INTEGRANTES

Peafiel Edwin
Cedeo Alexandra
Herrera Roberto
Cedeo Geovanny
Qu es la Ingeniera Social?
La ingeniera social es la prctica de manipular
psicolgicamente a las personas para que compartan
informacin confidencial o hagan acciones inseguras.

El ciclo de ataque de la ingeniera social

Para Gartner Researchel ciclo de ataque de la ingeniera
social consta de 4 etapas:

Recoleccin de informacin.
Desarrollo de la relacin.
Explotacin de la relacin.
Ejecucin para lograr el objetivo.
 Ejemplo
En una casa puedes tener 20 seguros y candados,
todas las ventanas con un sistema de alertas y
cmaras por todos lados, pero si dejas entrar a la
persona que entrega la pizza sin verificar sus
credenciales, toda la seguridad queda inerte.
 Ataques locales de la Ingeniera
Social
Pretexting / pretexto

Estas tcnicas van de la mano y pueden usarse tanto en los ataques

locales como en los remotos.
Ejemplo: puede darse cuando el atacante se hace pasar por un
empleado de soporte tcnico de la empresa en la cual trabaja la
vctima.
 Tailgaiting
Este tipo de ataque se aprovecha de la solidaridad y buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la vctima) est
ingresando a su empresa, la cual posee algn tipo de restriccin en su
acceso fsico.
Ejemplo: tarjetas RFID, molinetes, etc. El atacante ir corriendo con una
gran sonrisa detrs de la vctima (justo antes de que esta termine de
ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso.
 Impersonation
La suplantacin, es una herramienta de la ingeniera social que se utiliza para
obtener acceso a una organizacin. A grandes rasgos, es hacerse pasar por una
persona que no eres y que generalmente confa en el atacante, el cual
recolectar la suficiente informacin de la vctima durante un tiempo
considerable para poder lograr su objetivo.
 Falla en controles fsicos de seguridad
Este es quizs unos de los ataques ms usados, ya que existen muchas
empresas con fallas en sus controles fsicos.

Ejemplo: supongamos que en la recepcin se encuentra un guardia de seguridad o

recepcionista. Esta persona solicita nombre, apellido, nmero de documento y el rea a la
cual se quiere dirigir la visita, pero este guardia o recepcionista no solicita el documento
fsico ni tampoco llama al empleado que est siendo visitado. Este tipo de ataque es muy
efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que
se pueda llegar hasta las oficinas de inters para el atacante.
 Dumpster Diving
aunque no lo crean, una de las tcnicas muy utilizadas es revisar la
basura, ya que muchas pero muchas veces se arrojan papeles con
informacin sensible sin haberlos destruidos previamente.
Ejemplo: Un ejecutivo bota papeles corporativos a la papelera, el
personal de limpieza toma la basura y la coloca en los tanques
provistos para que los recoja el barrendero
 Shoulder Surfin
Esta es una tcnica muy utilizada por los Ingenieros Sociales
(y por los curiosos tambin). No es ni ms ni menos que
espiar por encima del hombro de las personas.
Ejemplo:En algunos casos se hace para poder observar lo
que est tecleando la vctima y as poder dilucidar su
password, PIN o patrones de desbloqueos en telfonos.
 Baiting/USB tentadora
Es una tcnica muy efectiva. Generalmente se utilizan
pendrives con software malicioso, los que dejan en el escritorio
de la vctima o en el camino que la misma realice (por ejemplo,
en el estacionamiento, ascensor, etc.). Para asegurarse del
xito en la explotacin e estudia a la vctima previamente,
detectando as la vulnerabilidad a ser explotada.
 Llamada al soporte tcnico
Un hombre llama al soporte tcnico y dice que ha olvidado su clave, en
pnico agrega que si no entrega un documento a tiempo su jefe podra
despedirlo.
La persona de soporte siente pena por l y resetea la clave, dndole
acceso a la red corporativa
 Ataque remotos
Phishing El phishing viene del trmino en ingls de pescar. Los
criminales informticos tiran correos con anzuelos para ver si alguien cae en
la trampa. Con mucha inteligencia, los atacantes se hacen pasar por un
miembro del equipo de TI o algn ejecutivo para pedir las credenciales de
acceso al sistema a una vctima desconcertada. Por ejemplo, alguien crea una
cuenta con la direccin de correo muy similar a la del presidente de la
compaa (reemplazando la l con I) y pide le informacin a diferentes
subalternos.Lo normal es que le respondan y, aunque no manden la
contrasea, el atacante ya tiene la informacin suficiente para hacer una
llamada y hacerse pasar por el presidente de una manera ms convincente.
Ataques comunes con phishing
-Uso de nombres de compaas ya existentes.
En lugar de crear desde cero el sitio web de una compaa ficticia, los
estafadores adoptan la imagen corporativa y funcionalidad del sitio de web
de una empresa existente, con el fin de confundir an ms al receptor del
mensaje.

-Direcciones web con la apariencia correcta.

El correo fraudulento suele conducir al lector hacia sitios web que replican
el aspecto de la empresa que est siendo utilizada para robar la
informacin.
-Man-in-the-middle (hombre en el medio).
En esta tcnica, el atacante se sita entre el usuario y el sitio web real,
actuando a modo de proxy.De esta manera, es capaz de escuchar toda la
comunicacin entre ambos.

-Aprovechamiento de vulnerabilidades de tipo 'Cross-Site

Scripting
En un sitio web, que permiten simular una pgina web segura de una
entidad bancaria, sin que el usuario pueda detectar anomalas en la
direccin ni en el certificado de seguridad que aparece en el navegador
 phishing?

Distinguir un mensaje dephishingde otro legtimo puede no resultar

fcilpara un usuario que haya recibido un correo de tales caractersticas,
especialmente cuando es efectivamente cliente de la entidad financiera de
la que supuestamente proviene el mensaje.

*El campo del mensaje muestra una direccin de la compaa en cuestin.

No obstante,es sencillo para el estafador modificar la direccin de origen
que se muestraen cualquier cliente de correo.

*El mensaje de correo electrnico presentalogotipos o imgenes que han

sido recogidas del sitio web realal que el mensaje fraudulento hace
referencia.

*El enlace que se muestra parece apuntar al sitio web original de la

compaa, pero en realidad lleva a una pgina web fraudulenta, en la que
se solicitarn datos de usuarios, contraseas, etc.

*Normalmente estos mensajes de correo electrnicopresentan errores

gramaticales o palabras cambiadas, que no son usuales en las
comunicaciones de la entidad por la que se estn intentando hacer pasar.
 Defensas
La mejor manera de protegerse contra las tcnicas de ingeniera
social es utilizando el sentido comn y no divulgando informacin que
podra poner en peligro la seguridad de la compaa.
Sin importar el tipo de informacin solicitada, se aconseja que:
Averige la identidad de la otra persona al solicitar informacin
precisa (apellido, nombre, compaa, nmero telefnico); si es posible,
verifique la informacin proporcionada;
pregntese qu importancia tiene la informacin requerida.
Mecanismos de defensa
-Definicin de una poltica de seguridad corporativa.
-Implantacin de un sistema de gestin de seguridad de
informacin(SGSI).

-Capacitacin de todo el personal sobre fraudes electrnicos y medidas

preventivas.

-Capacitacin del personal de sistemas en seguridad informtica.

-Rediseo de la red para incorporar dispositivos y protocolos de seguridad.

-Ejecucin de auditoras de seguridad informtica anuales

GRACIAS