal, situación como comprenderán era un
tanto forzada, esto si tomamos en cuenta los 65 años de dicho Código, en resumen los tipos
penales ahí existentes, no tomaban en cuenta los novísimos adelantos de la informática y la
telemática por tanto les hacía inútiles por decirlo menos, para dar seguridad al Comercio
Telemático ante el posible asedio de la criminalidad informática[16].
Por fin en abril del 2002 y luego de largas discusiones los honorables diputados por fin
aprobaron el texto definitivo de la Ley de Comercio Electrónico, Mensajes de Datos y
Firmas Electrónicas, y en consecuencia las reformas al Código Penal que daban la luz a los
llamados Delitos Informáticos[15].
19
Público prevendrá en el conocimiento de las causas, dirigirá y promoverá la investigación
pre-procesal y procesal penal. Esto en concordancia con el Art. 33 del Código de
Procedimiento Penal que señala que “el ejercicio de la acción pública corresponde
exclusivamente al fiscal”. De lo dicho podemos concluir que el dueño de la acción penal y
de la investigación tanto preprocesal como procesal de hechos que sean considerados como
delitos dentro del nuevo Sistema Procesal Penal Acusatorio es el Fiscal. Es por tanto el
Fiscal quien deberá llevar como quien dice la voz cantante dentro de la investigación de
esta clase de infracciones de tipo informático para lo cual contara como señala el Art. 208
del Código de Procedimiento Penal con su órgano auxiliar la Policía Judicial quien
realizará la investigación de los delitos de acción pública y de instancia particular bajo la
dirección y control Ministerio Público, en tal virtud cualquier resultado de dichas
investigaciones se incorporaran en su tiempo ya sea a la Instrucción Fiscal o a la
Indagación Previa, esto como parte de los elementos de convicción que ayudaran
posteriormente al representante del Ministerio Público a emitir su dictamen
correspondiente[17].
Ahora bien el problema que se advierte por parte de las instituciones llamadas a perseguir
las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto
del Ministerio Público como de la Policía Judicial, esto en razón de la falta por un lado de
la infraestructura necesaria, como centros de vigilancia computarizada, las modernas
herramientas de software y todos los demás implementos tecnológicos necesarios para la
persecución de los llamados Delitos Informáticos, de igual manera falta la suficiente
formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que
lo auxiliara en dicha tarea, dado que no existe hasta ahora en nuestra policía una Unidad
Especializada, como existe en otros países como en Estados Unidos donde el FBI cuenta
con el Computer Crime Unit, o en España la Guardia Civil cuenta con un departamento
especializado en esta clase de infracciones. De otro lado también por parte de la Función
Judicial falta la suficiente preparación por parte de Jueces y Magistrados en tratándose de
estos temas, ya que en algunas ocasiones por no decirlo en la mayoría de los casos los
llamados a impartir justicia se ven confundidos con la especial particularidad de estos
delitos y los confunden con delitos tradicionales que por su estructura típica son incapaces
20
de subsumir a estas nuevas conductas delictivas que tiene a la informática como su medio o
fin[17].
Según la Figura #, la seguridad está fundamentada por 3 pilares, pero puede haber más que
puedan fundamentar a la seguridad, en este caso, si alguno de los lados es débil se perderá
seguridad o usabilidad, si falta alguno de los lados la organización queda expuesta a
ataques,
21
para garantizar la confidencialidad se recurre principalmente a tres recursos:
Autenticación de usuarios: Sirve para identificar qué quién accede a la información
es quien dice ser.
Gestión de privilegios: Para los usuarios que acceden a un sistema puedan operar
sólo con la información para la que se les ha autorizada y sólo en la forma que se les
autorice, por ejemplo, gestionando permisos de lectura o escritura en función del
usuario.
Cifrado de información: Según Costas Santos (2011), el cifrado también
denominado encriptación, evita que ésta sea accesible a quién no está autorizado,
para ello se transforma la información de forma inteligible a una no legible y es
aplicable tanto a la información que esté autorizado para ello como para la que no lo
está, sólo mediante un sistema de contraseñas puede extraerse la información de
forma inteligible y es aplicable tanto a la información que está siendo transmitida
como a la almacenada.
22
Como otro recurso se tiene las copias de seguridad, que en caso de no conseguir
impedir que se manipule o pierda la información permitan recuperarla en su estado
anterior.
Disponibilidad: Para poder considerar que se dispone de una seguridad mínima en lo que a
la información respecta, se tiene a la disponibilidad, de nada sirve que solo el usuario
acceda a la información y que sea incorruptible, si el acceso a la misma es tedioso o
imposible, la información para resultar útil y valiosa debe estar disponible para quien la
necesita, se debe implementar las medidas necesarias para que tanto la información como
los servicios estén disponibles, por ejemplo un ataque distribuido de denegación de servicio
o DDoS puede dejar inutilizada una tienda online impidiendo que los clientes accedan a la
misma y puedan comprar. Ogro ejemplo de perdida de disponibilidad sería que la dirección
de correo electrónico sea utilizada para lanzar campañas de spam y en consecuencia
añadida a listas negras, impidiendo que ninguno de los destinarios de los emails legítimos
los reciba. Para este propósito se implementan políticas de control como:
Carpentier (2016), indica que el uso de sistemas de información implica establecer normas
y procedimientos aplicados al uso y sistemas de información ante posibles amenazas como:
23
G. Metodología
Métodos
Método Deductivo. - Con el método deductivo se partirá de aspectos generales para llegar
a los específicos, con el cual se podrá recopilar la información general para poder plantear
el problema del proyecto utilizando técnicas como las RSL y bibliográficas.
24
Revisión Sistemática Literaria. - Esta técnica fue utilizada para extraer de libros, páginas
web, artículos científicos, ensayos, etc., la información teórica referente al tema del
presente proyecto relacionado con la ingeniería social y su incidencia en las instituciones
bancarias; lo cual sirvió para obtener conocimientos teóricos que serán la base para el
desarrollo de este proyecto.
Técnicas
H. Cronograma
25
Búsqueda de estudios
Seleccionar los estudios primarios.
Evaluar de la calidad del estudio.
Extraer datos.
Síntesis de datos.
Desarrollar el informe de presentación de resultados de la
Revisión Sistemática de Literatura
Definir el formato del informe
Tabla 1: Cronograma
I. Presupuesto y Financiamiento
Talento humano
Rol Número de horas Valor ($) Valor Total ($)
Estudiante 400 5.00 2000.00
Docente tutor 48 12.50 600.00
Profesor de la 384 12.50 4800.00
asignatura
Total 7400.00
Recursos Materiales
Descripción Cantidad Valor Unitario ($) Valor Total ($)
Computador 1 800.00 800.00
26
portátil
Pendrive 1 15.00 15.00
Resma de papel 2 4.00 8.00
Cartuchos 2 25.00 50.00
Internet 300h 0.50 150.00
Subtotal de Recursos 1023.00
Imprevistos ($) 145.00
Total, de Recursos a disponer ($) 1.168
Tabla 2: Presupuesto
J. Bibliografía
K. Anexos
28