1. SEGURIDAD INFORMÁTICA
9no Semestre
INGENIERIA SOCIAL
DEFINICIÓN.
Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades
sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de
información de terceros.
No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior
de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas
de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen
del término tiene que ver con las actividades de obtención de información de tipo técnico
utilizadas por hackers.
Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha
conseguido la información buscada. Las acciones que esa información pueda facilitar o
favorecer no se enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan
un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de
hacerlo.
¿QUÉ TIENE QUE VER LA INGENIERÍA SOCIAL CON LA SEGURIDAD
INFORMÁTICA?
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros
ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas
prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad
informática abarca cosas tan dispares como:
Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas
adecuadas para trabajar sin caídas.
La calificación del equipo de administradores que deberá conocer su sistema lo
suficiente como para mantenerlo funcionando correctamente.
La definición de entornos en los que las copias de seguridad han de guardarse para ser
seguros y como hacer esas copias.
El control del acceso físico a los sistemas.
La elección de un hardware y de un software que no de problemas.
La correcta formación de los usuarios del sistema.
El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando
datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de
personas especialmente entrenadas, los ingenieros sociales.
VÍCTOR BASTIDAS S. Página 1
2. SEGURIDAD INFORMÁTICA
9no Semestre
TÉCNICAS DE INGENIERÍA SOCIAL.
Tres tipos, según el nivel de interacción del ingeniero social:
Técnicas Pasivas:
o Observación
Técnicas no presenciales:
o Recuperar la contraseña
o Ingeniería Social y Mail
o IRC u otros chats
o Teléfono
o Carta y fax
Técnicas presenciales no agresivas:
o Buscando en La basura
o Mirando por encima del hombro
o Seguimiento de personas y vehículos
o Vigilancia de Edificios
o Inducción
o Entrada en Hospitales
o Acreditaciones
o Ingeniería social en situaciones de crisis
o Ingeniería social en aviones y trenes de alta velocidad
o Agendas y teléfonos móviles
o Desinformación
Métodos agresivos
o Suplantación de personalidad
o Chantaje o extorsión
o Despersonalización
o Presión psicológica
VÍCTOR BASTIDAS S. Página 2
3. SEGURIDAD INFORMÁTICA
9no Semestre
La figura 1 muestra de manera gráfica los activos informáticos de una organización, así como
también a la seguridad informática.
ATAQUES INTERNOS
SEGURIDAD INFORMATICA
ACTIVOS
INFORMATICOS
MECANISMOS MECANISMOS
ADMINISTRATIVOS
TECNOLÓGICOS
HARDWARE
SOFTWARE
INFORMACIÒN
RECURSO HUMANO
ATAQUES EXTERNOS
¿QUIÉNES LA USAN?
Hackers
Espías
Ladrones o timadores
Detectives privados
VÍCTOR BASTIDAS S. Página 3
4. SEGURIDAD INFORMÁTICA
9no Semestre
INGENIERÍA SOCIAL BASADA EN COMPUTADORAS. PARA DETECTAR
SI UN MEDIO ELECTRÓNICO ES LEGAL O NO, SE DEBE TOMAR EN
CUENTA LOS SIGUIENTES ASPECTOS.
a. Solicitud de Información. Ninguna empresa solicita vía electrónica contraseñas,
nombres de usuario, números de la Seguridad Social u otra información
personal.
b. Urgencia. "Si no responde en un plazo de 48 horas, su cuenta se cancelará".
Estos mensajes tienen un tono de urgencia cuyo objetivo es que se responda
inmediatamente, casi sin pensar.
c. Personalización del mensaje. Los mensajes de correo electrónico de Phishing
suelen enviarse de forma masiva y, a menudo, no contienen su nombre o
apellido, por lo que no van personalizados. Las empresas de las que somos
clientes, conocen nuestro nombre.
MECANISMOS PARA CONTRARRESTAR LA INGENIERÍA SOCIAL.
La mejor manera de protegerse contra las técnicas de ingeniería social es
utilizando el sentido común y no divulgando información que podría poner en
peligro la seguridad de los activos informáticos.
Ante ataques basados en ingeniería social, cualquier persona y organización se
encuentran expuestos, y la mejor forma de contrarrestarlo es conociendo los
métodos de ingeniería que se aplicarán, es decir, en el ámbito tecnológico se
conoce como Ingeniería Inversa. La ingeniería inversa es el conjunto de
técnicas y procedimientos utilizados para descubrir el diseño de un producto o
proceso. En este sentido, descubrir cuáles son las técnicas empleadas por los
atacantes, difundirlas y prepararse para enfrentar nuevas técnicas de ataques es
el mejor mecanismo de protección.
Para poder establecer mecanismos formales, debe implementarse un Plan de
Ingeniería Social Inversa, tomando en consideración tanto los ataques directos a
personas, como también los ataques a través de las computadoras. A
continuación se explican los principios en cada uno de ellos.
VÍCTOR BASTIDAS S. Página 4
5. SEGURIDAD INFORMÁTICA
9no Semestre
EJEMPLOS:
Por ejemplo queremos saber el password de un usuario de hotmail y su e-mail es:
mailto:julio_acosta@hotmail.com julio_acosta@hotmail.com (el mismo mail que en telnet, no
sé porque, si existe este e-mail por favor discúlpeme si lo ofendo no se me ocurrió otro).
Bueno pues le enviamos un e-mail anónimo (ya sabes cómo hacerlo, sino vuelve a leer lo del
telnet) con una dirección algo asi como mailto:admin@hotmail.com admin@hotmail.com o
también mailto:root@passport.hotmail.com root@passport.hotmail.com o lo que se te ocurra y
le dices por el e-mail:
Estimado usuario de hotmail:
Lamentamos informarle que haces dos días <--pones una fecha para apantallar--> un hacker
irrumpió en nuestro servidor y robo algunos passwords de nuestra base de datos, además de que
borro los password de nuestra base de datos, dejándonos sólo con los nombres de usuario, y
entre ellos estuvo usted.
Así que le pedimos que nos mande su contraseña con su nombre de usuario de inmediato para
poder restaurar la base de datos y así no quede borrado de la misma y no pueda acceder a su
cuenta de hotmail. Le pedimos que envié la información a la siguiente dirección:
mailto:recuperar_claves@hotmail.com recuperar_claves@hotmail.com <
creamos esta cuenta en hotmail para hacerlo mas creíble. O creas la que desees pero que se mire
algo del tema.
Hay una buena noticia, hemos capturado al hacker pero lamentablemente borro los ficheros y no
recuperamos su password.
Administrador de Hotmail
Andrés Solórzano Villegas
<--inventas un firmilla o algo-->
Si todo sale bien recibirás un e-mail en tu cuenta mailto:recuperar_claves@hotmail.com
recuperar_claves@hotmail.com el nombre de usuario y clave de esta persona, si no quiere decir
que no calló. En estos tiempos es difícil que alguien caiga pero a veces si caen, también caen
fácilmente los neófitos totales. Por ej. Un compañero de tu salón solamente se conecta a internet
para chatear en el MIRC, y sabes que se conecta con prodigy, que haces le mandas un e-mail
anónimo diciendo que eres el administrador de prodigy le dices algo parecido en el e-mail
anterior, lo del hacker y eso y que te mande todos los datos, y ya. Es más fácil que esos caigan.
VÍCTOR BASTIDAS S. Página 5