SlideShare una empresa de Scribd logo

Conceptos Básicos de la Ingeniería Social

Descargar como PPTX, PDF
F
ferdinando1994

La ingeniería social explota la manipulación psicológica para generar que los individuos revelen información sensible y es considerada una de las principales amenazas a la seguridad de la información en las organizaciones. Los atacantes pueden ser empleados descontentos, ciberdelincuentes o estafadores, y su éxito radica en la habilidad de convencer a las personas para que actúen en beneficio de los atacantes. La conclusión destaca que la seguridad de la información es un proceso cultural que requiere de controles adecuados para minimizar el riesgo representado por los usuarios.

Ingeniería
1 de 26
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Ingeniería Social Ing. Flores Aguilar Luis Geovanni
Introducción “Los usuarios son el eslabón débil” 2 Información Es uno de los activos más valiosos para las organizaciones. Las instituciones buscan la manera de implementar controles de seguridad para proteger su información. Hay un recurso inseguro que almacena información muy sensible: la mente humana. Por olvido o por el reto que implica asegurar la información dentro de las cabezas de sus empleados, las organizaciones no le prestan mucha atención a este aspecto
Conceptos Básicos Ventajas Le permite a un atacante burlar toda una infraestructura de seguridad perimetral en cuanto a hardware y software para extraer información confidencial, atacar una organización desde dentro. ¿Qué es ingeniería social? “Es mentir a la gente para obtener información”. “Es manipular para que alguien haga o diga algo” “Es ser un buen actor”. “Es saber cómo conseguir cosas gratis”. “Es la técnica más usada para el hackeo de humanos” 3
Conceptos Básicos Definición Es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente. Y así éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. 4
Objetivos ● Un ingeniero social debe realizar una investigación a fondo del personal de la empresa evitando los sistemas de seguridad de la red, simplemente manipulando a los empleados para que revelen información sensible. ● El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema. ● El usuario es llevado a confiar la información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. 5
¿Cómo piensan los ingenieros sociales? 6 Insider (Empleado o exempleado): ● Alto nivel de confianza en la empresa ● Conoce a detalle los sistemas de la empresa Motivaciones: ● Venganza por problemas laborales o personales con algún compañero ● Ve la oportunidad de vender secretos de la empresa a los competidores Es un perfil muy común en todo el mundo y se creé que es la causa del 80% de las filtraciones de información delicada de las empresas.
Ciberdelincuente: ● Muy alto conocimiento técnico en técnicas de hacking tradicionales y avanzados. Hackers éticos: ● Analistas y consultores de seguridad, además de pentesters. ● Auditorías perimetrales de la red y sistemas de la empresa que contrata sus servicios ● Prueban todo tipo de ataques y proporcionan un informe detallado. ● Trabajan bajo el margen de la ley ● No tienen intención de dañar a la empresa. 7
Estafadores: ● Usan de forma consciente sus habilidades sociales para convencer a las personas a realizar o dar algo en su beneficio. ● Son personas muy ambicio$a$ ● Sabe que a la gente no le gusta decir que no. ● Sabe que a las personas les gusta ayudar o les hace creer que están ayudando. 8
Espias: ● Trabaja para una entidad gubernamental o privada. ● Su objetivo es conocer e informar a quien le está pagando por su servicio ● Es capaz de infiltrarse en cualquier lugar. ● Es una persona que no levanta sospechas de sus actos. ● Es un experto en el borrado de sus huellas en caso de infiltrarse en un sistema. Motivación: ● El dinero (trabaja para quien le pague más) ● Ideología politica 9
Reclutadores o cazatalentos: ● Acceden a las redes sociales (Linkedin, Facebook y Twitter) para buscar información de un perfil específico de candidatos. ● Seleccionan a los que tienen una buena imagen digital. ● Les ofrecen puestos, sueldos o prestaciones por encima de los que le ofrece su trabajo actual. ●Convencen a los candidatos y le roban El talento a otra empresa. Motivación: ●Incrementar el valor intelectual de la Empresa para la que trabajan. 10
Phishing ¿Qué es? Consiste en enviar mensajes que suelen contener un link a páginas web aparentemente reales de las entidades citadas, pero que en realidad conduce a sitios falsos. ¿Cómo lo hacen? Se hace pasar por una persona o entidad de confianza imitando el formato, el lenguaje y la imagen de entidades bancarias o financieras. 11
Etapa Primera Conseguir a los intermediarios mediante chats, foros y correos electrónicos. Etapa Segunda Los intermediarios intentan conseguir el mayor número de estafados, a través de la técnica del PHISHING. Etapa Tercera Traspasos en forma piramidal de las sumas de dinero. 12 Modelo de actuación del scam y phishing
Caso real Cierta empresa industrial consideraba que todo el mundo allí era parte de la “familia” y que no era necesario aplicar políticas de despido de empleados. Desgraciadamente llegó el día de despedir a uno de los directivos de más alto rango de esta empresa. El despido fue amigable y el directivo fue comprensivo. Una cosa que la empresa hizo correctamente fue llevar el despido a la última hora de la jornada para evitar el bochorno o cualquier tipo de distracción. 13
Hubo un apretón de manos y entonces el exdirectivo hizo la fatídica pregunta: ¿Puedo tomarme una hora para limpiar mi mesa y sacar algunas fotos personales del computador? Al tener buenas sensaciones después de la reunión todos estuvieron rápidamente de acuerdo y se fueron entre alegres sonrisas. 14
Entonces el exdirectivo se fue a su despacho, empaquetó sus objetos personales, sacó las fotos y otros datos de su computador, se conectó a la red y limpió el equivalente a 11 servidores en información: registros de contabilidad, nóminas, facturas, órdenes, historiales, gráficos y mucho más, todo borrado en cuestión de minutos. El exdirectivo abandonó el edificio sin dejar pruebas de que él fue quien llevó a cabo este ataque. 15
En resumen Un empleado descontento al que se deja actuar libremente puede ser más devastador que un equipo de hackers decididos y experimentados. La pérdida estimada sólo en empresas de Estados Unidos por robos de empleados es del orden de 15.000 millones de dólares. 16
Tipos de ataques 17 Psicosocial Lógico Físico
Nivel Físico 18 A t a q u e c a r a a c a r a Ataque vía correo postal Ataque vía SM S Ataque por teléfono A t a q u e v í a I n t e r n e t Dumpster Diving o Trashing (Zambullida en la basura)
Nivel Psicosocial 19 Hackeo humano 01 Exploit de fam iliaridad 02 C r e a r u n a s i t u a c i ó n h o s t i l 03 Conseguir empleo en el mismo lugar 04 L e e r e l l e n g u a j e c o r p o r a l 05 Explotar la sexualidad
Pensando como el atacante ➢ Seleccionando una víctima ➢ 1, 2, 3, probando ➢ Haciéndonos "amigos" de la víctima ➢ Obteniendo información de contacto ➢ Realizando el ataque ➢ Matando varios pájaros de un solo tiro 20
Efectividad El Hacker Kevin Mitnick establece 4 principios comunes que aplican a todas las personas en general: ● Todos queremos ayudar ● Siempre, el primer movimiento hacia el otro, es de confianza ● Evitamos decir NO ● A todos nos gusta que nos alaben 21
Uno de los factores más aprovechados son las temáticas populares de actualidad. ESET Latinoamérica ha detectado que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas mediante campañas destinadas a usuarios de Latinoamérica: ● Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo entradas para asistir a los partidos de la Copa. ● Alerta de terremoto en México: un email prometía imágenes satelitales que sólo descargan malware. ● ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet. ● Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modifica los archivos hosts de la computadora afectada para hacer redirecciones. ● Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del presidente de Panamá que descargaba un troyano. 22
Cómo evitar Ataques de ingeniería Social La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común. ¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y qué hacemos? Pues le damos nada a cambio de algo. Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por tanto a evitar ser víctima de este tipo de ataques : ● Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.). ● Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden datos personales. 23
● Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar dinero con facilidad. ● Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en una web datos de acceso, asegúrese de que la dirección de la web es correcta. ● No confíe en las direcciones de los remitentes de e-mail o en los identificadores del número llamante en el teléfono: pueden falsearse con suma facilidad. ● Instale en su ordenador un buen software de seguridad que incluya si es posible funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos. ● Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que le solicitan. 24
Serie de Netflix “Black Mirror” Temporada 3 Capitulo 3 “Shut up and dance” (Callate y 25
Conclusión La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar. 26

Más contenido relacionado

DOCX
Ingenieria social tema 2
JhonSalazar26
 
PPT
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
PDF
La ingenieria-social
Marcos Escorche
 
PDF
Tipos de hackers
Melaniatleta
 
PPTX
La ingeniería social el ataque informático más peligroso
Martín Pachetta
 
PPTX
Ac. 2
KARENLIZETH25
 
PPTX
Presentacion 01 marz
Marcelo Rodríguez
 
PDF
Revista informatica oriana gonzalez sede charallave
OrianaGonzalez42
 
Ingenieria social tema 2
JhonSalazar26
 
Ingenieria Social: Una tecnica no tan tecnica (PampaSeg 2010 - La Pampa, Arge...
Maximiliano Soler
 
La ingenieria-social
Marcos Escorche
 
Tipos de hackers
Melaniatleta
 
La ingeniería social el ataque informático más peligroso
Martín Pachetta
 
Ac. 2
KARENLIZETH25
 
Presentacion 01 marz
Marcelo Rodríguez
 
Revista informatica oriana gonzalez sede charallave
OrianaGonzalez42
 

Similar a Conceptos Básicos de la Ingeniería Social (20)

ODT
Seguridad en redes
Patrycia2302
 
PPTX
Ingeniería Social y Social Inversa
DavidCarril5
 
PPTX
Hacking, fraude online y seguridad informatica
Binaris, Escuela Digital Avanzada
 
PPTX
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
PPTX
Presentacion ingeniería social
Lily Diéguez
 
ODT
Ultimo
magdaperezpilo
 
PPTX
Ingeniería Social
Alexander Velasque Rimac
 
PDF
ingeniera social
Alex Pin
 
PDF
La Ingeniería Social
CAS-CHILE
 
PPS
INGENIERÍA SOCIAL
seminarioinformatica2
 
PPTX
Ingenieria social
seminarioinformatica2
 
PPT
Busqueda y Captura de Cibercriminales
Hacking Bolivia
 
PPT
Lluis Clopes - Modulo 1
Jleon Consultores
 
DOCX
Ing social
Alejandra Titila
 
PPTX
HACKING ÉTICO.pptx
AlanAbelTiconaFlores
 
PPT
Ingeniería de la seguridad
Julen08
 
PPTX
HACKER como evitar ser sorprendidos por hacker
VictorPerezSotelo
 
PPT
Seguridad en redes
cristinagarciamarin
 
PPT
Seguridad en redes
emmunozb01
 
ODS
Delitos Informáticos
Cristopher Dávila
 
Seguridad en redes
Patrycia2302
 
Ingeniería Social y Social Inversa
DavidCarril5
 
Hacking, fraude online y seguridad informatica
Binaris, Escuela Digital Avanzada
 
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Presentacion ingeniería social
Lily Diéguez
 
Ultimo
magdaperezpilo
 
Ingeniería Social
Alexander Velasque Rimac
 
ingeniera social
Alex Pin
 
La Ingeniería Social
CAS-CHILE
 
INGENIERÍA SOCIAL
seminarioinformatica2
 
Ingenieria social
seminarioinformatica2
 
Busqueda y Captura de Cibercriminales
Hacking Bolivia
 
Lluis Clopes - Modulo 1
Jleon Consultores
 
Ing social
Alejandra Titila
 
HACKING ÉTICO.pptx
AlanAbelTiconaFlores
 
Ingeniería de la seguridad
Julen08
 
HACKER como evitar ser sorprendidos por hacker
VictorPerezSotelo
 
Seguridad en redes
cristinagarciamarin
 
Seguridad en redes
emmunozb01
 
Delitos Informáticos
Cristopher Dávila
 
Publicidad

Último (20)

PDF
Sugerencias Didacticas 2023_Diseño de Estructuras Metalicas_digital.pdf
ParaVerPeliculas
 
PPTX
Manual ISO9001_2015_IATF_16949_2016.pptx
AndresJuarez52
 
DOCX
Cumplimiento normativo y realidad laboral
espinocristhian
 
PDF
Durabilidad del concreto en zonas costeras
lorenasantos726612
 
PDF
Primera formulación de cargos de la SEC en contra del CEN
Alexis Muñoz González
 
PPTX
MARITIMO Y LESGILACION DEL MACO TRANSPORTE
74965302
 
PDF
Sustitucion_del_maiz_por_harina_integral_de_zapall.pdf
keyerlin1
 
PDF
fulguracion-medicina-legal-418035-downloable-2634665.pdf lesiones por descarg...
ROSARIOGUTIERREZBENI1
 
PPTX
OPERACION DE MONTACARGAS maneji seguro de
moisescruzrangel
 
PPTX
CAPACITACIÓN DE USO ADECUADO DE EPP.pptx
AlmendraQuispe
 
PPTX
clase MICROCONTROLADORES ago-dic 2019.pptx
ssuser3e05631
 
PDF
Informe Comision Investigadora Final distribución electrica años 2024 y 2025
Alexis Muñoz González
 
PPTX
Presentación - Taller interpretación iso 9001-Solutions consulting learning.pptx
AndresJuarez52
 
PDF
SISTEMAS DE PUESTA A TIERRA: Una introducción a los fundamentos de los sistem...
JohnyMoreno2
 
PDF
Curso Introductorio de Cristales Liquidos
GeorgeLuisColungaRam
 
PPTX
MODULO 2. METODOLOGIAS PARA ANALISIS DE RIESGOS 2da Parte.pptx
HectorCabezas15
 
PDF
FIJA NUEVO TEXTO DE LA ORDENANZA GENERAL DE LA LEY GENERAL DE URBANISMO Y CON...
FabiolaVeraPeralta1
 
PPT
Sustancias Peligrosas de empresas para su correcto manejo
ehscaslon
 
PPTX
Software para la educación instituciones superiores
AndyJoelCuchoCruz
 
DOC
informacion acerca de la crianza tecnificada de cerdos
DayanaCarolinaAP
 
Sugerencias Didacticas 2023_Diseño de Estructuras Metalicas_digital.pdf
ParaVerPeliculas
 
Manual ISO9001_2015_IATF_16949_2016.pptx
AndresJuarez52
 
Cumplimiento normativo y realidad laboral
espinocristhian
 
Durabilidad del concreto en zonas costeras
lorenasantos726612
 
Primera formulación de cargos de la SEC en contra del CEN
Alexis Muñoz González
 
MARITIMO Y LESGILACION DEL MACO TRANSPORTE
74965302
 
Sustitucion_del_maiz_por_harina_integral_de_zapall.pdf
keyerlin1
 
fulguracion-medicina-legal-418035-downloable-2634665.pdf lesiones por descarg...
ROSARIOGUTIERREZBENI1
 
OPERACION DE MONTACARGAS maneji seguro de
moisescruzrangel
 
CAPACITACIÓN DE USO ADECUADO DE EPP.pptx
AlmendraQuispe
 
clase MICROCONTROLADORES ago-dic 2019.pptx
ssuser3e05631
 
Informe Comision Investigadora Final distribución electrica años 2024 y 2025
Alexis Muñoz González
 
Presentación - Taller interpretación iso 9001-Solutions consulting learning.pptx
AndresJuarez52
 
SISTEMAS DE PUESTA A TIERRA: Una introducción a los fundamentos de los sistem...
JohnyMoreno2
 
Curso Introductorio de Cristales Liquidos
GeorgeLuisColungaRam
 
MODULO 2. METODOLOGIAS PARA ANALISIS DE RIESGOS 2da Parte.pptx
HectorCabezas15
 
FIJA NUEVO TEXTO DE LA ORDENANZA GENERAL DE LA LEY GENERAL DE URBANISMO Y CON...
FabiolaVeraPeralta1
 
Sustancias Peligrosas de empresas para su correcto manejo
ehscaslon
 
Software para la educación instituciones superiores
AndyJoelCuchoCruz
 
informacion acerca de la crianza tecnificada de cerdos
DayanaCarolinaAP
 
Publicidad

Conceptos Básicos de la Ingeniería Social

  • 2. Introducción “Los usuarios son el eslabón débil” 2 Información Es uno de los activos más valiosos para las organizaciones. Las instituciones buscan la manera de implementar controles de seguridad para proteger su información. Hay un recurso inseguro que almacena información muy sensible: la mente humana. Por olvido o por el reto que implica asegurar la información dentro de las cabezas de sus empleados, las organizaciones no le prestan mucha atención a este aspecto
  • 3. Conceptos Básicos Ventajas Le permite a un atacante burlar toda una infraestructura de seguridad perimetral en cuanto a hardware y software para extraer información confidencial, atacar una organización desde dentro. ¿Qué es ingeniería social? “Es mentir a la gente para obtener información”. “Es manipular para que alguien haga o diga algo” “Es ser un buen actor”. “Es saber cómo conseguir cosas gratis”. “Es la técnica más usada para el hackeo de humanos” 3
  • 4. Conceptos Básicos Definición Es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente. Y así éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. 4
  • 5. Objetivos ● Un ingeniero social debe realizar una investigación a fondo del personal de la empresa evitando los sistemas de seguridad de la red, simplemente manipulando a los empleados para que revelen información sensible. ● El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema. ● El usuario es llevado a confiar la información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. 5
  • 6. ¿Cómo piensan los ingenieros sociales? 6 Insider (Empleado o exempleado): ● Alto nivel de confianza en la empresa ● Conoce a detalle los sistemas de la empresa Motivaciones: ● Venganza por problemas laborales o personales con algún compañero ● Ve la oportunidad de vender secretos de la empresa a los competidores Es un perfil muy común en todo el mundo y se creé que es la causa del 80% de las filtraciones de información delicada de las empresas.
  • 7. Ciberdelincuente: ● Muy alto conocimiento técnico en técnicas de hacking tradicionales y avanzados. Hackers éticos: ● Analistas y consultores de seguridad, además de pentesters. ● Auditorías perimetrales de la red y sistemas de la empresa que contrata sus servicios ● Prueban todo tipo de ataques y proporcionan un informe detallado. ● Trabajan bajo el margen de la ley ● No tienen intención de dañar a la empresa. 7
  • 8. Estafadores: ● Usan de forma consciente sus habilidades sociales para convencer a las personas a realizar o dar algo en su beneficio. ● Son personas muy ambicio$a$ ● Sabe que a la gente no le gusta decir que no. ● Sabe que a las personas les gusta ayudar o les hace creer que están ayudando. 8
  • 9. Espias: ● Trabaja para una entidad gubernamental o privada. ● Su objetivo es conocer e informar a quien le está pagando por su servicio ● Es capaz de infiltrarse en cualquier lugar. ● Es una persona que no levanta sospechas de sus actos. ● Es un experto en el borrado de sus huellas en caso de infiltrarse en un sistema. Motivación: ● El dinero (trabaja para quien le pague más) ● Ideología politica 9
  • 10. Reclutadores o cazatalentos: ● Acceden a las redes sociales (Linkedin, Facebook y Twitter) para buscar información de un perfil específico de candidatos. ● Seleccionan a los que tienen una buena imagen digital. ● Les ofrecen puestos, sueldos o prestaciones por encima de los que le ofrece su trabajo actual. ●Convencen a los candidatos y le roban El talento a otra empresa. Motivación: ●Incrementar el valor intelectual de la Empresa para la que trabajan. 10
  • 11. Phishing ¿Qué es? Consiste en enviar mensajes que suelen contener un link a páginas web aparentemente reales de las entidades citadas, pero que en realidad conduce a sitios falsos. ¿Cómo lo hacen? Se hace pasar por una persona o entidad de confianza imitando el formato, el lenguaje y la imagen de entidades bancarias o financieras. 11
  • 12. Etapa Primera Conseguir a los intermediarios mediante chats, foros y correos electrónicos. Etapa Segunda Los intermediarios intentan conseguir el mayor número de estafados, a través de la técnica del PHISHING. Etapa Tercera Traspasos en forma piramidal de las sumas de dinero. 12 Modelo de actuación del scam y phishing
  • 13. Caso real Cierta empresa industrial consideraba que todo el mundo allí era parte de la “familia” y que no era necesario aplicar políticas de despido de empleados. Desgraciadamente llegó el día de despedir a uno de los directivos de más alto rango de esta empresa. El despido fue amigable y el directivo fue comprensivo. Una cosa que la empresa hizo correctamente fue llevar el despido a la última hora de la jornada para evitar el bochorno o cualquier tipo de distracción. 13
  • 14. Hubo un apretón de manos y entonces el exdirectivo hizo la fatídica pregunta: ¿Puedo tomarme una hora para limpiar mi mesa y sacar algunas fotos personales del computador? Al tener buenas sensaciones después de la reunión todos estuvieron rápidamente de acuerdo y se fueron entre alegres sonrisas. 14
  • 15. Entonces el exdirectivo se fue a su despacho, empaquetó sus objetos personales, sacó las fotos y otros datos de su computador, se conectó a la red y limpió el equivalente a 11 servidores en información: registros de contabilidad, nóminas, facturas, órdenes, historiales, gráficos y mucho más, todo borrado en cuestión de minutos. El exdirectivo abandonó el edificio sin dejar pruebas de que él fue quien llevó a cabo este ataque. 15
  • 16. En resumen Un empleado descontento al que se deja actuar libremente puede ser más devastador que un equipo de hackers decididos y experimentados. La pérdida estimada sólo en empresas de Estados Unidos por robos de empleados es del orden de 15.000 millones de dólares. 16
  • 18. Nivel Físico 18 A t a q u e c a r a a c a r a Ataque vía correo postal Ataque vía SM S Ataque por teléfono A t a q u e v í a I n t e r n e t Dumpster Diving o Trashing (Zambullida en la basura)
  • 19. Nivel Psicosocial 19 Hackeo humano 01 Exploit de fam iliaridad 02 C r e a r u n a s i t u a c i ó n h o s t i l 03 Conseguir empleo en el mismo lugar 04 L e e r e l l e n g u a j e c o r p o r a l 05 Explotar la sexualidad
  • 20. Pensando como el atacante ➢ Seleccionando una víctima ➢ 1, 2, 3, probando ➢ Haciéndonos "amigos" de la víctima ➢ Obteniendo información de contacto ➢ Realizando el ataque ➢ Matando varios pájaros de un solo tiro 20
  • 21. Efectividad El Hacker Kevin Mitnick establece 4 principios comunes que aplican a todas las personas en general: ● Todos queremos ayudar ● Siempre, el primer movimiento hacia el otro, es de confianza ● Evitamos decir NO ● A todos nos gusta que nos alaben 21
  • 22. Uno de los factores más aprovechados son las temáticas populares de actualidad. ESET Latinoamérica ha detectado que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas mediante campañas destinadas a usuarios de Latinoamérica: ● Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo entradas para asistir a los partidos de la Copa. ● Alerta de terremoto en México: un email prometía imágenes satelitales que sólo descargan malware. ● ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet. ● Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modifica los archivos hosts de la computadora afectada para hacer redirecciones. ● Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del presidente de Panamá que descargaba un troyano. 22
  • 23. Cómo evitar Ataques de ingeniería Social La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común. ¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y qué hacemos? Pues le damos nada a cambio de algo. Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por tanto a evitar ser víctima de este tipo de ataques : ● Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.). ● Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden datos personales. 23
  • 24. ● Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar dinero con facilidad. ● Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en una web datos de acceso, asegúrese de que la dirección de la web es correcta. ● No confíe en las direcciones de los remitentes de e-mail o en los identificadores del número llamante en el teléfono: pueden falsearse con suma facilidad. ● Instale en su ordenador un buen software de seguridad que incluya si es posible funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos. ● Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que le solicitan. 24
  • 25. Serie de Netflix “Black Mirror” Temporada 3 Capitulo 3 “Shut up and dance” (Callate y 25
  • 26. Conclusión La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar. 26