16/09/2021

Seguridad Humana
Acceso, Ingeniería Social y Privacidad

William Marchand Niño

Control de Acceso
Modelo AAA

1
 16/09/2021

La seguridad de la información se ocupa de proteger la

información y los sistemas de información, del acceso, uso,
divulgación, interrupción, modificación o destrucción no
autorizados.
La tríada de la CIA consiste en:
Control de  Confidencialidad: solo las entidades autorizadas pueden
Acceso acceder a la información.
 Integridad: la información debe estar protegida contra
alteraciones no autorizadas.
 Disponibilidad: la información debe estar disponible para las
partes autorizadas que la requieran, cuando la requieran.
Los modelos de control de acceso proporcionan un marco
sobre cómo se otorga el acceso a los recursos de información.
El principio de privilegios mínimos establece que a los
usuarios solo se les debe dar la cantidad mínima de acceso
requerida para su trabajo.

La seguridad de red y administrativa AAA en el entorno

de Cisco tiene varios componentes funcionales:
 Autenticación: los usuarios y administradores deben
demostrar que son quienes dicen ser. La autenticación
se puede establecer mediante combinaciones de
nombre de usuario y contraseña, preguntas de desafío
y respuesta, tarjetas de token y otros métodos.
Modelo AAA  Autorización: una vez autenticado el usuario, los
servicios de autorización determinan a qué recursos
puede acceder el usuario y qué operaciones pueden
realizar.
 Contabilidad y auditoría: Contabilidad y auditoria
registra lo que hace el usuario, incluido a lo que se
accede, la cantidad de tiempo que se accede al recurso
y los cambios que se realizaron.

2
 16/09/2021

Modelo AAA

 Autenticación AAA local: utiliza una base de datos

local para la autenticación. Este método almacena los
nombres de usuario y las contraseñas localmente en
el equipo, y los usuarios se autentican en la base de
Modos de datos local.

Autenticación
 Autenticación AAA basada en servidor: el método
basado en servidor utiliza un recurso de servidor de
base de datos externo que aprovecha los protocolos
RADIUS o TACACS +.

3
 16/09/2021

 La autorización es lo que un usuario puede y

no puede hacer en la red después de que ese
usuario se autentique.

Autorización

 El Accounting recopila e informa los datos de

uso para que puedan emplearse para fines
como auditoría.

Accounting

4
 16/09/2021

 Configurar un modelo AAA con servidor

RADIUS para el acceso remoto al router R1
para los usuarios “admin” y “soporte”
RADIUS SERVER
192.168.1.100

aaa new-model

DEMO AAA 172.20.0.0/24 aaa authentication login default group radius

aaa authorization exec default group radius
aaa accounting exec default start-stop group radius
radius-server host 192.168.1.100 key cisco
line con 0
.1 login authentication default
line vty 0 4
login authentication default
S1 R1
.1

Ingeniería Social
La persona como el eslabón mas débil de la
cadena de seguridad

12

5
 16/09/2021

 La Ingeniería Social puede definirse como una acción

o conducta social destinada a conseguir información
de las personas cercanas a un sistema. Es el arte de
conseguir de un tercero aquellos datos de interés
para el atacante por medio de habilidades sociales.
(Borghello,2009)
 La ingeniería social utiliza la influencia y la
Definición persuasión para engañar a las personas al
convencerlas de que el ingeniero social es alguien
que no es, o por manipulación. Como resultado, el
ingeniero social puede aprovechar a las personas
para obtener información con o sin el uso de la
tecnología. (Kevin Mitnick, 2002).

13

“Usted puede tener la mejor

tecnología, firewalls,
sistemas de detección de
ataques, dispositivos
biométricos, etc. Lo único
que se necesita es un
llamado a un empleado
desprevenido e ingresar sin
más. Tienen todo en sus
manos” (Mitnick)

14

6
 16/09/2021

 Se centra en lograr la confianza de las personas para

luego engañarlas y manipularlas para el beneficio propio
de quien la implementa. La persuasión es una habilidad
clave, ya que el secreto no está en preguntar sino en la
forma de realizar la pregunta. (Borghello,2009)

El arte de
engañar

15

Las técnicas para conseguir la confianza y manipular a la víctima

son diversas y se aprovechan:
 del respeto a la autoridad, cuando el atacante se hace pasar por
un responsable o por un policía;
 de la voluntad de ser útil, ayudar o colaborar que se aprecia en
entornos laborales y comerciales;
 del temor a perder algo como en los mensajes que tienes que
El arte de hacer un ingreso para obtener un trabajo, una recompensa, un
premio, etc.;
engañar  de la vanidad, cuando adulan a la víctima por sus conocimientos,
su posición o sus influencias;
 apelando al ego de los individuos al decirles que ha ganado un
premio o ha conseguido algo y que para obtenerlo tienen que
realizar una acción que en otro caso no harían;
 creando situaciones de urgencia y consiguiendo los objetivos por
pereza, desconocimiento o ingenuidad de la víctima
Tomado de INCIBE, 2019 (https://www.incibe.es/)

16

7
 16/09/2021

1. El usuario es tentado a realizar una acción necesaria para

vulnerar o dañar un sistema: esto ocurre por ejemplo,
cuando el usuario recibe un mensaje que lo lleva a abrir un
archivo adjunto, abrir la página web recomendada o
visualizar un supuesto video. (Borghello,2009)

Tipos de
ataque

17

2. El usuario es llevado a confiar información necesaria para que

el atacante realice una acción fraudulenta con los datos
obtenidos. Este es el caso del Scam y el Phishing, en los que el
usuario entrega información al delincuente creyendo que lo
hace a una entidad de confianza o con un pretexto de que
obtendrá algo a cambio, generalmente un “gran premio”.
(Borghello,2009)
Tipos de
ataque

18

8
 16/09/2021

Scam

19

Con sólo una llamada telefónica, un correo electrónico o

un mensaje de texto vía SMS el atacante puede obtener
acceso a información valiosa del usuario, la empresa o
incluso acceder a una red de sistemas. (Borghello,2009)
Relación
costo –
beneficio de
la I.S.

20

9
 16/09/2021

No hay tecnología capaz de

proteger contra la Ingeniería
Social

Entonces…

21

Información expuesta

22

10
 16/09/2021

Exposición de
credenciales

24

Mg. William Marchand N.

25

11
 16/09/2021

Cuentas de
correo
electrónico

Mg. William Marchand N.

26

Cuentas de
correo
electrónico

Mg. William Marchand N.

27

12
 16/09/2021

Listas de clientes/usuarios con DNI y RUC

Mg. William Marchand N.

28

Credenciales y
archivos de
Bases de
datos

Mg. William Marchand N.

29

13
 16/09/2021

Credenciales y
archivos de
Bases de
datos

Mg. William Marchand N.

30

Información
diversa

Mg. William Marchand N.

31

14
 16/09/2021

Pero, ¿también somos

responsables de nuestra
información personal?

32

Exponiendo
datos en
Facebook

33

15
 16/09/2021

Exponiendo
datos en
Facebook

34

El LinkedIn

35

16
 16/09/2021

Inteligencia
de Fuentes
Abiertas

36

Ciclo de la
Inteligencia

37

17
 16/09/2021

Se trata de la primera parte del ciclo que tiene

por objetivo la determinación de las necesidades
de inteligencia y la planificación de las acciones
que se deben emprender para su resolución. En
1. Fase de esta fase, el analista debe haber sido capaz de
responder a dos preguntas:
Dirección  ¿Cuáles son mis necesidades reales de
inteligencia?
 ¿Qué planificación de acciones voy a llevar a
cabo para cubrir esas necesidades?

38

En la segunda fase se lleva a cabo la obtención de datos por

medios variados y procedentes de diferentes fuentes de
información que constituirán la base informativa a partir de la
cual se generará el nuevo conocimiento. Algunas de las más
conocidas son los siguientes:
A. Inteligencia de fuentes abiertas (OSINT). Es un tipo de
inteligencia elaborada a partir de información que se
2. Fase de obtiene a partir de fuentes de carácter público con
independencia de que el contenido sea comercializado, se
Recolección difunda por canales restringidos o sea de carácter gratuito.
Así, por fuente abierta se entiende todo documento con
cualquier tipo de contenido, fijado en cualquier clase de
soporte (papel, fotográfico, magnético, óptico...) que se
transmite por diversos medios (impreso, sonoro,
audiovisual...) y al que se puede acceder en modo digital o
no pero que en todo caso es puesto a disposición del
público.

39

18
 16/09/2021

B. Inteligencia de fuentes humanas (HUMINT). Se trata de un

tipo de inteligencia que se elabora a partir de información
recogida o suministrada directamente por personas. La
información suministrada por fuentes humanas es muy útil
porque puede proporcionar información imposible de
adquirir por otros medios.

2. Fase de C. Inteligencia de señales (SIGINT). Se trata de un tipo

específico de inteligencia de corte técnico que se elabora a
Recolección partir de la obtención y el procesamiento de datos
provenientes de la detección, interceptación y descifrado
de señales y transmisiones de cualquier tipo. La
inteligencia de señales puede ser responsabilidad de un
organismo especializado en la materia e independiente del
resto como el Government Communications Headquarters
(GCHQ) británico o la National Security Agency (NSA)
estadounidense.

40

La tercera fase se corresponde con el procesamiento y la

explotación intelectual de la información. Con el objetivo
de realizar una adecuada interpretación de la información
recibida, es necesario que cada información que sea
recibida en esta fase haya sido convenientemente
3. Fase de evaluada.
Procesamiento En este sentido, una herramienta que ayuda a los
analistas en este proceso es la evaluación de una
información en función de la fiabilidad conocida de la
fuente (con letras de la A a la E) y de la credibilidad del
contenido de esa información en concreto (con números
del 1 al 5). (Quiggin, 2007: 171-172)

41

19
 16/09/2021

Evaluación
de
información

Fuente: Javier Jordan, 2016

42

Esta última fase consiste en la puesta a disposición del decisor

del conocimiento, creado bajo la forma de un informe de
inteligencia, que debe ser una herramienta útil para apoyar la
toma de decisiones.
hay algunas condiciones que deben cumplirse para que esta
fase sea eficaz:
4. Fase de  Que el mensaje llegue a tiempo, ya que la inteligencia está
orientada a la toma de decisiones
Diseminación o
 Que sea pertinente y adecuado a la necesidad de información
Difusión que intenta satisfacer.
 Que su contenido sea claro y fácilmente comprensible.
 Que posea un formato adecuado para el receptor y adecuado
para el canal de comunicación empleado.
 Que se efectúe por canales seguros y que mantenga un
carácter reservado o, cuando menos, confidencial.
Fuente: Javier Jordan, 2016

43

20
 16/09/2021

 El primer paso es familiarizarse con todo tipo de

buscadores y conocer, como mínimo, los principales
operadores de cada uno de ellos con el fin de reducir
nuestros tiempos de búsqueda y poder acotar con más
precisión los resultados obtenidos.

Búsqueda de
Información
Operadores:
Site, inurl,filetype, intitle,…
And, or, -, ….

44

 Los buscadores cumplen una función específica y suelen

estar vinculados a áreas temáticas o geográficas concretas.
La información solicitada se consultará en base a lo que se
denomina como descriptores o palabras clave. Una vez
introducidas estas palabras clave, será el propio motor de
búsqueda el que proporcione la información vinculada a
estos descriptores sobre contenido e información que
Búsqueda de previamente haya sido capaz de identificar en la red a partir
de diversas técnicas de crawling.
Información

45

21
 16/09/2021

Cuando nos referimos a buscadores generalistas

hacemos referencia a buscadores
convencionales en los que se muestran
resultados procedentes de páginas web
públicas.

Buscadores
generalistas
En general, estos buscadores respetan el estándar
robots.txt, que es un fichero que los administradores
de un dominio pueden utilizar para indicar a sus
spiders que desean que el contenido almacenado en
algunas rutas de su sitio no sea indexado y no
aparezca en los resultados de búsqueda.

46

 En la era de la inmediatez de la información en redes

sociales, la búsqueda inversa de imágenes es un
buen punto de partida a la hora de validar la
verosimilitud de una información.

Buscadores
de imágenes

47

22
 16/09/2021

48

 Podemos recurrir al recurso web https://archive.is que

no lleva a cabo el proceso de crawling automático: este
servicio se basa en las páginas voluntariamente
archivadas por los usuarios. En esta primera opción que
nos aparece, nos ofrece la posibilidad de introducir una
URL para que almacenen por nosotros una web en
particular.
Archive.is

49

23
 16/09/2021

50

51

24
 16/09/2021

 AHMIA.FI. Disponible a través del dominio ahmia.fi,

este buscador ofrece a los usuarios la posibilidad de
ser accedido también como hidden service a través
de la red Tor utilizando el dominio
msydqstlz2kzerdg.onion.
Buscadores
en redes
anónimas

52

 TORCH. Torch es una plataforma de búsqueda que

está accesible como hidden service en
http://xmh57jrzrnw6insl.onion/. Funciona como un
buscador convencional limitado exclusivamente a
páginas accesibles a través de la red Tor, listando
cerca de medio millón de enlaces a páginas .onion.
Buscadores
en redes
anónimas

53

25
 16/09/2021

Herramienta utilizada para recopilar información que está

expuesta en Internet sobre una empresa o personas.
Ejemplo:
 Utilizar la herramienta Maltego sobre el dominio “unas.edu.pe”.
 Incluir la entidad Domain con el dominio “unas.edu.pe”
 Utilizar la transformada “To Website [using search engine]”
Maltego  Sobre el resultado, utilizar la transformada “To IP Address [DNS]”
 Utilizar sobre el resultado la transformada “To Netblock [using
natural boundaries]”
 Sobre el netblock creado, utilizar la transformada “To IP
addresses”
 Sobre algunas de las IP’s, aplicar la transformada para obtener
la dirección (ciudad y país)

54

Maltego

55

26
 16/09/2021

Maltego

56

https://osintframework.com/

OSINT
Framework

57

27
 16/09/2021

Exposición
de cuentas
en diferentes
servicios

58

 Ud. puede consultar si sus direcciones de correo y

contraseñas en diversos servicios han sido
exfiltrados.

https://haveibeenpwned.com/

have I been
pwned

59

28
 16/09/2021

Ejemplo de ataque de
Ingeniería Social

61

 Conjunto de herramientas para ataques de Ingeniería

Social. Entre las principales pruebas que se pueden
realizar: Phishing, falsificación de sitios web, etc.

Usando SET
(Social-
Engineering
Toolkit)

62

29
 16/09/2021

 Para el ejemplo, se utilizará la opción de Website

Attack Vectors, cuyo propósito será falsificar una sitio
web para obtener credenciales.

Usando SET
(Social-
Engineering
Toolkit)

63

Alternativas de vectores de ataque basados en web:

 El método Java Applet Attack falsificará un Certificado Java y
entregará un payload con Metasploit..
 El método Metasploit Browser Exploit utilizará exploits
seleccionados del navegador Metasploit a través de un iframe y
Usando SET entregará un payload.
 El método de Credential Harvester utilizará la clonación web de un
(Social- sitio web que tiene un campo de nombre de usuario y contraseña y
recopilará toda la información publicada en ese sitio web.
Engineering  El método Multi-Attack Web agregará una combinación de ataques
a través del menú de ataques web. Por ejemplo, puede utilizar Java
Toolkit) Applet, Metasploit Browser, Credential Harvester / Tabnabbing a la
vez para ver cuál tiene éxito.
 El método de ataque HTA permitirá clonar un sitio web y realizar una
inyección de powershell a través de archivos HTA que se pueden
usar para la explotación de powershell basada en Windows a través
del navegador.

64

30
 16/09/2021

 Dentro de las alternativas de vectores de ataque con

sitios web, podemos seleccionar aquella que permite
capturar credenciales (Credential Harvester Attack
Method).
Usando SET
(Social-
Engineering
Toolkit)

65

 Se siguen los pasos adecuados y se clona el sitio web

a utilizar para el ataque. En este caso
https://www.facebook.com

Usando SET
(Social-
Engineering
Toolkit)

66

31
 16/09/2021

Usando SET
(Social-
Engineering
Toolkit)

67

 Después de ingresar los datos en el formulario, se

puede observar en la máquina atacante los datos
capturados.

Usando SET
(Social-
Engineering
Toolkit)

68

32
 16/09/2021

Ataques de ingeniería social con SET

Replicar el ejemplo de ataque de captura de
credenciales clonando un sitio web distinto a
Facebook.

Laboratorio

69

Privacidad y datos
personales
Legislación y normativa asociada

70

33
 16/09/2021

 PII es cualquier información sobre un individuo mantenida

por alguna institución gubernamental o privada, que
incluye:
 Cualquier información que pueda usarse para distinguir
o rastrear la identidad de un individuo, como nombre,
número de seguro social, fecha y lugar de nacimiento,
¿Qué es registros biométricos, etc.
 Cualquier otra información que esté vinculada a un
PII? individuo, como información médica, educativa,
financiera y laboral
 Los ejemplos de PII abarcan desde el nombre o la dirección
de correo electrónico de una persona hasta los registros
financieros y médicos de una persona o su historial
criminal.

71

 Distinguir a un individuo es identificar al individuo. Algunos

ejemplos de información que podría identificar a un individuo
incluyen, pero no se limitan a, nombre, número de pasaporte,
número de identidad nacional o datos biométricos.
 Rastrear a un individuo es procesar información suficiente para
tomar una determinación sobre un aspecto específico de las
actividades o el estado de un individuo. Por ejemplo, un registro
¿Qué es de auditoría que contenga registros de las acciones del usuario
podría usarse para rastrear las actividades de un individuo.
PII? También las publicaciones en las redes sociales.
 La información vinculada es información sobre o relacionada con
un individuo que está lógicamente asociada con otra información
sobre el individuo. Por ejemplo, si dos bases de datos contienen
diferentes elementos PII, entonces alguien con acceso a ambas
bases de datos puede vincular la información de las dos bases de
datos e identificar a las personas, así como acceder a
información adicional sobre las personas relacionadas con ellas.

72

34
 16/09/2021

La siguiente lista contiene ejemplos de información que

pueden ser considerados PII:
 Nombre, nombre completo, nombre de pila.
Ejemplos  Número de Identidad Nacional (DNI), número de
pasaporte, número de licencia de conducir, número de
de PII registro de contribuyente (por ej. RUC), Número de Seguro
de salud, número de tarjeta de crédito.
 Información de Dirección, como dirección de calle o
dirección de correo electrónico.

73

La siguiente lista contiene ejemplos de información que pueden ser

considerados PII:
 Número telefónicos, incluido móvil, laboral o números personal o de
casa.
 Características personales, incluido fotografía, huella digital, rayos-x, u
Ejemplos otros datos biométricos (Por ej. escaneo de retina, firma de voz,
geometría facial, etc.)

de PII  Información de propiedad, como número de registro de vehículos,

títulos de propiedad, entre otros.
 Información sobre un individuo que está vinculado o vinculable a uno
de los anteriores (por ejemplo: fecha de nacimiento, lugar de
nacimiento, raza, religión, peso, actividades, indicadores geográficos,
información laboral, información médica, información educativa,
información financiera, etc.)

74

35
 16/09/2021

 IDs de dispositivos
 Direcciones IP
 Cookies

¿Qué NO es
PII?

Pero…

75

Considerando 30:
GDPR  Las personas físicas pueden ser asociadas a
identificadores en línea facilitados por sus dispositivos,
(Reglamento aplicaciones, herramientas y protocolos, como direcciones
General de de los protocolos de internet, identificadores de sesión en
forma de «cookies» u otros identificadores, como etiquetas
Protección de de identificación por radiofrecuencia. Esto puede dejar
Datos) – huellas que, en particular, al ser combinadas con
identificadores únicos y otros datos recibidos por los
Europa - 2016 servidores, pueden ser utilizadas para elaborar perfiles de
las personas físicas e identificarlas.

76

36
 16/09/2021

 La protección de PII y la privacidad de la información en

general son inquietudes tanto para las personas cuya
información personal está en juego como para las
PII y organizaciones que pueden ser responsables o tener su
reputación dañada si dicha PII se accede, utiliza o revela
prácticas de de manera inapropiada. El tratamiento de PII es distinto de
otros tipos de datos porque no solo debe protegerse, sino
uso de también recopilarse, mantenerse y difundirse de acuerdo
con la ley de protección de datos personales (Ley 29733).
información  Las Directrices de privacidad de la Organización para la
Cooperación y el Desarrollo Económico (OCDE) son los
principios de privacidad más ampliamente aceptados.

77

 Principio de limitación de recopilación

 Deberán existir límites para el recojo de datos personales y
cualquiera de estos datos deberán obtenerse con medios legales
y justos y, siempre que sea apropiado, con el conocimiento o
consentimiento del sujeto implicado.
Principios  Principio de calidad de los datos
básicos de  Los datos personales deberán ser relevantes para el propósito de
su uso y, en la medida de lo necesario para dicho propósito,
práctica justa exactos, completos y actuales.

de PII  Principio de especificación del propósito

 El propósito del recojo de datos se deberá especificar a más
tardar en el momento en que se produce dicho recojo, y su uso se
verá limitado al cumplimiento de los objetivos u otros que no sean
incompatibles con el propósito original, especificando en cada
momento el cambio de objetivo.

78

37
 16/09/2021

 Principio de limitación de uso

 Los datos personales no deben divulgarse, ponerse a disposición
o usarse de otro modo para fines distintos a los especificados,
Principios excepto con el consentimiento del interesado o por la autoridad de
la ley.
básicos de  Principio de transparencia
práctica  Deberá existir una política general sobre transparencia en cuanto
a evolución, prácticas y políticas relativas a datos personales. Se
justa de PII deberá contar con medios ágiles para determinar la existencia y la
naturaleza de datos personales, el propósito principal para su uso
y la identidad y lugar de residencia habitual de quien controla
esos datos.

79

 Principio de participación individual

 Todo individuo tendrá derecho a:

Principios  que el controlador de datos u otra fuente le confirme que tiene

datos sobre su persona;

básicos de  que se le comuniquen los datos relativos a su persona en un tiempo

razonable; a un precio, si existiese, que no sea excesivo; de forma
razonable; y de manera inteligible;
práctica  Principio de salvaguardia de la seguridad
justa de PII  Se emplearán salvaguardias razonables de seguridad para
proteger los datos personales contra riesgos, tales como pérdida,
acceso no autorizado, destrucción, uso, modificación o
divulgación de los mismos.

80

38
 16/09/2021

Concienciación.
Cultura de seguridad
de la información.
El usuario es el eslabón más IMPORTANTE de la
cadena de la seguridad

81

 La cultura de seguridad de la información es una

subcultura de la cultura organizacional, siendo el
factor más importante quizá, para la gestión de la
Cultura de seguridad de los activos de la organización
Seguridad  Conceptualmente se refiere a la conciencia y
comportamiento que tienen los miembros de una
organización frente a los riesgos y la protección de los
activos de la información.

82

39
 16/09/2021

 También es posible conceptuar la cultura de seguridad de

información en una organización como la forma en que
interactúan las personas con las estructuras y los
sistemas establecidos dentro de una organización para
generar patrones de comportamiento.
 La cultura de seguridad de información se puede
Cultura de conceptuar como la definición de las actitudes,
suposiciones, creencias, valores y conocimientos que las
Seguridad partes interesadas utilizan para interactuar con los
sistemas y procedimientos de la organización en cualquier
momento. La interacción resulta en un comportamiento
aceptable o inaceptable que se convierten en parte de la
forma en que se hacen las cosas en una organización para
proteger sus activos de información. Esta cultura de la
seguridad de la información es susceptible de cambiar con
el tiempo.

83

 Crear CONCIENCIA en las personas con respecto al

comportamiento frente a la protección de los activos
Concienciación de información.
de Seguridad.  También se relaciona con el grado de responsabilidad
que el usuario asume frente a la protección de
activos de información.

84

40
 16/09/2021

Ciclo de
concienciación
INCIBE

85

 Con el uso de técnicas de Ingeniería Social se ejecuta

un proceso de ataque para la verificación de estado o
niveles de concienciación de los usuarios. Para este
caso se puede hacer uso de mensajes de correo
electrónico con archivos maliciosos.
Ataque
dirigido
inicial

86

41
 16/09/2021

Distribución
de poster y
trípticos

87

 Charlas y presentaciones.
 Videos interactivos
 Documentos de texto
 Salvapantallas y Test de autoevaluación.

Proceso
Formativo

88

42
 16/09/2021

Consejos de
seguridad
mensuales

89

 Después de 6 meses aproximadamente.

Ataques
dirigidos -
Recordatorio

90

43
 16/09/2021

 http://www.seguridadinternacional.es/?q=es/content
Referencias /una-revisi%C3%B3n-del-ciclo-de-inteligencia
Bibliográficas

92

44