Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNA APROXIMACIÓN
Índice
Introducción
Conceptos de Ingeniería Social (IS)
Objetivos
¿Por qué Funciona?
Formas de Ataque.
Casos prácticos. Phishing bancario y Spam
Redes zombis.
IS en redes sociales.
Conclusiones
1
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Introducción
La mayoría de las personas no es consciente de que sus datos
personales no se muestran en cualquier sitio o se revelan a
cualquiera en la vida real, pero sí los va dejando por la red de
redes con una facilidad pasmosa.
2
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS I
La ingeniería social consiste en obtener
información de terceros sin que éstos se den
cuenta.
No existe limitación en cuanto al tipo de
información obtenida ni a la utilización posterior
que se hace de ésta.
Existe desde hace mucho tiempo y todos hemos
sido víctimas de ella alguna vez en la vida.
3
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS II
La ingeniería social aprovecha sentimientos tan
variados como curiosidad, la avaricia, el sexo, la
compasión o el miedo.
Busca una acción por parte del usuario.
4
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS III
Grupos que la usan:
1. Los hackers.
2. Los espías.
3. Los ladrones o timadores.
4. Los detectives privados.
5. Los vendedores.
5
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS IV
Cambio de paradigma en el objetivo de los ataques
6
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS V
La ingeniería social acaba en el momento que se
obtiene la información deseada, es decir, las
acciones delictivas que esa información pueda
facilitar o favorecer no se enmarcan bajo este
término.
7
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Conceptos de IS
MORALEJA:
8
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Objetivos I
Antiguos
Conseguir beneficios económicos para los
creadores de malware y estafadores debido al
ínfimo costo de implementación y el alto beneficio
obtenido.
Realizar compras telefónicamente o por Internet
con medios de terceros, conociendo bastante sobre
ellos (datos personales, tarjeta de crédito,
dirección, etc.).
9
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Objetivos II
Acceder gratuitamente a Internet si lo que se
buscaba era nombre de usuario y contraseña de
algún cliente que abone algún servicio de Banda
Ancha.
10
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Objetivos III
En la actualidad.
Obtener el control de una cuenta de correo para
difamar, enviar spam, etc.
Obtener el control de un perfil social para pedir a
cambio favores sexuales, económicos o de otra
índole.
Conseguir el control total de un equipo para unirlo
a una red zombi.
11
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? I
Fundamentos
Hay que obtener información personal de la víctima
primero.
Todas las técnicas no sirven indefinidamente.
Poseer cualidades, bien sea de forma innata o
entrenándolas.
“Existen ciertos procesos (sociales) que son automáticos
tanto en el ser humano como en los animales en virtud
de las relaciones con los demás”
12
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Compromiso.
Consistencia.
Pruebas sociales.
Escasez.
13
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
14
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
15
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
16
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
17
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
18
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque I
Medios: teléfono fijo, móvil, ordenador de
sobremesa o portátil con conexión a internet,
correo postal.
19
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque II
ATAQUE TELEFÓNICO
Requisitos: Teléfono fijo o móvil.
Es un tipo de ataque muy eficiente debido a que no
hay contacto visual entre víctima y atacante.
No se pueden percibir expresiones del rostro ni de
lenguaje corporal que diesen indicios de que el
atacante nos está engañando.
El atacante puede usar todo su potencial de
persuasión.
20
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
21
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque IV
ATAQUE WEB
Requisitos: Ordenador con conexión a internet.
Actualmente es el medio principal para llevar a cabo
ataques de todo tipo contra los datos privados.
La línea entre ataque de ingeniería social y el delito es
muy delgada, sobre todo si se instala un programa
keylogger (programa que captura las pulsaciones del
teclado) o troyano que convierte al ordenador en un bot
(ordenador secuestrado o zombi).
22
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque V
ATAQUE WEB
Ejemplo.
23
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque VI
ATAQUE WEB
Ejemplo.
24
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque VII
ATAQUE POSTAL
Requisitos: Un apartado de correos propio y un modelo
de cupones descuento o suscripción a revista.
En los datos se solicita una clave que le interese al
atacante.
Está comprobado que el usuario promedio utiliza la
misma clave para múltiples usos.
El atacante tiene la esperanza de que esa misma ya se
haya usado en otros lugares más sensibles por parte
de la víctima
25
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque IX
ATAQUE SMS
No es frecuente en España.
Para engañar al usuario se usan diferentes
excusas, como una felicitación por haber ganado
mensajes de texto (sms) gratis o haber ganado
algún premio en un sorteo o una persona caritativa
y sin ánimo de lucro que te enseña cómo hacer
para que tu línea tenga más crédito. Todo con sólo
mandar un sms.
27
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque X
ATAQUE SMS
Al hacerlo, se está transfiriendo parte del saldo de
tu línea a la persona que te envió el mensaje.
Es un servicio que brindan las compañías de
telefonía móvil a sus clientes para transferir crédito
a otra persona.
28
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque XI
ATAQUE SMS
Ejemplo:
29
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque XII
ATAQUE CARA A CARA
REQUISITOS: Una puesta en escena bien cuidada y
creíble, incluyendo vestuario, atrezo y todo lo que
sea necesario.
El propio atacante el que se persona ante la víctima
para extraer la información.
Son los más eficientes, puesto que el atacante se
gana la confianza total de la víctima.
Son los más difíciles de realizar. Si te pillan, te
enchironan seguro.
30
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Ejemplo.
31
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PARTE PRÁCTICA
32
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
33
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO I
34
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO II
El término phishing proviene de la palabra inglesa "fishing"
(pesca), haciendo alusión al intento de hacer que los
usuarios "piquen en el anzuelo". A quien lo practica se le
llama phisher. También se dice que "phishing" es la
contracción de "password harvesting fishing" (cosecha y
pesca de contraseñas), aunque probablemente es un
acrónimo retroactivo”.
35
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO III
Aplicado al sector bancario, el objetivo es conseguir
la clave de acceso y el usuario para luego proceder
a retirar fondos.
Obtener una lista de correos electrónicos.
Enel mercado negro.
Hacerlo uno mismo.
36
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO IV
Debe ser un correo que aparente proceder de una entidad
bancaria.
Debe transmitir la idea de que el banco ha tenido
problemas y necesita comprobar usuario y contraseña de la
víctima.
Debe ser lo más fiel posible a la entidad original.
No importa si se envía un correo de una entidad de la que la
víctima no es usuario.
Debe poseer un enlace a una página falsificada en la que la
víctima pueda introducir sus datos.
Si no se hace lo que indica el correo, se amenaza con un
posible cierre de la cuenta.
37
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO V
38
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO VI
Una vez introducido los datos, el usuario, satisfecho por no
haber perdido su cuenta se olvidará del correo.
Muleros (las otras víctimas)
Sacan el dinero de la cuenta de la víctima y traspasar el
dinero a otra cuenta de Pay-Pal o Western Union, controlada
por el atacante.
Son los que se ensucian las manos y cometen un delito.
39
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO VII
Correo buscando muleros.
40
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO VIII
El sistema de phishing bancario deja dos víctimas
detrás de sí y pingües beneficios para los atacantes
con un riesgo mínimo.
El dinero se envía a un apartado de correos en el
extranjero o a una cuenta falsa de pay-pal, Western
Union u otra empresa de envío de dinero.
El mulero, aunque se haya quedado con un 10%-
20% de lo sustraído carga con el total.
41
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO IX
Resumen
42
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PHISHING BANCARIO X
Medidas que se están tomando:
Sociales
Legales
Técnicas
43
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
SPAM. CICLO COMPLETO I
¿Cómo crear listas de correos para luego venderlas en el
mercado negro?
Se aplica de nuevo la IS.
Aprovechar los sentimientos y emociones humanos.
Compasión
Curiosidad
Avaricia
44
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
SPAM. CICLO COMPLETO II
Ejemplo
45
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
SPAM. CICLO COMPLETO III
Otros ejemplos de excusa para que el usuario reenvíe:
un gran número de años de mala suerte si no se hace
la imposibilidad de encontrar el amor en la vida
no encontrar la felicidad
46
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
SPAM. CICLO COMPLETO IV
OBJETIVO: que se produzca el mayor número de reenvío de correos posible
y obtener una cosecha del tipo:
47
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
SPAM. CICLO COMPLETO V
51
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
REDES ZOMBIS IV
ALGUNAS CIFRAS
Entre el 40% y el 80% del spam se emite a través de
ordenadores infectados sin que el dueño lo sepa.
53