Seg. Ingenieria Social

INTEGRANTES Peñafel Edwin Cedeño Alexandra Herrera Roberto Cedeño Geovanny

¿Qu e! la In"enier#a So$ial% La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información condencial o hagan acciones inseguras.

El $i$lo de ata&ue de la in"enier#a !o$ial Para Gartner Research el ciclo de ataque de la ingeniería social consta de 4 etapas: Recolección de información. esarrollo de la relación. !"plotación de la relación. !#ecución para lograr el o$#eti%o

E'e()lo !n una casa puedes tener &' seguros ( candados) todas las %entanas con un sistema de alertas ( cámaras por todos lados) pero si de#as entrar a la persona que entrega la pi**a sin %ericar sus credenciales) toda la seguridad queda inerte.

Ata&ue! lo$ale! de la In"enier#a So$ial  Pretextin" * )retexto !stas t+cnicas %an de la mano ( pueden usarse tanto en los ataques locales como en los remotos. !#emplo: puede darse cuando el atacante se hace pasar por un empleado de soporte t+cnico de la empresa en la cual tra$a#a la %íctima.



Tail"aitin" !ste tipo de ataque se apro%echa de la solidaridad ( $uena %oluntad. Generalmente suele e#ecutarse cuando un empleado ,la %íctima- está ingresando a su empresa) la cual posee algn tipo de restricción en su acceso físico. !#emplo: tar#etas R/0) molinetes) etc. !l atacante irá corriendo con una gran 1sonrisa2 detrás de la %íctima ,#usto antes de que esta termine de ingresar- haciendo un gesto de ha$er ol%idado su tar#eta de acceso.



I()er!onation

La suplantación) es una herramienta de la ingeniería social que se utili*a para o$tener acceso a una organi*ación. 3 grandes rasgos) es hacerse pasar por una persona que no eres ( que generalmente confía en el atacante) el cual recolectará la suciente información de la %íctima durante un tiempo considera$le para poder lograr su o$#eti%o.



+alla en $ontrole! ,#!i$o! de !e"uridad !ste es qui*ás unos de los ataques más usados) (a que e"isten muchas empresas con fallas en sus controles físicos.

E'e()lo- supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista. !sta persona solicita nom$re) apellido) nmero de documento ( el área a la cual se quiere dirigir 1la %isita2) pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo 1%isitado2. !ste tipo de ataque es mu( efecti%o para reali*ar aiting) (a que si el control falla desde el inicio es mu( pro$a$le que se pueda llegar hasta las ocinas de inter+s para el atacante.



.u()!ter .ivin" aunque no lo crean) una de las t+cnicas mu( utili*adas es re%isar la $asura) (a que muchas 5pero muchas5 %eces se arro#an papeles con información sensi$le sin ha$erlos destruidos pre%iamente. !#emplo: 6n e#ecuti%o $ota papeles corporati%os a la papelera) el personal de limpie*a toma la $asura ( la coloca en los tanques pro%istos para que los reco#a el $arrendero



S/oulder Surfn !sta es una t+cnica mu( utili*ada por los 0ngenieros 7ociales ,( por los curiosos tam$i+n-. 8o es ni más ni menos que espiar por encima del hom$ro de las personas. !#emplo:!n algunos casos se hace para poder o$ser%ar lo que está tecleando la %íctima ( así poder dilucidar su pass9ord) P08 o patrones de des$loqueos en tel+fonos.



0aitin"*1S0 tentadora !s una t+cnica mu( efecti%a. Generalmente se utili*an pendri%es con soft9are malicioso) los que de#an en el escritorio de la %íctima o en el camino que la misma realice ,por e#emplo) en el estacionamiento) ascensor) etc.-. Para asegurarse del +"ito en la e"plotación e estudia a la %íctima pre%iamente) detectando así la %ulnera$ilidad a ser e"plotada.



2la(ada al !o)orte t$ni$o 6n hom$re llama al soporte t+cnico ( dice que ha ol%idado su cla%e) en pánico agrega que si no entrega un documento a tiempo su #efe podría despedirlo. La persona de soporte siente pena por +l ( resetea la cla%e) dándole acceso a la red corporati%a

Ata&ue re(oto! P/i!/in" !l phishing; %iene del t+rmino en ingl+s de pescar. Los criminales informáticos tiran correos con an*uelos; para %er si alguien cae en la trampa. ía ,reempla*ando la l con 0- ( pide le información a diferentes su$alternos.Lo normal es que le respondan () aunque no manden la contrase>a) el atacante (a tiene la información suciente para hacer una llamada ( hacerse pasar por el presidente de una manera más con%incente.

31!o de no(bre! de $o()añ#a! ya exi!tente!4 !n lugar de crear desde cero el sitio 9e$ de una compa>ía cticia) los estafadores adoptan la imagen corporati%a ( funcionalidad del sitio de 9e$ de una empresa e"istente) con el n de confundir an más al receptor del mensa#e.

3.ire$$ione! web $on la a)arien$ia $orre$ta4 !l correo fraudulento suele conducir al lector hacia sitios 9e$ que replican el aspecto de la empresa que está siendo utili*ada para ro$ar la información.

35an3in3t/e3(iddle 6/o(bre en el (edio74 !n esta t+cnica) el atacante se sita entre el usuario ( el sitio 9e$ real) actuando a modo de pro"(. e esta manera) es capa* de escuchar toda la comunicación entre am$os.

3A)rove$/a(iento de vulnerabilidade! de ti)o 8Cro!!3Site S$ri)tin"9 !n un sitio 9e$) que permiten simular una página 9e$ segura de una entidad $ancaria) sin que el usuario pueda detectar anomalías en la dirección ni en el certicado de seguridad que aparece en el na%egador

.i!tin"uir un (en!a'e de )/i!/in" de otro le"#ti(o )uede no re!ultar ,ía.  7in importar el tipo de información solicitada) se aconse#a que: 3%erig?e la identidad de la otra persona al solicitar información precisa ,apellido) nom$re) compa>ía) nmero telefónico-@ si es posi$le) %erique la información proporcionada@ pregntese qu+ importancia tiene la información requerida.

5e$ani!(o! de de,en!a

Aenición de una política de seguridad corporati%a. A0mplantación de un sistema de gestión de seguridad de información,7G70-. A