SEGURIDAD INFORMÁTICA

UNIDAD 2
Seguridad Física y Lógica

Autor: Arevalo Cordovilla Felipe Emiliano

 ÍNDICE

1. Unidad 2: Seguridad Física y Lógica...................................................................... 3

Tema 1: Seguridad Física .............................................................................................. 3
Objetivo ......................................................................................................................... 3
Introducción .................................................................................................................. 3

2. Información de los subtemas............................................................................... 5

2.1 Subtema 1: Controles de Presencia y Acceso ..................................................... 5
2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social .............................................. 9
2.3 Subtema 3: Herramientas de Ingeniería Social................................................ 14
2.4 Subtema 4: Contramedidas de Ingeniería Social ............................................. 16

3. Unidad 2: Seguridad Física y Lógica.................................................................... 20

Tema 2: Reconocimiento y Recopilación de Información ........................................... 20
Objetivo ....................................................................................................................... 20
Introducción ................................................................................................................ 20

4. Información de los subtemas............................................................................. 21

1.1 Subtema 1: Introducción y Conceptos.............................................................. 21
1.2 Subtema 2: Tipos de Footprinting .................................................................... 23
1.3 Subtema 3: Herramientas y Técnicas de Footprinting ..................................... 25
1.4 Subtema 4: Contramedidas para Prevenir la Divulgación de Información ...... 27

5. Preguntas de Comprensión de la Unidad 2 ........................................................ 29

6. Material Complementario ................................................................................. 31

7. Bibliografía ........................................................................................................ 32

2
 Unidad 2 l Seguridad Física y Lógica

1. Unidad 2: Seguridad Física y

Lógica
Tema 1: Seguridad Física
Objetivo

El objetivo de la seguridad física en cuanto a la protección en línea es disminuir el riesgo

para los marcos de datos y la información. Los esfuerzos de seguridad física están
planificados para mantener las estructuras libres de cualquier daño potencial y, al
mismo tiempo, proteger el hardware interior. Básicamente, mantienen alejadas a las
personas no deseadas y permiten la entrada sólo a personas con los permisos
correspondientes.

Introducción
Si bien en las organizaciones la protección en línea es vital, las brechas de seguridad y
los peligros reales deben evitarse para proteger su innovación e información, así como
a cualquier personal o empleado que se acerque a la oficina. Su entorno de trabajo u
oficina estará indefenso contra el crimen si no tiene sistemas de seguridad establecidos.
Las preocupaciones de seguridad física incluyen robo, desfiguración, extorsión e incluso
percances. Los modelos de control de seguridad física deben incluir desde seguridad en
accesos de entrada, salida a las diferentes áreas de la empresa e inclusive mantener
personal que custodio las áreas críticas de la organización. Si bien son útiles, hay muchas
© Universidad Estatal de Milagro – UNEMI

más capas de seguridad real para los lugares de trabajo que en algunos casos se ignoran.

Se alude como seguridad física a los seguros de personas, propiedades y recursos físicos
contra manifestaciones físicas y eventos como incendios, inundaciones, eventos
cataclismos, robos, hurtos, mutilaciones y opresión psicológica. Señales de precaución
o adhesivos para ventanas, paredes, obstrucciones de vehículos, focos de paso
confinado, iluminación de seguridad, etc. son probablemente los modelos más notables.
Cuando las divisiones de seguridad física y ciberseguridad trabajan en los almacenes, no
tienen una imagen completa de los riesgos de seguridad que están enfocadas en su

FORMATO CONTROLADO: FR0018/ v3.01 3

 Unidad 2 l Seguridad Física y Lógica

organización. Posteriormente, es probable que ocurran ataques fructíferos, lo que

posiblemente provoque el robo de datos confidenciales o exclusivos, daños financieros,
interrupción de del servicio.

La seguridad física ayuda con la ciberseguridad al limitar el acceso a las regiones de

capacidad de información, y viceversa. Los programadores, con la mayor frecuencia
posible, tienen como objetivo las piezas de seguridad física asociadas a Internet, por
ejemplo, cerraduras de entrada con tarjeta RFID, teléfonos celulares y cámaras de
reconocimiento de video. Las tareas de seguridad física solían ser supervisadas por
policías con experiencia en el manejo de la seguridad física de una oficina mediante el
uso de cerraduras, cámaras, monitores, cercas y precauciones. La seguridad física es
importante por una variedad de razones, que incluyen evitar que personas no aprobadas
ingresen a su empresa y causen daños, proteger su innovación con licencia del
reconocimiento corporativo y disminuir la crueldad en el entorno laboral (Abdi, et al.,
2018).

Además, a medida que avanza el cambio los representantes se adaptan al nuevo tipo de
trabajo remoto o áreas de trabajo mixtas, la innovación se ha vuelto más asequible, más
razonable y equipada para desempeñar funciones adicionales que en cualquier otro
momento. La totalidad de esta eficacia, sin embargo, conlleva un riesgo. Cuando un
dispositivo interactúa con la organización, se convierte en una posible superficie de
ataque para un programador que intente acceder a la organización. Pueden contaminar
las PC con malware, tomar información o arruinar las actividades corporativas. Para
evitar las brechas de seguridad, cada equipo asociado con IoT en su empresa debe estar
© Universidad Estatal de Milagro – UNEMI

lo suficientemente consolidado. Un procedimiento de combinación de seguridad física

digital une los esfuerzos de seguridad física con estrategias de protección en línea para
proteger la red asociada y evitar el acceso a información básica. La combinación de
seguridad física y de TI tiende a la idea interrelacionada de estas partes y las aborda
como una sustancia solitaria en lugar de asociaciones comerciales aisladas. Un ataque
digital o físico efectivo a los marcos de control modernos (ICS) y las organizaciones
asociadas podría perturbar las tareas o evitar que la sociedad obtenga administraciones
vitales.

FORMATO CONTROLADO: FR0018/ v3.01 4

 Unidad 2 l Seguridad Física y Lógica

2. Infórmación de lós subtemas

2.1 Subtema 1: Controles de Presencia y Acceso
Si bien los esfuerzos de seguridad física son importantes para evitar el acceso no
autorizado, una técnica de combinación de protección física y en línea también se debe
incorporar a las personas que toman las debidas decisiones, analizan y aceptan opciones
comerciales para dispositivos inteligentes basados en la nube y marcos de seguridad, así
como gadgets, aplicaciones y otros servicios para protección de la organización.

Independientemente de la forma en que la seguridad física y de la red están

inseparablemente conectadas, muchas organizaciones las abordan como marcos
autónomos. Esto fue legítimo recientemente debido a la ausencia de innovación para
combinar la protección física y de red. Sea como fuere, el problema actualmente está
en la administración, con énfasis en diseñar un cuerpo unido para estrategias de
seguridad e incorporar grupos de seguridad y protección de red reales para fortalecer
su empresa. A través del comercio de información, la perceptibilidad, el control y la
mecanización, una ingeniería de seguridad incorporada brinda un escenario para
coordinar los universos físico y digital. A medida que nos volvamos más dependientes
de la innovación en nuestras rutinas diarias, CPS se volverá cada vez más importante
para ayudar a su asociación a prevenir el abuso coincidente y posiblemente pernicioso
de estos marcos y activos, así como garantizar que sus misiones esperadas no se vean
alteradas. o comprometido.

Controles de presencia y acceso

© Universidad Estatal de Milagro – UNEMI

Los guardias de seguridad, CCTV (circuito cerrado de televisión) y control de puertas son
solo algunos ejemplos de seguridad física. Las empresas podrían evitar la pérdida de
datos empleando estos procesos, lo que evitaría el robo de dispositivos electrónicos. Los
centros de datos que tienen los servidores de la institución deben mantenerse cerrados
con llave en todo momento y solo debe tener acceso el personal autorizado. Se debe
usar CCTV y un libro de registro para monitorear el acceso (como mínimo). Una puerta
de seguridad con un mecanismo de autenticación, como una tarjeta inteligente o quizás

FORMATO CONTROLADO: FR0018/ v3.01 5

 Unidad 2 l Seguridad Física y Lógica

un escaneo biométrico, sería una opción superior. Otra técnica para garantizar que no
ocurra ningún acceso no autorizado al centro de datos es hacer que un guardia de
seguridad permita el acceso. Fuera del horario de oficina, se pueden usar detectores de
movimiento para vigilar la habitación.

Los dispositivos móviles deben estar bloqueados: la pérdida de datos se puede evitar
asegurando equipos electrónicos como computadoras portátiles y teléfonos móviles. El
robo de un sistema completo es uno de los tipos más fáciles y frecuentes de violación
de la seguridad, lo que lo deja vulnerable a la pérdida de todos los datos y contraseñas
de red guardados en la computadora. Asegúrelos con un candado de cable, colóquelos
en un lugar seguro (como la sala de servidores) o manténgalos consigo para evitar esta
pérdida.

Asegure archivos confidenciales: la información confidencial se puede almacenar en una

variedad de formatos, no solo en versiones digitales. La información confidencial
también se puede encontrar en documentos impresos, como facturas o informes de
trabajo. Cuando ya no los necesite, triture los registros en papel y guarde los
documentos confidenciales bajo llave en cajones o archivadores. Notificar sospechas de
violaciones de datos a la dirección departamental correspondiente. Será necesario
informar una violación de datos personales si es probable que ponga en riesgo los
derechos y libertades de las personas.

Designe guardias de seguridad competentes: los guardias uniformados en el sitio

pueden disuadir el comportamiento delictivo y, al mismo tiempo, garantizar que las
empresas que manejan datos confidenciales sigan los mejores procedimientos.
© Universidad Estatal de Milagro – UNEMI

Trabajando junto a sus empleados, un oficial de seguridad causará la menor cantidad de

interrupciones en su lugar de trabajo.

Cuando muchas personas consideran la seguridad, consideran cerraduras, rejas,

precauciones y relojes biométricos. Si bien estas contramedidas de ninguna manera
son100% eficientes, permiten formar los posibles escudos a tener en cuenta al intentar
obtener un marco de datos, son un excelente lugar para comenzar. La seguridad de los
datos, la seguridad de la programación, la seguridad del acceso del cliente y la seguridad

FORMATO CONTROLADO: FR0018/ v3.01 6

 Unidad 2 l Seguridad Física y Lógica

de la organización son mucho más difíciles, en el caso de que sea posible, ejecutar sin
seguridad real.

La seguridad real se relaciona con evitar robos, desfiguraciones, eventos catastróficos,

debacles provocados por el hombre y daños no intencionales a los destinos y equipos
(así como a los datos y la programación incluidos en ellos) (por ejemplo, de
inundaciones, tormentas eléctricas, temperaturas escandalosas, entre otros). Requiere
un desarrollo sólido, preparación legítima para crisis, suministros de energía confiables,
un entorno satisfactorio para el centro de datos y suficiente protección contra intrusos.

Las medidas de control de acceso, le permiten monitorear quién está en su espacio y

dónde están constantemente. Las personas que utilizan su espacio reciben
identificaciones, que actúan como control de acceso. Un número de reconocimiento
especial para ese titular de la tarjeta está codificado en cada una de las identificaciones,
que pueden aparecer como tarjetas con capacidad de deslizamiento, chips RFID o
incluso códigos QR. Cada número de identificación tiene un nivel de acceso alternativo,
lo que permite a los titulares de tarjetas acceder a diversos departamentos según su
nivel de acceso, además se tendrá un registro con la hora del día y cualquier otro
elemento que desee controlar. Emissary, un software de control de acceso, incorpora
marcos de control de acceso basados en la nube. Puede asignar identificaciones breves
a los invitados utilizando el control de acceso de invitados. Estas identificaciones están
destinadas a terminar después de un período de tiempo establecido, lo que le permite
controlar a dónde puede ir cada invitado dentro de su oficina. En lugar de permitir que
los invitados deambulen sin rumbo fijo, puede monitorear sus desarrollos e incluso
negarles la entrada asumiendo que pasan demasiado tiempo adentro. Cuando los
© Universidad Estatal de Milagro – UNEMI

visitantes ingresan a su oficina, el personal del área de trabajo del frente les da la
bienvenida con una sonrisa reconfortante y una identificación personalizada que se
registra en un marco de pase de invitado, fomentan un sentimiento de confianza. Este
movimiento da la apariencia de que su organización es consciente, tenaz y en general
cumplida. Esta progresión de su parte garantiza que cada persona que ingresa a su
espacio ha ingresado datos distintivos en su marco, lo que sugiere que es responsable
de su forma de comportarse una vez dentro. No se trata solo de ofrecer ese trato
específico al cliente que el control electrónico de acceso de invitados agrega estima. Esta

FORMATO CONTROLADO: FR0018/ v3.01 7

 Unidad 2 l Seguridad Física y Lógica

etapa, además de otras cosas, amplía el valor de su negocio en curso y genera un

potencial de tierra adicional. Todo gira en torno a quién, dónde y con respecto al control
de acceso real. A quién se le permite entrar o salir, dónde se les permite salir o entrar, y
cuándo se les permite entrar o salir no está grabado en piedra por un marco de control
de entrada. Anteriormente, esto se lograba hasta cierto punto usando llaves y
cerraduras. (Alshanfari, et al., 2020)Dependiendo de cómo esté diseñada la cerradura,
solo alguien con una llave puede entrar por la entrada mientras está cerrada. Las
cerraduras y llaves mecánicas no permiten al titular vital restringir su entrada a períodos
o fechas determinadas. Las cerraduras mecánicas y las llaves no controlan qué llave se
usó en qué entrada y, de esta manera, no son difíciles de duplicar o transferir a una
persona no autorizada. Las cerraduras deben cambiarse cuando se pierde una llave
mecánica o cuando el titular de la llave generalmente no está aprobado para utilizar la
región protegida.
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 8

 Unidad 2 l Seguridad Física y Lógica

2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social

La expresión "ingeniería social" alude a una amplia gama de formas de comportamiento
vengativas ayudadas a través de conexiones humanas. Utiliza acrobacias mentales para
convencer a los clientes de cometer errores de seguridad o descubrir datos básicos. Los
ataques de ingeniería social se completan a través de una progresión de pasos. Para
completar el ataque, un culpable inicialmente inspecciona la víctima planificada para
obtener información básica importante. (Alshanfari, et al., 2020)El atacante entonces,
en ese momento, trata de ganarse la confianza de la víctima para posterior abusar de
las normas de seguridad, por ejemplo, revelando información confidencial u obteniendo
información comprometedora para aprovecharse y obtener una rentabilidad de ello.

Figura 1. Ciclo de un ataque de ingeniería social

Recolección de
información

Relación de
Salida
confianza

Manipulación

Fuente: Elaboración propia

Los ataques de ingeniería social, utilizan una garantía falsa para encender la
insaciabilidad o el interés de una víctima. Engañan a los compradores para que caigan
© Universidad Estatal de Milagro – UNEMI

en una trampa en la que se toman sus propios datos o sus PC se contaminan con
malware. Los medios reales se utilizan para propagar malware en la forma más
despreciada de atormentar. Por ejemplo, los agresores pueden colocar la trampa,
normalmente unidades contaminadas con malware, en entornos donde es probable que
las víctimas potenciales la experimenten (por ejemplo, baños, ascensores y el área de
estacionamiento de una organización designada). La trampa tiene una apariencia
certificada, con una marca que la reconoce como la lista financiera de la organización.
Las víctimas seleccionan la trampa de interés y la detectan en una computadora de
trabajo o doméstica, lo que provoca que el malware se introduzca en consecuencia. Los

FORMATO CONTROLADO: FR0018/ v3.01 9

 Unidad 2 l Seguridad Física y Lógica

planes atormentadores no necesariamente tienen que ocurrir en el mundo real. La

incitación ocurre en línea a través de la promoción atractiva que guía a los observadores
a sitios maliciosos o los tienta a descargar una aplicación contaminada con malware.

Los sobrevivientes de Scareware (software malicioso que engaña a los usuarios de una
computadora para que visiten sitios infestados de malware) son atacados con
problemas engañosos y peligros falsos. Se engaña a los clientes para que acepten que
su marco está contaminado con malware, lo que los lleva a introducir programación que
no tiene ningún motivo (aparte de ayudar al malhechor) o que es malware. La
programación engañosa, la programación de verificación inconformista y la extorsión
son términos utilizados para describir el Scareware. Los banderines emergentes de
apariencia real que aparecen en su programa mientras examinan la web, mostrando
frases como "Su PC podría estar contaminada con terribles aplicaciones de spyware",
son un famoso modelo de scareware. Ofrece introducir la utilidad por usted (que
regularmente está invadida por malware) o lo guía a un sitio rebelde donde su PC está
contaminada. El scareware también se propaga a través del correo electrónico no
deseado, que transmite alertas u ofertas falsas para comprar algo (Idierukevbe, 2019).

La caza de ballenas (Whaling) es un tipo de ataque de phishing que se dirige

explícitamente a líderes empresariales de alto nivel y jefes de organizaciones
gubernamentales. Los ataques de caza de ballenas utilizan regularmente los registros de
correo electrónico de otros representantes de alto nivel en la organización o la oficina
para enviar mensajes nefastos sobre una crisis falsa o un período de oportunidades
delicadas. Debido al gran nivel de acceso a la organización que tienen los líderes y jefes
superiores, los ataques balleneros efectivos pueden revelar una tonelada de datos
© Universidad Estatal de Milagro – UNEMI

secretos y delicados.

El pretexto es un tipo de ataque de diseño amistoso en el que un estafador crea un

disfraz o una situación, por ejemplo, insinuando ser un examinador del IRS, para engañar
a alguien para que revele datos confidenciales personales o financieros, por ejemplo, y
su número de jubilación administrado por el gobierno. Alguien realmente puede
obtener acceso a su información aquí de ataque actuando como un vendedor, un

FORMATO CONTROLADO: FR0018/ v3.01 10

 Unidad 2 l Seguridad Física y Lógica

conductor de transporte o un trabajador del proyecto para ganarse la confianza de su

personal.

A medida que más organizaciones deciden enviar mensajes como su principal método
de correspondencia, el phishing por SMS se está convirtiendo en una preocupación
mucho mayor. Los estafadores envían mensajes instantáneos que imitan solicitudes de
verificación multifacéticas y fallas de conexión a páginas de sitios malignos que capturan
sus credenciales o introducen malware en sus teléfonos en una sola forma de phishing
por SMS.

El ladrón persuade a un conductor de transporte o mensajero para que vaya a algún

lugar inaceptable o entregue un paquete a alguien que no sea el beneficiario esperado
en un plan de robo de redirección obsoleto. Una técnica de redirección de robo basada
en la web incluye a un ladrón que convence a la víctima para que envíe u ofrezca
información delicada a una persona inaceptable. El tramposo generalmente logra esto
imitando a alguien de la organización de la víctima, por ejemplo, una firma de inspección
o una institución monetaria (Idierukevbe, 2019).

El daño a la reserva (reserve harming) es un ataque a la organización que incluye la

infusión de datos erróneos en una tienda web para dar respuestas HTTP maliciosas a los
compradores. La parodia de DNS (DNS parodying) es un ataque comparativo en el que
los atacantes utilizan el Sistema de nombres de dominio (DNS) para desviar el tráfico de
los servidores genuinos hacia servidores malévolos o inseguros. El daño a la reserva y la
satirización del DNS son ataques engañosos que desvían el tráfico de los sitios reales e
inyectan malware al equipo y permite el robo de información.
© Universidad Estatal de Milagro – UNEMI

Un ataque inicial de riego (watering opening assault) incluye enviar o descargar código
malicioso de un sitio real visitado por los objetivos del ataque. Por ejemplo, los agresores
podrían violar un sitio de noticias de la industria financiera, al darse cuenta de que las
personas que trabajan en finanzas probablemente lo visitarán, lo que los convierte en
un objetivo atractivo. Por lo general, se instala un troyano de paso secundario en un sitio
comprometido, lo que permite al atacante pensar dos veces antes de controlar de forma
remota el dispositivo de la víctima. Los asaltos de apertura de riego normalmente los
realizan asaltantes expertos que han encontrado una imperfección de día cero o que

FORMATO CONTROLADO: FR0018/ v3.01 11

 Unidad 2 l Seguridad Física y Lógica

potencialmente están persiguiendo a un "tipo" particular de cliente, por ejemplo,

trabajadores de una asociación particular que usan un activo o dispositivo de recursos
humanos en particular, según las alertas de los bancos en 2017. Para salvaguardar el
valor del esfuerzo que reconocieron, pueden esperar meses antes de lanzar el ataque.
Los ataques de apertura de riego a veces se coordinan directamente contra la
programación débil del grupo de interés principal, a diferencia de un sitio que visitan.
Para salvaguardar el valor de la aventura que protagonizaron, pueden esperar meses
antes de enviar el ataque. Los ataques de apertura de riego a veces se coordinan
directamente contra la programación débil del grupo de interés, a diferencia de un sitio
que visitan.

Un asalto de remuneración es como burlarse, pero en realidad, en lugar de dar algo de

valor significativo a la persona en cuestión, los agresores prometen adoptar un
movimiento que los ayudará a cambio de algo de la persona en cuestión. Un agresor
puede, por ejemplo, ponerse en contacto con expansiones corporativas irregulares
mientras afirma volver en una solicitud de ayuda especializada. Cuando encuentran a
alguien que tiene un problema de soporte certificado, dicen ayudarlos mientras los
entrenan para hacer movimientos que dañarán su máquina.

La introducción de antivirus y otros esfuerzos de seguridad de puntos finales en los

dispositivos de los clientes es el método más fundamental. La programación actual de
seguridad de puntos finales puede identificar y prevenir correspondencias claras de
phishing, así como cualquier mensaje que contenga asociaciones con sitios peligrosos o
tendencias de IP que se hayan identificado en conjuntos de datos de datos peligrosos.
© Universidad Estatal de Milagro – UNEMI

También pueden bloquear y evitar que se ejecuten ciclos perniciosos en la PC de un

cliente. Si bien hay ataques avanzados que desvían o perjudican a los especialistas en
puntos finales y antivirus, por lo general dejan otros signos evidentes de un ataque
fructífero. Con el diseño social, hay un montón de estrategias innovadoras para penetrar
las garantías de una asociación. Cuando contratas a un programador moral para diseñar
ataques/pruebas de acceso al canal, estás permitiendo que alguien con la variedad de
habilidades de un programador encuentre y aproveche las imperfecciones en tu
sistema. Cuando prevalece una prueba de acceso con respecto a comprometer sistemas
delicados, puede ayudarlo a distinguir trabajadores o sistemas que deben protegerse,

FORMATO CONTROLADO: FR0018/ v3.01 12

 Unidad 2 l Seguridad Física y Lógica

así como métodos de diseño amigables a los que puede ser especialmente vulnerable
(Aroyo, et al., 2018).

Fisherman phishing es un tipo de ataque de phishing que explota el entretenimiento en

línea. Los ataques de phishing de pescadores se inician utilizando perfiles de
entretenimiento en línea comerciales falsos, en lugar del phishing habitual, que utiliza
mensajes que reflejan organizaciones reales. Una etapa inicial de ataques de ingeniería
social más intrincados en los que el sinvergüenza se gana la confianza de la persona en
cuestión, generalmente creando una historia confiable (Aroyo, et al., 2018).
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 13

 Unidad 2 l Seguridad Física y Lógica

2.3 Subtema 3: Herramientas de Ingeniería Social

Metasploit Framework es un dispositivo de prueba de infiltración que puede utilizarse
para encontrar, explotar y evaluar imperfecciones de seguridad. Brinda la sustancia, los
dispositivos y la base necesarios para intentar una evaluación de seguridad exhaustiva y
pruebas de acceso. La capacidad de configurar un servidor SMB falso es uno de los
elementos más fuertes de Metasploit. Cuando un cliente de la empresa intenta acceder
al servidor, su marco se verá obligado a mostrar sus calificaciones en cuanto a su "hash
de clave secreta espacial". Si espera lo suficiente, podría obtener certificaciones de área
cuando los clientes intenten interactuar con el servidor SMB. En el momento en que el
objetivo encaje en él, puede obtener sus acreditaciones espaciales enviándoles un UNC
implantado. MSF se actualiza regularmente cuando sus creadores liberan las nuevas
opciones. Puede enviar Metasploit a través del menú de Kali Linux o ingresando el
pedido adjunto en la terminal.

Maltego es un instrumento perspicaz de conocimiento de código abierto (OSINT) que

muestra cómo se asocian diferentes piezas de información. Puede utilizar Maltego para
rastrear asociaciones entre personas y otros recursos de datos, como direcciones de
correo electrónico, perfiles sociales, nombres de pantalla y otros detalles que conectan
a una persona con una ayuda o asociación. Tener todos estos datos cerca puede
ayudarlo a imitar un ataque de ingeniería social y evaluar la información de seguridad
de sus trabajadores. Maltego tiene una interfaz de usuario gráfica que lo simplifica para
ver las conexiones.

Social Engineering Toolkit (o SET) es un conjunto de herramientas de código abierto

© Universidad Estatal de Milagro – UNEMI

basado en Python para pruebas de acceso de ingeniería social. SET ofrece varios
vectores de ataque específicos que le permiten configurar un posible ataque
rápidamente y de manera efectiva. SET viene con una herramienta de sitio que
transforma su PC en un servidor web, completo con una variedad de exploits. El punto
es darle a su víctima una conexión que los lleve a su sitio web, donde el ataque se
descarga y ejecuta rápidamente. Para que el ataque parezca más real, puede involucrar
los formatos preconstruidos en SET para clonar un sitio legítimo. SET tiene páginas de

FORMATO CONTROLADO: FR0018/ v3.01 14

 Unidad 2 l Seguridad Física y Lógica

phishing prediseñadas para sitios inconfundibles como Facebook, Twitter, Google y

Yahoo.

Wifiphisher es un dispositivo que se utiliza en ataques de ingeniería social excepcional

que computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo. La utilidad puede bloquear (desconfirmar
a todos los usuarios) cualquier vía Wi-Fi cercana y crear una vía de clonación que no
necesita una contraseña para unirse. Cuando los objetivos ingresan una clave secreta,
Wifiphisher envía una advertencia mientras reduce la velocidad por tiempo. Después de
comunicar la clave secreta capturada, mostrará un reloj de reinicio falso y una pantalla
de actualización falsa para que tenga tiempo de probar la clave secreta capturada. Es un
instrumento útil para considerar a sus guardias de seguridad en contraste con el diseño
social basado en Wi-Fi.

 Los ataques de phishing aprovechan los errores humanos para tomar

contraseñas o propagar malware, generalmente a través de conexiones de
correo electrónico corruptas o uniones malévolas a sitios. Ofreciendo
obsequios incondicionales o transmitiendo artilugios contaminados, los
agresores atraen a las víctimas para que, al mismo tiempo, socaven su
seguridad.
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 15

 Unidad 2 l Seguridad Física y Lógica

2.4 Subtema 4: Contramedidas de Ingeniería Social

El error humano es el objetivo de las contramedidas contra los ataques de ingeniería
social. Los representantes están más preparados para condiciones posiblemente
riesgosas si tienen las estrategias, políticas y técnicas correctamente establecidas.
Realmente lamentando decir "no". Cuando una situación comienza a pasar de las pautas
establecidas, en cualquier caso, su representante estará más seguro de decir "no" y
adherirse a las técnicas corporativas en (lo que podría ser) una situación perturbadora
si las estrategias definidas están en su lugar. A pesar de la forma en que los seguros
físicos y de red están indistinguiblemente asociados, varias asociaciones realmente los
abordan como estructuras libres. Esto fue legítimo recientemente debido a la ausencia
de innovación para combinar la protección física y de red. Sin embargo, el problema a
partir de ahora está en la administración, con énfasis en diseñar un cuerpo unido para
estrategias de seguridad e incorporar seguridad física y grupos de seguridad de red
juntos para reforzar su empresa. A través del conocimiento del comercio, la
permeabilidad, el control y la mecanización, la ingeniería de seguridad coordinada
brinda un escenario para incorporar la física y universos digitales (Costantino, et al.,
2018).

Los sistemas están en constante desarrollo, por lo que su equipo debe ser instruido para
reconocer los ataques o, al menos, las situaciones que se apartan de las estrategias
habituales. Los dones aprendidos pueden ser descuidados después de algún tiempo. No
obstante, los procedimientos y estrategias de nuestros rivales siguen ajustándose. Es
importante que cada individuo de su personal obtenga una preparación estándar e ideal.
© Universidad Estatal de Milagro – UNEMI

La preparación general de atención de seguridad, las pruebas estándar de phishing

recreadas y el compromiso de diseño amigable deben ser importantes para un plan de
preparación completo. También es importante que los trabajadores conozcan la
capacidad de respuesta y la disposición de los datos y los recursos. Mientras trabaja con
datos excepcionalmente delicados, su personal debe saber que deben practicar una
atención plena más notable que al administrar recursos menos importantes.

Uso de la Web: Este segmento cubre la utilización satisfactoria de Internet. Solo se

podría respaldar el uso relacionado con el negocio, por ejemplo. Por lo tanto, los

FORMATO CONTROLADO: FR0018/ v3.01 16

 Unidad 2 l Seguridad Física y Lógica

representantes pueden estar protegidos de los mensajes de phishing no relacionados

con el negocio.

Estrategia de programas: describe qué tipos de programas están permitidos, así como
quién tiene el poder de introducirlos y actualizarlos. Piense en permitir que un puñado
limitado de personas introduzca los programas en las PC. Esto podría ayudar a prevenir
un ataque phishing en el que por medio de ingeniería social un atacante alienta a una
víctima a instalar programas infectados en su PC.

Estrategia de equipo: especifica qué equipo se debe utilizar y cómo se debe utilizar. Las
memorias USB, por ejemplo, pueden ser denegadas. Esto podría impedir que los
representantes coloquen memorias USB dañinas que encuentren en el área de
estacionamiento en sus PC de trabajo.

Se establecen contramedidas especializadas para evitar que el problema se deteriore.

La idea es frustrar a los artistas de peligro antes de que tengan la oportunidad de
aprovechar el instinto humano, en cualquier caso. Aquí hay una variedad de opciones,
incluida la administración de desechos que descarta de manera segura cualquier
información delicada, marcos de acceso reales seguros (entradas, puertas, etc.), tarjetas
de entrada complejas, control individual, acompañando a cualquier visitante, etc.
Dentro o en un esfuerzo conjunto con un tercero, dichas revisiones pueden completarse.
Deben ser posibles de forma latente o contundente. El estudio latente implica solo una
evaluación hipotética de la superficie de ataque. Una auditoría funcional incluye
esforzarse de manera efectiva por arriesgar el secreto, la respetabilidad o la
accesibilidad potencial de los datos. El equipo de trabajo es la parte más significativa del
© Universidad Estatal de Milagro – UNEMI

plan de seguridad de cualquier asociación. Intente atraer a su personal de una manera

que eleve su inversión inicial a la cultura de seguridad más amplia de la organización
mientras evalúa cómo se mantendrá al día con su empresa protegida de los peligros de
seguridad de la red (Opazo, et al., 2018).

Para protegerse, debe instruir a su equipo de trabajo sobre temas, por ejemplo, qué es
la ingeniería social, cómo detectarlo y qué hacer al respecto. Los representantes deben
aprender sobre los efectos secundarios especializados y de conducta de un truco de
ingeniería social como parte de su preparación. Los indicadores técnicos de un correo

FORMATO CONTROLADO: FR0018/ v3.01 17

 Unidad 2 l Seguridad Física y Lógica

electrónico malicioso, por ejemplo, podrían incluir: Enlaces sospechosos: examinar los
enlaces y archivos adjuntos del correo electrónico puede revelar su validez. Las URL
largas o complejas, así como los errores tipográficos en los nombres de dominio, son
sospechosos. Los indicadores de comportamiento, por otro lado, podrían incluir:

Solicitudes urgentes: los ingenieros sociales entienden el valor de ejercer presión y

pueden usar la urgencia como parte de su ataque.

Solicitudes de cambios en los detalles financieros o transacciones: las solicitudes de

cambios en la información financiera son típicas, pero los empleados deben tener
cuidado.

Remitentes que son inusuales o inesperados: recibir un correo electrónico de alguien

que nunca conoció o con quien nunca trabajó podría ser un síntoma de un ataque de
ingeniería social.

Cambios en el comportamiento: si un colega escribe de manera diferente o hace

demandas inusuales, es posible que su cuenta haya sido pirateada.

En general, una de las contramedidas más efectivas contra la ingeniería social es educar
a sus empleados sobre qué es, por qué es peligrosa y cómo prevenirla. Los empleados
pueden ser educados en una variedad de métodos. Considere brindar a sus empleados
conocimientos sobre los siguientes temas: Ingeniería basada en redes sociales. Se han
producido varias violaciones importantes de la seguridad cibernética dentro de grandes
instituciones como resultado de fraudes basados en las redes sociales. Debido a que los
empleados poseen y operan cuentas personales de redes sociales, monitorear la
© Universidad Estatal de Milagro – UNEMI

información que las personas publican es casi imposible. Sin embargo, puede compartir
información sobre los peligros reales de compartir información en exceso. También
puede proporcionar información sobre las señales de alerta que indican una estafa. La
ubicación, una dirección de correo electrónico del trabajo, las credenciales, las fechas
de vacaciones inminentes, los números de teléfono y las ubicaciones físicas son
ejemplos de información que los empleados no deben compartir en las redes sociales.

Los ataques de smishing tienen una variedad de objetivos (robo de credenciales,

recopilación de datos, implementación de malware), pero el objetivo final suele ser

FORMATO CONTROLADO: FR0018/ v3.01 18

 Unidad 2 l Seguridad Física y Lógica

infiltrarse en los límites digitales de una empresa. Por más banal que pueda parecer un
mensaje de texto, una víctima de este tipo de ataque puede causar pérdidas
corporativas accidentalmente. (Rashid, et al., 2018)Los empleados pueden utilizar una
VPN para evitar el smishing, ejecutar una búsqueda en la web tanto del número de
teléfono vinculado con el mensaje como del contenido en línea, y volver a verificar la
autenticidad de los mensajes que parecen provenir de un colega, pero suenan
sintácticamente "incorrectos".

Los marcos de seguridad son más inteligentes que nunca en la memoria reciente, gracias
al Internet de las cosas, que se está preparando para avances asociados y coordinados
entre empresas. Las etapas basadas en la nube, las fuerzas laborales dispersas y la
innovación portátil, por otra parte, aumentan el riesgo. Para una forma total de lidiar
con la seguridad, la combinación de seguridad digital y real une estos dos marcos y
grupos particulares. Las decepciones de seguridad reales podrían dejar a su empresa
indefensa, independientemente de si utiliza estrategias estrictas de protección de la red,
como el cifrado y los impedimentos de IP. Las personas pueden obtener acceso a la
información y los datos privados con mayor eficacia si la metodología de seguridad
actual incluye fallas, como certificaciones débiles o capacidades de verificación
deficientes. Es básico evaluar los posibles peligros y agujeros en su seguridad actual
antes de agregar esfuerzos de seguridad en su estructura o ambiente de trabajo. En
cuanto a la seguridad real, el descubrimiento es vital. Si bien es difícil mantenerse
alejado de todas las invasiones o rupturas de seguridad reales, tener los avances
correctos configurados para reconocer y responder ataques disminuye el impacto
general en su negocio. Piense en todos sus focos de paso público mientras encuentra
© Universidad Estatal de Milagro – UNEMI

zonas de peligro potencial en su oficina.

FORMATO CONTROLADO: FR0018/ v3.01 19

 Unidad 2 l Seguridad Física y Lógica

3. Unidad 2: Seguridad Física y

Lógica
Tema 2: Reconocimiento y Recopilación de Información
Objetivo

Conocer cómo examinar y reconocer las debilidades de la red y las imperfecciones de

seguridad. Aplicando estrategias que permitan acercarse al objetivo y adquirir datos
para ataques digitales.

Introducción
El reconocimiento se refiere a recopilar información sobre un objetivo, que es el primer
paso en cualquier ataque a un sistema. Tiene sus raíces en las operaciones militares,
donde el término se refiere a la misión de recopilar información sobre un enemigo.

La seguridad de la información permite a las organizaciones proteger tanto la

información avanzada como la simple. La criptografía, el registro portátil, el
entretenimiento basado en la web, así como las organizaciones y fundaciones que
transmiten datos privados, monetarios y corporativos, están indudablemente cubiertos
por la seguridad de la información. La ciberseguridad, por otro lado, protege tanto la
información cruda como la significativa, pero solo contra los peligros que comienzan en
la web.
© Universidad Estatal de Milagro – UNEMI

Las organizaciones llevan a cabo la seguridad de la información por una variedad de

razones. Los objetivos esenciales son en su mayor parte garantizar la clasificación,
confiabilidad y accesibilidad de la información de la organización. Dado que la seguridad
de la información es tan amplia, de vez en cuando requiere la ejecución de diferentes
tipos de seguridad, como seguridad de aplicaciones, seguridad básica, criptografía,
reacción ante eventos, gestión de vulnerabilidades y recuperación de fiascos.

FORMATO CONTROLADO: FR0018/ v3.01 20

 Unidad 2 l Seguridad Física y Lógica

4. Infórmación de lós subtemas

1.1 Subtema 1: Introducción y Conceptos
El reconocimiento ayuda a los atacantes a reducir el alcance de sus esfuerzos y ayuda
en la selección de armas de ataque. Los atacantes utilizan la información recopilada
para crear un modelo o "huella" de la organización, que les ayuda a seleccionar la
estrategia más eficaz para comprometer la seguridad del sistema y de la red. De
manera similar, la evaluación de seguridad de un sistema o red comienza con el
reconocimiento y la huella del objetivo. Los piratas informáticos éticos y los
evaluadores de penetración (pen) deben recopilar suficiente información sobre el
objetivo de la evaluación antes de iniciar las evaluaciones. Los hackers éticos y los
pentesters deben simular todos los pasos que suele seguir un atacante para obtener
una idea clara de la postura de seguridad de la organización objetivo.

La seguridad de la información es un conjunto de dispositivos y métodos que puede

utilizar para proteger información simple y computarizada. La seguridad, el examen
y las pruebas de la organización están completamente incluidos bajo el paraguas de
la seguridad de la información. Se evita que los clientes no aprobados accedan a
datos clasificados mediante la utilización de técnicas como la verificación y el
consentimiento. Estos escudos lo ayudan a mantenerse alejado de los peligros del
robo, la alteración o la desgracia de la información. A pesar de que la protección en
línea y la seguridad de los datos son estrategias de seguridad, tienen varios puntos
y extensiones, con algunos cruces. Criptografía, cálculo versátil y entretenimiento en
© Universidad Estatal de Milagro – UNEMI

línea todo el otoño bajo el paraguas de la seguridad de datos. Está relacionado con
la confirmación de datos, que se utiliza para proteger los datos de peligros no
individuales, como decepciones del servidor o eventos catastróficos. En correlación,
la protección de la red solo cubre los peligros basados en Internet y la información
computarizada. Además, la seguridad de la red permite la inclusión de información
cruda y no clasificada, mientras que la seguridad de los datos no. (Husari, et al., 2018)
Suponiendo que una actualización indistinguible se recibe dos veces, no brinda el
doble de la información que proporcionó el evento principal: el evento posterior no

FORMATO CONTROLADO: FR0018/ v3.01 21

 Unidad 2 l Seguridad Física y Lógica

brinda información de ninguna manera, excepto si la cantidad de eventos se

considera crítica por acuerdo anterior.

Las redes, los servidores, los dispositivos de los clientes, los dispositivos móviles y
los centros de datos se encuentran entre los componentes de la infraestructura que
están protegidos por técnicas de seguridad de la infraestructura. Sin la protección
suficiente, la mayor interconexión entre estos y otros componentes de la
infraestructura pone en riesgo la información. Debido a que la conexión propaga
vulnerabilidades a través de sus sistemas, esto es un peligro. Todos los componentes
dependientes se ven afectados si una parte de su infraestructura falla o se ve
comprometida. Como resultado, minimizar las dependencias y aislar los
componentes sin dejar de permitir las intercomunicaciones es un objetivo clave de
la seguridad de la infraestructura (Husari, et al., 2018).
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 22

 Unidad 2 l Seguridad Física y Lógica

1.2 Subtema 2: Tipos de Footprinting

Una de las metodologías utilizadas para recuperar datos sobre la máquina objetivo es el
Footprinting. El Footprinting se puede clasificar en Footprinting pasivo y Footprinting
activo:

Footprinting Pasivo: Implica recopilar información sin interacción directa. Este tipo de
Footprinting es principalmente útil cuando existe el requisito de que el objetivo no
detecte las actividades de recopilación de información.

Footprinting Activo: Implica recopilar información con interacción directa. El objetivo

puede reconocer el proceso de recopilación de información en curso, ya que
interactuamos abiertamente con la red objetivo.

Footprinting normalmente recopila información relacionada con la red, por ejemplo, ID

de red, nombre de espacio, nombre de área interior, instrumentos de control de acceso,
dirección IP, puertos de red, VPN, autorizaciones, datos de recopilación y de clientes,
tablas de dirección, servidor web. Servidor de base de datos, entre otras. Suponiendo
que un atacante adquiere información confidencial, puede utilizarla para cometer
extorsión, crear perfiles falsos, etc. Al obtener más tipos de información comparativa
sobre las ventajas y actividades del objetivo, el agresor puede unirse a una variedad de
otros lugares y reuniones de entretenimiento en línea, provocando problemas
considerablemente graves.

Diferentes tipos de Footprinting existen continuamente reflejadas en aplicaciones,

como Spam Footprinting, Email Footprinting, Site Footprinting, etc. Varios tipos de
© Universidad Estatal de Milagro – UNEMI

dispositivos de Footprinting, como traceroute, búsqueda Whois, herramienta Nmap y

otros recopilan información. Nmap es una de las herramientas más utilizadas para la
obtener información de los hosts de las organizaciones. Traceroute es uno de los
sistemas para seguir la información de los paquetes a medida que se mueve entre
direcciones IP inconfundibles. Le brinda datos del paquete, como el tiempo de reacción
del ping, la dirección IP y el nombre de host. Las dos técnicas descritas arriba son los
dispositivos más ampliamente involucrados para obtener los datos de la red: Nmap y
traceroute. Al utilizar Footprinting, el cliente debe evaluar algunas contramedidas para

FORMATO CONTROLADO: FR0018/ v3.01 23

 Unidad 2 l Seguridad Física y Lógica

salvaguardar la información. Una de las principales etapas del hacking ético es el

Footprinting. El Footprinting ocupa el segundo lugar en la etapa de recopilación de
información en piratería en la que el agresor asegura los datos del objetivo. Así,
involucrar la estrategia de Footprinting en la etapa de observación ofrece información
sobre el objetivo o aplicación, e investiga el camino con anticipación para conocer los
métodos de persecución y cláusulas de escape en la zona de ataque. Disminuye el efecto
probable de ir tras el espacio. Los atacantes necesitan filtrar y conocer datos sobre el
objetivo y el programa de aplicación para desglosar los procedimientos y los tipos de
debilidades que los afectan.

Hoy en día, se puede acceder a la información en una variedad de etapas, y los atacantes
se esfuerzan continuamente por obtener la información confidencial de los clientes y las
organizaciones. En este sentido, los datos individuales de los clientes se adquieren a
través de sitios web de entretenimiento como Facebook, Twitter y otros. En general,
también se designan valores de acciones, perfiles corporativos, organizaciones,
licencias, cálculos y una variedad de componentes de estrategia. Posteriormente, es
juicioso practicar la alerta antes de ser perseguido. Por lo general, los índices web, como
Google Chrome, Bing y Yahoo, son los mejores dispositivos para recopilar información
sobre el elemento que el cliente está buscando. Las herramientas de búsqueda web
utilizan la web para recopilar muchos tipos de información. Aquí los atacantes obtienen
datos sobre el conjunto de experiencias o patrones de la información de conducción.
Esto ayudará a los atacantes a acceder a la información privada y social del cliente. El
atacante recopila información jerárquica oficial, información privada confinada,
información del sitio, etc. El atacante puede utilizar herramientas de búsqueda
© Universidad Estatal de Milagro – UNEMI

monetarias en la web como Google, Yahoo y otras para adquirir información financiera
sobre la máquina objetivo.

FORMATO CONTROLADO: FR0018/ v3.01 24

 Unidad 2 l Seguridad Física y Lógica

1.3 Subtema 3: Herramientas y Técnicas de

Footprinting
La mayoría de las organizaciones reclutan representantes publicando oportunidades de
empleo y datos de la empresa en destinos como LinkedIn, Multi trabajo y otros. El área,
los datos de contacto, los requisitos comerciales, el pago y los detalles del equipo, entre
otros; todo esto es publicado en la web y se puede obtener información importante. Los
datos individuales exclusivamente designados pueden ser recopilados por destinos de
trabajo engañosos. Del mismo modo, los datos delicados están contenidos en reuniones,
debates, sitios y redes, y hay una apuesta de robo con datos delicados. Técnicas de
pirateo de Google de alto nivel para Footprinting: Los piratas informáticos utilizan
rastreadores web de manera astuta para recopilar información delicada. La piratería de
Google, por ejemplo, es la utilización del rastreador web de Google para recuperar
datos.

A continuación de detallan algunas técnicas y herramientas de Footprinting:

Suplantación de identidad (Phising)

La suplantación de identidad incluye el envío de mensajes a un objetivo u objetivos

escogidos que contienen mensajes que tienen todas las características de ser reales. El
cliente se esfuerza por abrir la conexión en el cuerpo del mensaje ya que da la impresión
de ser certificable y bueno. Cuando un cliente abre la conexión, se ejecutan las
aplicaciones básicas, recuperando todos los datos confidenciales, como nombres de
usuario y contraseñas, y desviando al cliente a una ubicación falsa.
© Universidad Estatal de Milagro – UNEMI

Contenedor de basura (Dumpster)

Es uno de los métodos de ingeniería social más experimentados para recopilar

información de la basura del sistema objetivo. Por ejemplo, un agresor podría recopilar
solicitudes mensuales, datos bancarios y otra información delicada de la basura.

Quien Es (WHOIS)

El Footprinting de WHOIS, que obtiene información, por ejemplo, direcciones IP,

servidor de nombres de dominio, fecha de creación y expiración del dominio, entre

FORMATO CONTROLADO: FR0018/ v3.01 25

 Unidad 2 l Seguridad Física y Lógica

otros. Los Registros Regionales de Internet se mantienen por regiones geológicas que
no son parte de naciones o distritos (RIR). Los RIR mantienen actualizado el conjunto de
datos de WHOIS. El conjunto de datos es mantenido por RIR como LACNIC (Registro de
Direcciones de Internet de América Latina y el Caribe) y APNIC (Centro de Información
de Redes de Asia Pacífico). Una URL, por ejemplo, brinda datos sobre el nombre del área
y el nombre del host. La Corporación de Internet para la Asignación de Nombres y
Números (ICANN) luego, en ese momento, confirma que el nombre del espacio está en
manos de una sola organización. La Corporación de Internet para la Asignación de
Nombres y Números (ICANN) garantiza esto al exigir que los nombres de los espacios se
registren de una manera única. Por cierto, ARINA (Registro estadounidense de números
de Internet) mantiene el RIR de direcciones IP estáticas de América del Norte. El
dispositivo WHOIS consulta el conjunto de datos de alistamiento para asuntos sociales
y los datos relacionados con el espacio.

Email Footprinting

La herramienta Polite Mail se utiliza para recopilar información del intercambio de

correo entre los equipos de destino. Utiliza Microsoft Outlook para rastrear los correos
electrónicos de destino. Se transmitirá un enlace malicioso a una lista de direcciones de
destino para recopilar eventos clave. Polite Mail recopila encabezados de correo
electrónico que pueden revelar información confidencial, como la fecha y la hora de la
comunicación, la dirección de destino, la dirección IP del remitente, etc.

DNS Footprinting

Es un método para reconocer el nombre de DNS y usarlo para las transferencias de

© Universidad Estatal de Milagro – UNEMI

zonas de destino. La técnica de transferencia de zona permite que los servidores DNS
actualicen su información mediante la transferencia de la base de datos. Cuando un
pirata informático solicita información de DNS, la solicitud se enruta a través de la
estructura jerárquica de DNS.

FORMATO CONTROLADO: FR0018/ v3.01 26

 Unidad 2 l Seguridad Física y Lógica

1.4 Subtema 4: Contramedidas para Prevenir la

Divulgación de Información
La información es uno de los recursos más valiosos de una organización. Las
contramedidas son accesibles en una amplia gama de tamaños, estructuras y niveles
de complejidad. El objetivo de este texto es brindar una variedad de estrategias que
podrían utilizarse en entornos instructivos. Las contramedidas que probablemente
no se utilizarán en asociaciones instructivas no se registran aquí para mantener esta
concentración. Suponiendo que su grupo de seguridad acepte que su empresa
requiere contramedidas de primera línea, como escaneo de la red o analizar la
seguridad de la organización, tendrá que asesorar a su equipo sobre medidas de
seguridad y posiblemente conectarse con un experto especializado en el área.

El correo electrónico solo debe utilizarse para la correspondencia comercial

convencional: enviar material delicado por correo electrónico nunca es realmente
inteligente. Suponiendo que debe elegir la opción de usar el correo electrónico,
codifique el registro y envíelo como una conexión en lugar de en el cuerpo del
mensaje.

Al dejar su PC, bloquéela: su clave secreta debe codificarse antes de transferir la

estación de trabajo y acceder al servidor de la empresa; si no, podría ser atrapado
mientras pasa por las asociaciones de la red. Proteja sus equipos y claves de
encriptación de datos: mantenga a las personas ajenas alejados de la PC, pero
controle dónde están.

Informar a los representantes de que todos los mensajes enviados a través de los
© Universidad Estatal de Milagro – UNEMI

sistemas de la organización son de su propiedad: este es un enfoque decente para

decir que todo eso en el lugar de trabajo es susceptible de verificación. Revise la
correspondencia de marcación solo cuando sea importante: hágalo únicamente
después de que la línea haya sido evaluada satisfactoriamente por seguridad.
Asegúrese de que las organizaciones externas desde las que se realizan llamadas
cumplan con sus requisitos previos de seguridad: Instale terminales programadas
que identifiquen la prueba, el tono y las funciones de encriptación (planes
especializados que protegen las transmisiones hacia y desde clientes externos).

FORMATO CONTROLADO: FR0018/ v3.01 27

 Unidad 2 l Seguridad Física y Lógica

El Footprinting ayuda con la obtención de datos delicados y confidenciales que se

comparten a través de la red. Footprinting también podría hacerte consciente del
tipo de debilidad que estás manejando. Ayuda a la configuración adecuada de los
sistemas de destino y previene dejar abiertas vulnerabilidades en los sistemas de
destino y datos de uso compartido. Para obtener información de un sistema
objetivo, existe una variedad de instrumentos y enfoques de Footprinting. No existe
tal cosa como la programación de debilidad cero. De esta manera, antes de vulnerar
el sistema objetivo, es muy inteligente averiguar cómo se obtienen los datos.
Posteriormente, se pueden realizar varios procedimientos para prevenir ataques al
sistema. En caso de que un cliente pueda comprender las numerosas técnicas de
Footprinting, así como las contramedidas para Footprinting, el cliente realmente
querrá proteger los datos personales para que no sean pirateados. El cliente debe
actualizar constantemente la seguridad de los sistemas de la organización.
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 28

 Unidad 2 l Seguridad Física y Lógica

5. Preguntas de Cómprensión de la
Unidad 2
1. Pregunta de comprensión Nro. 1
¿Cuál es el ciclo de un ataque de ingeniería social?
A. Recolección de información, relación de confianza, manipulación y salida.
B. Recolección de información, manipulación, relación de confianza y salida.
C. Salida, Recolección de información, relación de confianza y manipulación.
D. Recolección de información, salida, relación de confianza y manipulación.

2. Pregunta de comprensión Nro. 2

Ataque de phishing que se dirige explícitamente a líderes empresariales de alto nivel
y jefes de organizaciones gubernamentales.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

3. Pregunta de comprensión Nro. 3

Es un ataque a la organización que incluye la infusión de datos erróneos en una tienda
web para dar respuestas HTTP maliciosas a los compradores.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

4. Pregunta de comprensión Nro. 4

© Universidad Estatal de Milagro – UNEMI

Es un dispositivo que se utiliza en ataques de ingeniería social excepcional que

computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo.
A. Metasploit Framework
B. Maltego
C. Social Engineering Toolkit
D. Wifiphisher

5. Pregunta de comprensión Nro. 5

FORMATO CONTROLADO: FR0018/ v3.01 29

 Unidad 2 l Seguridad Física y Lógica

Implica recopilar información con interacción directa. El objetivo puede reconocer el proceso
de recopilación de información en curso, ya que interactuamos abiertamente con la red
objetivo.
A. Footprinting Pasivo
B. Footprinting Activo
C. Ingeniería Social
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 30

 Unidad 2 l Seguridad Física y Lógica

6. Material Cómplementarió
Los siguientes recursos complementarios son sugerencias para que se pueda ampliar la
información sobre el tema trabajado, como parte de su proceso de aprendizaje
autónomo:

Bibliografía de apoyo:
 EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.

 Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system. IEEE
Vehicular Technology Conference, p. 1–5.
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 31

 Unidad 2 l Seguridad Física y Lógica

7. Bibliógrafía
» Abdi, F. y otros, 2018. Guaranteed Physical Security with Restart-Based Design
for Cyber-Physical Systems. ACM/IEEE Int. Conf. Cyber-Physical Syst, p. 10–21.

» Alshanfari, I., Ismail, R., Zaizi, M. & Wahid, F. A., 2020. Ontology-based formal
specifications for social engineering. International Journal of Technology
Management and Information System 2, p. 35–46.

» Aroyo, A. M., Rea, F., Sandini, G. & Sciutti, A., 2018. Trust and social engineering
in human robot interaction: Will a robot make you disclose sensitive
information, conform to its recommendations or gamble. IEEE Robot. Autom.
Lett., p. 3701–3708.

» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and

Beyond. Sixth Edition ed. New York: McGraw Hill.

» Conteh, N. Y., 2021. Ethical Hacking Techniques and Countermeasures for

Cybercrime Prevention. Hershey: IGI Global.

» Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system.. IEEE
Vehicular Technology Conference, p. 1–5.

» EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
© Universidad Estatal de Milagro – UNEMI

» Foundation, O., 2017. OWASP: The Open Web Application Security Project.
s.l.:OWASP Foundation.

» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security
Principles, Algorithm, Applications, and Perspectives. Boca Raton: Taylor &
Francis Group, LLC.

FORMATO CONTROLADO: FR0018/ v3.01 32

 Unidad 2 l Seguridad Física y Lógica

» Husari, G., Niu, X., Chu, B. & Al-Shaer, E., 2018. Using entropy and mutual in-
formation to extract threat actions from cyber threat intelligence. IEEE
International Conference on Intelligence and Security Informatics, p. 1–6.

» Idierukevbe, K., 2019. Physical Security Best Practices. Phys. Secure., 12(3), p.
15–29.

» ISO, 2021. ISO Estándares. [En línea]

Available at: https://www.iso.org/isoiec-27001-information-security.html
[Último acceso: 15 05 2022].

» Opazo, B., Whitteker, D. & Shing, C., 2018. Secrets of spoofing, the dangers of
social engineering, and how we can help.. International Conference on Natural
Computation, Fuzzy Systems and Knowledge Discovery, p. 2812–2817.

» OWASP Top 10, 2021. OWASP Top 10:2021. [En línea]

Available at: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
[Último acceso: 15 05 2022].

» PCI Security, 2020. PCI Security Standards Council. [En línea]

Available at: https://www.pcisecuritystandards.org/privacy
[Último acceso: 15 05 2022].

» Rains, T., 2020. Cybersecurity Threats, Malware Trends, and Strategies.

Birmingham: Packt Publishing.

» Rashid, A. y otros, 2018. Scoping the Cyber security body of knowledge. IEEE
© Universidad Estatal de Milagro – UNEMI

Secur. Priv., p. 96–102.

» Rasner, G. C., 2021. Cybersecurity and Third-Party Risk. Third Party Threat
Hunting ed. New Jersey: John Wiley & Sons, Inc..

» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New
Jersey: Pearson Education, Inc..

FORMATO CONTROLADO: FR0018/ v3.01 33

 Unidad 2 l Seguridad Física y Lógica
© Universidad Estatal de Milagro – UNEMI

FORMATO CONTROLADO: FR0018/ v3.01 34