0 calificaciones0% encontró este documento útil (0 votos)
6 vistas1 página
Este documento discute la importancia de realizar pruebas de penetración (pen-tests) utilizando técnicas de ingeniería social. Explica que el 98% de los ataques cibernéticos se basan en la ingeniería social y que los pen-tests son una forma efectiva de encontrar vulnerabilidades antes de que sean explotadas. Detalla los pasos para realizar un pen-test de ingeniería social, incluida la identificación de vectores de ataque, los intentos de penetración y la generación de un informe. También define términos
Este documento discute la importancia de realizar pruebas de penetración (pen-tests) utilizando técnicas de ingeniería social. Explica que el 98% de los ataques cibernéticos se basan en la ingeniería social y que los pen-tests son una forma efectiva de encontrar vulnerabilidades antes de que sean explotadas. Detalla los pasos para realizar un pen-test de ingeniería social, incluida la identificación de vectores de ataque, los intentos de penetración y la generación de un informe. También define términos
Este documento discute la importancia de realizar pruebas de penetración (pen-tests) utilizando técnicas de ingeniería social. Explica que el 98% de los ataques cibernéticos se basan en la ingeniería social y que los pen-tests son una forma efectiva de encontrar vulnerabilidades antes de que sean explotadas. Detalla los pasos para realizar un pen-test de ingeniería social, incluida la identificación de vectores de ataque, los intentos de penetración y la generación de un informe. También define términos
La Importancia de Realizar Pen-Tests Utilizando Social Engineering
Geoffrey Feldman, Juan Ocasio, Ryan Perez Universidad de Puerto Rico, Recinto Rio Piedras ¿Por qué es importante realizar pen-tests en Pasos para realizar un pen-test de ingeniería social Términos Relevantes ingeniería social ? 1. Alcance y planificación 3. Intentos de penetración 1. Social engineering o Ingeniería social - práctica En este paso, se En esta etapa, el La ingeniería social o se encuentra en el centro de casi todos los de obtener información confidencial de un sistema identificará qué está probador ejecutará tipos de ataques cibernéticos, con el 98% de los ciberataques mediante el uso de trucos psicológicos para engañar dentro del alcance todas las pruebas basados en ella. a usuarios legítimos con el fin de obtener acceso. y cómo se llevará a identificadas en el paso En , la prueba de penetración o , es una forma efectiva de validar 2. Ethical hacking – Es una técnica o proceso que cabo la prueba. anterior y documentará la seguridad de un sistema y encontrar vulnerabilidades antes de se hace desde el punto de vista de un hacker y se todo lo que ocurra. que sean explotadas. utiliza para buscar las vulnerabilidades de alguna red o Sistema para mejorarlo. En particular, la prueba de penetración de ingeniería social se 2. Identificación de vectors 4. Informe enfoca en examinar si los empleados están siguiendo las políticas 3. Penetration testing- rama de Ethical Hacking en y prácticas de seguridad de su empresa. Por lo tanto se debería la que se intenta probar de manera sistemática y En esta etapa, el En esta etapa, se realizar pen testing en ingeniería social, pero, de manera activa una red desplegada con ataques simulados probador identificará presentarán los resultados adecuada y ética. que se conocen como penetration tests. El propósito todos los métodos de de la prueba y se de estos es determinar sus vulnerabilidades. proporcionarán ataques que utilizarán durante la prueba y recomendaciones para Métodos comunes de ingeniería social estarán vinculados a mitigar las ciertos usuarios y vulnerabilidades Phishing USB drops grupos encontradas.
Método de obtener Ataque en el que el
información confidencial perpetrador deja Reglas que se deben tomar en consideración al realizar pen-testing mediante solicitud una memoria USB fraudulenta de un perpetrador (Flash Drive) con la • No hacer nada que pueda hacer que la víctima se sienta vulnerable o discriminada. que se hace pasar por una esperanza de que la victima la inserte en el • Mantener un comportamiento profesional y evitar el uso de lenguaje ofensivo y materiales ofensivos o sexualmente empresa legítima o una persona USB port de su explícitos. de confianza mediante email. computadora. • Considerar el bienestar de todas las personas involucradas en la examinación y evitar cualquier manipulación negativa o amenaza, a menos que sea necesario para una prueba específica. Vishing Tailgating • Evitar participar en actos inmorales o ilegales, y no publicar vulnerabilidades que puedan causar efectos negativos. Método de obtener Técnica de obtener • Minimizar los riesgos para la confidencialidad, integridad o disponibilidad de la información de los individuos información en donde el información confidencial involucrados, y utilizar prácticas reflexivas y consideradas de social engineering para intensificar las pruebas. perpetrador utiliza llamadas en el que un perpetrador telefónicas pretendiendo ser sin autorización persigue Además, dejar una buena impresión después de la prueba. una persona confiable para a una persona con autorización para entrar a convencer a la víctima a una área restringida. Conclusión divulgar datos confidenciales. • Social engineering es un método de ataque peligroso y fundamental para ciberataques hoy en día. • Pen-tests utilizando social engineering son importantes para mantener la seguridad de los sistemas en las mejores condiciones Smishing Dumpster diving posibles. Método de obtener Método de obtener • Al realizar, estos pen-tests se deben seguir los pasos apropiados para no causar daño innecesarios. información privada que información que consiste consiste en el envió de un en buscar en la basura de SMS solicitando esta data por una persona o empresa. El References parte del perpetrador, que está objetivo principal es ● Aharoni, M. (n.d.). Social Engineering Code of Ethics. Retrieved from Security Through Education: https://www.social-engineer.org/framework/general-discussion/social-engineering-code-of-ethics/ obtener información ● Allen, J. (2022, noviembre 10). Social Engineering Penetration Testing: Attacks, Methods, & Steps. (J. Firch, Ed.) PurpleSec, 1. Retrieved from https://purplesec.us/social-engineering-penetration-testing/ simulando ser parte de una confidencial como ● Granger, S. (2001). Social Engineering Fundamentals, Part I : Hacker Tactics. SecurityFocus, 17. Retrieved from entidad legítima para engañar contraseñas y números de https://www.semanticscholar.org/paper/Social-Engineering-Fundamentals%2C-Part-I%3A-Hacker-Granger/3b26582d9ffe48ce2f6a3790badb50f6939501c7.