Ingeniería Social – Parte 1
Javier Romero, CISSP, GCIA
Julio 2003
Introducción
 La ingeniería social es una práctica que es usada
para explotar las debilidades de una cadena de
seguridad, considerando el factor humano.
 La ingeniería social es muy usada no sólo en el
ámbito laboral, también se utiliza en el mover
diario de la gente. Básicamente es una manera de
obtener información deseada de manera sutil y
segura.
 La presente es una recopilación de datos para
explicar algunos de los casos más comunes de
ingeniería social.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
 Aproximación directa: un agresor puede preguntar
directamente al objetivo aprovechando que este
se encuentre atareado.
Buenos días Srta. Soy el
nuevo arquitecto
Rochefeller y necesito un
código para ingresar al
sistema…
Mucho gusto Sr.
Rockefeller el código
de acceso es…
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
 Usuario Importante: Pretender ser una persona
importante de la organización, con una importante
tarea. El atacante puede presionar al ayudante de
escritorio para obtener la información.
¡Si Sr. tanto gusto,
pase Ud. Por favor...
¡Le digo que soy el
Presidente de la
corporación!…
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
 Usuario desvalido: Por ejemplo un atacante puede
llamar a la secretaria de una organización
pretendiendo ser un nuevo empleado y que tiene
un gran problema para ingresar al sistema de la
compañía. La secretaria para no ofender a la
persona o hacerla parecer incompetente, se
inclina a ayudarlo y le suple el nombre de usuario
y la contraseña.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
Hola, disculpa es que soy
nuevo y me olvide mi clave
¿me ayudas?
Claro como no, te doy mi
clave hasta que consigas
la tuya…
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
¡Que tonto,
pobrecillo!
Técnicas comunes
En que lo puedo
ayudar Sr.
Srta. Como puede ver estoy
en silla de ruedas, y en el
edificio no hay rampa para
incapacitados de modo que
no puedo subir al área de
programación, ¿podría usted
facilitarme su terminal para
hacer mi trabajo desde aquí?
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
 Personal de soporte técnico: Es pretender
pertenecer a un equipo de una organización de
soporte técnico. El atacante puede extraer útil
información de manera insospechada, Por ej.: el
atacante puede pretender ser un administrador del
sistema que trata de resolver un problema y
requiere un nombre de usuario y una contraseña
para resolver el problema.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
Ahora si me
robo el disco
duro ji, ji, ji
…
¡Oiga quien es
Ud. Y que esta
haciendo!
Soy el técnico
Roboncio de la CIA.
De serv. Técnicos
“Trifi-trafa”…
Ah, ya… siga
no´mas…
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
 Ingeniería Social Reversa (RSE): Un usuario
legitimo es seducido con preguntas de un atacante
para obtener información de sus respuestas. Con
este acercamiento el atacante percibe si la
persona es más, que un usuario legítimo, el cual
pudiera ser un posible objetivo.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Técnicas comunes
Asi que Ud.
Trabaja en la CIA.
De enfrente, y que
tal como les va…
Bien
Si, ahora usamos
códigos de
acceso todos los
trabajadores
Un amigo me contó
que han cambiado su
sistema ¿es verdad?
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Ataques típicos de RSE
 Sabotaje: Después de haber obtenido un simple
acceso, el atacante puede corromper todos los
archivos de una estación de trabajo.
Me voy de ésta
empresa ahora
mismo. Ya van a
saber con quién se
metieron
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Ataques típicos de RSE
 Marketing: De manera segura un usuario llama al
atacante; el atacante esta advertido. El atacante
puede hacer de este o estos un negocio y su
objetivo son obtener los números y las claves de
las tarjetas de crédito.
Buenas tardes,¿es la CIA.
CHAMBIX que requiere socios
capitalistas?
Si Sr. Para concederle una entrevista
necesitamos algunas referencia bancarias,
como números de sus cuentas…
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Ataques típicos de RSE
 Soporte: Finalmente el atacante puede asistir a
alguien con un problema, obteniendo información
mientras transcurre el tiempo de su ayuda.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
E-mail
 Un uso común de a taque es el de correo
electrónico en el que se suele enviar mensajes a
personas ofreciéndoles premios o fotos gratis de
artistas de cine o cantantes; al acceder a estos
mensajes se infiltraría un virus de manera muy
sutil en sus sistemas.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Website
 Un uso muy común es el visitar un “website” que
promueve un atractivo concurso. Para lo cual se
requiere un nombre de usuario y un password, los
cuales pueden ser iguales o muy parecidos a los
que usted usa en su trabajo.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Website
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Ejercicio: Prueba tu KungFu
 Kung-Fu, entre hackers
significa técnica personal.
 Como parte de este curso,
ahora te pedimos que nos
platiques de ocasiones en
las cuales has hecho uso
de tu propia habilidad,
para persuadir a las
personas.
 Si algunas vez persuadiste
a alguien a hacer lo que no
quería o debía, entonces
eres un ingeniero social.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Kung Fu – buen intento
 Todavía debes entrenarte
más.
 No sirves para hacker.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Kung Fu – muy listo
 Te faltó más credebilidad.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Kung Fu – mejora más
 Estás por el mal camino,
puedes hacer peores
cosas.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Kung Fu - sorprendente
 Lo tuyo sólo se ve en las
películas de espionaje.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Kung Fu – muy imaginativo
 Simple pero preciso.
 Te pueden contratar de
espía, pero también
puedes detectar actos
sospechosos en tu
empresa y alertar
tempranamente algún acto
oculto de Ingeniería
Social.
Ingeniería Social – Parte 1, JaCkSecurity.com 2003 - 2004
Te da las gracias por tu participación.
Este matrial pertenece a una serie de
cursos JaCkBasis, para alertar en temas de
seguridad y entrenar a oficinistas contra
hackers (e ingenieros sociales)
Descargar

Ingeniería Social