ingenieria social: el lado humano del hacking
DESCRIPTION
Se presentan los tipos de ingeniería social, y se hacen recomendaciones para desarrollar un plan de adiestramiento para empleados en el área de seguridad en informática.TRANSCRIPT
![Page 1: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/1.jpg)
Aury M. Curbelo-Ruiz, Ph.D
Seminario- ISSA June 21,2012
©2012Curbelo
![Page 4: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/4.jpg)
Introducción
Valor de la información
Tipos de Ingeniería
Social
Personal Vulnerable a
ataques
Metas de los atacantes
Herramientas disponibles
Discusión de casos
Desarrollando una CULTURA de Seguridad
![Page 5: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/5.jpg)
¿Por qué Ingeniería
Social?
![Page 6: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/6.jpg)
![Page 8: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/8.jpg)
http://www.asobancaria.com/portal/page/portal/Eventos/proximas_capacit
aciones/2011/proximas_capacitaciones_ingenieria_social
Todas las organizaciones tienen una
vulnerabilidad en común: los humanos.
Los humanos. A pesar de que el
factor humano es el recurso más valioso
de una organización tristemente es la
cadena más vulnerable en la seguridad de
la información, en este curso estaremos
explotando esas debilidades.
Los participantes de este curso podrán
aprender las estrategias y técnicas
utilizadas en la Ingeniería Social (IS).
Asimismo se discutirán los aspectos éticos
de los ataques de ingeniería social, así
como el proceso de seleccionar las
potenciales víctimas de ataques,
estrategias de colectar información, crear
reportes y planificar el ataque.
![Page 9: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/9.jpg)
![Page 10: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/10.jpg)
Asobancaria es el gremio representativo del sector financiero colombiano.
Está integrada por los bancos comerciales nacionales y extranjeros, públicos y
privados, las más significativas corporaciones financieras e instituciones oficiales
especiales.
![Page 11: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/11.jpg)
Busca generar
alineamientos de política
en ciberseguridad y
ciberdefensa orientados a
desarrollar una estrategia
nacional que contrarreste el
incremento de las
amenazas informáticas que
afectan significativamente a
Colombia.
Tambien, recoge los
antecedentes nacionales e
internacionales, así como
la normatividad del país en
torno al tema.
![Page 12: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/12.jpg)
http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260
![Page 14: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/14.jpg)
http://www.latinuxmagazine.com/index.php?option=com_content&view=article&id=26282:jornada-de-
infoalfabetizacion-digital-taller-qingenieria-socialq-colombia&catid=34&Itemid=325&lang=es
http://procedimientospolicialescolombia.blogspot.com/2008/09/ingenieria-social.html
![Page 15: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/15.jpg)
Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluirá
el viernes en San José, asisten representantes de Colombia, Chile, Perú,
Panamá y Venezuela, República Dominicana, El Salvador, Guatemala, Haití,
Honduras, México y Nicaragua, según indicó hoy el ministerio de Ciencia y
Tecnología de Costa Rica (MICIT).
http://elmundo.com.sv/latinoamerica-busca-fortalecer-seguridad-cibernetica
El taller, de acuerdo con las autoridades, “tiene como objetivo el reforzar
las políticas, estrategias, legislación, y otras medidas prácticas en materia
de delito cibernético y la seguridad cibernética”. http://www.micit.go.cr/
![Page 16: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/16.jpg)
![Page 17: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/17.jpg)
http://www.elnuevodia.com/vulnerablelaislaanteunataquedeanonymous-1174300.html
"Si Anonymos decidiera
atacarnos, situación que
no veo ocurrir porque no
tiene razón para hacerlo,
seguramente estaríamos en
la misma posición (de
vulnerabilidad) que el
gobierno federal, ya que
nadie tiene cómo
defenderse ante estos
ataques", indicó Juan
Eugenio Rodríguez,
principal ejecutivo de
información (CIO) del
Gobierno de Puerto Rico.
![Page 18: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/18.jpg)
Una gasolinera del algun lugar de nuestra islita querida…PUERTO RICO
![Page 19: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/19.jpg)
Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA
![Page 20: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/20.jpg)
El Servicio de Extensión Agrícola (SEA)
de la Universidad de Puerto Rico instó a
la ciudadanía a estar alerta porque
existe una persona que se está
haciendo pasar por empleado de esa
dependencia universitaria para timar
a la gente.
el modus operandi de esta persona, que
viste “impecablemente de chaqueta”,
es ir directo a los negocios, lo que no
hace el personal de Extensión Agrícola,
y ofrecer la matrícula del curso de
Inocuidad de Alimentos que es requerido
por ley.
Una vez hace el ofrecimiento, el timador indica que debe cobrarlo. Dicha
persona utiliza una hoja de matrícula con el logo del SEA. Sin embargo, las
autoridades del Servicio de Extensión Agrícola afirmaron que “este no es el
protocolo establecido para estos fines y el personal del Servicio de Extensión
Agrícola no funge como recaudador”.
http://www.dialogodigital.com/index.php/Estafador-se-hace-pasar-por-empleado-de-Extension-Agricola.html
![Page 22: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/22.jpg)
![Page 24: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/24.jpg)
http://academic.uprm.edu/jhuerta/HTMLobj-112/Evaluacion_SEA.pdf
![Page 25: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/25.jpg)
![Page 27: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/27.jpg)
![Page 28: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/28.jpg)
El 80% de los ataques informáticos se deben a
errores relacionados con el factor humano y no a
temas específicos de tecnología.
http://www.tecnoseguridad.net/el-80-de-los-ataques-informaticos-se-debe-a-errores-de-nosotros-
mismos/
![Page 29: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/29.jpg)
Nombre, Apellido
# Teléfono
Correo electrónico
Dirección
Recibos de Luz/Agua
¿qué puedo hacer con un poco de información?
![Page 30: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/30.jpg)
Nombre, Apellido
Dirección Correo
Electrónico Teléfono
Crear una identidad falsa
Hackear su correo
electrónico
Tomar $$$ prestado
Abusar del crédito
Crear un perfil falso en
Facebook Exponerte a situaciones
embarazosas
![Page 31: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/31.jpg)
![Page 32: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/32.jpg)
![Page 33: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/33.jpg)
http://news.cnet.com/8301-1009_3-10153858-83.html
McAfee estimated
that cybercrime
costs corporations
$1 trillion globally
each year.
![Page 34: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/34.jpg)
![Page 35: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/35.jpg)
Varias webs comprometidas por un ataque a NIC Puerto Rico
lunes 27 de abril de 2009
“Aprovechándose de una vulnerabilidad de inyeccion SQL (todavía presente) en
Nic.pr, unos atacantes lograron modificar los DNS de varios dominios pertenecientes
a reconocidas empresas.”
Compañías Hackeadas
•google.com.pr
•microsoft.com.pr
•hotmail.com.pr
•live.com.pr
•msn.pr
•yahoo.com.pr
•coca-cola.com.pr
•nike.com.pr
•hsbc.com.pr
•nokia.pr
http://blog.segu-info.com.ar/2009/04/varias-webs-comprometidas-por-un-ataque.html
![Page 36: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/36.jpg)
![Page 37: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/37.jpg)
“Desde el año 2007 el crimen de robo de
identidad en Puerto Rico se intensificó como parte
de una ola de escalamientos en escuelas públicas
en donde se hurtaron diferentes tipos de
documentación como certificados de nacimiento y
tarjetas de identificación en aproximadamente 50
escuelas públicas a través de todo Puerto Rico…
son miles las víctimas, entre 5,000 a 7,000”,
afirmó la jefa de la Fiscalía Federal en la Isla,
Rosa Emilia Rodríguez”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
![Page 38: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/38.jpg)
“La fiscal Díaz Rex señaló a preguntas de la
prensa que el “set” de certificados de
nacimiento y de tarjetas de seguro social
tenían un costo de entre $150 a $250.”
http://www.vocero.com/noticia-18103-
hasta_7000_las_vctimas_de_robo_de_identidad.html
![Page 39: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/39.jpg)
http://www.elexpresso.com/index.php?option=com_content&view=article&id=2286:arrestos-por-robo-de-
identidad-en-puerto-rico&catid=23:locales&Itemid=65
Las autoridades
estadounidenses
arrestaron el martes a
miembros una banda que
robó información personal
de 7,000 estudiantes de
escuelas públicas en
Puerto Rico y la vendió
en Estados Unidos.
..muchos de los estudiantes afectados "ahora mismo probablemente no
saben" que fueron víctimas de robo de identidad.
Mitchelson añadió que muchas de las víctimas no sentirán las
consecuencias del robo de su información hasta tiempo después. "Ellos
llegan a los 18, 20 años de edad, van comprar un carro y su crédito está dañado".
![Page 40: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/40.jpg)
http://www.primerahora.com/diario/noticia/otras_panorama/noticias/exceso_de_certificados_facilita___robo_de_id
entidad/331994
La gran cantidad de
certificados de nacimiento
que se solicitan y expiden
en Puerto Rico provocó
una “epidemia de robo de
identidad” aquí y en
Estados Unidos, denunció
hoy el director regional de
la Oficina de Pasaportes en
Miami, Ryan Dooley.
La Causa es…“la
facilidad con que
se hallan los
duplicados de los
certificados de
nacimiento de Puerto
Rico”.
…el valor en el mercado ilegal de un certificado de nacimiento de Puerto Rico es
de cerca de $5,000. Estimó, por otra parte, que cerca del 40 por ciento de
casos de robo de identidad en Estados Unidos es de documentos de Puerto Rico.
![Page 41: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/41.jpg)
Más de 7 millones de personas fueron víctimas en E.U. en el 2002
Es el crimen de más rápido crecimiento en Estados Unidos
Le costó US$46 billones en el 2002 a las instituciones financieras en EEUU
http://www.hdmdesigns.com/erp/robo.htm
![Page 42: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/42.jpg)
Sólo 1 de cada 700 personas cometiendo robo de identidad son atrapadas.
El tiempo promedio antes de detectar robo
de identidad: un año
http://www.hdmdesigns.com/erp/robo.htm
![Page 43: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/43.jpg)
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/
![Page 44: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/44.jpg)
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Puerto+Rico+Secu
rity+Breach+Laws.htm
![Page 45: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/45.jpg)
http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+
Regulations/Puerto+Rico+Security+Breach+Laws.htm
![Page 46: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/46.jpg)
![Page 47: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/47.jpg)
http://www.daco.gobierno.pr/Repositorio/Reglamentos/ReglamentosobreInformacionalCiudadanosobreSeguridad
BancosdeInformacion.pdf
http://www.senadopr.us/Proyectos%20del%20Senado/rs0182.pdf
![Page 48: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/48.jpg)
Nombre, Apellido
# Teléfono
Correo electrónico
Dirección
Recibos de Luz/Agua
¿Cómo y donde puedo encontrar esa información?
![Page 49: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/49.jpg)
![Page 50: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/50.jpg)
“La ingeniería social es la técnica más eficaz para hacerse
con secretos celosamente protegidos, ya que no requiere de
una sólida formación técnica, ni de grandes conocimientos
sobre protocolos y sistemas operativos", dice el informe de
ETEK.”
"Quienes practican la Ingeniería Social requieren
solamente de astucia, paciencia y una buena dosis de
sicología.”
http://www.channelplanet.com/index.php?idcategoria=10126
![Page 51: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/51.jpg)
De acuerdo a Borghello (2009):
La Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema.
Visentini (2006):
Es una disciplina que consiste básicamente en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información sensible" y que normalmente no lo haría.
![Page 52: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/52.jpg)
La Ingeniería Social, se centra en lograr la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa.
![Page 53: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/53.jpg)
Ingeniería Social:
Son aquellas conductas y técnicas utilizadas para conseguir información de las personas.
![Page 54: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/54.jpg)
“La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
![Page 55: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/55.jpg)
![Page 56: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/56.jpg)
![Page 57: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/57.jpg)
![Page 58: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/58.jpg)
![Page 59: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/59.jpg)
![Page 60: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/60.jpg)
![Page 61: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/61.jpg)
Recepcionistas
Vendedores
Personal de Nómina
Personal de Recursos Humanos
Personal de Finanzas
Administración de Oficinas
![Page 62: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/62.jpg)
![Page 63: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/63.jpg)
Kevin Mitnick, uno de los hackers más famosos del mundo por delitos utilizando la Ingeniería Social como principal arma:
"usted puede tener la mejor tecnología, firewalls,
sistemas de detección de ataques, dispositivos
biométricos, etc. Lo único que se necesita es hacer una
llamada a un empleado desprevenido y podemos
obtener la información. Los empleados tienen toda la
información en sus manos".
![Page 64: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/64.jpg)
Kevin Mitnick
![Page 65: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/65.jpg)
Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:
Todos los seres humanos quieren ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
![Page 66: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/66.jpg)
Estos procesos son comúnmente utilizados en campañas de mercadeo y negocios para influenciar sobre la gente.
Reciprocidad – una persona hace un favor a otra, entonces la otra tiene que devolverle el favor.
Compromiso y Consistencia – una persona dijo que haría una acción y se ve obligada a hacerla, y debe ser consistente con su forma general de pensar.
![Page 67: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/67.jpg)
Pruebas Sociales - es más cómodo hacer lo mismo que hace la gente.
Autoridad – las personas reconocen ciertos tipos de autoridad real o aparente, y los respetan.
Escasez – las personas se sienten atraídas por lo que es escaso.
![Page 68: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/68.jpg)
![Page 69: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/69.jpg)
El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema:
Esto ocurre cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web recomendada o ver un supuesto video.
![Page 70: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/70.jpg)
Las personas son engañadas para que revelen información confidencial tal como:
# de tarjetas de crédito
datos bancarios
contraseñas de correos, etc.
Esta información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.
![Page 71: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/71.jpg)
El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos.
En el caso del “Scam” y el “Phishing”, el usuario
entrega información al delincuente creyendo que lo hace a una entidad de confianza o con un pretexto de que obtendrá algo a cambio, generalmente un “gran premio”.
![Page 72: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/72.jpg)
![Page 73: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/73.jpg)
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208803634
![Page 74: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/74.jpg)
Durante junio de este año se llevó a cabo una auditoria en una empresa estadounidense que se dedica a conceder créditos.
El objetivo principal de la auditoria fue el mostrar la inseguridad de las memorias USB.
![Page 75: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/75.jpg)
Estrategia:
La empresa tomó 20 memorias USB de muestra.
Colocaron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora.
Estos USB fueron dejados «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.
![Page 76: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/76.jpg)
De las veinte (20) memorias, quince (15) fueron encontradas por empleados de la empresa en cuestión.
Las quince terminaron por ser conectadas en computadoras conectados a la red de la compañía, que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema.
![Page 77: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/77.jpg)
Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCA
AYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO
![Page 78: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/78.jpg)
![Page 79: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/79.jpg)
Identificar a la Victima
Reconocimiento
Crear el escenario
Realizar el ataque
Obtener la información
Salir
![Page 80: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/80.jpg)
![Page 81: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/81.jpg)
Consiste en recolectar
información sensible
mediante la interacción entre
humanos.
Se lleva acabo con la
ayuda de las
computadoras
![Page 82: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/82.jpg)
Ingeniería Social:
Basada en Humanos
![Page 83: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/83.jpg)
Consiste en recolectar
información sensible
mediante la interacción entre
humanos.
1. Imitando ser un usuario
legítimo.
2. Imitando ser una persona
importante (alto rango)
3. Imitando ser personal
técnico
4. Espiar por encima de su
hombro (Shoulder Surfing)
5. “Dumpster Diving”-
Buscando en los
zafacones
6. En persona
7. Organización Privada
![Page 84: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/84.jpg)
Imitando ser un usuario legítimo.
Provee una identificación y solicita información sensible.
![Page 85: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/85.jpg)
“Hola Fulano, soy del
departamento X, y se me
olvidó mi password, me lo
puede indicar ó me lo puede
cambiar
![Page 86: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/86.jpg)
Imitando ser una persona importante (alto rango)
![Page 87: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/87.jpg)
“Saludos le habla Juan (Gerencial de
Alto Rango) y el VP me solicitó un
informe sobre los años de servicio
del personal en la oficina de XYZ, y
es con urgencia, ya sabes como es
aquí de un día para otro, anyway por
favor enviame la información al
![Page 88: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/88.jpg)
![Page 89: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/89.jpg)
Imitando ser personal técnico -Llama y se hace pasar por técnico
![Page 90: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/90.jpg)
Fulano te habla José de Centro cómputos, anoche tuvimos una caída en el sistema y estamos verificando si hubo alguna perdida de datos por lo que le solicito me indique su nombre de usuario y su contraseña.
![Page 91: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/91.jpg)
Espiar por encima de su hombro (Shoulder Surfing)- consiste en mirar por encima del hombro para conseguir los password.
![Page 92: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/92.jpg)
![Page 93: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/93.jpg)
Herramientas para prevenir
el espionaje por encima del hombro
![Page 94: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/94.jpg)
3M Privacy Filters
![Page 95: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/95.jpg)
Dumpster Diving
![Page 96: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/96.jpg)
![Page 97: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/97.jpg)
Dumpster Diving- Buscando en los zafacones.
Recibos de facturas, luz, agua, teléfono, cable u otros servicios.
Información financiera
Se busca “post it”
Números de teléfono
Matrículas
Otros
![Page 98: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/98.jpg)
libretas telefónicas memos organigramas manuales de
procedimientos calendarios (de
reuniones, eventos y vacaciones)
manuales de operación de sistemas
reportes con información
cuentas de usuarios y sus contraseñas
formatos con membretes
Papel timbrado
![Page 99: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/99.jpg)
¿Cuán común es la práctica de
revisión de desperdicios o
basura?
![Page 100: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/100.jpg)
http://news.cnet.com/Oracle-chief-defends-Microsoft-snooping/2100-1001_3-242560.html
![Page 101: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/101.jpg)
"In 1998, the Supreme Court ruled that Americans do not have a right to privacy regarding trash. The Economic Espionage Act of 1996, which made it a federal offense to steal trade information, doesn’t protect firms that fail to take reasonable steps to protect data." CIO Magazine, 2007
http://www.cio.com/article/28510/Best_Practices_for_Shredding_Corporate_Documents
![Page 102: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/102.jpg)
Candado a los zafacones Colocando portones Colocando letreros de “No pase” Luces Utilizando Cámaras de seguridad Vigilancia Implementando una política de triturar
documentos Utilizando trituradoras en la oficinas Utilizando servicios de trituradoras
![Page 103: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/103.jpg)
According to a recent study* conducted by the Alliance for Secure Business Information (ASBI):
80% of large organizations surveyed indicated that they had experienced one or more data breaches over the previous 12 months
49% of those breaches involved the loss or theft of paper documents.
The average breach recovery cost $6.3 Million!
http://www.fellowes.com/asbi/
![Page 104: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/104.jpg)
¿Cómo puedo disponer de los
documentos importantes de la
oficina?
![Page 105: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/105.jpg)
http://fellowes.com/shredderselector/
http://www.consumersearch.com/paper-shredders
http://www.sileo.com/fellowes/
![Page 106: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/106.jpg)
![Page 107: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/107.jpg)
Estrategia utilizada por el atacante haciendo uso de un cuestionario para recolectar información personal tal como:
Tipo de equipo que utilizan (compras)
Información de Contacto
Horarios
Otros
![Page 108: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/108.jpg)
Utilizan la estrategia de identificarse como el empleado de una compañía de auditoría para recoger datos.
Por ejemplo:
Saludos, soy Fulano de Tal, el jefe me envió para que recogiera el informe de auditoría/ informe de gastos de X,Y, Z. ¿Me lo podría entregar?
![Page 109: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/109.jpg)
Ejemplos de llamadas tramposas
![Page 110: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/110.jpg)
Una vez conocemos todo de la víctima, y podemos predecir como actuará frente a determinados estímulos.
Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.
![Page 111: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/111.jpg)
• ¿Hola, Juan del Pueblo?
• Le hablamos del servicio de marketing de CASA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada.
• Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos….
• - …….
![Page 112: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/112.jpg)
Ingeniería Social:
Basada en Computadora
![Page 113: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/113.jpg)
Se lleva acabo con la
ayuda de las
computadoras 1. Email con Malware
2. PopUp Windows
3. Spam (correo no
deseado)
4. Cadena de cartas
(Chain letters)
5. Emails de engaño
(Hoaxes)
6. “Phishing”
7. Instalando un
“Keylogger”
![Page 114: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/114.jpg)
![Page 115: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/115.jpg)
La mejor manera de estar protegido es el conocimiento
Educar a las personas, a todas las personas. No informar telefónicamente de las características
técnicas de la red, ni nombre de personal a cargo, etc. Control de acceso físico al sitio donde se encuentran
los documentos importantes de la compañía. Políticas de seguridad.******
![Page 116: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/116.jpg)
Conozca los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas.
De esta forma podrá anticiparse a los riesgos de los ataques.
![Page 117: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/117.jpg)
Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones.
Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada.
![Page 118: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/118.jpg)
Este bien alerta, hay personas que tienen un talento increíble para “sacarle” información a otras personas.
Cuando usted note que alguien intenta “sacarle” información, confronte a esta persona y pregúntele ¿por que quiere saber esa información?
Así la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar “sacarle” información.
![Page 119: Ingenieria Social: El Lado Humano del Hacking](https://reader034.vdocuments.net/reader034/viewer/2022051312/546d5a23af795958298b5446/html5/thumbnails/119.jpg)
Dra. Aury M. Curbelo [email protected]
(787-202-8643)
Redes Sociales:
http://www.facebook.com/acurbeloruiz
http://twitter.com/acurbelo
Website:
http://digetech.net