View
317
Download
8
Category
Preview:
Citation preview
COLEGIO ESPAÑOL PADRE ARRUPE
DEPARTAMENTO DE INFORMÁTICA
TAREA EX–AULA Nº 1
Grado : Segundo año de bachillerato sección “A” general
Grupo Nº : Grupo #3
Tema : Ingeniería Social
Integrantes :
Escobar Benavides, Iris Marcela # 9
López Mejía, María Lourdes # 15
Meléndez Pérez, Tatiana Marisol # 17
Torres Henríquez, Dennis Josué # 24
Soyapango 22 de enero 2010
COLEGIO ESPAÑOL PADRE ARRUPE
DEPARTAMENTO DE INFORMÁTICA
TAREA EX–AULA Nº 1
Grado : Segundo año de bachillerato sección “A” general
Grupo Nº : Grupo #3
Tema : Ingeniería Social
Integrantes :
Escobar Benavides, Iris Marcela # 9
López Mejía, María Lourdes # 15
Meléndez Pérez, Tatiana Marisol # 17
Torres Henríquez, Dennis Josué # 24
Soyapango 22 de enero 2010
COLEGIO ESPAÑOL PADRE ARRUPE
DEPARTAMENTO DE INFORMÁTICA
TAREA EX–AULA Nº 1
Grado : Segundo año de bachillerato sección “A” general
Grupo Nº : Grupo #3
Tema : Ingeniería Social
Integrantes :
Escobar Benavides, Iris Marcela # 9
López Mejía, María Lourdes # 15
Meléndez Pérez, Tatiana Marisol # 17
Torres Henríquez, Dennis Josué # 24
Soyapango 22 de enero 2010
Ingeniería SocialÍndice
Introducción....................................................................................................................... i
OBJETIVOS GENERALES ............................................................................................ ii
OBJETIVOS ESPECIFICOS ........................................................................................... ii
Justificación ..................................................................................................................... iii
Ingeniería Social ............................................................................................................... 1
¿Qué es la ingeniería Social?................................................................................. 1
¿Quiénes la usan? .................................................................................................. 1
La seguridad informática y su relación con la IS. ................................................. 2
Conceptos Básicos............................................................................................................ 3
El Phishing............................................................................................................. 3
¿Cómo lo realizan? ........................................................................................................ 3
Los Hoax ............................................................................................................... 3
Rootkit ................................................................................................................... 4
Sniffer .................................................................................................................... 4
Bombas lógicas...................................................................................................... 5
Gusano................................................................................................................... 6
Backdoor................................................................................................................ 6
Keylogger .............................................................................................................. 7
Botnet .................................................................................................................... 8
Los Rogue.............................................................................................................. 8
Spam/Spyware/adware .......................................................................................... 9
Tipos de ingeniería social. .............................................................................................. 12
Suplantación de identidad (phishing) .................................................................. 12
¿Qué apariencia tiene una estafa de suplantación de identidad (phishing)?............. 12
Spear phishing ..................................................................................................... 13
¿Qué es un fraude por "spear phishing"? ................................................................... 14
Mensajes de correo electrónico engañosos.......................................................... 14
Hoaxes. ................................................................................................................ 15
Seguridad de sistemas..................................................................................................... 16
SEGURIDAD LOGICA:.................................................................................... 16
SEGURIDAD FISICA: ....................................................................................... 17
¿Como protegernos de la ingeniería social? ................................................................... 19
Conclusiones................................................................................................................... 21
Bitácora........................................................................................................................... 22
Bibliografía. .................................................................................................................... 23
Ingeniería Social
i
IntroducciónC o n este trab ajo se q u ie re lo g ra r q u e u n a v ez fin a lizad o su an á lis is , e l lec to r ten g a
en c la ro e l co n cep to d e In g en ie ría S o c ia l, su o b je tiv o , q u ién es lo u tilizan , d ó n d e
se em p lea , q u ién es so n lo s m ás v u ln e rab les y so b re to d o , d e q u é m an era la s
n u ev as am en azas co m o sp am , p h ish in g , sp yw are , e tc p u ed en resu lta r d e g ran
a yu d a p a ra em plea r In g en ie ría S o cia l.
P a ra e llo , se in tro d u cirán a lg u n o s co n cep to s a n iv el g en e ra l d e In g en ie ría S o c ia l,
lu eg o se cita rán e jem p lo s d e la v id a co tid ian a . S e d esc rib irán en d e ta lle eso s
co n cep to s, su s ca ra c te rís ticas y su s d ife ren tes ap licac io n es y o b je tiv o s , p e ro esta
v ez a n iv e l in fo rm ático . L u eg o se en u m era rán e jem p lo s (a lg u n o s rea les y o tro s
n o , d o n d e se m u es tra e l e fec to p ro d u cid o p o r d e te rm in ad a
cau sa ).
T am b ién se v e rá e l ro l im p o rtan te (au n q u e m u ch as v eces ig n o rad o ) d el fac to r
h u m an o en cu an to a su co n cien tizac ió n y ed u ca ció n so b re la seg u rid ad d e lo s
d ato s q u e m an e ja .
A d em ás se d esc rib irán lo s d iferen tes tip o s d e ataq u es a lo s q u e e l se r h u m an o está
ex p u esto (v ía sm s, v ía co rreo e lec tró n ico , v ía te lefó n ica , e tc) y d eb e b u sca r la
fo rm a d e esta r p rep a rad o p ara ev itar e sto s a taq u es .
E n la s ig u ien te e tap a , se tra ta rá s in té ticam en te a l M a lw are (S o ftw are M alic io so ) a
n iv e l g en era l, lu eg o se en u m era rán y d esc rib irán lo s tip o s d e m alw are co n o cid o s
(v iru s, tro yan o s, sp yw are , g u san o s, e tc ).
L u eg o se in tro d u cen lo s co n cep to s d e las n u ev as am en azas y q u é re lac ió n tien en
co n la In g en ie ría S o cia l, q u ién es las c rean y c o n q u é o b je tiv o .
Ingeniería Social
ii
OBJETIVOS GENERALES
CONOCER TODO LO RELACIONADO CON INGENIERIA SOCIAL
ANALIZAR LOS TIPOS DE IS.
OBJETIVOS ESPECIFICOS
CONOCER LOS METODOS QUE UTILIZAN, ASI COMO LOSDELITOS MAS COMUNES,
ANALIZAR LA RELACION DE LA SEGURIDAD INFORMATICA Y LAIS.
CONOCER COMO PROTEGERNOS DE LA INGENIERIA SOCIAL.
Ingeniería Social
iii
Justificación
E ste trab ajo fo rm a p arte d e l p ro yec to d e E d u cació n q u e se o rg an izo en e l co leg io E sp añ o l
P ad re A rru p e y co n u n o d e lo s p ro p ó sito s co n q u e se h a d esarro llad o en p resen te p ro y ecto
es p a ra q u e e l lec to r p u ed a sab er q u e n o es tam o s seg u ro s co n resp ecto a lo q u e se tra ta
in fo rm ática y tecn o lo g ía es d ifíc il d e c ree r q u e n o so tro s h u m an o s d esa rro llem o s n u ev o s
in stru m en to s m ás tecn o lo g ía p e ro n o p o d am o s d esarro lla r u n d e fen sa co n lo s in g en iero s
so cia les .
E sp e ram o s q u e co n e l p ro y ecto rea lizad o sirv a d e in fo rm ació n p ara m u ch a g en te q u e es
ig n o ran te en esto d e la in g en ie ría so c ia l q u e to m e su s p ro p ias p recau cio n es .
Ingeniería Social
Página 1
Ingeniería Social ¿Qué es la ingeniería Social?
En el campo de la inseguridad informática, ingeniería social es la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos. Es una
técnica que pueden usar ciertas personas, tales como investigadores privados,
criminales, o delincuentes computacionales, para obtener información, acceso o
privilegios en sistemas de información que les permitan realizar algún acto que
perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
Es básicamente la manipulación de la tendencia del ser humano a confiar, con el
objetivo de hacer que una persona haga algo que el delincuente quiera (descargar un
archivo desde Internet, acceder a un enlace, brindar información confidencial, tomar una
decisión en particular, etc.).
¿Quiénes la usan?
Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una
buena dosis de psicología
Los hackers y asaltantes de redes están utilizando con mayor frecuencia técnicas de
ingeniería social para engañar a los usuarios de computadores e Internet y obtener las
contraseñas y cualquier otro tipo de información confidencial personal o empresarial.
Cuando un hacker o atacante de redes no puede obtener acceso a un sistema utilizando
sus técnicas habituales, entonces se comunica directamente con la víctima, entabla un
diálogo y la convence de que le entregue la información sin que se de cuenta de lo que
realmente sucede. La Ingeniería Social se emplea tanto para obtener números de tarjetas
de crédito, passwords para a Internet, tarjetas de llamadas, así como contraseñas para
cajeros automáticos.
Ingeniería Social
Página 2
La seguridad informática y su relación con la IS.
L a se gu rid ad in form ática tien e p o r o b je tiv o el asegu rar q u e lo s d ato s q ue a lm ace nan
nu estro s o rd en ad o res se m anten gan lib res d e cua lqu ier p ro b lem a, y q ue el s erv ic io
qu e n uestro s sis tem as p restan se re a lice c on la m a yo r efect iv id ad y sin caídas.
E n este sen tid o , la seg u rid a d in fo rm ática ab a rca cosas tan d ispa res com o :
L o s a p ara to s d e aire acon d ic io na do q u e m an tien en lo s sis tem as e n las
tem p eratu ras ad ecu ad as pa ra trab ajar s in caíd as .
L a ca lif icac ió n d el e q uip o d e ad m inistrad o res q u e d eb erá co n o c er su
sis tem a lo su f ic ien te c om o p ara m an ten erlo fu nc io n an d o correc tam ente .
L a d ef in ic ió n de en to rno s en lo s q u e las co p ias d e se gu rid ad h an de gu arda rse
pa ra ser seg u ros y c o m o h a cer esas co p ias .
E l con tro l d el acceso fís ico a los sis tem as .
L a elecc ió n d e u n h ard w are y d e u n so ftw are qu e n o d e p ro b lem as. L a co rrec ta
fo rm ación d e lo s u su ario s d el sis tem a
E l d esa rro llo d e p lan es d e con tin g e nc ia .
D eb em os ten er en cu en ta qu e u n a g ran p arte d e las in tru sio ne s e n sis tem as se
rea liz an u tiliz and o d atos q ue se obtien en d e sus usu arios m ed ian te d ife ren tes
m étod os y c o n la in terv en ción d e p erso n as especia lm en te en tre nad as, lo s in g en iero s
socia le s .
Ingeniería Social
Página 3
Conceptos Básicos
El Phishing
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un
usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades,
etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En qué consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen
de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima
que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo
es.
¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono
móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente,
y la más usada y conocida por los internautas, la recepción de un correo electrónico
Los Hoax
Los hoaxes (broma, engaño) son mensajes de correo electrónico engañosos que se
distribuyen en cadena.
Algunos tienen textos alarmantes sobre catástrofes (virus informáticos, perder el trabajo
o incluso la muerte) que pueden sucederte si no reenvías el mensaje a todos los
contactos de tu libreta de direcciones.
También hay hoaxes que tientan con la posibilidad de hacerte millonario con sólo
reenviar el mensaje o que apelan a la sensibilidad invocando supuestos niños enfermos.
Ingeniería Social
Página 4
Hay otros que repiten el esquema de las viejas cadenas de la suerte que recibíamos por
correo postal que te auguran calamidades si cortas la cadena y te prometen convertirte
en millonario si la seguís.
Rootkit
Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos
informáticos o crackers que consiguen acceder ilícitamente a un sistema informático.
Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso
mantener el acceso al sistema, a menudo con fines maliciosos.
Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o
Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance
una consola cada vez que el atacante se conecte al sistema a través de un determinado
puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.
Un backdoor puede permitir también que los procesos lanzados por un usuario sin
privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al
súperusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita
pueden ser ocultadas mediante rootkits
Sniffer
A diferencia de los circuitos telefónicos, las redes de computadoras son canales de
comunicación compartidos. El compartir, significa que las computadoras pueden recibir
información proveniente de otras maquinas. Al capturar la información que viene de
otra parte de la red se le llama "sniffing".
Las mas popular manera de conectar computadoras es a través del Ethernet. El cableado
Ethernet trabaja por el envío de paquetes de información por todos los nodos de la red.
El paquete contiene en su cabecera la dirección de la maquina destino. Solo la maquina
que contenga dicha dirección podrá aceptar el paquete. Una maquina que acepte todos
los paquetes sin importar los que contenga la cabecera, se dice que está en estado
promiscuo.
Ingeniería Social
Página 5
Un sniffer es un programa de para monitorear y analizar el trafico en una red de
computadoras, detectando los cuellos de botellas y problemas que existan en ella.
Un sniffer puede ser utilizado para "captar", lícitamente o no, los datos que son
transmitidos en la red. Un ruteador lee cada paquete de datos que pasa por el, determina
de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer,
pueden leer los datos dentro del paquete así como la dirección de destino.
Bombas lógicas
Las bombas lógicas son en cierta forma similares a los troyanos: se trata de código
insertado en programas que parecen realizar cierta acción útil. Pero mientras que un
troyano se ejecuta cada vez que se ejecuta el programa que lo contiene, una bomba
lógica sólo se activa bajo ciertas condiciones, como una determinada fecha, la existencia
de un fichero con un nombre dado, o el alcance de cierto número de ejecuciones del
programa que contiene la bomba; así, una bomba lógica puede permanecer inactiva en
el sistema durante mucho tiempo sin activarse y por tanto sin que nadie note un
funcionamiento anómalo hasta que el daño producido por la bomba ya está hecho. Por
ejemplo, imaginemos la misma situación que antes veíamos para el troyano: alguien con
el suficiente privilegio renombra a vi como vi.old, y en el lugar del editor sitúa el
siguiente código:
Este cambio en el sistema puede permanecer
durante años6.4 sin que se produzca un
funcionamiento anómalo, siempre y cuando
nadie edite ficheros un domingo; pero en el
momento en que un usuario decida trabajar
este día, la bomba lógica se va a activar y el
directorio de este usuario será borrado.
#!/bin/shif [ `date +%a` = "Sun" ];
thenrm -rf $HOME
elsevi.old $1
fi
Ingeniería Social
Página 6
Gusano
Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a
otro, pero lo hace automáticamente. En primer lugar, toma el control de las
características del equipo que permiten transferir archivos o información. Una
vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos
es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría
enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo
electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer
más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos
gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan
esperas largas (a todos los usuarios) para ver las páginas Web en Internet.
Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención
del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por
las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede
provocar que un equipo se bloquee.
Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host",
también pueden crear un túnel en el sistema y permitir que otro usuario tome el control
del equipo de forma remota. Entre los ejemplos recientes de gusanos se
incluyen: Sasser y Blaster.
Backdoor
Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de
modo tal de permitir al creador del backdoor tener acceso al sistema y hacer lo que
desee con él.
El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de
ellos libremente hasta el punto de formas redes de botnets.
Ingeniería Social
Página 7
Keylogger
Como su nombre lo indica un Keylogger es un programa que registra y graba la
pulsación de teclas (y algunos también clicks del mouse). La información recolectada
será utilizada luego por la persona que lo haya instalado. Actualmente existen
dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.
Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra
computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si
se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades
de almacenamiento, son comprados en cualquier casa especializada y generalmente son
instalados por empresas que desean controlar a ciertos empleados.
Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala
ya que registrar a un usuario mediante este accionar puede interpretarse como una
violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad
clara, puesta por escrito y firmada por el usuario.
Con respecto a las keyloggers por software, actualmente son los más comunes, muy
utilizados por el malware orientado a robar datos confidenciales o privados del usuario.
Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su
teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de
tarjetas, PINes, etc.
Esto explica el porqué de su gran éxito y utilización actual ya que como sabemos el
malware, cada vez más orientado al delito, puede utilizar esta herramienta para
proporcionar información sensible del usuario a un atacante.
Ingeniería Social
Página 8
Botnet
Los bots son propagados a través de Internet utilizando a un gusano como transporte,
envíos masivos de ellos mediante correo electrónico o aprovechando vulnerabilidades
en navegadores.
Una vez que se logra una gran cantidad de sistemas infectados mediante Troyanos, se
forman amplias redes que "trabajan" para el creador del programa.
Aquí hay que destacar tres puntos importantes:
Este trabajo en red se beneficia del principio de "computación distribuida" que
dice miles de sistemas funcionando juntos tienen una mayor capacidad de
procesamiento que cualquier sistema aislado.
El creador del programa puede ser una red de delincuencia que ha armado su
ataque, y que tienen estos programas trabajando en su beneficio.
El grupo "propietario de la red" de zombies puede alquilar a otros grupos su red
para realizar alguna acción ilegal. El objetivo de las redes zombies puede ser
realizar ataques de DDoS, distribución de SPAM, etc.
Los Rogue
Los Rogue o Scareware son sitios web o programas que simulan ser una aplicación de
seguridad, generalmente gratuita, pero que en realidad instalan otros programas dañinos.
Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos
programas, su sistema es infectado.
Estos programas, que el la mayoría de los casos son falsos antivirus, no suelen realizar
exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera,
simplemente informan que se ha realizado con éxito la desinfección del equipo, aunque
en realidad no se realizado ninguna acción.
Ingeniería Social
Página 9
Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas
sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al
usuario.
Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una
exploración del sistema, cuando en realidad son simples imágenes (no dañinas).
Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:
Posteriormente, si el usuario es engañado descargaría un programa dañino en su
sistema.
Spam/Spyware/adware
Se define como Adware al software que despliega publicidad de distintos productos o
servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en
ventanas emergentes, o a través de una barra que aparece en la pantalla simulando
ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas
de los navegadores de Internet o en los clientes de correo. Estas barras de tareas
personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con
publicidad, sea lo que sea que el mismo esté buscando.
Ingeniería Social
Página 9
Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas
sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al
usuario.
Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una
exploración del sistema, cuando en realidad son simples imágenes (no dañinas).
Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:
Posteriormente, si el usuario es engañado descargaría un programa dañino en su
sistema.
Spam/Spyware/adware
Se define como Adware al software que despliega publicidad de distintos productos o
servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en
ventanas emergentes, o a través de una barra que aparece en la pantalla simulando
ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas
de los navegadores de Internet o en los clientes de correo. Estas barras de tareas
personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con
publicidad, sea lo que sea que el mismo esté buscando.
Ingeniería Social
Página 9
Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas
sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al
usuario.
Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una
exploración del sistema, cuando en realidad son simples imágenes (no dañinas).
Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:
Posteriormente, si el usuario es engañado descargaría un programa dañino en su
sistema.
Spam/Spyware/adware
Se define como Adware al software que despliega publicidad de distintos productos o
servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en
ventanas emergentes, o a través de una barra que aparece en la pantalla simulando
ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas
de los navegadores de Internet o en los clientes de correo. Estas barras de tareas
personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con
publicidad, sea lo que sea que el mismo esté buscando.
Ingeniería Social
Página 10
Se define como Spyware o Software Espía a las aplicaciones que recopilan información
sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo
más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Normalmente, este software envía información a sus servidores, en función de los
hábitos de navegación del usuario. También, recogen datos acerca de las webs que se
visitan y la información que se solicita en esos sitios, así como direcciones IP y URLs
que se navegan.
Esta información es explotada para propósitos de mercadotecnia y muchas veces es el
origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada
hacia el usuario afectado. Con estos datos, además, es posible crear perfiles estadísticos
de los hábitos de los internautas.
Las recomendaciones para evitar la instalación de este tipo de software son las
siguientes:
Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas
aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de
dudosa reputación.
Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones.
Generalmente incluyen puntos como "recolectamos la siguiente información del
usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al
instalar esta aplicación usted autoriza que entreguemos sus datos a...".
Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se
instalan sobre el explorador.
Actualmente, se nota una importante aparición de aplicaciones que simulan ser software
anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser
encontrada en la dirección que se detalla al pie del presente.
Cuando una aplicación intente instalarse sin que usted lo haya solicitado, desconfíe y
verifique la lista anterior.
Ingeniería Social
Página 11
Es común que los sitios dedicados al underground o pornográficos, contengan un alto
contenido de programas dañinos que explotando diversas vulnerabilidades del sistema
operativo o del explorador, le permiten instalarse.
Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso de
la computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser
así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos
necesarios para realizar sus tareas. Ya que esto disminuye el campo de acción de un
posible intruso (virus, backdoor, usuario no autorizado, etc.).
Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus
actualizado y con capacidades proactivas es fundamental para detectar estas
aplicaciones y evitar su instalación.
Los programas espías son aplicaciones informáticas que recopilan datos sobre los
hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son
transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de
ser almacenados en el ordenador.
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se
encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas
web que contienen determinados controles ActiveX o código que explota una
determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware
descargadas de Internet, etc.
El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia,
pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de
datos y la forma en que son posteriormente utilizados.
Ingeniería Social
Página 12
Tipos de ingeniería social.
Hay varios tipos de ingeniería social que deben tenerse presentes:
1. Suplantación de identidad (phishing).
2. Spear phishing.
3. Correo electrónico engañoso.
4. Hoaxes.
Suplantación de identidad (phishing)
(Mensajes de correo electrónico y sitios web fraudulentos).
La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de
identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o
sitios web fraudulentos en los que se intenta que facilite información personal. Por
ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su
banco o de otra entidad financiera en el que se le pida que actualice la información de su
cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio
legítimo, pero que, en realidad, le lleva a un sitio web falsificado. Si indica su nombre
de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría
usar estos datos para suplantar su identidad. Con frecuencia, los mensajes de correo
electrónico de phishing incluyen errores de ortografía o gramática, y contienen
amenazas y exageraciones.
¿Qué apariencia tiene una estafa de suplantación de identidad (phishing)?
Los estafadores se vuelven cada vez más sofisticados, al igual que sus mensajes de
correo electrónico y ventanas emergentes de phishing. Suelen incluir logotipos
aparentemente oficiales de organizaciones reales, así como otra información
identificativa tomada directamente de sitios web legítimos. A continuación, le
presentamos un ejemplo de la apariencia de un mensaje de correo electrónico utilizado
para una estafa de phishing.
Ingeniería Social
Página 13
Ejemplo de un mensaje de phishing, donde se incluye una dirección URL que sirve de
vínculo a un sitio web falso.
Para que estos mensajes de correo electrónico de
phishing tengan una apariencia aún más legítima,
los estafadores incluyen vínculos que parecen
dirigir a un sitio web legítimo (1) pero que, en
realidad, dirigen al usuario a un sitio falso (2) o,
probablemente, abren una ventana emergente
que muestra una apariencia idéntica a la del sitio
oficial.
Se trata de sitios web "simulados". Una vez
dentro de estos sitios "simulados" y, sin darse
cuenta, el usuario envía información personal a los estafadores.
Spear phishing
(Ataques con objetivos específicos que parecen proceder de personas
conocidas.)
El "spear phishing" es una estafa por correo electrónico con objetivos específicos que se
suele utilizar en entornos empresariales. Los timadores de "spear phishing" envían
mensajes de correo electrónico que parecen auténticos a todos los empleados o
miembros de una determinada empresa, organismo, organización o grupo.
El mensaje puede parecer procedente de un compañero de trabajo o de un cargo
directivo (como el responsable de recursos humanos) que podría enviar un mensaje de
correo electrónico a todos los usuarios de la empresa. Podría incluir solicitudes de
nombres de usuario y contraseñas, o contener software malintencionado, como troyanos
o virus.
La estafa de "spear phishing" corresponde a un tipo de ingeniería social más avanzado
que el "phishing", pero las técnicas que pueden usarse para evitar el engaño son las
mismas.
Ingeniería Social
Página 14
¿Qué es un fraude por "spear phishing"?
El "spear phishing" hace referencia a cualquier ataque de suplantación de identidad
(phishing) dirigido a un objetivo muy específico. Los timadores de "spear phishing"
envían mensajes de correo electrónico que parecen auténticos a todos los empleados o
miembros de una determinada empresa, organismo, organización o grupo.
Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por
correo electrónico a todo el personal (por ejemplo, el encargado de administrar los
sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.
En realidad, lo que ocurre es que la información del remitente del correo electrónico ha
sido falsificada. Mientras que las estafas de suplantación de identidad (phishing)
tradicionales están diseñadas para robar datos de personas, el objetivo de las de "spear
phishing" consiste en obtener acceso al sistema informático de una empresa.
Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o
abre datos adjuntos de un mensaje de correo electrónico, una ventana emergente o un
sitio web desarrollado para una estafa de "spear phishing", puede convertirse en víctima
de un robo de datos de identidad y poner en peligro a su organización.
Las estafas de "spear phishing" también se dirigen a personas que utilizan un
determinado producto o sitio web. Los timadores utilizan toda la información de que
disponen para personalizar al máximo posible la estafa de suplantación de identidad
(phishing).
Mensajes de correo electrónico engañosos
Desconfíe de las promesas de dinero fácil.
Los mensajes de correo electrónico engañosos se presentan de distintos modos, desde
una estafa en la que se le pide ayuda para sacar dinero de otro país (a menudo, Nigeria)
hasta un aviso de que ha ganado algo en un sorteo.
El elemento en común es que normalmente se le promete una gran suma de dinero a
cambio de muy poco o ningún esfuerzo por su parte.
El estafador intenta que envíe dinero o revele información financiera que pueda usarse
para robarle dinero, su identidad o ambos.
Ingeniería Social
Página 15
Hoaxes.
Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de
virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a
nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.
Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de
conocidos".
Jamás reenvíe un mensaje de este tipo que llegue a su casilla.
Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos
erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,
propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en
el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente
su verdadero objetivo.
Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca
reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,
avísele de páginas como esta para que salga de su engaño y obtenga más detalles.
Ingeniería Social
Página 15
Hoaxes.
Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de
virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a
nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.
Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de
conocidos".
Jamás reenvíe un mensaje de este tipo que llegue a su casilla.
Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos
erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,
propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en
el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente
su verdadero objetivo.
Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca
reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,
avísele de páginas como esta para que salga de su engaño y obtenga más detalles.
Ingeniería Social
Página 15
Hoaxes.
Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de
virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a
nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.
Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de
conocidos".
Jamás reenvíe un mensaje de este tipo que llegue a su casilla.
Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos
erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,
propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en
el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente
su verdadero objetivo.
Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca
reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,
avísele de páginas como esta para que salga de su engaño y obtenga más detalles.
Ingeniería Social
Página 16
Seguridad de sistemas
SEGURIDAD LOGICA:
Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación
de mecanismos y barreras para mantener el resguardo y la integridad de la información
dentro de un sistema informático. La seguridad lógica se complementa seguridad física.
La seguridad lógica de un sistema informático incluye:
- Restringir al acceso a programas y archivos mediante claves y/o encriptación.
- Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto
significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para
realizar su trabajo.
- Asegurarse que los archivos y programas que se emplean son los correctos y se usan
correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la
seguridad de un sistema informático.
- Control de los flujos de entrada/salida de la información. Esto incluye que una
determinada información llegue solamente al destino que se espera que llegue, y que la
información llegue tal cual se envió.
Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a
nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.
Ingeniería Social
Página 17
SEGURIDAD FISICA:
Dentro de la seguridad informática, la seguridad física hace referencia a las barreras
físicas y mecanismos de control en el entorno de un sistema informático, para proteger
el hardware de amenazas físicas. La seguridad física se complementa con la seguridad
lógica.
Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por
el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner
en riesgo un sistema informático son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabojate.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos.
- Tener extintores por eventuales incendios.
- Instalación de cámaras de seguridad.
- Guardia humana.
- Control permanente del sistema eléctrico, de ventilación, etc.
Ingeniería Social
Página 17
SEGURIDAD FISICA:
Dentro de la seguridad informática, la seguridad física hace referencia a las barreras
físicas y mecanismos de control en el entorno de un sistema informático, para proteger
el hardware de amenazas físicas. La seguridad física se complementa con la seguridad
lógica.
Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por
el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner
en riesgo un sistema informático son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabojate.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos.
- Tener extintores por eventuales incendios.
- Instalación de cámaras de seguridad.
- Guardia humana.
- Control permanente del sistema eléctrico, de ventilación, etc.
Ingeniería Social
Página 17
SEGURIDAD FISICA:
Dentro de la seguridad informática, la seguridad física hace referencia a las barreras
físicas y mecanismos de control en el entorno de un sistema informático, para proteger
el hardware de amenazas físicas. La seguridad física se complementa con la seguridad
lógica.
Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por
el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner
en riesgo un sistema informático son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabojate.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos.
- Tener extintores por eventuales incendios.
- Instalación de cámaras de seguridad.
- Guardia humana.
- Control permanente del sistema eléctrico, de ventilación, etc.
Ingeniería Social
Página 18
DELITOS MÁS COMUNES
La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de
identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o
sitios web fraudulentos en los que se intenta que facilite información personal.
Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su
banco o de otra entidad financiera en el que se le pida que actualice la información de su
cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio
legítimo, pero que, en realidad, le lleva a un sitio web falsificado. Si indica su nombre
de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría
usar estos datos para suplantar su identidad. Un claro ejemplo de Ingeniería Social más
común es el de alguien que llama por teléfono a una empresa para decir que necesita
ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto
de la configuración. Durante la conversación, y a través de escogidas y cuidadas
preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que
necesita para vulnerar la seguridad de todo el corporativo.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos
adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa
o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona
conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la
víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-
mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución
automática de archivos adjuntos, los usuarios deben activar esos archivos de forma
explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren
casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el
ataque.Un nuevo y claro ejemplo de ingeniería social ha dado la vuelta al mundo: la
multitudinaria infección por el virus SirCam ha contagiado, sólo en España, a 15.000
empresas. Esta técnica, habitualmente empleada por los hackers para engañar a los
usuarios, consiste en jugar con la psicología del receptor invitándole a abrir los correos
electrónicos que llegan con un mensaje amable, erótico, humorístico o, simplemente,
con elementos que despiertan su curiosidad.
Ingeniería Social
Página 19
¿Como protegernos de la ingeniería social?
1. Este bien alerta, hay personas que tienen un talento increíble para “sacarle”
información a otras personas. Cuando usted note que alguien intenta “sacarle”
información, confronte a esta persona y pregúntele por quiere saber esa información? A
si la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar
“sacarle” información.
2. Confié en su buen juicio, si no se siente a gusto y sospecha de un mensaje de e-mail o
un website, no habrá el mensaje y no entre ninguna información en el website.
3. Nunca divulgue a nadie su password aunque la persona diga que es de servicio al
cliente o seguridad, tampoco escriba información personal o sensitiva como su
password en ningún lado.
4. Cuando vaya a entrar su password verifique que no haiga personas muy cerca.
5. Cambie su password periódicamente, si pasaron 4 meses desde que la persona obtuvo
su password, hasta que usted volvió a cambiarlo, la persona tuvo en posesión su
password por 4 meses.
6. Evite los passwords adivinables o fáciles de recordar.
7. Cree passwords de 8 o más caracteres en combinación con letras Mayúsculas,
Minúsculas, números y caracteres especiales, ej. : Wds@/476. En nuestro tema de
Manejo de Passwords le decimos como crear passwords fuertes. Si piensa que ya tiene
un password fuerte, pruébelo con nuestro Verificador de Passwords.
Ingeniería Social
Página 20
8. Nunca use el mismo password para diferentes cuentas.
Para protegernos de los ataques de ingeniería social tenemos que ser un poco
paranoicos y no confiar en todo lo que nos digan. Hay que preguntarlo todo,
porque necesita esa información que nos están solicitando y sugiere alternativas,
ya que en los ataques de ingeniería social un atacante siempre insistirá en que
hagamos lo que nos dice.
Por otro lado hay que saber decir que no, si notas algo sospechoso fuera de los
procedimientos que suele seguir la empresa, es muy recomendable decir que siga
los procedimientos habituales y nos evitaremos muchos problemas.
Otro de los aspectos importantes es que formar a los usuarios para que tengan en
cuenta todos los métodos que suelen usar los atacantes para realizar este tipo de
ataques.
Además, es muy recomendable comprobar que información estamos mostrando
al público, ya que los atacantes normalmente hacen sus deberes y antes de lanzar
cualquier ataque de ingeniería social intentarán obtener toda la información
posible sobre la empresa y sobre las personas que trabajan en ella, para poder ser
más eficaces en su ataque.
Ingeniería Social
Página 21
ConclusionesR esu m ien d o to d o lo v isto h asta ah o ra , se p u ed e in fe rir q u e lo s
p ro g ram ad o res d e am en azas h an e leg id o la In g en iería S o cia l co m o técn ica
d e in fecc ió n p rin c ip a l. V a lién d o se d e la in o cen c ia d e las p e rso n as ,
co n sig u en sem b ra r cao s p o r to d as p a rtes .
S i b ien es d e v ita l im p o rtan cia la co rrec ta co n se rv ació n y cu id ad o d e lo s
d ato s d e u n a em p resa , d en tro d e e lla d eb e co n s id era rse co m o facto r m u y
im p o rtan te a l h o m b re , q u e es e l es lab ó n m ás d éb il en la cad en a d e
seg u rid ad .
E s in c re íb le q u e estas co sas su ced an h o y ... q u e n o s h em o s d ed icad o co n
tan to én fasis a av an za r en la tecn o lo g ía , y n o p o d a m os reso lv e r es te eslab ó n
p rev io : ¡la d eb ilid ad d e l se r h u m an o! P rim ero h ab ría q u e cap ac itar a
q u ien es estén fren te a cu alq u ie r sis tem a o d isp o sitiv o e lec tró n ico tan to p a ra
p o d er o p e rarlo co m o p ara q u e v a lo re q u e la in fo rm ació n q u e ah í se
a lm acen a o g es tio n a , e s d e v ita l im p o rtan cia p a ra la em p resa . C la ro está q u e
n o so m o s m aq u in as, so m o s seres rac io n ale s , y co n m u ch o s sen tim ien to s, y
es ah í ju stam en te d o n d e h ay q u e p o n er énfasis , en p rep a ra r a l p e rso n a l d e
m an era q u e N O R E V E L E N n in g u n a in fo rm ació n a n ad ie p o r m as q u e
sien tan la n ecesid ad d e a yu d ar. E sta g en te (In g en iero s S o cia les ) so n cap aces
d e cu a lq u ier co sa , y v an a u sa r lo q u e este a su a lcan ce p a ra h ace rles c ree r
a lg o q u e n o es , co m o h acerse p asa r p o r p e rso n a l d e sis tem as, o u n em p lead o
q u e p e rd ió su c lav e y n ecesita q u e sea reestab lec id a , e tc .
“L a v erd ad es q u e n o h ay tecn o lo g ía en e l m u n d o cap az d e p rev en ir u n
a taq u e d e In g en ie ría
S o cia l”
H o y, seg ú n an á lis is rev e lad o s p o r u n estu d io so b re am en azas d e seg u rid ad
d e la in fo rm ació n , se in fiere q u e d e 5 7 4 o rg an iza c io n es en cu estad as , e l 5 9 %
d e e llas in d icó q u e su ú ltim a g rie ta d e seg u rid ad fu e p o r u n e rro r h u m an o .
Ingeniería Social
Página 22
Bitácora
COLEGIO ESPAÑOL PADRE ARRUPEDEPARTAMENTO DE INFORMÁTICAGRADO Y SECCIÓN 2º “A”GRUPO DE TRABAJO # 3REUNIÓN #1
Fecha: 20 de febrero del 2010
Hora inicio: 2:00 pmLugar: Calle tazumal av. Texistepeque edificio 1 optuple apt. #3 soyapango
credissa, altos del cerro. (Casa de representante Josué torres)Objetivo: Elaboración del reporte
Hora finalización: 5:30 pm
Puntos tratados en reunión:
o Se desarrollo lo que es el reporte, también se elaboro lo que es el Tríptico.
o Nos pusimos de acuerdo para la hora de exponer.
Integrantes: Firma
Iris Marcela Escobar
Tatiana Marisol Meléndez
María Lourdes
Dennis Josué torres
Ingeniería Social
Página 23
Bibliografía.
Sitio Web:
SEGU.INFO: Seguridad Informática
Disponible: http://www.segu-info.com.ar/
www.alegsa.com.ar/Dic/seguridad%20logica.php[1]
http://www.lcu.com.ar/ingenieriasocial/ [2]
http://www.microsoft.com/spain/protect/yourself/phishing/engineering.m
spx[3]
http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C
3%A1tica)[4]
http://www.idg.es/iworld/impart.asp?id=130842[5]
www.wisedatasecurity.com/ingsocial.html[6]
http://www.websecurity.es/ingenier-social-parte-vii-como-protegerse[7]
Recommended