domingo, 17 de mayo de 2015


            INGENIERIA SOCIAL

  •  La Ingeniería Social no es nueva 
  •  Todos los días sale un tonto a la calle. El que lo agarre se lo queda…
  •   Donde hay ingenuos hay Ingeniería Social 
  •  La mejor protección contra la Ingeniería Social es el conocimiento. 
  •  Conozcamos entonces…
                ¿Qué es Ingeniería Social?
  • ¿A cuántas personas conocemos que nos han dicho que le “hackearon” su cuenta de correo?
  •  ¿O que alguien hizo “operaciones fraudulentas” con su cuenta de usuario en una empresa? ¿O que sencillamente alguien “se metió” en su Banco Virtual y le “limpió” la cuenta?
  •   ¿A cuántas personas no le han “clonado” su tarjeta de crédito o de débito?  ¿A cuántas personas le han aplicado el “paquete chileno”?
     Pues esas personas han sido víctimas de la llamada    “Ingeniería Social”.

                   ¿Qué es Ingeniería Social? 
  •  Alvin Toffler señala que hay tres “Olas” o “Eras” en la humanidad, de acuerdo a dónde descansa el poder… (Cambio de Poder, 1990). 
   1)Fuerza                                   2)    Riqueza                 3)     Información

  • Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

  •   Son técnicas basadas en engaños que se emplean para dirigir la conducta de una persona u obtener información sensible.

  •   Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que ésta se de cuenta que está revelando "información sensible".
                                    ¿Qué es Ingeniería Social?

  • Técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.

  •   Es el conjunto de conocimientos y habilidades que se requieren para manipular a las personas de tal forma que lleven a cabo una acción que normalmente no harían.

  •  Todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema.
                       Elementos comunes 

  •  La presencia de un “Ingeniero Social” o de la persona que busca la información 
  •  La presencia de una persona incauta o inocente, que ofrece la información
  •   Herramientas, instrumentos y técnicas para encontrar la información 
  •  Un objetivo definido que se pretende alcanzar (ya sea obtener lucro o perjudicar y causar daño)
                                      ¿Qué es Ingeniería Social?

Entonces, se puede decir que simplemente la Ingeniería Social implica el valerse de cualquier medio para obtener información acerca de una o varias personas, con el fin de alcanzar un beneficio o de causar algún daño.
 No se asocia sólo a las acciones ejecutas en línea (o en la red), y se aprovecha de la credulidad de las personas.

                            
                                 ¿Cómo se hace Ingeniería                                      Social?

  •  La Ingeniería Social es tan antigua como la humanidad, ya que desde tiempos inmemorables han existido timadores y embaucadores.

  •  Y precisamente, el terreno fértil para poder llevar a cabo una Ingeniería Social viene dado por algunos principios señalados por Kevin Mitnick, a la sazón uno de los llamados padres de la Ingeniería Social.
Principios de Mitnick: 

  •   Todos queremos ayudar.
  •   El primer movimiento es siempre de confianza hacia el otro.
  •   No nos gusta decir No.
  •  A todos nos gusta que nos alaben.
Otros factores que se presentan:

  •  En sistemas de información o en redes, el eslabón más débil de la cadena siempre es el usuario 
  •  El miedo y la codicia 
  •  La inocencia y la credulidad
     ¿Quiénes hacen Ingeniería Social?

  •  Detectives privados
  •   Miembros de organismos policiales y/o de inteligencia gubernamental o comercial
  •  Delincuentes organizados
  •  Hackers y Crackers (delincuentes organizados, pero orientados hacia la Tecnología de Información)
  •  Personas curiosas que sientan el deseo de obtener información acerca de otras personas
Algunas de las formas conocidas de hacer Ingeniería Social son:

 1) Suplantación de identidad o Phishing
 2) Spear Phishing 
 3) Simple embaucamiento
 4) Envío de archivos adjuntos en el correo electrónico
 5) Recolección de hábitos de las víctimas potenciales
 6) Revisión de desperdicios o basura
 7) Vishing

   ¿Cómo se hace Ingeniería Social? 

1). Suplantación de identidad o Phishing 

 Phishing es un término informático que se refiere a un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete al intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
  El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Se deriva del vocablo inglés “fishing” o pesca, por la metáfora de “pescar” víctimas incautas a través de señuelos.

 1- Variantes del Phishing:
 2- Estafa Nigeriana 
 3- Usurpación de cuentas de correo
 4- Phishing bancario 
 5- Phishing telefónico

2). Spear Phishing 

  •  El “spear phishing” es una variante del Phishing,
  •  Se traduce como “pesca de arpón” porque es un ataque de Phishing dirigido a un objetivo específico.
  •   Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.
  •   Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por correo electrónico a todo el personal (por ejemplo, el encargado de administrar los sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.
3). Simple embaucamiento 

 Esa es una “estafa que consiste en dejar caer un rollo de papeles que tiene en su exterior semejanza con un fajo de billetes. Cuando un transeúnte se acerca a recogerlo, el estafador (paquetero) finge hacer lo mismo y luego, en vez de repartirse el supuesto dinero, usa algún pretexto para convencer a la víctima de que esta le entregue algo de valor y se quede con el fajo” 
También puede usar el truco de la tarjeta de crédito atascada en el Cajero Automático para conocer el número de dicha tarjeta y la clave secreta.
Algo que ya se ha vuelto muy común en la actualidad es la clonación de tarjetas de crédito o de débito. Se debe tener mucho cuidado y no perder de vista la tarjeta con la que se vaya a cancelar alguna compra en cualquier establecimiento. 

4).Envío de archivos adjuntos en el correo electrónico

 El Ingeniero Social le envía un correo electrónico a la víctima potencial con un troyano  adjunto, enviado por una persona que le es familiar o simplemente con un interesante título  al destinatario como "es divertido, pruébalo", "mira a Anita desnuda", etc
 El Troyano no es más que un “programa malicioso capaz de alojarse en computadoras y  permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de  recabar información o controlar remotamente a la máquina anfitriona”.
También puede enviar adjunto un capturador de teclas digitadas (keyloggers).
 “Un keylogger (deriva del inglés: Key (Tecla) y Logger (Registrador); registrador de teclas) es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.”

5). Recolección de hábitos de las víctimas potenciales
Creación de perfiles ficticios para hacerse miembro de redes sociales o de servicios de chateo.

6). Revisión de desperdicios o basura 
Artículos echados en la basura que pueden representar una potencial fuga de información:
  •  libretas telefónicas,
  •  memorandas,
  •  códigos fuentes,
  •  discos flexibles o duros,
  •   organigramas,
  •   manuales de procedimientos,
  •   calendarios (de reuniones, eventos y vacaciones),
  •   manuales de operación de sistemas,
  •   reportes con información sensible o con las cuentas de usuarios y sus contraseñas,
  •   formatos con membretes,
  •   hardware obsoleto
7). Vishing

 Existe una nueva modalidad de fraude para el robo de datos conocida como “Vishing”, un término que combina ‘voz’ y ‘phishing’. La práctica consiste en un protocolo de voz e ingeniería social para obtener información de una persona que pudiera ser estafada. Los cibercriminales utilizan un sistema de mensajes pregrabados o una persona que llama para solicitar, en muchos casos, información financiera personal. Los bancos y las tarjetas de crédito jamás envían correos ni realizan llamadas telefónicas solicitando números de tarjeta, ni confirmación o actualización de datos.
Publicado por en No hay comentarios:

sábado, 16 de mayo de 2015

LA INSTITUCION




https://scontent-gru.xx.fbcdn.net/hphotos-xfa1/v/t1.0-9/11193233_10153192096535269_4192742691398150758_n.jpg?oh=e492e9aa44824eac36d305a232afbf62&oe=5602E
269


https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-xap1/v/t1.0-9/11156306_10153192061650269_6750935097882769952_n.jpg?oh=f76f0ed43d94a2fd669fb64fe9994de7&oe=5601B588&__gda__=1443223773_3eca90c40475dd0bf8fe337c891bc21d

Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)