LA INGENIERÍA SOCIAL APLICADA AL
DELITO INFORMÁTICO. UNA
APROXIMACIÓN.
Ponentes:
Vicente Carrillo Luque
Fernando Sánchez Pastor
Madrid, 9 de Febrero de 2011
1
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Índice
 Introducción
 Conceptos
de Ingeniería Social (IS)
 Objetivos
 ¿Por
qué Funciona?
 Formas de Ataque.
 Casos prácticos. Phishing bancario y Spam
 Redes zombis.
 IS en redes sociales.
 Conclusiones
2
INGENIERÍA SOCIAL. UNA APROXIMACIÓN



Introducción
La mayoría de las personas no es consciente de que sus datos
personales no se muestran en cualquier sitio o se revelan a
cualquiera en la vida real, pero sí los va dejando por la red de
redes con una facilidad pasmosa.
Definición de IS: Según wikipedia:
“la práctica de obtener información confidencial a través de la
manipulación de usuarios legítimos”
3
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS I
 La
ingeniería social consiste en obtener
información de terceros sin que éstos se den
cuenta.
 No existe limitación en cuanto al tipo de
información obtenida ni a la utilización posterior
que se hace de ésta.
 Existe desde hace mucho tiempo y todos hemos
sido víctimas de ella alguna vez en la vida.
4
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS II
 La
ingeniería social aprovecha sentimientos tan
variados como curiosidad, la avaricia, el sexo, la
compasión o el miedo.
 Busca una acción por parte del usuario.
5
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS III
 Grupos
1.
2.
3.
4.
5.
que la usan:
Los hackers.
Los espías.
Los ladrones o timadores.
Los detectives privados.
Los vendedores.
6
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS IV
 Cambio
de paradigma en el objetivo de los ataques
7
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS V
 La
ingeniería social acaba en el momento que se
obtiene la información deseada, es decir, las
acciones delictivas que esa información pueda
facilitar o favorecer no se enmarcan bajo este
término.
8
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Conceptos de IS

MORALEJA:
“Aunque se dice que el único ordenador seguro es el
que está desenchufado, los amantes de la
ingeniería social gustan responder que siempre se
puede convencer a alguien para que lo enchufe.”
Congreso "Access All Areas“ 1997
9
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Objetivos I
 Antiguos
 Conseguir
beneficios económicos para los
creadores de malware y estafadores debido al
ínfimo costo de implementación y el alto beneficio
obtenido.
 Realizar compras telefónicamente o por Internet
con medios de terceros, conociendo bastante sobre
ellos (datos personales, tarjeta de crédito,
dirección, etc.).
10
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Objetivos II
 Acceder
gratuitamente a Internet si lo que se
buscaba era nombre de usuario y contraseña de
algún cliente que abone algún servicio de Banda
Ancha.
11
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Objetivos III
 En
la actualidad.
 Obtener el control de una cuenta de correo para
difamar, enviar spam, etc.
 Obtener el control de un perfil social para pedir a
cambio favores sexuales, económicos o de otra
índole.
 Conseguir el control total de un equipo para unirlo
a una red zombi.
12
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? I
 Fundamentos

Hay que obtener información personal de la víctima
primero.
 Todas las técnicas no sirven indefinidamente.
 Poseer cualidades, bien sea de forma innata o
entrenándolas.
“Existen ciertos procesos (sociales) que son automáticos
tanto en el ser humano como en los animales en virtud
de las relaciones con los demás”

13
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? II
 Cualidades que se deben poseer:

 Reciprocidad.
 Compromiso.
 Consistencia.
 Pruebas
sociales.
 Escasez.
 Gustarse
y ser parecidos.
14
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? III
 Los 4 principios de la IS según Kevin Mitnick:

15
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? III
 Los 4 principios de la IS según Kevin Mitnick:

 Todos
queremos ayudar.
16
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? III
 Los 4 principios de la IS según Kevin Mitnick:

 Todos
queremos ayudar.
 El primer movimiento es siempre de confianza
hacia el otro.
17
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? III
 Los 4 principios de la IS según Kevin Mitnick:

 Todos
queremos ayudar.
 El primer movimiento es siempre de confianza
hacia el otro.
 No nos gusta decir No.
18
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
¿Por qué funciona? III
 Los 4 principios de la IS según Kevin Mitnick:

 Todos
queremos ayudar.
 El primer movimiento es siempre de confianza
hacia el otro.
 No nos gusta decir No.
 A todos nos gusta que nos alaben.
19
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

Formas de ataque I
 Medios:
teléfono fijo, móvil, ordenador de
sobremesa o portátil con conexión a internet,
correo postal.
Todo
el mundo tiene acceso a ellos!!!!!!
20
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque II
 ATAQUE TELEFÓNICO

 Requisitos:
Teléfono fijo o móvil.
 Es un tipo de ataque muy eficiente debido a que no
hay contacto visual entre víctima y atacante.
 No se pueden percibir expresiones del rostro ni de
lenguaje corporal que diesen indicios de que el
atacante nos está engañando.
 El atacante puede usar todo su potencial de
persuasión.
21
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque III
 ATAQUE TELEFÓNICO

 Ejemplo.
22
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque IV
 ATAQUE WEB

Requisitos: Ordenador con conexión a internet.
 Actualmente es el medio principal para llevar a cabo
ataques de todo tipo contra los datos privados.
 La línea entre ataque de ingeniería social y el delito es
muy delgada, sobre todo si se instala un programa
keylogger (programa que captura las pulsaciones del
teclado) o troyano que convierte al ordenador en un bot
(ordenador secuestrado o zombi).

23
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque V
 ATAQUE WEB

 Ejemplo.
24
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque VI
 ATAQUE WEB

 Ejemplo.
25
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque VII
 ATAQUE POSTAL

Requisitos: Un apartado de correos propio y un modelo
de cupones descuento o suscripción a revista.
 En los datos se solicita una clave que le interese al
atacante.
 Está comprobado que el usuario promedio utiliza la
misma clave para múltiples usos.
 El atacante tiene la esperanza de que esa misma ya se
haya usado en otros lugares más sensibles por parte
de la víctima

26
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque VIII
 ATAQUE SMS

 Requisitos:
se necesita un listado de teléfonos
móviles y algún tipo de programa informático o
empresa de mensajería móvil masiva.
 Se basa en la falsa creencia de que la telefonía
móvil es un medio seguro y no se puede robar a
través de él.
 En este tipo de ataques, lo más corriente es robar
saldo más que algún tipo de datos.
27
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque IX
 ATAQUE SMS

 No
es frecuente en España.
 Para engañar al usuario se usan diferentes
excusas, como una felicitación por haber ganado
mensajes de texto (sms) gratis o haber ganado
algún premio en un sorteo o una persona caritativa
y sin ánimo de lucro que te enseña cómo hacer
para que tu línea tenga más crédito. Todo con sólo
mandar un sms.
28
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque X
 ATAQUE SMS

 Al
hacerlo, se está transfiriendo parte del saldo de
tu línea a la persona que te envió el mensaje.
 Es un servicio que brindan las compañías de
telefonía móvil a sus clientes para transferir crédito
a otra persona.
29
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque XI
 ATAQUE SMS
 Ejemplo:

30
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque XII
 ATAQUE CARA A CARA

 REQUISITOS:
Una puesta en escena bien cuidada y
creíble, incluyendo vestuario, atrezo y todo lo que
sea necesario.
 El propio atacante el que se persona ante la víctima
para extraer la información.
 Son los más eficientes, puesto que el atacante se
gana la confianza total de la víctima.
 Son los más difíciles de realizar. Si te pillan, te
enchironan seguro.
31
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
Formas de ataque XIII
 ATAQUE CARA A CARA
 Ejemplo.

32
INGENIERÍA SOCIAL. UNA APROXIMACIÓN
PARTE PRÁCTICA
INGENIERÍA SOCIAL EN LA SOCIEDAD
ACTUAL
33
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

La jungla de cristal 4.0
34
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO I
35
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO II
 El término phishing proviene de la palabra inglesa "fishing"
(pesca), haciendo alusión al intento de hacer que los
usuarios "piquen en el anzuelo". A quien lo practica se le
llama phisher. También se dice que "phishing" es la
contracción de "password harvesting fishing" (cosecha y
pesca de contraseñas), aunque probablemente es un
acrónimo retroactivo”.

Orígenes: Se empezó a usar en 1996 y estaba relacionada
con la “pesca” de cuentas de AOL.
36
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO III
 Aplicado
al sector bancario, el objetivo es conseguir
la clave de acceso y el usuario para luego proceder
a retirar fondos.
 Obtener una lista de correos electrónicos.
 En
el mercado negro.
 Hacerlo uno mismo.
 Realizar
un envío masivo de un correo electrónico
con las siguientes características:
37
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO IV
 Debe ser un correo que aparente proceder de una entidad
bancaria.
 Debe transmitir la idea de que el banco ha tenido
problemas y necesita comprobar usuario y contraseña de la
víctima.
 Debe ser lo más fiel posible a la entidad original.
 No importa si se envía un correo de una entidad de la que la
víctima no es usuario.
 Debe poseer un enlace a una página falsificada en la que la
víctima pueda introducir sus datos.
 Si no se hace lo que indica el correo, se amenaza con un
posible cierre de la cuenta.
38
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO V
39
INGENIERÍA SOCIAL. UNA APROXIMACIÓN


PHISHING BANCARIO VI
 Una vez introducido los datos, el usuario, satisfecho por no
haber perdido su cuenta se olvidará del correo.
Muleros (las otras víctimas)
 Sacan el dinero de la cuenta de la víctima y traspasar el
dinero a otra cuenta de Pay-Pal o Western Union, controlada
por el atacante.
 Son los que se ensucian las manos y cometen un delito.
 Para captarlos se usa nuevamente la IS ofreciendo un
empleo con altos beneficios, jornada reducida y muchas
vacaciones.
40
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO VII
 Correo
buscando muleros.
41
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO VIII
 El
sistema de phishing bancario deja dos víctimas
detrás de sí y pingües beneficios para los atacantes
con un riesgo mínimo.
 El dinero se envía a un apartado de correos en el
extranjero o a una cuenta falsa de pay-pal, Western
Union u otra empresa de envío de dinero.
 El mulero, aunque se haya quedado con un 10%20% de lo sustraído carga con el total.
42
INGENIERÍA SOCIAL. UNA APROXIMACIÓN


PHISHING BANCARIO IX
Resumen
43
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

PHISHING BANCARIO X

Medidas que se están tomando:



Sociales
Legales
Técnicas
44
INGENIERÍA SOCIAL. UNA APROXIMACIÓN


SPAM. CICLO COMPLETO I
¿Cómo crear listas de correos para luego venderlas en el
mercado negro?


Se aplica de nuevo la IS.
Aprovechar los sentimientos y emociones humanos.



Compasión
Curiosidad
Avaricia
45
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

SPAM. CICLO COMPLETO II

Ejemplo
46
INGENIERÍA SOCIAL. UNA APROXIMACIÓN


SPAM. CICLO COMPLETO III
Otros ejemplos de excusa para que el usuario reenvíe:




un gran número de años de mala suerte si no se hace
la imposibilidad de encontrar el amor en la vida
no encontrar la felicidad
Otra variante: aquellos que nos amenazan con
cerrarnos la cuenta del cliente de correo si no lo
reenviamos a 18 personas
47
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

SPAM. CICLO COMPLETO IV

OBJETIVO: que se produzca el mayor número de reenvío de correos posible
y obtener una cosecha del tipo:
48
INGENIERÍA SOCIAL. UNA APROXIMACIÓN



SPAM. CICLO COMPLETO V
Finalmente, se venden las listas con direcciones de correo a
los interesados.
¿Precio?


1 millón de envíos por 3 euros.
800 euros por el envío de un millón de correos basura.

Envío de spam con ofertas de viagra, relojes, etc.

Con que responda un 0,5% de los millones de correos enviados
es rentable
49
INGENIERÍA SOCIAL. UNA APROXIMACIÓN





REDES ZOMBIS I
Se usa la IS para instalar malware (malicious software)
“término formado a partir de combinar las palabras Software
Malicioso. Es un programa diseñado para hacer daño a un
sistema. Puede presentarse en forma de virus, gusanos,
caballos de Troya, etc., y se ejecuta automáticamente sin
consentimiento ni conocimiento por parte de la víctima.”
Se usa adjunto a un .doc, .xls etc.
Puede venir en una memoria USB que hemos encontrado
abandonada.
En un link en el que se nos avisa que hemos sido los
ganadores de algo
50
INGENIERÍA SOCIAL. UNA APROXIMACIÓN



REDES ZOMBIS II
Se toma el control del ordenador sin que el usuario lo sepa.
Acciones que se hacen con el ordenador:






Enviar spam masivamente.
Atacar a terceros. Ataques de denegación de servicio.
Diseminar virus informáticos.
Capturar datos (contraseñas y claves de acceso) mediante el
phishing
Fraudes: Se usa la red para generar dinero mediante la
manipulación de negocios legítimos: pago por click o la
manipulación de encuestas.
Computación distribuida: Este modelo se utiliza para proyectos
con el consentimiento del usuario (SETI, Globus…), aquí se usa la
potencia de miles de máquinas para procesos con una finalidad
ilícita, como por ejemplo forzar contraseñas.
51
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

REDES ZOMBIS III
52
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

REDES ZOMBIS IV

ALGUNAS CIFRAS
 Entre el 40% y el 80% del spam se emite a través de
ordenadores infectados sin que el dueño lo sepa.

En 2004 había entre medio y 2 millones de ordenadores
infectados.

España es el segundo país de Europa con más ordenadores
infectados.

En 2010 la operación Mariposa detuvo a tres personas que
controlaban una red de 13 millones de ordenadores.
53
INGENIERÍA SOCIAL. UNA APROXIMACIÓN



REDES SOCIALES
Fenómeno muy reciente.
Problemas:



Obtención de datos privados que permitan la composición
de correos electrónicos personalizados para la víctima.
Suplantar la identidad de Facebook de otra persona y
hacerle peticiones de lo más diverso.
Ejemplo:
54
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

CONCLUSIONES

Ámbito muy dinámico.
Hay que educar, enseñar a los empleados / personas
a decir no ante las peticiones de información sensible.
Hay que dar capacitación social que alerte a la
persona cuando pueda ser blanco de un ataque de IS.
Las penas se están endureciendo.



55
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

CONCLUSIONES

Van calando los mensajes de “desconfiar” y “nadie da
duros a cuatro pesetas” en la red.
Tener un equipo con antivirus y cortafuegos
actualizados y estar siempre alerta a las noticias de
este tipo que surjan en los medios de comunicación.
Dudar de aquellos mensajes recibidos por cualquier
canal, sin que el usuario en ningún momento los haya
solicitado, pidiendo pulsar enlace.


56
INGENIERÍA SOCIAL. UNA APROXIMACIÓN

O no olviden:
“La verdad es que no hay tecnología en el mundo
capaz de prevenir un ataque de Ingeniería Social”
Kevin Mitnick

Gracias!
57
Descargar

la ingeniería social aplicada al delito informático. una