2. INGENIERÍA SOCIAL
•
•
•
•
Es una práctica realizada para obtener información proveniente
directamente de los usuarios.
Una persona apta para realizarlo debe tener buenas técnicas psicológicas,
grandes habilidades sociales, gran capacidad de convencimiento y sobre
todo, la capacidad de generar confianza en los usuarios.
Este método se basa principalmente en las mentiras y el engaño a usuarios
legítimos, haciéndoles creer que la persona que les está solicitando datos
personales es una persona calificada.
El principio bajo el cual trabaja la ingeniería social es el:
El usuario es el eslabón mas débil
3. INGENIERÍA SOCIAL
Es importante entender los siguientes puntos respecto a la ingeniería social.
•
•
•
No solo es aplicable a la informática.
No solamente es utilizada para fines maliciosos.
Hasta donde llega la llamada ingeniería social.
4. INGENIERÍA SOCIAL
KEVIN MITNICK
Kevin Mitnick es uno de los hackers mas reconocidos. El actualmente trabaja
en la consultoría, enfocándose en la ingeniería social y el considera que mas
allá de las técnicas que se puedan poseer sobre el software y hardware, el
punto determinante es la capacidad de los mismos usuarios de utilizar
correctamente las políticas de seguridad.
Kevin considera que toda persona puede fallar ante un ataque de ingeniería
social, ya que los principios que expone son básicos que la gente tiende a
confiar rápidamente.
•
•
•
•
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir no.
A todos nos gusta que nos alaben.
5. USOS DE LA
INGENIERÍA SOCIAL
Herramientas utilizadas en la práctica:
•
•
•
•
•
•
•
Teléfono
Internet
Atenciones presenciales
Cartas y formularios falsos
Mails con promociones, fotos comprometedoras, etc.
Utilizar la comunicación para convencer a abrir archivos maliciosos.
Utilización de noticias que llaman la atención de multitudes (catástrofes,
noticias de famosos, etc.).
6. USOS DE LA
INGENIERÍA SOCIAL
Métodos utilizados por la ingeniería social:
•
•
•
•
•
Phishing (Uso de internet)
Vishing (Llamados telefónicos)
Baiting (Dispositivos de almacenamiento)
Trashing (Información obtenida de la basura)
Pretexting (Engañar con información verdadera)
7. RIESOS DE SER
ENGAÑADO
Algunos riesgos de ser engañado por una persona usando la ingeniería social son:
Pérdida de información confidencial.
Robo de identidad.
Información bancaria o comercial.
Infectar el computador con software malicioso.
8. PRECAUCIONES
A TOMAR
En general, los métodos para no caer en un fraude realizado con ingeniería social son
muy fáciles de seguir, y si se cumplen con rigurosidad, hay casi un 100% de
posibilidades de no ser engañado.
Algunos métodos son:
•
•
•
•
•
•
•
•
Nunca se pedirán datos personales por medio de mails.
Si dan un dato de alguna página, siempre ingresar a ésta escribiendo la URL.
Verificar que la página web esté verificada.
No escribir contraseñas en papeles o anotarlas en los celulares, siempre
tratar de recordarlas.
No confiar en desconocidos o ejecutivos que pidan demasiados datos por
teléfono.
Cambiar la contraseña con frecuencia.
No usar la misma contraseña en los mismos sitios.
Tener cuidado con las preguntas secretas.
9. CASOS DOCUMENTADOS
La lluvia de correos sobre las tormentas en Europa del 2007 confirma la efectividad de
la Ingeniería Social.
La ingenuidad y la morbosidad humana fueron utilizadas como vehículos para la
propagación de una de las principales epidemias de los últimos años. Esas tormentas
fueron el inicio de una familia de malware conocida como Nuwar (o Gusano de la
Tormenta), que utilizó cientos de asuntos y mensajes distintos durante dos años para
formar una gran Botnet con millones de usuarios infectados.
10. CASOS DOCUMENTADOS
Unos minutos después de producirse el tsunami de Japón de marzo de 2011,
deter-minados sitios Web de noticias falsos que alojaban malware infectaron los
sistemas de los usuarios que pretendían mantenerse informados a través de ellos.
Fuente: http://blog.trendmicro.com/trendlabs-security-intelligence/most-recentearthquake-in-japan-searches-lead-to-fakea/
11. CASOS PRÁCTICOS
•
•
•
Las estafas con las llamadas a celulares hace unos años en Chile ofreciendo
premios.
Las típicas cadenas que inducen a abrir distintos tipos de archivos.
Las faltas noticias que se publican e inducen a entrar a páginas sospechosas.