INGENIERÍA SOCIAL

INGENIERÍA SOCIAL PRESENTADO POR: YESLENIS MARTIINEZ SORACÁ UNIVERSIDAD POPULAR DEL CESAR VALLEDUPAR CESAR 2019-1 INTRODUCCIÓN La protección de la información es y ha sido uno de los temas más debatidos en los últimos años, con la aparición de nuevas tecnologías y la posibilidad de almacenar información personal e íntima en diferentes plataformas que dicen ser seguras, pero que por más protección que ofrezcan el objetivo más indefenso siempre ha sido y será el usuario, pues no hay plataforma de información que pueda operar sin la intervención humana, lo que se traduce a una vulnerabilidad latente hacia la pérdida o robo de esta información. De aquí se deriva lo que conocemos como Ingeniería social, el método más efectivo a la hora de sacar información, pues actualmente gracias a los medios masivos de comunicación se les hace mucho más fácil capturar la información de las personas, de las cuales pueden sacar su fecha de nacimiento, edad, dirección, lugares que frecuenta y lo más importante, saber si la persona es fácil de manipular, extorsionar o peor aún secuestrar. Se puede definir a la ingeniería social como una serie de actos con el único fin de sacar información importante o relevante a personas, los métodos para hacerlos pueden varias desde hacer llamadas telefónicas anunciando que ha ganado un premio, hasta correos electrónicos de SPAM con algún malware incorporado y todo dirigido exclusivamente al usuario, de ahí una conocida frase informática “el servidor mejor protegido es el que está apagado, pero su desventaja más grande es el usuario que la pueda encender”. EVENTOS RELEVANTES EN EL MUNDO, INGENIERÍA SOCIAL • • • • Uno de los eventos más famosos de la historia y que a día de hoy no ha sido superado, fue el de Victor Lustig, con una increíble capacidad para persuadir y manipular a las personas logro concretar al Azaña de vender la torre Eiffiel, el monumento de la famosa parís, y no solamente lo hizo una vez, si no que logro venderla 2 veces, con un tiempo de 1 mes de separación entre una estafa y la otra. Otro que gana reconocimiento como ingeniero social es Christopher Rocancourt quien ganaba la confianza de las personas haciéndose pasar por diferentes personalidades, como lo era boxeador, ejecutivo, incluso hasta miembro de la familia Rockefeller, esto con el fin de ganarse la confianza de las personas y estafarlas en el acto con trabajos o proyectos que nunca vieron la luz. David Hampton fue una persona que al igual que los otros usaba su poder de convencimiento para estafar a los demás, haciéndose pasar por hijo del actor Sidney Poitier, atrajo a celebridades de las cuales estafo quedándose en sus casas y sacando información privada de los actores para luego venderla. Carlo Ponzi el creador del sistema de pirámides, con el cual logro convertirse en un multimillonario gracias a las estafa que consistía en convencer a personas de entrar a su pirámide y que a su vez estas personas atrajeran a mas a la misma pirámide lo que conlleva a tener una gran red de personas que trabajaban engañadas bajo el poder de convencimiento de Carlo Ponzi. EVENTOS RELEVANTES EN COLOMBIA, INGENIERÍA SOCIAL • • • El caso más evidente de ingeniería social ocurrido en Colombia fue el caso de la entidad bancaria Bancolombia, el cual consista en un correo electrónico que eran enviados a usuarios del banco, dando la información de una supuesta suspensión por parte del banco y para la reactivación de su cuenta tenían que ingresar a un link que el mismo correo suministraba, llevando a los usuarios a una página sin verificación en la cual se les pedía el usuario y la contraseña para realizar la total transferencia del dinero de las cuentas, los hackers que hicieron esto, se procuraron de hacerlo lo mejor posible copiando el diseño de la página y hasta el teclado virtual que es utilizado por el mismo banco para la ingresar, dándole así al usuario más razones para sentirse seguro con la página. Otro caso importante de documentar en Colombia y que ya es frecuente son las que se realizan a través de mensajes de texto o llamadas telefónicas, las cuales consisten en avisarte de que has ganado algún premio por algún concurso al azar que se ha realizado y del cual nunca se participó, esta forma de ingeniera social ha sido y es muy utilizada en nuestro país, llamando a personas al azar para darles el mensaje de que han ganado algún premio pero que para reclamarlo primero deben hacer alguna consignación antes, así sea para que se envié el premio en cuestión o para pagar alguna comisión. También existe actualmente otro método el cual es de las compras online a personas comunes, este método consiste en publicar con un perfil falso el precio de algún producto más barato de lo habitual y publicar el producto en alguna ciudad diferente a la que se encuentra en estafador, para que entonces cuando se realice la negociación con una persona incauta, esta termina cediendo y consignando un porcentaje del producto para que después desaparezca el estafador. GLOSARIO DE TERMINOS • Phising: se refiere a la manera de robar información de los usuarios a través de correos electrónicos que pereciesen venir de fuentes confiables, las cuales cumplen el objetivo de robar información confidencial del usuario, como cuentas bancarias, de empresas entre otras. • Phishing bancario: es la manera que se utiliza para robar información de cuentas bancarias de usuarios, la manera de actuar de este método es enviando correos electrónicos que dicen provenir de los bancos a los que los usuarios pertenecen para posteriormente robar su información. • Phishing Telefonico: se aplica el mismo método que los anteriores pero esta vez se hace a través de una llamada telefónica. • Spear Phishing: este método se utiliza cuando va dirigido a un objetivo en específico, como lo puede ser robar cierta información de una empresa, tener ciertos datos específicos o conocer información personal del usuario. • Vishing: esta práctica consiste en utilizar la ingeniera social y la voz para obtener la información necesaria de la persona, se utiliza muy seguido mensajes que son previamente grabados para únicamente reproducirse, esta técnica se utiliza más que todo para robar información financiera ya que los autores logran recrear los mensajes como si verdaderamente fuesen mensajes de las entidades bancarias. • Firewalls: programa que permite o niega el acceso de las computadoras a una red o elementos de una red hacia la computadora, esto es con fines de proteger o asegurar la información. • Hacker: Persona o grupo de personas que se dedican a la usurpación de la información por medio de prácticas informáticas. • Cracker: viene del inglés que significa Rompedor, y se utiliza para denominar a las personas o grupo de personas que se dedican a vulnerar sistemas de seguridad. PRACTICAS PARA CONTRARRESTAR LOS ATAQUES • Mantener una actitud cautelo y no llamar mucho la atención, revisar con frecuencia las costumbres de ayudar a personas de las cuales no conoce muy bien. • Preste atención a las conversaciones que mantiene con las personas, especialmente con personas que no son de su confianza o que apenas conoce, evitando a toda costa preguntas o conversaciones que lo conlleven a dar información o pistas sobre información importante para usted. • Cuando reciba llamadas, verifique que la información que se le da es totalmente verídica, pregunte por tarjetas de identificación, número de empleado, verifique esta información comunicándose directamente con la entidad a la que pertenecen. • No caiga en engaños por medio de intimidaciones o halagos, estas son las técnicas más usadas por los ingenieros sociales para cumplir su objetivo, sacarle la información al usuario. • Sea prudente respecto a los concursos, encuestas, ofertas especiales, teléfono, correo electrónico, no se deje llevar por mensajes halagadores, manténgase alerta de cualquier tipo de información dudosa. • No responda los mensajes que vienen en cadena, estos lo único que hacen es infectar de virus su computadora, incluso sacar información valiosa para usted de ella. VULNERABILIDADES Y VECTORES DE ATAQUE • • • • Las vulnerabilidades más usadas actualmente por la ingeniera social han sido diseñadas para la usurpación de usuarios y contraseñas bancarias, los vectores más usados son por medio de correos electrónicos o llamadas que se le realizan a los clientes de estos bancos, su manera de actuar es notificándole al cliente que se le ha suspendido su cuenta y para reactivar la cuenta deberá de ingresar a una plataforma donde se le pedirá su usuario y contraseña, esto es posible ya que los Ingenieros sociales diseñan los correos y sitios de la manera más creíble posible, agregando una interfaz idéntica a la manejada por los bancos incluso en algunos casos proporcionando alguna seguridad para hacer parecer del sitio un lugar seguro, otro método consiste en lo que conocemos como Vishing, método por el cual mediante una voz pregrabada se convence al usuario de que la llamada es totalmente autentica y se busca establecer una confianza con el usuario de tal manera que pueda ceder y proporcionar los datos personales o en determinado caso directamente su usuario y contraseña. Pertinencia una de las vulnerabilidades más usadas la manera de contrarrestar esta conducta es mantenerse informado sobre que las empresas serias no solicitan ninguna especie de contraseña, usuario o alguna especie de información de esa índole. La Urgencia también es otro de los factores que han utilizado, la mejor forma de combatirla es tomarse su tiempo y pensar, ya que este tipo de mensajes son normalmente hechos para desestabilizar mentalmente al usuario y con esto pretender que seda a las peticiones. El control emocional es otra de las vulnerabilidades más latentes y presentes en los últimos tiempos por medio de la ingeniería social, el vector de ataque más usado en estos casos es atentar contra las emociones de las personas estos se hace a través de la cooperación, persuasiones, intimidaciones o similares para poder sacar la información de las personas. VENTAJAS Y DEVENTAJAS DE LAS HERRAMIENTAS PARA DEFENDERSE • Directorio de los correos electrónicos que cada empleado o usuario que se encuentre. ▪ Ventajas ➢ Permite buscas información sobre los diferentes usuarios registrados en el servidor. ➢ Contiene perfiles de cada usuario con fotos, documentos, número de teléfonos, dirección de correo electrónico, entre otros. ➢ Se puede obtener esta información desde internet. ▪ • Desventajas ➢ La información puede ser falsificada. ➢ La información podría ser robada de los servidores y modificada ➢ Debido a que es de fácil acceso, cualquier hacker podría robar los datos. Detección de las llamadas ▪ Ventajas ➢ Si se recibe una llamada de un número no conocido se puede corroborar esta información mediante números ya previamente verificados ➢ Se verifica la información del llamante antes de facilitar cualquier tipo de dato y confirmarlo. ▪ Desventaja ➢ Es posible falsificar las llamadas y hacerlas pasar por verificar pero para esto se necesita tener accesos a un Switch y saber cómo configurarlo para realizar las llamadas. ➢ Se pueden usar diferentes métodos como pueden ser halagos o manazas para sacar la información. • • • Contraseñas más seguras ▪ Ventajas ➢ Las palabras no son fáciles de adivinar. ➢ No se utilizan oraciones o palabras que se puedan relacionar con mascotas u objetos personales. ➢ Proporcionar una contraseña en la cual los caracteres varíen entre minúsculas y mayúsculas además de usar caracteres especiales si es el caso. ➢ Cambiar la contraseña cada determinado tiempo para así tener más seguridad sobre la cuenta ▪ Desventajas ➢ Se pueden sacar las contraseñas engañando directamente al usuario. Filtrar información de correos electrónicos. ▪ Ventaja ➢ Se configura el correo de tal manera que solo pueda recibir mensajes verificados, mandando los otros correos directamente a papeleras. ▪ Desventaja ➢ Estos filtros aunque efectivos pueden también hacer pasar información que podría ser importante para el usuario. Áreas físicas con seguridad. ▪ ▪ Ventajas ➢ Instalar cámaras de seguridad en entradas para contralar el acceso de personas. ➢ Verificar la identidad de las personas mediante tarjetas de acceso. Desventajas ➢ Pueden robarse las tarjetas de acceso de los trabajadores y clonarlas para tener el acceso a las empresas. CONCLUSIÓN La ingeniería Social es uno de los métodos que actualmente se usan más para robarles la información a usuarios y personas, para esto utilizan diferentes tipos de métodos, que van desde ir directamente por la información de un cliente en específico para sacarle toda la información posible, hasta ir por la base de datos de toda una empresa y sacar la mayor información posible. Un método que no tiene en cuenta la ética y se aprovecha de la confianza de las personas, utilizando actualmente cualquier método electrónico como correos, teléfonos o incluso redes sociales para robar la información, ya sea también ganándose la confianza de las personas o amenazándolas para quitarles sus datos importantes. La ingeniería social implica tomar en cuenta cualquier medio que se disponga para poder acceder a la información que se necesite, con el único fin de obtener causar un daño a una persona o grupo de personas o simplemente sacarse un beneficio de aprovecharse de las personas, también se aprovecha de la inocencia y credulidad de las personas en confiar en los demás o en acceder a alguna ayuda para poder sacar provecho de esto. BIBLIOGRAFIA • Dr Castellanos Luis, Ingenieria Social; Bogotá Colombia 2009 • López Grande Carlos Edgardo, La ingeniería social, el ataque silencioso; 8 de enero de 2015. • Salvador Guadron Ricardo, La ingeniería social, el ataque silencioso; 8 de enero de 2015. • Portafolio, Los 10 más grandes estafadores de la historia, marzo 17 de 2010 • Peréz Contrera Yolman Ernesto, Profesor de ingeniería de sistemas, un caso de phising más en Colombia; 25 de abril de 2017 • Biscione Carlos A. Technical Account Manager North of Latin America Sun Microsystem; ingeniería social para no creyentes. • Mendoza Azury; Los riesgos y amenazas de la ingeniería social sobre tus activos y datos sensibles; febrero de 2018.