28
COLEGI DEPART T Grado : Segu Grupo Nº : Grup Tema : Ingen Integrantes : Esco Lópe Melé Torre IO ESPAÑOL PADRE ARRUPE RTAMENTO DE INFORMÁTICA TAREA EX–AULA Nº 1 undo año de bachillerato sección “A” gene po #3 niería Social obar Benavides, Iris Marcela ez Mejía, María Lourdes éndez Pérez, Tatiana Marisol es Henríquez, Dennis Josué Soyapango 22 E A neral #9 # 15 # 17 # 24 de enero 2010

Ingeniería Social

Embed Size (px)

Citation preview

COLEGIO ESPAÑOL PADRE ARRUPE

DEPARTAMENTO DE INFORMÁTICA

TAREA EX–AULA Nº 1

Grado : Segundo año de bachillerato sección “A” general

Grupo Nº : Grupo #3

Tema : Ingeniería Social

Integrantes :

Escobar Benavides, Iris Marcela # 9

López Mejía, María Lourdes # 15

Meléndez Pérez, Tatiana Marisol # 17

Torres Henríquez, Dennis Josué # 24

Soyapango 22 de enero 2010

COLEGIO ESPAÑOL PADRE ARRUPE

DEPARTAMENTO DE INFORMÁTICA

TAREA EX–AULA Nº 1

Grado : Segundo año de bachillerato sección “A” general

Grupo Nº : Grupo #3

Tema : Ingeniería Social

Integrantes :

Escobar Benavides, Iris Marcela # 9

López Mejía, María Lourdes # 15

Meléndez Pérez, Tatiana Marisol # 17

Torres Henríquez, Dennis Josué # 24

Soyapango 22 de enero 2010

COLEGIO ESPAÑOL PADRE ARRUPE

DEPARTAMENTO DE INFORMÁTICA

TAREA EX–AULA Nº 1

Grado : Segundo año de bachillerato sección “A” general

Grupo Nº : Grupo #3

Tema : Ingeniería Social

Integrantes :

Escobar Benavides, Iris Marcela # 9

López Mejía, María Lourdes # 15

Meléndez Pérez, Tatiana Marisol # 17

Torres Henríquez, Dennis Josué # 24

Soyapango 22 de enero 2010

Ingeniería SocialÍndice

Introducción....................................................................................................................... i

OBJETIVOS GENERALES ............................................................................................ ii

OBJETIVOS ESPECIFICOS ........................................................................................... ii

Justificación ..................................................................................................................... iii

Ingeniería Social ............................................................................................................... 1

¿Qué es la ingeniería Social?................................................................................. 1

¿Quiénes la usan? .................................................................................................. 1

La seguridad informática y su relación con la IS. ................................................. 2

Conceptos Básicos............................................................................................................ 3

El Phishing............................................................................................................. 3

¿Cómo lo realizan? ........................................................................................................ 3

Los Hoax ............................................................................................................... 3

Rootkit ................................................................................................................... 4

Sniffer .................................................................................................................... 4

Bombas lógicas...................................................................................................... 5

Gusano................................................................................................................... 6

Backdoor................................................................................................................ 6

Keylogger .............................................................................................................. 7

Botnet .................................................................................................................... 8

Los Rogue.............................................................................................................. 8

Spam/Spyware/adware .......................................................................................... 9

Tipos de ingeniería social. .............................................................................................. 12

Suplantación de identidad (phishing) .................................................................. 12

¿Qué apariencia tiene una estafa de suplantación de identidad (phishing)?............. 12

Spear phishing ..................................................................................................... 13

¿Qué es un fraude por "spear phishing"? ................................................................... 14

Mensajes de correo electrónico engañosos.......................................................... 14

Hoaxes. ................................................................................................................ 15

Seguridad de sistemas..................................................................................................... 16

SEGURIDAD LOGICA:.................................................................................... 16

SEGURIDAD FISICA: ....................................................................................... 17

¿Como protegernos de la ingeniería social? ................................................................... 19

Conclusiones................................................................................................................... 21

Bitácora........................................................................................................................... 22

Bibliografía. .................................................................................................................... 23

Ingeniería Social

i

IntroducciónC o n este trab ajo se q u ie re lo g ra r q u e u n a v ez fin a lizad o su an á lis is , e l lec to r ten g a

en c la ro e l co n cep to d e In g en ie ría S o c ia l, su o b je tiv o , q u ién es lo u tilizan , d ó n d e

se em p lea , q u ién es so n lo s m ás v u ln e rab les y so b re to d o , d e q u é m an era la s

n u ev as am en azas co m o sp am , p h ish in g , sp yw are , e tc p u ed en resu lta r d e g ran

a yu d a p a ra em plea r In g en ie ría S o cia l.

P a ra e llo , se in tro d u cirán a lg u n o s co n cep to s a n iv el g en e ra l d e In g en ie ría S o c ia l,

lu eg o se cita rán e jem p lo s d e la v id a co tid ian a . S e d esc rib irán en d e ta lle eso s

co n cep to s, su s ca ra c te rís ticas y su s d ife ren tes ap licac io n es y o b je tiv o s , p e ro esta

v ez a n iv e l in fo rm ático . L u eg o se en u m era rán e jem p lo s (a lg u n o s rea les y o tro s

n o , d o n d e se m u es tra e l e fec to p ro d u cid o p o r d e te rm in ad a

cau sa ).

T am b ién se v e rá e l ro l im p o rtan te (au n q u e m u ch as v eces ig n o rad o ) d el fac to r

h u m an o en cu an to a su co n cien tizac ió n y ed u ca ció n so b re la seg u rid ad d e lo s

d ato s q u e m an e ja .

A d em ás se d esc rib irán lo s d iferen tes tip o s d e ataq u es a lo s q u e e l se r h u m an o está

ex p u esto (v ía sm s, v ía co rreo e lec tró n ico , v ía te lefó n ica , e tc) y d eb e b u sca r la

fo rm a d e esta r p rep a rad o p ara ev itar e sto s a taq u es .

E n la s ig u ien te e tap a , se tra ta rá s in té ticam en te a l M a lw are (S o ftw are M alic io so ) a

n iv e l g en era l, lu eg o se en u m era rán y d esc rib irán lo s tip o s d e m alw are co n o cid o s

(v iru s, tro yan o s, sp yw are , g u san o s, e tc ).

L u eg o se in tro d u cen lo s co n cep to s d e las n u ev as am en azas y q u é re lac ió n tien en

co n la In g en ie ría S o cia l, q u ién es las c rean y c o n q u é o b je tiv o .

Ingeniería Social

ii

OBJETIVOS GENERALES

CONOCER TODO LO RELACIONADO CON INGENIERIA SOCIAL

ANALIZAR LOS TIPOS DE IS.

OBJETIVOS ESPECIFICOS

CONOCER LOS METODOS QUE UTILIZAN, ASI COMO LOSDELITOS MAS COMUNES,

ANALIZAR LA RELACION DE LA SEGURIDAD INFORMATICA Y LAIS.

CONOCER COMO PROTEGERNOS DE LA INGENIERIA SOCIAL.

Ingeniería Social

iii

Justificación

E ste trab ajo fo rm a p arte d e l p ro yec to d e E d u cació n q u e se o rg an izo en e l co leg io E sp añ o l

P ad re A rru p e y co n u n o d e lo s p ro p ó sito s co n q u e se h a d esarro llad o en p resen te p ro y ecto

es p a ra q u e e l lec to r p u ed a sab er q u e n o es tam o s seg u ro s co n resp ecto a lo q u e se tra ta

in fo rm ática y tecn o lo g ía es d ifíc il d e c ree r q u e n o so tro s h u m an o s d esa rro llem o s n u ev o s

in stru m en to s m ás tecn o lo g ía p e ro n o p o d am o s d esarro lla r u n d e fen sa co n lo s in g en iero s

so cia les .

E sp e ram o s q u e co n e l p ro y ecto rea lizad o sirv a d e in fo rm ació n p ara m u ch a g en te q u e es

ig n o ran te en esto d e la in g en ie ría so c ia l q u e to m e su s p ro p ias p recau cio n es .

Ingeniería Social

Página 1

Ingeniería Social ¿Qué es la ingeniería Social?

En el campo de la inseguridad informática, ingeniería social es la práctica de obtener

información confidencial a través de la manipulación de usuarios legítimos. Es una

técnica que pueden usar ciertas personas, tales como investigadores privados,

criminales, o delincuentes computacionales, para obtener información, acceso o

privilegios en sistemas de información que les permitan realizar algún acto que

perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Es básicamente la manipulación de la tendencia del ser humano a confiar, con el

objetivo de hacer que una persona haga algo que el delincuente quiera (descargar un

archivo desde Internet, acceder a un enlace, brindar información confidencial, tomar una

decisión en particular, etc.).

¿Quiénes la usan?

Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una

buena dosis de psicología

Los hackers y asaltantes de redes están utilizando con mayor frecuencia técnicas de

ingeniería social para engañar a los usuarios de computadores e Internet y obtener las

contraseñas y cualquier otro tipo de información confidencial personal o empresarial.

Cuando un hacker o atacante de redes no puede obtener acceso a un sistema utilizando

sus técnicas habituales, entonces se comunica directamente con la víctima, entabla un

diálogo y la convence de que le entregue la información sin que se de cuenta de lo que

realmente sucede. La Ingeniería Social se emplea tanto para obtener números de tarjetas

de crédito, passwords para a Internet, tarjetas de llamadas, así como contraseñas para

cajeros automáticos.

Ingeniería Social

Página 2

La seguridad informática y su relación con la IS.

L a se gu rid ad in form ática tien e p o r o b je tiv o el asegu rar q u e lo s d ato s q ue a lm ace nan

nu estro s o rd en ad o res se m anten gan lib res d e cua lqu ier p ro b lem a, y q ue el s erv ic io

qu e n uestro s sis tem as p restan se re a lice c on la m a yo r efect iv id ad y sin caídas.

E n este sen tid o , la seg u rid a d in fo rm ática ab a rca cosas tan d ispa res com o :

L o s a p ara to s d e aire acon d ic io na do q u e m an tien en lo s sis tem as e n las

tem p eratu ras ad ecu ad as pa ra trab ajar s in caíd as .

L a ca lif icac ió n d el e q uip o d e ad m inistrad o res q u e d eb erá co n o c er su

sis tem a lo su f ic ien te c om o p ara m an ten erlo fu nc io n an d o correc tam ente .

L a d ef in ic ió n de en to rno s en lo s q u e las co p ias d e se gu rid ad h an de gu arda rse

pa ra ser seg u ros y c o m o h a cer esas co p ias .

E l con tro l d el acceso fís ico a los sis tem as .

L a elecc ió n d e u n h ard w are y d e u n so ftw are qu e n o d e p ro b lem as. L a co rrec ta

fo rm ación d e lo s u su ario s d el sis tem a

E l d esa rro llo d e p lan es d e con tin g e nc ia .

D eb em os ten er en cu en ta qu e u n a g ran p arte d e las in tru sio ne s e n sis tem as se

rea liz an u tiliz and o d atos q ue se obtien en d e sus usu arios m ed ian te d ife ren tes

m étod os y c o n la in terv en ción d e p erso n as especia lm en te en tre nad as, lo s in g en iero s

socia le s .

Ingeniería Social

Página 3

Conceptos Básicos

El Phishing

El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un

usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades,

etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.

¿En qué consiste?

Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen

de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima

que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo

es.

¿Cómo lo realizan?

El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono

móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente,

y la más usada y conocida por los internautas, la recepción de un correo electrónico

Los Hoax

Los hoaxes (broma, engaño) son mensajes de correo electrónico engañosos que se

distribuyen en cadena.

Algunos tienen textos alarmantes sobre catástrofes (virus informáticos, perder el trabajo

o incluso la muerte) que pueden sucederte si no reenvías el mensaje a todos los

contactos de tu libreta de direcciones.

También hay hoaxes que tientan con la posibilidad de hacerte millonario con sólo

reenviar el mensaje o que apelan a la sensibilidad invocando supuestos niños enfermos.

Ingeniería Social

Página 4

Hay otros que repiten el esquema de las viejas cadenas de la suerte que recibíamos por

correo postal que te auguran calamidades si cortas la cadena y te prometen convertirte

en millonario si la seguís.

Rootkit

Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos

informáticos o crackers que consiguen acceder ilícitamente a un sistema informático.

Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso

mantener el acceso al sistema, a menudo con fines maliciosos.

Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o

Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación que lance

una consola cada vez que el atacante se conecte al sistema a través de un determinado

puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares.

Un backdoor puede permitir también que los procesos lanzados por un usuario sin

privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al

súperusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita

pueden ser ocultadas mediante rootkits

Sniffer

A diferencia de los circuitos telefónicos, las redes de computadoras son canales de

comunicación compartidos. El compartir, significa que las computadoras pueden recibir

información proveniente de otras maquinas. Al capturar la información que viene de

otra parte de la red se le llama "sniffing".

Las mas popular manera de conectar computadoras es a través del Ethernet. El cableado

Ethernet trabaja por el envío de paquetes de información por todos los nodos de la red.

El paquete contiene en su cabecera la dirección de la maquina destino. Solo la maquina

que contenga dicha dirección podrá aceptar el paquete. Una maquina que acepte todos

los paquetes sin importar los que contenga la cabecera, se dice que está en estado

promiscuo.

Ingeniería Social

Página 5

Un sniffer es un programa de para monitorear y analizar el trafico en una red de

computadoras, detectando los cuellos de botellas y problemas que existan en ella.

Un sniffer puede ser utilizado para "captar", lícitamente o no, los datos que son

transmitidos en la red. Un ruteador lee cada paquete de datos que pasa por el, determina

de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer,

pueden leer los datos dentro del paquete así como la dirección de destino.

Bombas lógicas

Las bombas lógicas son en cierta forma similares a los troyanos: se trata de código

insertado en programas que parecen realizar cierta acción útil. Pero mientras que un

troyano se ejecuta cada vez que se ejecuta el programa que lo contiene, una bomba

lógica sólo se activa bajo ciertas condiciones, como una determinada fecha, la existencia

de un fichero con un nombre dado, o el alcance de cierto número de ejecuciones del

programa que contiene la bomba; así, una bomba lógica puede permanecer inactiva en

el sistema durante mucho tiempo sin activarse y por tanto sin que nadie note un

funcionamiento anómalo hasta que el daño producido por la bomba ya está hecho. Por

ejemplo, imaginemos la misma situación que antes veíamos para el troyano: alguien con

el suficiente privilegio renombra a vi como vi.old, y en el lugar del editor sitúa el

siguiente código:

Este cambio en el sistema puede permanecer

durante años6.4 sin que se produzca un

funcionamiento anómalo, siempre y cuando

nadie edite ficheros un domingo; pero en el

momento en que un usuario decida trabajar

este día, la bomba lógica se va a activar y el

directorio de este usuario será borrado.

#!/bin/shif [ `date +%a` = "Sun" ];

thenrm -rf $HOME

elsevi.old $1

fi

Ingeniería Social

Página 6

Gusano

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a

otro, pero lo hace automáticamente. En primer lugar, toma el control de las

características del equipo que permiten transferir archivos o información. Una

vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos

es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría

enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo

electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer

más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos

gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan

esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

Gusano Subclase de virus. Por lo general, los gusanos se propagan sin la intervención

del usuario y distribuye copias completas (posiblemente modificadas) de sí mismo por

las redes. Un gusano puede consumir memoria o ancho de banda de red, lo que puede

provocar que un equipo se bloquee.

Debido a que los gusanos no tienen que viajar mediante un programa o archivo "host",

también pueden crear un túnel en el sistema y permitir que otro usuario tome el control

del equipo de forma remota. Entre los ejemplos recientes de gusanos se

incluyen: Sasser y Blaster.

Backdoor

Estos programas son diseñados para abrir una "puerta trasera" en nuestro sistema de

modo tal de permitir al creador del backdoor tener acceso al sistema y hacer lo que

desee con él.

El objetivo es lograr una gran cantidad de computadoras infectadas para disponer de

ellos libremente hasta el punto de formas redes de botnets.

Ingeniería Social

Página 7

Keylogger

Como su nombre lo indica un Keylogger es un programa que registra y graba la

pulsación de teclas (y algunos también clicks del mouse). La información recolectada

será utilizada luego por la persona que lo haya instalado. Actualmente existen

dispositivos de hardware o bien aplicaciones (software) que realizan estas tareas.

Los Keyloggers físicos son pequeños dispositivos que se instalan entre nuestra

computadora y el teclado. Son difíciles de identificar para un usuario inexperto pero si

se presta atención es posible reconocerlos a simple vista. Tienen distintas capacidades

de almacenamiento, son comprados en cualquier casa especializada y generalmente son

instalados por empresas que desean controlar a ciertos empleados.

Cabe aclarar que esta forma de actuar puede traer problemas legales a quien lo instala

ya que registrar a un usuario mediante este accionar puede interpretarse como una

violación a su privacidad. Es aquí donde cobra relevancia una política de seguridad

clara, puesta por escrito y firmada por el usuario.

Con respecto a las keyloggers por software, actualmente son los más comunes, muy

utilizados por el malware orientado a robar datos confidenciales o privados del usuario.

Como es de imaginar, la información obtenida es todo lo que el usuario ingrese en su

teclado como por ejemplo documentos, nombres de usuarios, contraseñas, números de

tarjetas, PINes, etc.

Esto explica el porqué de su gran éxito y utilización actual ya que como sabemos el

malware, cada vez más orientado al delito, puede utilizar esta herramienta para

proporcionar información sensible del usuario a un atacante.

Ingeniería Social

Página 8

Botnet

Los bots son propagados a través de Internet utilizando a un gusano como transporte,

envíos masivos de ellos mediante correo electrónico o aprovechando vulnerabilidades

en navegadores.

Una vez que se logra una gran cantidad de sistemas infectados mediante Troyanos, se

forman amplias redes que "trabajan" para el creador del programa.

Aquí hay que destacar tres puntos importantes:

Este trabajo en red se beneficia del principio de "computación distribuida" que

dice miles de sistemas funcionando juntos tienen una mayor capacidad de

procesamiento que cualquier sistema aislado.

El creador del programa puede ser una red de delincuencia que ha armado su

ataque, y que tienen estos programas trabajando en su beneficio.

El grupo "propietario de la red" de zombies puede alquilar a otros grupos su red

para realizar alguna acción ilegal. El objetivo de las redes zombies puede ser

realizar ataques de DDoS, distribución de SPAM, etc.

Los Rogue

Los Rogue o Scareware son sitios web o programas que simulan ser una aplicación de

seguridad, generalmente gratuita, pero que en realidad instalan otros programas dañinos.

Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos

programas, su sistema es infectado.

Estos programas, que el la mayoría de los casos son falsos antivirus, no suelen realizar

exploraciones reales, ni tampoco eliminan los virus del sistema si los tuviera,

simplemente informan que se ha realizado con éxito la desinfección del equipo, aunque

en realidad no se realizado ninguna acción.

Ingeniería Social

Página 9

Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas

sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al

usuario.

Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una

exploración del sistema, cuando en realidad son simples imágenes (no dañinas).

Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:

Posteriormente, si el usuario es engañado descargaría un programa dañino en su

sistema.

Spam/Spyware/adware

Se define como Adware al software que despliega publicidad de distintos productos o

servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en

ventanas emergentes, o a través de una barra que aparece en la pantalla simulando

ofrecer distintos servicios útiles para el usuario.

Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas

de los navegadores de Internet o en los clientes de correo. Estas barras de tareas

personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con

publicidad, sea lo que sea que el mismo esté buscando.

Ingeniería Social

Página 9

Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas

sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al

usuario.

Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una

exploración del sistema, cuando en realidad son simples imágenes (no dañinas).

Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:

Posteriormente, si el usuario es engañado descargaría un programa dañino en su

sistema.

Spam/Spyware/adware

Se define como Adware al software que despliega publicidad de distintos productos o

servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en

ventanas emergentes, o a través de una barra que aparece en la pantalla simulando

ofrecer distintos servicios útiles para el usuario.

Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas

de los navegadores de Internet o en los clientes de correo. Estas barras de tareas

personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con

publicidad, sea lo que sea que el mismo esté buscando.

Ingeniería Social

Página 9

Para los delicuentes es sencillo desarrollar este tipo de software, ya que los programas

sólo muestran unas pocas pantallas y unos cuantos mensajes falsos para engañar al

usuario.

Por ejemplo, se podría mostrar una pantalla como la siguiente, simulando una

exploración del sistema, cuando en realidad son simples imágenes (no dañinas).

Luego de esta supuesta exploración, se podría mostrar un resultado como el siguiente:

Posteriormente, si el usuario es engañado descargaría un programa dañino en su

sistema.

Spam/Spyware/adware

Se define como Adware al software que despliega publicidad de distintos productos o

servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en

ventanas emergentes, o a través de una barra que aparece en la pantalla simulando

ofrecer distintos servicios útiles para el usuario.

Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas

de los navegadores de Internet o en los clientes de correo. Estas barras de tareas

personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con

publicidad, sea lo que sea que el mismo esté buscando.

Ingeniería Social

Página 10

Se define como Spyware o Software Espía a las aplicaciones que recopilan información

sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo

más común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.

Normalmente, este software envía información a sus servidores, en función de los

hábitos de navegación del usuario. También, recogen datos acerca de las webs que se

visitan y la información que se solicita en esos sitios, así como direcciones IP y URLs

que se navegan.

Esta información es explotada para propósitos de mercadotecnia y muchas veces es el

origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada

hacia el usuario afectado. Con estos datos, además, es posible crear perfiles estadísticos

de los hábitos de los internautas.

Las recomendaciones para evitar la instalación de este tipo de software son las

siguientes:

Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas

aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de

dudosa reputación.

Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones.

Generalmente incluyen puntos como "recolectamos la siguiente información del

usuario" o "los daños que causa la aplicación no es nuestra responsabilidad" o "al

instalar esta aplicación usted autoriza que entreguemos sus datos a...".

Estas aplicaciones normalmente prometen ser barras con funcionalidades extras que se

instalan sobre el explorador.

Actualmente, se nota una importante aparición de aplicaciones que simulan ser software

anti-spyware que en realidad contiene spyware. Una lista de los mismos puede ser

encontrada en la dirección que se detalla al pie del presente.

Cuando una aplicación intente instalarse sin que usted lo haya solicitado, desconfíe y

verifique la lista anterior.

Ingeniería Social

Página 11

Es común que los sitios dedicados al underground o pornográficos, contengan un alto

contenido de programas dañinos que explotando diversas vulnerabilidades del sistema

operativo o del explorador, le permiten instalarse.

Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso de

la computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser

así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos

necesarios para realizar sus tareas. Ya que esto disminuye el campo de acción de un

posible intruso (virus, backdoor, usuario no autorizado, etc.).

Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus

actualizado y con capacidades proactivas es fundamental para detectar estas

aplicaciones y evitar su instalación.

Los programas espías son aplicaciones informáticas que recopilan datos sobre los

hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son

transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de

ser almacenados en el ordenador.

El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se

encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas

web que contienen determinados controles ActiveX o código que explota una

determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware

descargadas de Internet, etc.

El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia,

pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de

datos y la forma en que son posteriormente utilizados.

Ingeniería Social

Página 12

Tipos de ingeniería social.

Hay varios tipos de ingeniería social que deben tenerse presentes:

1. Suplantación de identidad (phishing).

2. Spear phishing.

3. Correo electrónico engañoso.

4. Hoaxes.

Suplantación de identidad (phishing)

(Mensajes de correo electrónico y sitios web fraudulentos).

La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de

identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o

sitios web fraudulentos en los que se intenta que facilite información personal. Por

ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su

banco o de otra entidad financiera en el que se le pida que actualice la información de su

cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio

legítimo, pero que, en realidad, le lleva a un sitio web falsificado. Si indica su nombre

de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría

usar estos datos para suplantar su identidad. Con frecuencia, los mensajes de correo

electrónico de phishing incluyen errores de ortografía o gramática, y contienen

amenazas y exageraciones.

¿Qué apariencia tiene una estafa de suplantación de identidad (phishing)?

Los estafadores se vuelven cada vez más sofisticados, al igual que sus mensajes de

correo electrónico y ventanas emergentes de phishing. Suelen incluir logotipos

aparentemente oficiales de organizaciones reales, así como otra información

identificativa tomada directamente de sitios web legítimos. A continuación, le

presentamos un ejemplo de la apariencia de un mensaje de correo electrónico utilizado

para una estafa de phishing.

Ingeniería Social

Página 13

Ejemplo de un mensaje de phishing, donde se incluye una dirección URL que sirve de

vínculo a un sitio web falso.

Para que estos mensajes de correo electrónico de

phishing tengan una apariencia aún más legítima,

los estafadores incluyen vínculos que parecen

dirigir a un sitio web legítimo (1) pero que, en

realidad, dirigen al usuario a un sitio falso (2) o,

probablemente, abren una ventana emergente

que muestra una apariencia idéntica a la del sitio

oficial.

Se trata de sitios web "simulados". Una vez

dentro de estos sitios "simulados" y, sin darse

cuenta, el usuario envía información personal a los estafadores.

Spear phishing

(Ataques con objetivos específicos que parecen proceder de personas

conocidas.)

El "spear phishing" es una estafa por correo electrónico con objetivos específicos que se

suele utilizar en entornos empresariales. Los timadores de "spear phishing" envían

mensajes de correo electrónico que parecen auténticos a todos los empleados o

miembros de una determinada empresa, organismo, organización o grupo.

El mensaje puede parecer procedente de un compañero de trabajo o de un cargo

directivo (como el responsable de recursos humanos) que podría enviar un mensaje de

correo electrónico a todos los usuarios de la empresa. Podría incluir solicitudes de

nombres de usuario y contraseñas, o contener software malintencionado, como troyanos

o virus.

La estafa de "spear phishing" corresponde a un tipo de ingeniería social más avanzado

que el "phishing", pero las técnicas que pueden usarse para evitar el engaño son las

mismas.

Ingeniería Social

Página 14

¿Qué es un fraude por "spear phishing"?

El "spear phishing" hace referencia a cualquier ataque de suplantación de identidad

(phishing) dirigido a un objetivo muy específico. Los timadores de "spear phishing"

envían mensajes de correo electrónico que parecen auténticos a todos los empleados o

miembros de una determinada empresa, organismo, organización o grupo.

Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por

correo electrónico a todo el personal (por ejemplo, el encargado de administrar los

sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.

En realidad, lo que ocurre es que la información del remitente del correo electrónico ha

sido falsificada. Mientras que las estafas de suplantación de identidad (phishing)

tradicionales están diseñadas para robar datos de personas, el objetivo de las de "spear

phishing" consiste en obtener acceso al sistema informático de una empresa.

Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o

abre datos adjuntos de un mensaje de correo electrónico, una ventana emergente o un

sitio web desarrollado para una estafa de "spear phishing", puede convertirse en víctima

de un robo de datos de identidad y poner en peligro a su organización.

Las estafas de "spear phishing" también se dirigen a personas que utilizan un

determinado producto o sitio web. Los timadores utilizan toda la información de que

disponen para personalizar al máximo posible la estafa de suplantación de identidad

(phishing).

Mensajes de correo electrónico engañosos

Desconfíe de las promesas de dinero fácil.

Los mensajes de correo electrónico engañosos se presentan de distintos modos, desde

una estafa en la que se le pide ayuda para sacar dinero de otro país (a menudo, Nigeria)

hasta un aviso de que ha ganado algo en un sorteo.

El elemento en común es que normalmente se le promete una gran suma de dinero a

cambio de muy poco o ningún esfuerzo por su parte.

El estafador intenta que envíe dinero o revele información financiera que pueda usarse

para robarle dinero, su identidad o ambos.

Ingeniería Social

Página 15

Hoaxes.

Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de

virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a

nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.

Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de

conocidos".

Jamás reenvíe un mensaje de este tipo que llegue a su casilla.

Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos

erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,

propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en

el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente

su verdadero objetivo.

Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca

reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,

avísele de páginas como esta para que salga de su engaño y obtenga más detalles.

Ingeniería Social

Página 15

Hoaxes.

Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de

virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a

nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.

Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de

conocidos".

Jamás reenvíe un mensaje de este tipo que llegue a su casilla.

Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos

erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,

propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en

el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente

su verdadero objetivo.

Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca

reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,

avísele de páginas como esta para que salga de su engaño y obtenga más detalles.

Ingeniería Social

Página 15

Hoaxes.

Los hoax (mistificación, broma o engaño), son mensajes con falsas advertencias de

virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a

nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.

Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de

conocidos".

Jamás reenvíe un mensaje de este tipo que llegue a su casilla.

Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos

erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente,

propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en

el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente

su verdadero objetivo.

Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca

reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas,

avísele de páginas como esta para que salga de su engaño y obtenga más detalles.

Ingeniería Social

Página 16

Seguridad de sistemas

SEGURIDAD LOGICA:

Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación

de mecanismos y barreras para mantener el resguardo y la integridad de la información

dentro de un sistema informático. La seguridad lógica se complementa seguridad física.

La seguridad lógica de un sistema informático incluye:

- Restringir al acceso a programas y archivos mediante claves y/o encriptación.

- Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto

significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para

realizar su trabajo.

- Asegurarse que los archivos y programas que se emplean son los correctos y se usan

correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la

seguridad de un sistema informático.

- Control de los flujos de entrada/salida de la información. Esto incluye que una

determinada información llegue solamente al destino que se espera que llegue, y que la

información llegue tal cual se envió.

Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a

nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.

Ingeniería Social

Página 17

SEGURIDAD FISICA:

Dentro de la seguridad informática, la seguridad física hace referencia a las barreras

físicas y mecanismos de control en el entorno de un sistema informático, para proteger

el hardware de amenazas físicas. La seguridad física se complementa con la seguridad

lógica.

Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por

el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner

en riesgo un sistema informático son:

* Desastres naturales, incendios accidentales, humedad e inundaciones.

* Amenazas ocasionadas involuntariamente por personas.

* Acciones hostiles deliberadas como robo, fraude o sabojate.

Son ejemplos de mecanismos o acciones de seguridad física:

- Cerrar con llave el centro de cómputos.

- Tener extintores por eventuales incendios.

- Instalación de cámaras de seguridad.

- Guardia humana.

- Control permanente del sistema eléctrico, de ventilación, etc.

Ingeniería Social

Página 17

SEGURIDAD FISICA:

Dentro de la seguridad informática, la seguridad física hace referencia a las barreras

físicas y mecanismos de control en el entorno de un sistema informático, para proteger

el hardware de amenazas físicas. La seguridad física se complementa con la seguridad

lógica.

Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por

el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner

en riesgo un sistema informático son:

* Desastres naturales, incendios accidentales, humedad e inundaciones.

* Amenazas ocasionadas involuntariamente por personas.

* Acciones hostiles deliberadas como robo, fraude o sabojate.

Son ejemplos de mecanismos o acciones de seguridad física:

- Cerrar con llave el centro de cómputos.

- Tener extintores por eventuales incendios.

- Instalación de cámaras de seguridad.

- Guardia humana.

- Control permanente del sistema eléctrico, de ventilación, etc.

Ingeniería Social

Página 17

SEGURIDAD FISICA:

Dentro de la seguridad informática, la seguridad física hace referencia a las barreras

físicas y mecanismos de control en el entorno de un sistema informático, para proteger

el hardware de amenazas físicas. La seguridad física se complementa con la seguridad

lógica.

Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por

el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner

en riesgo un sistema informático son:

* Desastres naturales, incendios accidentales, humedad e inundaciones.

* Amenazas ocasionadas involuntariamente por personas.

* Acciones hostiles deliberadas como robo, fraude o sabojate.

Son ejemplos de mecanismos o acciones de seguridad física:

- Cerrar con llave el centro de cómputos.

- Tener extintores por eventuales incendios.

- Instalación de cámaras de seguridad.

- Guardia humana.

- Control permanente del sistema eléctrico, de ventilación, etc.

Ingeniería Social

Página 18

DELITOS MÁS COMUNES

La forma más frecuente de ingeniería social es la estafa por phishing o suplantación de

identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o

sitios web fraudulentos en los que se intenta que facilite información personal.

Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su

banco o de otra entidad financiera en el que se le pida que actualice la información de su

cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio

legítimo, pero que, en realidad, le lleva a un sitio web falsificado. Si indica su nombre

de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría

usar estos datos para suplantar su identidad. Un claro ejemplo de Ingeniería Social más

común es el de alguien que llama por teléfono a una empresa para decir que necesita

ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto

de la configuración. Durante la conversación, y a través de escogidas y cuidadas

preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que

necesita para vulnerar la seguridad de todo el corporativo.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos

adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa

o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona

conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la

víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-

mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución

automática de archivos adjuntos, los usuarios deben activar esos archivos de forma

explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren

casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el

ataque.Un nuevo y claro ejemplo de ingeniería social ha dado la vuelta al mundo: la

multitudinaria infección por el virus SirCam ha contagiado, sólo en España, a 15.000

empresas. Esta técnica, habitualmente empleada por los hackers para engañar a los

usuarios, consiste en jugar con la psicología del receptor invitándole a abrir los correos

electrónicos que llegan con un mensaje amable, erótico, humorístico o, simplemente,

con elementos que despiertan su curiosidad.

Ingeniería Social

Página 19

¿Como protegernos de la ingeniería social?

1. Este bien alerta, hay personas que tienen un talento increíble para “sacarle”

información a otras personas. Cuando usted note que alguien intenta “sacarle”

información, confronte a esta persona y pregúntele por quiere saber esa información? A

si la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar

“sacarle” información.

2. Confié en su buen juicio, si no se siente a gusto y sospecha de un mensaje de e-mail o

un website, no habrá el mensaje y no entre ninguna información en el website.

3. Nunca divulgue a nadie su password aunque la persona diga que es de servicio al

cliente o seguridad, tampoco escriba información personal o sensitiva como su

password en ningún lado.

4. Cuando vaya a entrar su password verifique que no haiga personas muy cerca.

5. Cambie su password periódicamente, si pasaron 4 meses desde que la persona obtuvo

su password, hasta que usted volvió a cambiarlo, la persona tuvo en posesión su

password por 4 meses.

6. Evite los passwords adivinables o fáciles de recordar.

7. Cree passwords de 8 o más caracteres en combinación con letras Mayúsculas,

Minúsculas, números y caracteres especiales, ej. : Wds@/476. En nuestro tema de

Manejo de Passwords le decimos como crear passwords fuertes. Si piensa que ya tiene

un password fuerte, pruébelo con nuestro Verificador de Passwords.

Ingeniería Social

Página 20

8. Nunca use el mismo password para diferentes cuentas.

Para protegernos de los ataques de ingeniería social tenemos que ser un poco

paranoicos y no confiar en todo lo que nos digan. Hay que preguntarlo todo,

porque necesita esa información que nos están solicitando y sugiere alternativas,

ya que en los ataques de ingeniería social un atacante siempre insistirá en que

hagamos lo que nos dice.

Por otro lado hay que saber decir que no, si notas algo sospechoso fuera de los

procedimientos que suele seguir la empresa, es muy recomendable decir que siga

los procedimientos habituales y nos evitaremos muchos problemas.

Otro de los aspectos importantes es que formar a los usuarios para que tengan en

cuenta todos los métodos que suelen usar los atacantes para realizar este tipo de

ataques.

Además, es muy recomendable comprobar que información estamos mostrando

al público, ya que los atacantes normalmente hacen sus deberes y antes de lanzar

cualquier ataque de ingeniería social intentarán obtener toda la información

posible sobre la empresa y sobre las personas que trabajan en ella, para poder ser

más eficaces en su ataque.

Ingeniería Social

Página 21

ConclusionesR esu m ien d o to d o lo v isto h asta ah o ra , se p u ed e in fe rir q u e lo s

p ro g ram ad o res d e am en azas h an e leg id o la In g en iería S o cia l co m o técn ica

d e in fecc ió n p rin c ip a l. V a lién d o se d e la in o cen c ia d e las p e rso n as ,

co n sig u en sem b ra r cao s p o r to d as p a rtes .

S i b ien es d e v ita l im p o rtan cia la co rrec ta co n se rv ació n y cu id ad o d e lo s

d ato s d e u n a em p resa , d en tro d e e lla d eb e co n s id era rse co m o facto r m u y

im p o rtan te a l h o m b re , q u e es e l es lab ó n m ás d éb il en la cad en a d e

seg u rid ad .

E s in c re íb le q u e estas co sas su ced an h o y ... q u e n o s h em o s d ed icad o co n

tan to én fasis a av an za r en la tecn o lo g ía , y n o p o d a m os reso lv e r es te eslab ó n

p rev io : ¡la d eb ilid ad d e l se r h u m an o! P rim ero h ab ría q u e cap ac itar a

q u ien es estén fren te a cu alq u ie r sis tem a o d isp o sitiv o e lec tró n ico tan to p a ra

p o d er o p e rarlo co m o p ara q u e v a lo re q u e la in fo rm ació n q u e ah í se

a lm acen a o g es tio n a , e s d e v ita l im p o rtan cia p a ra la em p resa . C la ro está q u e

n o so m o s m aq u in as, so m o s seres rac io n ale s , y co n m u ch o s sen tim ien to s, y

es ah í ju stam en te d o n d e h ay q u e p o n er énfasis , en p rep a ra r a l p e rso n a l d e

m an era q u e N O R E V E L E N n in g u n a in fo rm ació n a n ad ie p o r m as q u e

sien tan la n ecesid ad d e a yu d ar. E sta g en te (In g en iero s S o cia les ) so n cap aces

d e cu a lq u ier co sa , y v an a u sa r lo q u e este a su a lcan ce p a ra h ace rles c ree r

a lg o q u e n o es , co m o h acerse p asa r p o r p e rso n a l d e sis tem as, o u n em p lead o

q u e p e rd ió su c lav e y n ecesita q u e sea reestab lec id a , e tc .

“L a v erd ad es q u e n o h ay tecn o lo g ía en e l m u n d o cap az d e p rev en ir u n

a taq u e d e In g en ie ría

S o cia l”

H o y, seg ú n an á lis is rev e lad o s p o r u n estu d io so b re am en azas d e seg u rid ad

d e la in fo rm ació n , se in fiere q u e d e 5 7 4 o rg an iza c io n es en cu estad as , e l 5 9 %

d e e llas in d icó q u e su ú ltim a g rie ta d e seg u rid ad fu e p o r u n e rro r h u m an o .

Ingeniería Social

Página 22

Bitácora

COLEGIO ESPAÑOL PADRE ARRUPEDEPARTAMENTO DE INFORMÁTICAGRADO Y SECCIÓN 2º “A”GRUPO DE TRABAJO # 3REUNIÓN #1

Fecha: 20 de febrero del 2010

Hora inicio: 2:00 pmLugar: Calle tazumal av. Texistepeque edificio 1 optuple apt. #3 soyapango

credissa, altos del cerro. (Casa de representante Josué torres)Objetivo: Elaboración del reporte

Hora finalización: 5:30 pm

Puntos tratados en reunión:

o Se desarrollo lo que es el reporte, también se elaboro lo que es el Tríptico.

o Nos pusimos de acuerdo para la hora de exponer.

Integrantes: Firma

Iris Marcela Escobar

Tatiana Marisol Meléndez

María Lourdes

Dennis Josué torres

Ingeniería Social

Página 23

Bibliografía.

Sitio Web:

SEGU.INFO: Seguridad Informática

Disponible: http://www.segu-info.com.ar/

www.alegsa.com.ar/Dic/seguridad%20logica.php[1]

http://www.lcu.com.ar/ingenieriasocial/ [2]

http://www.microsoft.com/spain/protect/yourself/phishing/engineering.m

spx[3]

http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C

3%A1tica)[4]

http://www.idg.es/iworld/impart.asp?id=130842[5]

www.wisedatasecurity.com/ingsocial.html[6]

http://www.websecurity.es/ingenier-social-parte-vii-como-protegerse[7]