SlideShare ist ein Scribd-Unternehmen logo

¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?

Als PPTX, PDF herunterladen
Digetech.net
Digetech.net

Las instituciones financieras tienen la responsabilidad de educar activamente a sus clientes sobre seguridad informática. La ingeniería social es efectiva porque se enfoca en la interacción persona-máquina, que es el eslabón más débil. La educación, adiestramientos y campañas de promoción son clave para prevenir ataques de ingeniería social mediante el fomento de una cultura de seguridad.

Technologie
1 von 46
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social? Universidad de Puerto Rico-Mayaguez Aury M. Curbelo-Ruiz, Ph.D, CCFI, CNDP, CMSP, Security +
Aury M. Curbelo-Ruiz, Ph.D Certificaciones
Definir que es ingeniería social Explicar cómo Defensas contra opera el ciclo de la ingeniería ingeniería social social Principios de ¿Por qué caen ingeniería social los clientes?
Pregunta: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
Walmat en Ohio-USA • 2010—Pasos para el “scam” – Un hombre llamó a la tienda ubicada en el estado de Ohio-USA. – Se hace pasar por empleado del servicio de TI. – Le indica al asociado de Walmart que NECESITA activa varias tarjetas de regalo “gift cards”.  Tambien le indica al asociado que le lea las tarjetas y los códigos de activación de cada una de ellas.  El asociado lo hace y se roban $11,000.00 en tarjetas de regalo.
http://www.avg.com.au/news/avg_smb_social_engineering_deceiving_people_not_machines/
In a recent visit with the CEO of a security IT auditor in the banking and financial services industry, I asked what the hot audit services were that banks were requesting. Predictably, he said full- scale IT audits and internal/external penetration testing -- but he also mentioned a third highly requested audit service that he said would not have made the list several years ago: social engineering. http://www.enterpriseefficiency.com/author.asp?section_id=1093&doc_id= 231597
¿DONDE…? • ¿Donde se llevó a cabo a un operativo de Seguridad que costó entre seis y ocho millones de euros? – incluía veinte mil agentes, doscientos francotiradores, sellado de alcantarillas, corte de todo el centro de la ciudad durante dos días (calles, metro, autobuses), – vigilancia casa-por-casa de todo el recorrido durante meses, cierre del espacio aéreo, dos aviones cazas F-18 volando durante el evento y otros dos aviones AWACS prestados por la OTAN…. ¿DONDE…?
Coronel Martínez Inglés y la Boda Real Según confirmó el militar al diario 'El País', logró acceder al templo, vestido con el uniforme de gala de coronel del Ejército de Tierra, sin invitación que mostrar y con un revólver bajo la guerrera. No tuvo que pasar ningún arco de seguridad. logró despistar todos los controles de seguridad..
“La ingeniería social es la técnica más eficaz para hacerse con secretos celosamente protegidos, ya que no requiere de una sólida formación técnica, ni de grandes conocimientos sobre protocolos y sistemas operativos", dice el informe de ETEK.” "Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una buena dosis de sicología.” http://www.channelplanet.com/index.php?idcategoria=10126
Ejemplo http://www.youtube.com/watch?v=cQtQg--PB0k
¿Cómo me ¿Qué es la Ingeniería ¿Cómo saber si soy afecta?—al no ¿Cómo puedo social?—una disciplina victima de ataque validar las evitar la IS? – que consiste básicamente de IS?- cuando en sacarle datos a otra referencias ni validando las alguien nos pide persona sin que esta se seguir un protocolo identidades de de cuenta de que está que divulguemos de seguridad quienes solicitan revelando "información información sensible" y que podríamos ser información privilegiada o normalmente no lo haría cómplices de un confidencial. confidencial. crímen
Importancia… • “La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
¿Por qué la Ingeniería Social es tan efectiva? • El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica. • Casi no se presta atención a la interacción máquina- persona. • Las personas son el eslabón más débil.
¿Por qué la Ingeniería Social es tan efectiva? (cont.) • ¿Por qué gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso? • Extremadamente difícil de detectar. – No existe IDS para “falta de sentido común” ó ignorancia.
McAfee estimated that cybercrime costs corporations $1 trillion globally each year. http://news.cnet.com/8301-1009_3-10153858-83.html
Características de un ingeniero(a) social
Características de un ingeniero(a) social • Capacidad de socializar con facilidad. • Habilidad en el hablar. • Habilidad en el arte de persuación. • Sonar convincente. • Aparentar ser inofensivo. • Mantener un perfil bajo. • Sonreir siempre. • Tono de voz cómodo. http://www.social-engineer.org/how-tos/characteristics-of-an-effective-and-successful-social-engineer/
El Ataque • Basado en rutas periféricas de persuasión: – Autoridad – Similitud – Reciprocidad – Compromiso y consistencia • Usa la emoción como una forma de distracción.
Principios de Mitnick • Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados: – Todos los seres humanos quieren ayudar. – El primer movimiento es siempre de confianza hacia el otro. – No nos gusta decir No. – A todos nos gusta que nos alaben.
Pasos para llevar a cabo el ataque Identificar a la Victima Salir Reconocimiento Obtener la Crear el escenario información Realizar el ataque
¿Por qué caen los clientes?
¿por qué caen los clientes? Total desconocimiento Falta de información accesible Falta de adiestramientos Pensamos que todo el mundo es bueno Actitud: a mi no me va a pasar
Estudio de Caso: Lockheed Martin
¿Cómo se llevó a cabo el ataque a RSA? • Se envió un email a directivos de la empresa- con subject “2011 Recruitment Plan.” • El email contenía un fichero Excel (“2011 Recruitment Plan.xls”) que contenía un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto. Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy). Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés. Finalmente dan con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa. http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1aPfYDa33
¿Qué debemos aprender del ataque a Lockheed Martin? “No importa cómo de avanzado sea un sistema defensivo, todo lo que necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o eludir una suite de seguridad, y poner de rodillas a toda una organización.” http://www.malwarecity.es/blog/qu-debemos-aprender-del-ataque-a-lockheed-martin-99.html
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
El sentido común no es nada común. Voltaire (1694-1778) Filósofo y escritor francés
Medidas de prevención y protección • Aceptar: – que la facilidad de un ataque es alta. – que controles… • Solamente técnicos • Controles administrativos/operacionales • Controles de medio ambiente tampoco servirán.
Medidas de prevención y protección • Aceptar que se necesita una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos). • Se recomienda lo siguiente: – Tecnología – Políticas – Educación – Divulgación – Entrenamiento
Creando una cultura de seguridad • No se debe ignorar la interacción persona-maquina • Necesitan reconocer los “trucos” • La seguridad de la información es un problema de hardware, software, firmware y peopleware • La mejor defensa: Educación combinada con tecnología.
Creando una cultura de seguridad • Todos los clientes/empleados deben tener una actitud hacia la seguridad y cuestionar las cosas. • Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque. • Se debe notificar a los involucrados.
Bancos que han integrado temas de Ingeniería social en sus portales
http://www.visasecuritysense.com/en_CA/fraud-news.jsp
http://www.barclays.co.uk/Helpsupport/Onlinefraud/P1242560035928
https://www.santander.com.co/portal/secciones/BSCH/HOME/HERRAMIENT AS/PERSONAS/SEGURIDAD/seccion_HTML.jsp
http://www.grupobancolombia.com/home/index.asp
http://www.welcomebanking.com/content.aspx?id=8589934965
AT&T adiestramiento http://www.youtube.com/watch?v=wxALOksX1us
Resumen • Las Instituciones financieras tienen la responsabilidad corporativa de participar activamente en la educación de sus clientes en áreas relacionadas a la seguridad en informática. • La educación, adiestramientos, talleres y campañas de promoción son la clave para prevenir ataques de IS. • Promover una cultura de seguridad en informática debe ser una prioridad financiera.
Preguntas Dra. Aury M. Curbelo acurbelo@gmail.com http://acurbelo.org/blogs Twitter: http://twitter.com/acurbelo Slideshare: http://slideshare.net/acurbelo Facebook: http://facebook.com/acurbeloruiz

Empfohlen

Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialalbalucia1983
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosPaola Andrea Peña
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Maximiliano Soler
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialjuancarloscruzd
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticassuserb44661
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIALEnmer Genaro Leandro Ricra
 

Empfohlen

Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialalbalucia1983
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosPaola Andrea Peña
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...Maximiliano Soler
 
Ingeniera social carlosbiscione
Ingeniera social carlosbiscioneIngeniera social carlosbiscione
Ingeniera social carlosbiscioneAlex Pin
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialjuancarloscruzd
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticassuserb44661
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIALEnmer Genaro Leandro Ricra
 
Ingenierìa social
Ingenierìa socialIngenierìa social
Ingenierìa socialinmacu_
 
Cliente informatico
Cliente informaticoCliente informatico
Cliente informaticoclaudiacte
 
Diferencias
DiferenciasDiferencias
DiferenciasOswaldo Lopez Flores
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialJenniffer Moran Murillo
 
Diferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionalesDiferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionalesAlejandra Miranda Ojeda
 
Internet segura
Internet seguraInternet segura
Internet seguramarianaprov
 
La ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointLa ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointbachilleratob
 
Diapositivas delitos informáticos
Diapositivas delitos informáticos Diapositivas delitos informáticos
Diapositivas delitos informáticos Paul Anthony Santos Flores
 
Exposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en ColombiaExposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en ColombiaYesid Alexander Garcia
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSJhon Maz Nahh
 
Perfil profesional del administrador de empresas
Perfil profesional del administrador de empresasPerfil profesional del administrador de empresas
Perfil profesional del administrador de empresasJames Jimenez
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticosCristina Cedeño
 
PERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADORPERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADORsergiollan
 
Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria socialcampuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria socialcampuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria socialcampuspartyquito
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialVictor M. Bastidas S.
 
Cid
CidCid
CidCristina Leiva Fajardo
 
Ingeniería Social y Social Inversa
Ingeniería Social y Social InversaIngeniería Social y Social Inversa
Ingeniería Social y Social InversaDavidCarril5
 
Guia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESGuia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESDigetech.net
 
Certified Integrator Secure Cloud Services
Certified Integrator Secure Cloud ServicesCertified Integrator Secure Cloud Services
Certified Integrator Secure Cloud ServicesEXIN
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 

Weitere ähnliche Inhalte

Andere mochten auch

Ingenierìa social
Ingenierìa socialIngenierìa social
Ingenierìa socialinmacu_
 
Cliente informatico
Cliente informaticoCliente informatico
Cliente informaticoclaudiacte
 
Diferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionalesDiferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionalesAlejandra Miranda Ojeda
 
La ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointLa ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointbachilleratob
 
Exposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en ColombiaExposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en ColombiaYesid Alexander Garcia
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSJhon Maz Nahh
 
Perfil profesional del administrador de empresas
Perfil profesional del administrador de empresasPerfil profesional del administrador de empresas
Perfil profesional del administrador de empresasJames Jimenez
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticosCristina Cedeño
 
PERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADORPERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADORsergiollan
 

Andere mochten auch (13)

Ingenierìa social
Ingenierìa socialIngenierìa social
Ingenierìa social
 
Cliente informatico
Cliente informaticoCliente informatico
Cliente informatico
 
Diferencias
DiferenciasDiferencias
Diferencias
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Diferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionalesDiferencia entre delito informático y delitos computacionales
Diferencia entre delito informático y delitos computacionales
 
Internet segura
Internet seguraInternet segura
Internet segura
 
La ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpointLa ingeniería social y la seguridad. powerpoint
La ingeniería social y la seguridad. powerpoint
 
Diapositivas delitos informáticos
Diapositivas delitos informáticos Diapositivas delitos informáticos
Diapositivas delitos informáticos
 
Exposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en ColombiaExposicion delitos informaticos - regulacion punitiva en Colombia
Exposicion delitos informaticos - regulacion punitiva en Colombia
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOS
 
Perfil profesional del administrador de empresas
Perfil profesional del administrador de empresasPerfil profesional del administrador de empresas
Perfil profesional del administrador de empresas
 
Diapositiva de los delitos informaticos
Diapositiva de los delitos informaticosDiapositiva de los delitos informaticos
Diapositiva de los delitos informaticos
 
PERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADORPERFIL DEL ADMINISTRADOR
PERFIL DEL ADMINISTRADOR
 

Ähnlich wie ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?

Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria socialcampuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria socialcampuspartyquito
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria socialcampuspartyquito
 
Ingeniería Social y Social Inversa
Ingeniería Social y Social InversaIngeniería Social y Social Inversa
Ingeniería Social y Social InversaDavidCarril5
 
Guia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESGuia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESDigetech.net
 
Certified Integrator Secure Cloud Services
Certified Integrator Secure Cloud ServicesCertified Integrator Secure Cloud Services
Certified Integrator Secure Cloud ServicesEXIN
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Exposicion #10 acosta ana paula, herrera bethsabe
Exposicion #10 acosta ana paula, herrera bethsabeExposicion #10 acosta ana paula, herrera bethsabe
Exposicion #10 acosta ana paula, herrera bethsabeAnaPaulaAcosta
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptxLuis Flores
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersRicardo Silva
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería socialLily Diéguez
 
Ataques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosAtaques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosTECHNOLOGYINT
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
Auditoria Davinson García
Auditoria Davinson GarcíaAuditoria Davinson García
Auditoria Davinson GarcíaJdgc2304
 

Ähnlich wie ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social? (20)

Client-side attck_Ingenieria social
Client-side attck_Ingenieria socialClient-side attck_Ingenieria social
Client-side attck_Ingenieria social
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
 
Client-side Ingenieria social
Client-side Ingenieria socialClient-side Ingenieria social
Client-side Ingenieria social
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Cid
CidCid
Cid
 
Ingeniería Social y Social Inversa
Ingeniería Social y Social InversaIngeniería Social y Social Inversa
Ingeniería Social y Social Inversa
 
Guia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMESGuia de Seguridad en Informatica para PYMES
Guia de Seguridad en Informatica para PYMES
 
Certified Integrator Secure Cloud Services
Certified Integrator Secure Cloud ServicesCertified Integrator Secure Cloud Services
Certified Integrator Secure Cloud Services
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria Social
 
Exposicion #10 acosta ana paula, herrera bethsabe
Exposicion #10 acosta ana paula, herrera bethsabeExposicion #10 acosta ana paula, herrera bethsabe
Exposicion #10 acosta ana paula, herrera bethsabe
 
Ingenieria social.pptx
Ingenieria social.pptxIngenieria social.pptx
Ingenieria social.pptx
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
La seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackersLa seguridad digital y que medidas toma el estado para los hackers
La seguridad digital y que medidas toma el estado para los hackers
 
La Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad InformáticaLa Importancia del Factor Humano en la Seguridad Informática
La Importancia del Factor Humano en la Seguridad Informática
 
Presentacion ingeniería social
Presentacion ingeniería socialPresentacion ingeniería social
Presentacion ingeniería social
 
Ataques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosAtaques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticos
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
Auditoria Davinson García
Auditoria Davinson GarcíaAuditoria Davinson García
Auditoria Davinson García
 

Mehr von Digetech.net

Seguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másSeguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másDigetech.net
 
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...Digetech.net
 
Integracion de las redes sociales en la educacion y sus aspectos de seguridad
Integracion de las redes sociales en la educacion y sus aspectos de seguridadIntegracion de las redes sociales en la educacion y sus aspectos de seguridad
Integracion de las redes sociales en la educacion y sus aspectos de seguridadDigetech.net
 
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del HackingIngenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del HackingDigetech.net
 
Seguridad en el Uso de las Redes Sociales: Guía para Protegerse
Seguridad en el Uso de las Redes Sociales: Guía para ProtegerseSeguridad en el Uso de las Redes Sociales: Guía para Protegerse
Seguridad en el Uso de las Redes Sociales: Guía para ProtegerseDigetech.net
 
Integración de las Redes Sociales en la Enseñanza
Integración de las Redes Sociales en la EnseñanzaIntegración de las Redes Sociales en la Enseñanza
Integración de las Redes Sociales en la EnseñanzaDigetech.net
 
Politicas de Uso: Redes Sociales en el Area Laboral
Politicas de Uso: Redes Sociales en el Area LaboralPoliticas de Uso: Redes Sociales en el Area Laboral
Politicas de Uso: Redes Sociales en el Area LaboralDigetech.net
 
Seguridad en el uso de redes sociales en el área laboral
Seguridad en el uso de redes sociales en el área laboral Seguridad en el uso de redes sociales en el área laboral
Seguridad en el uso de redes sociales en el área laboral Digetech.net
 
Estrategias de búsqueda_de_información_usando_google-29-ago-2011
Estrategias de búsqueda_de_información_usando_google-29-ago-2011Estrategias de búsqueda_de_información_usando_google-29-ago-2011
Estrategias de búsqueda_de_información_usando_google-29-ago-2011Digetech.net
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usbDigetech.net
 
QR -CODES Una Breve Introducción
QR -CODES Una Breve IntroducciónQR -CODES Una Breve Introducción
QR -CODES Una Breve IntroducciónDigetech.net
 
HerramientasDigitales para la Prevención y Detección de Plagio
HerramientasDigitales para la Prevención y Detección de Plagio HerramientasDigitales para la Prevención y Detección de Plagio
HerramientasDigitales para la Prevención y Detección de Plagio Digetech.net
 
Herramientas para el Diseño de Exámenes en Línea
Herramientas para el Diseño de Exámenes en LíneaHerramientas para el Diseño de Exámenes en Línea
Herramientas para el Diseño de Exámenes en LíneaDigetech.net
 
Seguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosSeguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosDigetech.net
 
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...Digetech.net
 
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...Digetech.net
 
Como publicar su resume en Twitter
Como publicar su resume en TwitterComo publicar su resume en Twitter
Como publicar su resume en TwitterDigetech.net
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaDigetech.net
 

Mehr von Digetech.net (20)

Seguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y másSeguridad en la Internet: Desde Hacking, Redes Sociales y más
Seguridad en la Internet: Desde Hacking, Redes Sociales y más
 
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...
Guía práctica de los usos de los dispositivos móviles en la enseñanza: El mun...
 
Integracion de las redes sociales en la educacion y sus aspectos de seguridad
Integracion de las redes sociales en la educacion y sus aspectos de seguridadIntegracion de las redes sociales en la educacion y sus aspectos de seguridad
Integracion de las redes sociales en la educacion y sus aspectos de seguridad
 
Ingenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del HackingIngenieria Social: El Lado Humano del Hacking
Ingenieria Social: El Lado Humano del Hacking
 
Seguridad en el Uso de las Redes Sociales: Guía para Protegerse
Seguridad en el Uso de las Redes Sociales: Guía para ProtegerseSeguridad en el Uso de las Redes Sociales: Guía para Protegerse
Seguridad en el Uso de las Redes Sociales: Guía para Protegerse
 
Integración de las Redes Sociales en la Enseñanza
Integración de las Redes Sociales en la EnseñanzaIntegración de las Redes Sociales en la Enseñanza
Integración de las Redes Sociales en la Enseñanza
 
Politicas de Uso: Redes Sociales en el Area Laboral
Politicas de Uso: Redes Sociales en el Area LaboralPoliticas de Uso: Redes Sociales en el Area Laboral
Politicas de Uso: Redes Sociales en el Area Laboral
 
Seguridad en el uso de redes sociales en el área laboral
Seguridad en el uso de redes sociales en el área laboral Seguridad en el uso de redes sociales en el área laboral
Seguridad en el uso de redes sociales en el área laboral
 
Estrategias de búsqueda_de_información_usando_google-29-ago-2011
Estrategias de búsqueda_de_información_usando_google-29-ago-2011Estrategias de búsqueda_de_información_usando_google-29-ago-2011
Estrategias de búsqueda_de_información_usando_google-29-ago-2011
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
 
QR -CODES Una Breve Introducción
QR -CODES Una Breve IntroducciónQR -CODES Una Breve Introducción
QR -CODES Una Breve Introducción
 
HerramientasDigitales para la Prevención y Detección de Plagio
HerramientasDigitales para la Prevención y Detección de Plagio HerramientasDigitales para la Prevención y Detección de Plagio
HerramientasDigitales para la Prevención y Detección de Plagio
 
Herramientas para el Diseño de Exámenes en Línea
Herramientas para el Diseño de Exámenes en LíneaHerramientas para el Diseño de Exámenes en Línea
Herramientas para el Diseño de Exámenes en Línea
 
Seguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos ElectronicosSeguridad y Privacidad de Documentos Electronicos
Seguridad y Privacidad de Documentos Electronicos
 
Identidad digital
Identidad digitalIdentidad digital
Identidad digital
 
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...
Rol de los Educadores ante el Uso y la Seguridad de la Informaci'on a través ...
 
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...
El Reto de la Universidad 2.0: Reclutamiento y Retención de Estudiantes a tra...
 
Liderato
LideratoLiderato
Liderato
 
Como publicar su resume en Twitter
Como publicar su resume en TwitterComo publicar su resume en Twitter
Como publicar su resume en Twitter
 
Aspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina ModernaAspectos de Seguridad en Informática en la Oficina Moderna
Aspectos de Seguridad en Informática en la Oficina Moderna
 

Kürzlich hochgeladen

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 

Kürzlich hochgeladen (15)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 

¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?

  • 1. ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social? Universidad de Puerto Rico-Mayaguez Aury M. Curbelo-Ruiz, Ph.D, CCFI, CNDP, CMSP, Security +
  • 2. Aury M. Curbelo-Ruiz, Ph.D Certificaciones
  • 3. Definir que es ingeniería social Explicar cómo Defensas contra opera el ciclo de la ingeniería ingeniería social social Principios de ¿Por qué caen ingeniería social los clientes?
  • 4. Pregunta: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
  • 5.
  • 6. Walmat en Ohio-USA • 2010—Pasos para el “scam” – Un hombre llamó a la tienda ubicada en el estado de Ohio-USA. – Se hace pasar por empleado del servicio de TI. – Le indica al asociado de Walmart que NECESITA activa varias tarjetas de regalo “gift cards”.  Tambien le indica al asociado que le lea las tarjetas y los códigos de activación de cada una de ellas.  El asociado lo hace y se roban $11,000.00 en tarjetas de regalo.
  • 8. In a recent visit with the CEO of a security IT auditor in the banking and financial services industry, I asked what the hot audit services were that banks were requesting. Predictably, he said full- scale IT audits and internal/external penetration testing -- but he also mentioned a third highly requested audit service that he said would not have made the list several years ago: social engineering. http://www.enterpriseefficiency.com/author.asp?section_id=1093&doc_id= 231597
  • 9.
  • 10. ¿DONDE…? • ¿Donde se llevó a cabo a un operativo de Seguridad que costó entre seis y ocho millones de euros? – incluía veinte mil agentes, doscientos francotiradores, sellado de alcantarillas, corte de todo el centro de la ciudad durante dos días (calles, metro, autobuses), – vigilancia casa-por-casa de todo el recorrido durante meses, cierre del espacio aéreo, dos aviones cazas F-18 volando durante el evento y otros dos aviones AWACS prestados por la OTAN…. ¿DONDE…?
  • 11. Coronel Martínez Inglés y la Boda Real Según confirmó el militar al diario 'El País', logró acceder al templo, vestido con el uniforme de gala de coronel del Ejército de Tierra, sin invitación que mostrar y con un revólver bajo la guerrera. No tuvo que pasar ningún arco de seguridad. logró despistar todos los controles de seguridad..
  • 12. “La ingeniería social es la técnica más eficaz para hacerse con secretos celosamente protegidos, ya que no requiere de una sólida formación técnica, ni de grandes conocimientos sobre protocolos y sistemas operativos", dice el informe de ETEK.” "Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una buena dosis de sicología.” http://www.channelplanet.com/index.php?idcategoria=10126
  • 14. ¿Cómo me ¿Qué es la Ingeniería ¿Cómo saber si soy afecta?—al no ¿Cómo puedo social?—una disciplina victima de ataque validar las evitar la IS? – que consiste básicamente de IS?- cuando en sacarle datos a otra referencias ni validando las alguien nos pide persona sin que esta se seguir un protocolo identidades de de cuenta de que está que divulguemos de seguridad quienes solicitan revelando "información información sensible" y que podríamos ser información privilegiada o normalmente no lo haría cómplices de un confidencial. confidencial. crímen
  • 15. Importancia… • “La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
  • 16. ¿Por qué la Ingeniería Social es tan efectiva? • El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica. • Casi no se presta atención a la interacción máquina- persona. • Las personas son el eslabón más débil.
  • 17. ¿Por qué la Ingeniería Social es tan efectiva? (cont.) • ¿Por qué gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso? • Extremadamente difícil de detectar. – No existe IDS para “falta de sentido común” ó ignorancia.
  • 18.
  • 19. McAfee estimated that cybercrime costs corporations $1 trillion globally each year. http://news.cnet.com/8301-1009_3-10153858-83.html
  • 20. Características de un ingeniero(a) social
  • 21. Características de un ingeniero(a) social • Capacidad de socializar con facilidad. • Habilidad en el hablar. • Habilidad en el arte de persuación. • Sonar convincente. • Aparentar ser inofensivo. • Mantener un perfil bajo. • Sonreir siempre. • Tono de voz cómodo. http://www.social-engineer.org/how-tos/characteristics-of-an-effective-and-successful-social-engineer/
  • 22.
  • 23. El Ataque • Basado en rutas periféricas de persuasión: – Autoridad – Similitud – Reciprocidad – Compromiso y consistencia • Usa la emoción como una forma de distracción.
  • 24. Principios de Mitnick • Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados: – Todos los seres humanos quieren ayudar. – El primer movimiento es siempre de confianza hacia el otro. – No nos gusta decir No. – A todos nos gusta que nos alaben.
  • 25.
  • 26. Pasos para llevar a cabo el ataque Identificar a la Victima Salir Reconocimiento Obtener la Crear el escenario información Realizar el ataque
  • 27. ¿Por qué caen los clientes?
  • 28. ¿por qué caen los clientes? Total desconocimiento Falta de información accesible Falta de adiestramientos Pensamos que todo el mundo es bueno Actitud: a mi no me va a pasar
  • 29. Estudio de Caso: Lockheed Martin
  • 30. ¿Cómo se llevó a cabo el ataque a RSA? • Se envió un email a directivos de la empresa- con subject “2011 Recruitment Plan.” • El email contenía un fichero Excel (“2011 Recruitment Plan.xls”) que contenía un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto. Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy). Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés. Finalmente dan con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa. http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1aPfYDa33
  • 31. ¿Qué debemos aprender del ataque a Lockheed Martin? “No importa cómo de avanzado sea un sistema defensivo, todo lo que necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o eludir una suite de seguridad, y poner de rodillas a toda una organización.” http://www.malwarecity.es/blog/qu-debemos-aprender-del-ataque-a-lockheed-martin-99.html
  • 32. La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
  • 33. El sentido común no es nada común. Voltaire (1694-1778) Filósofo y escritor francés
  • 34. Medidas de prevención y protección • Aceptar: – que la facilidad de un ataque es alta. – que controles… • Solamente técnicos • Controles administrativos/operacionales • Controles de medio ambiente tampoco servirán.
  • 35. Medidas de prevención y protección • Aceptar que se necesita una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos). • Se recomienda lo siguiente: – Tecnología – Políticas – Educación – Divulgación – Entrenamiento
  • 36. Creando una cultura de seguridad • No se debe ignorar la interacción persona-maquina • Necesitan reconocer los “trucos” • La seguridad de la información es un problema de hardware, software, firmware y peopleware • La mejor defensa: Educación combinada con tecnología.
  • 37. Creando una cultura de seguridad • Todos los clientes/empleados deben tener una actitud hacia la seguridad y cuestionar las cosas. • Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque. • Se debe notificar a los involucrados.
  • 38. Bancos que han integrado temas de Ingeniería social en sus portales
  • 45. Resumen • Las Instituciones financieras tienen la responsabilidad corporativa de participar activamente en la educación de sus clientes en áreas relacionadas a la seguridad en informática. • La educación, adiestramientos, talleres y campañas de promoción son la clave para prevenir ataques de IS. • Promover una cultura de seguridad en informática debe ser una prioridad financiera.
  • 46. Preguntas Dra. Aury M. Curbelo acurbelo@gmail.com http://acurbelo.org/blogs Twitter: http://twitter.com/acurbelo Slideshare: http://slideshare.net/acurbelo Facebook: http://facebook.com/acurbeloruiz

Hinweis der Redaktion

  1. El famoso coronel ya retirado Amadeo Martínez Inglés logro infiltrarse en la Catedral en plena Boda con un arma en la cintura y su traje de militar burlando seis controles de seguridad con sólo saludar amablemente a los oficiales y sin poseer ninguna credencial o invitación para ello. Esto fue una excelente demostración de un grave fallo de los servicios de Seguridad de la Casa Real, teniendo en cuenta que sólo le tomo ocho minutos atravesar seis controles de seguridad a lo largo del recorrido.