• Author / Uploaded
• Fluidsignal Group S.A.

Citation preview

Desayuno de trabajo Ingeniería Social 2011/05/19

Orden del día Objetivos Definición Principios de la Ingeniería Social Perfil del atacante Técnicas Ataques de ingeniería social Precauciones Conclusiones

Objetivos ●

●

Introducir a los asistentes en el mundo de la ingeniería social, como herramienta primordial de recopilación de información para un atacante. Proporcionar a los asistentes algunas herramientas que les permitan identificar cuando son víctimas de un ataque de este tipo, y sepan como reaccionar.

Definición ¿Qué es la Ingeniería Social? La ingeniería social puede definirse como el acto de manipulación psicológica para obtener acceso a recursos, lograr la divulgación de información o que las personas realicen acciones que vayan en contra de las políticas de seguridad de la organización.

Principios básicos La ingeniería social se basa en cuatro principios básicos. 1. “Todos queremos ayudar” 2. “El primer movimiento es siempre de confianza hacia el otro (víctima)” 3. “No nos gusta decir: No” 4. “A todos nos gusta que nos alaben”

Perfil del atacante Persona educada ● Excelente vocabulario ● Maneras finas ● Respetuoso ● Cordial ● Impecable presentación personal ● Seguro de si mismo ● Persuasivo ● Domina el lenguaje corporal ● Extremadamente inteligente ●

Técnicas En ingeniería social se destacan dos tipos de técnicas básicas: ●

●

Directas sujeto)

(interacción

“cara-a-cara”

con

el

Indirectas (manipulación “remota” de la víctima)

Cada una de estas técnicas tiene uno o más tipos de ataques. La tasa de éxito del ataque radicará en la pericia del atacante y en la combinación de técnicas.

Ataques

Phishing: Ataque indirecto, donde a través de un correo electrónico (por lo general) se solicita una validación de información, su principal objetivo es conseguir credenciales de validación en bancos y demás entidades financieras.

Ataques Trojan Horses: Programas maliciosos que buscan hacer daño o robar información de la máquina. Se considera un tipo de ataque indirecto. Suelen ser desplegados en una organización, o bien a través de correo electrónico/web o utilizando la técnica de baiting (carnada).

Ataques

Baiting: Dejar “olvidado” en un lugar concurrido un medio de almacenamiento extraíble: (Memoria USB, CD/DVD) de manera que cualquier persona lo tome y al insertarlo en su máquina la infecte con un troyano.

Ataques Pretexting: Valiéndose de un escenario ficticio y de su capacidad de mentir, el atacante consigue información sensible de la víctima. Clasifica como ataque directo. En un caso dado puede ser considerado un tipo de phishing-telefónico.

Ataques

Tailgating (Piggybacking): Forma de irrumpir en un área restringida sin contar con la debida autorización para tal fin.

Ataques Dumpster diving: Acción de revisar los contenedores de basura, con la intención de buscar información que no haya sido apropiadamente descartada (destruida) Muy útil en casos de espionaje industrial

Ataques

Quid pro Quo (algo por algo): Conseguir lo que se busca a través de ofrecer una recompensa (soborno) a la víctima, o también a través de amenazas.

Precauciones Redes sociales Verificación de identidad Signos de nerviosismo Contrastar la historia Información suministrada Separar lo laboral de lo personal Políticas de seguridad Efectos personales ¡Alerta Permanente!

Conclusiones

Toda cadena es tan débil, como el más débil de sus eslabones. La ingeniería social no tiene solución, se viene utilizando desde tiempos ancestrales y se seguirá utilizando.

Conclusiones

Las precauciones que se puedan adoptar, jamás serán pocas para mitigar un ataque de este tipo. Está en las personas facilitar o entorpecer la labor del atacante.

Contáctenos Web:

http://www.fluidsignal.com/

Twitter:

http://twitter.com/fluidsignal

Youtube:

http://www.youtube.com/fluidsignal

Facebook: http://www.facebook.com/fluidsignal Correo:

[email protected]

Teléfono:

+57 (1) 2697800, +57 (4) 4442637

Celular:

+57 3108408002, +57 3136601911

Ubicación: Calle 7D 43A-99 Oficina 509 Torre Almagran

Clausula Legal Copyright 2011 Fluidsignal Group Todos los derechos reservados Este documento contiene información de propiedad de Fluidsignal Group. El cliente puede usar dicha información sólo con el propósito de documentación sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificación "propietaria" significa que ésta información es sólo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorización expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificación de la información son los artículos 72 y siguientes de la decisión del acuerdo de Cartagena, 344 de 1.993, el artículo 238 del código penal y los artículos 16 y siguientes de la ley 256 de 1.996.

¡Muchas Gracias!