¿por qué los clientes entregan información confidencial, caen en engaños o en acciones de...
DESCRIPTION
A través de está presentación se discutirán los temas sobre que es ingeniería social (IS), como opera el ciclo de IS, principios de la IS, defensas en contra de la IS, y por que caenTRANSCRIPT
![Page 1: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/1.jpg)
¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de
ingeniería social?
Universidad de Puerto Rico-MayaguezAury M. Curbelo-Ruiz, Ph.D, CCFI, CNDP, CMSP, Security +
![Page 2: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/2.jpg)
CertificacionesAury M. Curbelo-Ruiz, Ph.D
![Page 3: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/3.jpg)
Definir que es ingeniería social
Explicar cómo opera el ciclo de ingeniería social
Principios de ingeniería social
¿Por qué caen los clientes?
Defensas contra la ingeniería
social
AGENDA
![Page 4: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/4.jpg)
Pregunta: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?
![Page 5: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/5.jpg)
Respuesta:
IGNORANCIAFALTA DE CONOCIMIENTO
TODO EL MUNDO ES BUENO
![Page 6: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/6.jpg)
Walmat en Ohio-USA
• 2010—Pasos para el “scam”– Un hombre llamó a la tienda
ubicada en el estado de Ohio-USA.– Se hace pasar por empleado del
servicio de TI.– Le indica al asociado de Walmart
que NECESITA activa varias tarjetas de regalo “gift cards”.
Tambien le indica al asociado que le lea las tarjetas y los códigos de activación de cada una de ellas. El asociado lo hace y se roban $11,000.00 en tarjetas de regalo.
![Page 7: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/7.jpg)
http://www.avg.com.au/news/avg_smb_social_engineering_deceiving_people_not_machines/
![Page 8: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/8.jpg)
http://www.enterpriseefficiency.com/author.asp?section_id=1093&doc_id=231597
In a recent visit with the CEO of a security IT auditor in the banking and financial services industry, I asked what the hot audit services were that banks were requesting. Predictably, he said full-scale IT audits and internal/external penetration testing -- but he also mentioned a third highly requested audit service that he said would not have made the list several years ago: social engineering.
![Page 9: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/9.jpg)
Método deIngeniería Social
![Page 10: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/10.jpg)
¿DONDE…?
• ¿Donde se llevó a cabo a un operativo de Seguridad que costó entre seis y ocho millones de euros?– incluía veinte mil agentes, doscientos francotiradores,
sellado de alcantarillas, corte de todo el centro de la ciudad durante dos días (calles, metro, autobuses),
– vigilancia casa-por-casa de todo el recorrido durante meses, cierre del espacio aéreo, dos aviones cazas F-18 volando durante el evento y otros dos aviones AWACS prestados por la OTAN….
¿DONDE…?
![Page 11: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/11.jpg)
Coronel Martínez Inglés y la Boda Real
logró despistar todos los controles de seguridad..
Según confirmó el militar al diario 'El País', logró acceder al templo, vestido con el uniforme de gala de coronel del Ejército de Tierra, sin invitación que mostrar y con un revólver bajo la guerrera. No tuvo que pasar ningún arco de seguridad.
![Page 12: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/12.jpg)
“La ingeniería social es la técnica más eficaz para hacerse con secretos celosamente protegidos, ya que no requiere de una sólida formación técnica, ni de grandes conocimientos sobre protocolos y sistemas operativos", dice el informe de ETEK.”
"Quienes practican la Ingeniería Social requieren solamente de astucia, paciencia y una buena dosis de sicología.”
http://www.channelplanet.com/index.php?idcategoria=10126
![Page 13: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/13.jpg)
Ejemplo
http://www.youtube.com/watch?v=cQtQg--PB0k
![Page 14: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/14.jpg)
¿Qué es la Ingeniería social?—una disciplina
que consiste básicamente en sacarle datos a otra persona sin que esta se de cuenta de que está
revelando "información sensible" y que
normalmente no lo haría
¿Cómo me afecta?—al no validar las
referencias ni seguir un protocolo
de seguridad podríamos ser
cómplices de un crímen
¿Cómo saber si soy victima de ataque
de IS?- cuando alguien nos pide que divulguemos
información privilegiada o confidencial.
¿Cómo puedo evitar la IS? – validando las
identidades de quienes solicitan
información confidencial.
![Page 15: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/15.jpg)
Importancia…
• “La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
NO
![Page 16: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/16.jpg)
¿Por qué la Ingeniería Social es tan efectiva?
• El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica.
• Casi no se presta atención a la interacción máquina-persona.
• Las personas son el eslabón más débil.
![Page 17: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/17.jpg)
¿Por qué la Ingeniería Social es tan efectiva? (cont.)
• ¿Por qué gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?
• Extremadamente difícil de detectar.– No existe IDS para “falta de sentido común” ó
ignorancia.
![Page 18: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/18.jpg)
Brechas de Información
Consecuencias
![Page 19: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/19.jpg)
http://news.cnet.com/8301-1009_3-10153858-83.html
McAfee estimated that cybercrime costs corporations $1 trillion globally each year.
![Page 20: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/20.jpg)
Características de un ingeniero(a) social
![Page 21: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/21.jpg)
Características de un ingeniero(a) social• Capacidad de socializar con facilidad.• Habilidad en el hablar.• Habilidad en el arte de persuación.• Sonar convincente.• Aparentar ser inofensivo.• Mantener un perfil bajo.• Sonreir siempre.• Tono de voz cómodo.
http://www.social-engineer.org/how-tos/characteristics-of-an-effective-and-successful-social-engineer/
![Page 22: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/22.jpg)
Principios y fundamentos de la Ingeniería social
![Page 23: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/23.jpg)
El Ataque
• Basado en rutas periféricas de persuasión:– Autoridad– Similitud– Reciprocidad– Compromiso y consistencia
• Usa la emoción como una forma de distracción.
![Page 24: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/24.jpg)
Principios de Mitnick
• Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:– Todos los seres humanos quieren ayudar.– El primer movimiento es siempre de confianza
hacia el otro.– No nos gusta decir No.– A todos nos gusta que nos alaben.
![Page 25: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/25.jpg)
Pasos para llevar a cabo la Ingeniería Social
![Page 26: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/26.jpg)
Pasos para llevar a cabo el ataque
Identificar a la Victima
Reconocimiento
Crear el escenario
Realizar el ataque
Obtener la información
Salir
![Page 27: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/27.jpg)
¿Por qué caen los clientes?
![Page 28: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/28.jpg)
Total desconocimiento
Falta de adiestramientos
Pensamos que todo el mundo es bueno
Falta de información accesible
Actitud: a mi no me va a pasar
¿por qué caen los clientes?
![Page 29: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/29.jpg)
Estudio de Caso: Lockheed Martin
![Page 30: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/30.jpg)
¿Cómo se llevó a cabo el ataque a RSA?
• Se envió un email a directivos de la empresa- con subject “2011 Recruitment Plan.”
• El email contenía un fichero Excel (“2011 Recruitment Plan.xls”) que contenía un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto.
Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto (una variante de Poison Ivy).Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés.Finalmente dan con las “joyas de la corona” de RSA, los ficheros “semilla” para los tokens de One-Time Password que RSA comercializa.
http://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html#axzz1aPfYDa33
![Page 31: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/31.jpg)
¿Qué debemos aprender del ataque a Lockheed Martin?
“No importa cómo de avanzado sea un sistema defensivo, todo lo que necesita el ciberdelincuente es un mecanismo perfeccionado de ingeniería social y algunos usuarios crédulos. Esto basta para eludir los filtros de spam o eludir una suite de seguridad, y poner de rodillas a toda una organización.”
http://www.malwarecity.es/blog/qu-debemos-aprender-del-ataque-a-lockheed-martin-99.html
![Page 32: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/32.jpg)
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común.
![Page 33: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/33.jpg)
El sentido común no es nada común.
Voltaire (1694-1778) Filósofo y escritor francés
![Page 34: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/34.jpg)
Medidas de prevención y protección
• Aceptar:– que la facilidad de un ataque es alta.– que controles…
• Solamente técnicos • Controles administrativos/operacionales • Controles de medio ambiente tampoco servirán.
![Page 35: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/35.jpg)
• Aceptar que se necesita una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos).
• Se recomienda lo siguiente:– Tecnología– Políticas– Educación– Divulgación– Entrenamiento
Medidas de prevención y protección
![Page 36: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/36.jpg)
Creando una cultura de seguridad
• No se debe ignorar la interacción persona-maquina• Necesitan reconocer los “trucos”• La seguridad de la información es un problema de
hardware, software, firmware y peopleware• La mejor defensa: Educación combinada con
tecnología.
![Page 37: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/37.jpg)
• Todos los clientes/empleados deben tener una actitud hacia la seguridad y cuestionar las cosas.
• Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque.
• Se debe notificar a los involucrados.
Creando una cultura de seguridad
![Page 38: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/38.jpg)
Bancos que han integrado temas de Ingeniería social en sus portales
![Page 39: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/39.jpg)
http://www.visasecuritysense.com/en_CA/fraud-news.jsp
![Page 40: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/40.jpg)
http://www.barclays.co.uk/Helpsupport/Onlinefraud/P1242560035928
![Page 41: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/41.jpg)
https://www.santander.com.co/portal/secciones/BSCH/HOME/HERRAMIENTAS/PERSONAS/SEGURIDAD/seccion_HTML.jsp
![Page 43: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/43.jpg)
http://www.welcomebanking.com/content.aspx?id=8589934965
![Page 44: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/44.jpg)
AT&T adiestramiento
http://www.youtube.com/watch?v=wxALOksX1us
![Page 45: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/45.jpg)
Resumen
• Las Instituciones financieras tienen la responsabilidad corporativa de participar activamente en la educación de sus clientes en áreas relacionadas a la seguridad en informática.
• La educación, adiestramientos, talleres y campañas de promoción son la clave para prevenir ataques de IS.
• Promover una cultura de seguridad en informática debe ser una prioridad financiera.
![Page 46: ¿Por qué los clientes entregan información confidencial, caen en engaños o en acciones de ingeniería social?](https://reader037.vdocuments.co/reader037/viewer/2022110120/557ab883d8b42ad81b8b4891/html5/thumbnails/46.jpg)
Preguntas
Dra. Aury M. [email protected]
http://acurbelo.org/blogs Twitter: http://twitter.com/acurbelo
Slideshare: http://slideshare.net/acurbeloFacebook: http://facebook.com/acurbeloruiz