Ingeniera Social

El arte de la intrusin
Qu es la Ingeniera Social?
Bajo el nombre de Ingeniera Social
(literalmente traducido del ingls Social
Engineering)

ACCIONES O CONDUCTAS tiles para

conseguir informacin de las personas
cercanas a un sistema.

Es una disciplina que consiste, ni ms ni

menos en sacar informacin a otra persona
sin que esta s de cuenta de que te esta
revelando informacin sensible
Quines la usan?
Hackers

Espas

Ladrones o timadores

Detectives privados
Principal problema
El factor humano
Aunque se dice que el nico ordenador
seguro es el que est desenchufado

Los amantes de la ingeniera social gustan

responder que siempre se puede convencer
a alguien para que lo enchufe
 Kevin David Mitnick
Kevin Mitnick naci el 6 de Agosto de 1963 en Estados Unidos.
En los 90s fue considerado el Cybercriminal ms buscado por el FBI.

Mitnick se hizo famoso en la esfera hacker por sus innumerables

penetraciones a los sistemas informticos de organizaciones
gubernamentales y grandes empresas en los Estados Unidos.

La ingeniera social fue el mtodo ms utilizado por Mitnick para tener

acceso a los sistemas informticos de manera ilegal durante su carrera
como criminal informtico.
Principios de la Ingeniera Social
Segn la opinin de Kevin, la ingeniera
social se basa en cuatro principios:
1. Todos queremos ayudar

2. El primer movimiento es siempre de

confianza hacia el otro

3. No nos gusta decir que NO

4. A todos nos gusta que nos alaben

Tipos comunes de ingeniera social
La ingeniera social puede dividirse en dos
tipos:
Basada en humanos
Basada en computadoras

1. La Ingeniera Social basada en Humanos,

se refiere a la interaccin persona-a-
persona para recuperar la informacin
deseada
2. La Ingeniera Social basada en
Computadoras, se refiere al uso de
software/hardware para recuperar la
Basada en Humanos
Personificacin
Suplantar una persona importante
Acercamiento de tercera persona
Soporte tcnico
Bsqueda en la basura
Surfing de hombros
Caso 1
Llamada a soporte tcnico
Un hombre llama a soporte
tcnico y dice que ha olvidado su
clave.

El pnico agrega que si no entrega un documento a

tiempo su jefe podra despedirlo

La persona de soporte siente pena

por
l y resetea la clave, dndole acceso a
la
red corporativa
Dumpster diving
Un ejecutivo bota papeles corporativos al
cesto de basura.
El personal de limpieza toma la basura y la
coloca en los tanques provistos para que los
recoja el barrendero.
Espas maliciosos se apropian de los papeles
desde la basura antes de que se los lleve el
camin.
Los papeles contienen informacin de
nombres, cargos y extensiones de la
empresa y balances financieros.
INFORMACIN QUE VALE ORO MOLIDO
Tailgating o Piggybacking
Se refiere al acto de ingresar a un rea
restringida siguiendo a otra persona que s
est autorizada.

Mtodos
Haciendo de escolta
Pretendiendo ser parte del grupo
Fingiendo haber pedido la credencial
Tener las manos ocupadas
Dejando una carnada
Este mtodo se incita a la curiosidad de
las personas dejando un objeto valioso
en un sitio de fcil acceso a la empresa de
la vctima.

Ejemplos
Memoria USB o CD con malware olvidado
en el bao
Basadas en computadoras
Adjuntos de correo electrnico
Ventanas emergentes
Sitios web falsos o maliciosos
Correo basura (spam)
Correos falsos
Software gratis o pirata
Crack o serials
Caso 2 Facebook
Objetivo: Conseguir contraseas de
usuarios activos
Mtodo: Generar curiosidad entre amigos
e incentivar la digitacin de la contrasea
en un comentario.
Cualidades para el xito en la
Ingeniera Social
Paciencia

Confianza en s mismo

Capacidad de crear clima de confianza

Conocimiento e informacin necesaria

Algunos complices
Virus, Gusanos y Troyanos
Un virus es un aplicativo malicioso que se
adjunta con otro programa para efectuar
una accin no deseada
El gusano a diferencia del virus puede
replicarse a si mismo de forma automtica
El troyano es slo diferente en que la
aplicacin completa ha sido escrita para
lucir como algo diferente, cuando en
efecto es una
herramienta de ataque
Pishing
Uso de sitios replica de pginas webs
legtimas, para capturar las credenciales
de usuarios ingenuos, con el objetivo de
perpetrar estafas electrnicas
Ransomware
Es un software malicioso que al infectar
nuestro equipo le da al ciberdelincuente la
capacidad de bloquear el PC desde una
ubicacin remota y encriptar nuestros
archivos quitndonos el control de toda la
informacin y datos almacenados.
Mecanismos de defensa
Tener un buen antivirus
http://forticlient.com/

Eliminar datos intiles

https://www.piriform.com/ccleaner

Mantener actualizado todo el software

Respaldos de informacin
Contramedidas
Educar a las personas, en concreto a las
personas que trabajan cerca de las
terminales, desde los operarios, hasta el
personal de limpieza.
Analizar con antivirus todos los correos
que reciban.
No informar telefnicamente de las
caractersticas tcnicas de la red, no
nombre del personal a cargo, etc.
Control de acceso fsico al sitio donde se
encuentran los ordenadores.
Polticas de seguridad a nivel de Sistema
Y doa Valentina la del aseo..

Ella tambin esta preparada?

El sentido comn es el menos comn de los

sentidos