Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Ingenieria Social

No description
by

Yahiri Martínez

on 10 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Ingenieria Social

"Ingeniería Social" ¿Qué es la Ingeniería Social? ¿En qué se basa? Tipos de Ingeniería Social Engaño basado en tecnología Categorías de los Ingenieros sociales. Básicamente, podemos dividir los hoaxes en las siguientes categorías: La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían, esta es una las técnicas de hacking más antiguas de la informática con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana. Objetivos Además, tendrá que estar familiarizado con la tecnología empleada y deberá tener experiencia para poder vencer las distintas capas de seguridad sin activar alarmas y sin dejar evidencia de su paso. Como puede verse, se necesita mucho tiempo para investigar, planear y ejecutar un ataque. Hackers
Espías industriales/ Agentes de espionaje industrial
Gobiernos extranjeros / Agentes del Gobierno Extranjero
Ladrones de Identidad
Empleados enojados
Recolectores de Inteligencia empresarial
Agentes de Información / Investigadores Privados
Criminales
Terroristas Hay dos tipos de ingeniería social: la basada en tecnología y la basada en engaño humano.

Ambas trabajan manipulando y engañando al usuario y tienen diferentes niveles de éxito dependiendo de la víctima. En este tipo de ingeniería social el hacker engaña al usuario mediante la interacción con una aplicación o un sistema que el propio hacker controla. Alertas sobre virus incurables.

Mensajes de temática religiosa.

Cadenas de solidaridad.

Cadenas de la suerte.

Leyendas urbanas.

Métodos para hacerse millonario.

Regalos de grandes compañías. El hacker emplea ventanas falsas para engañar al usuario haciéndole creer que está instalando una actualización autorizada de, por ejemplo, Microsoft, Java o de su antivirus, cuando en realidad está permitiendo al hacker obtener información o instalar código malicioso. Software: Phishing: Snooping: Vishing: Pharming: Drive-byInfection: Sniffing: Engaño Humano El mundo de la seguridad de la información está siempre en evolución, los hackers constantemente desarrollan maneras de evitar las medidas de seguridad multi-capa que las organizaciones establecen en su perímetro, usando para ello nuevos vectores de ataques altamente sofisticados, creativos y devastadores. Las personas somos el eslabón más débil en el sistema de seguridad y mientras  las empresas alrededor del mundo gastan millones de dólares en cosas como firewalls, procesos de autenticación y software para monitoreo de redes, pocas se preocupan por entrenar a sus empleados para evitar que terceros obtengan, indebidamente, información crítica de ellos. ¿Cómo se organiza? Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general ganar acceso no autorizado a los sistemas, redes o a la información para:

Cometer Fraude.

Entrometerse en las Redes.

Espionaje Industrial.

Robo de Identidad (de moda).

Irrumpir en los Sistemas o Redes. ¿Por qué se usa la Ingeniería Social? En un ataque tradicional por métodos tecnológicos se pueden necesitar semanas e incluso meses de recopilación pasiva de información antes de intentar romper la seguridad de una red.  El nivel de complejidad de los sistemas de la red también determinará el tiempo de investigación que un atacante necesitará antes de intentar un ataque directo. Los ataques de ingeniería social son más efectivos en las grandes empresas pues éstas tienen muchos problemas para manejar sistemas de información con infraestructuras de red complejas, múltiples sucursales y cientos o miles de usuarios.

En organizaciones grandes es difícil detectar un ataque de este tipo pues no hay un método predefinido que un hacker empleará contra cualquier empresa: lo hará con un alto nivel de creatividad y diseñado para cada caso. Entre ellos están: Correo Spam: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor.

Hoax: Un hoax (engaño, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso es real.

El hoax tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación. Ventanas emergentes: El hacker convence a la víctima de instalar un programa que pareciera ser legítimo pero que en realidad no lo es y podría, por ejemplo, estar activando una puerta trasera en el sistema o un keylogger. La pesca electronica o Phishing es una estafa que busca obtener números de cuentas corrientes y de tarjetas de crédito, nombres de usuario, contraseñas, claves de acceso, números de identificación personal (PIN) u otros datos confidenciales para emplearlos con finalidades delictivas.

¿Cómo funciona?
En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito. El pharming es una variante del ‘phishing’ y consiste en una práctica consistente de redireccionar un nombre de dominio mediante la manipulación de las direcciones DNS hacia una web fraudulenta. 
Esta estafa consiste en un programa informático que se introduce en el ordenador que el internauta a través de un correo electrónico aparentemente vacío que, al ser abierto, activa un ejecutable que manipula y modifica las direcciones del servidor de nombres de dominio (DNS). Este ataque es una combinación de Phishing y voz. Por lo regular emplea un sistema interactivo de respuesta (IVR, interactive voice response) falso para recrear el IVR real de una empresa.

La víctima es incitada a llamar al IVR falso, vía Phishing o un correo electrónico, para “verificar” cierta información. El atacante configura un ordenador para telefonear a sus potenciales víctimas con mensajes grabados pidiéndole que se ponga en contacto con su banco en un número de teléfono falseado. El snooping tiene como objetivo obtener información de una red a la que están conectados sin modificarla, similar al sniffing (packetsniffer).


El snooping se puede realizar por simple curiosidad, pero también se realiza con fines de espionaje y robo de información o software. Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red.


¿Cómo funcionan los Sniffers?

Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos. Cuando uno descarga “soluciones de seguridad” desde sitios web es posible infectarse con diferentes variedades de Malware o Troyanos

Intencionalmente: Aceptando la descarga desde el sitio web  

Involuntariamente: Explotando una vulnerabilidad en el navegador Los ingenieros sociales manipulan y explotan los sentimientos y emociones de las personas tales como el miedo, la curiosidad, el sexo, la avaricia, la compasión y el deseo de agradar y de hacer bien su trabajo. Dumpster Diving: Pre-texting: Shoulder Surfing: Baiting: Técnicas Como parte de la etapa de obtención de información un hacker puede analizar la basura de una organización
Si ésta no desecha de manera segura sus documentos es vulnerable a este tipo de ataque pues el atacante puede así obtener, por ejemplo, listas de teléfonos, propuestas económicas, gráficas, reportes e incluso nombres de usuarios y contraseñas, que podrían ser usadas para ayudar al hacker a suplantar a un empleado y ganar acceso a información confidencial. El hacker crea un escenario inventado, conocido como el pretexto, para persuadir a la víctima de proporcionarle cierta información o de realizar alguna acción.

Normalmente se realizará una investigación para conocer el tipo de lenguaje y la tecnología empleada por la gente que administra los sistemas o que tiene acceso a la información requerida. Consiste en `espiar' físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su PC o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el login, password e incluso el nombre de máquina a la que pertenecen. Masquerading: El ataque denominado  masquerading o mascarada consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse electrónicamente o en persona.
Un usuario utiliza para acceder a una máquina un login y password que no le pertenecen Los hackers pueden dejar “olvidados” CD, DVD o dispositivos USB con software malicioso, con la esperanza de que los usuarios de una organización los inserten en sus computadoras.
Normalmente se dejarán en el estacionamiento o en cualquier lugar cercano a las oficinas de la empresa que se está atacando y pueden incluso contener etiquetas llamativas para incitar su revisión: “Lista anual de bonos” o “Información confidencial”. En la Ingeniería social basada en personas: Mecanismos para contrarrestar la Igeniería Social La mejor manera de protegerse contra las técnicas de  ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de los activos informáticos. Se presentan algunos elementos a considerar:

Conocer los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas.  

Informar a las personas sobre estás técnicas y de cómo pueden ser presa de la ingeniería social.

Crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. La herramienta más eficiente con la que cuentan las organizaciones para contrarrestar la ingeniería social es la concientización, es decir, que el usuario identifique la importancia de la actividad que realiza del valor de la información que maneja y el buen uso que debe llevar a cabo sobre el hardware y el software que se encuentran bajo su responsabilidad. En la Ingeniería Social basada en
computadoras: Para detectar si un medio electrónico es legal o no, se debe tomar en cuenta los siguientes aspectos:

Solicitud de Información. Ninguna empresa solicita  vía electrónica contraseñas, nombres de usuario, números de la Seguridad Social u otra información personal.
 
Urgencia. "Si no responde en un plazo de 48 horas, su cuenta se cancelará". Estos mensajes tienen un tono de urgencia cuyo objetivo es que se responda inmediatamente, casi sin pensar Personalización del mensaje. 
Los mensajes de correo electrónico de Phishing suelen enviarse de forma masiva y, a menudo, no contienen su nombre o apellido, por lo que no van personalizados.
Las empresas de las que somos clientes, conocen nuestro nombre. Gracias!!! ¿Quién es vulnerable a los ataques de Ingeniería Social?
Full transcript