Ingeniería Social

¿Qué es?

Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Principios

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

1. Todos queremos ayudar

2. el primer movimiento es siempre de confianza hacia otro

3. No nos gusta decir NO

4. A todos nos gusta que nos Alaben.

Historia

El principio que sustenta la ingeniería social es que los usuarios “son el eslabón débil”. Un ingeniero social usará el teléfono o internet para engañar a la gente. También por internet se envían solicitudes para renovar permisos de accesos o inclusive las cadenas para obtener información sensible o violar las políticas de seguridad. Con este método se aprovechan de la tendencia natural de la gente a reaccionar de manera predecible a ciertas situaciones.

Los perfiles de usuarios son:

Usuarios confiadosUsuarios desconfiados que no razonanUsuarios desconfiados que razonan.

Técnicas de Ingeniería Social

Técnicas

Las técnicas de Ingeniería Social, a nivel método de acción sobre los usuarios, están dividas en categorías que se caracterizan por el grado de interacción que se tiene con la persona dueña de la información a conseguir.

Tipo de técnicas, según el nivel de interacción del ingeniero social:

Técnicas Pasivas

Técnicas No Presenciales

Técnicas Presenciales no Agresivas

Técnicas Pasivas: que se basan simplemente (lo que no implica que sea fácil) en la Observación de las acciones de esa persona. Lo principal es que cada caso es diferente, y por lo tanto cada desenvolvimiento del experto está supeditado al ambiente, naturaleza y contexto en el que la información a conseguir se mueva

Técnicas no presenciales:

No presenciales, donde a través de medios de comunicación como Carta, Correo electrónico, teléfono y otros se intenta obtener información útil según el caso.

Técnicas presenciales no agresivas:

Técnicas presencias no agresivas incluyen seguimiento de personas, vigilancia de domicilios, inmersión en edificios, acceso a agendas y Dumpster Diving

Consejos para evitar ser victima de

Ingeniería Social

Nunca revelar por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.).Nunca hacer click en enlaces de una pagina web que llegue a través de un e-mail en el que piden datos personales Asegurarse de que la dirección de la pagina web es correcta y segura antes de ingresar con un usuario y claveInstalar un buen software de seguridad que incluya antivirus, antiphising, antispyware, antimalware para minimizar los riesgos en su ordenador.

Utilizar el sentido común y pregúntese siempre que reciba un mensaje o llamada sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que le solicitanPrestar atención a los URL de sitios web que utiliza un dominio webProporcionar capacitación al personal de la empresa con el fin de prevención e identificación de ataques de ingeniería social.

Ejemplos

1. Caso No. 1 -

Phishing

Phishing

Tipos de phishing

Consejos

¿Qué son los troyanos?1. Es un programa que bajo

una apariencia inofensiva y útil para el usuario se inserta en un ordenador, y permite que usuarios externos accedan a la información contenida o controlen de forma remota el equipo2. Los troyanos son creados para obtener información privilegiada de la máquina anfitriona

3. No se reproducen

Ejemplo

Se utiliza la ingeniería social cuando se descarga un programa de Internet pensado que es un antivirus para el ordenador y de esta forma estar a salvo de posibles amenazas. Al ejecutar el programa la computadora es infectada por un troyano

¿Por qué caen las personas en estas

trampas?Total desconocimiento del tema No se puede reconocer un ataque de ingeniería social, porque ni siquiera se reconoce el término, mucho menos se podrá identificar quién es un ingeniero social y por qué se hacen las preguntas para obtener información Falta de información accesible

No se encuentra información accesible, clara y específica sobre esta disciplina ya que la misma forma parte de un cuerpo de integrado del tema de seguridad en informática. Aunque en otros ya se ha estudiado como una disciplina aparte y hasta se ha creado un estudio sobre la misma, aún la ingeniería social es considerada una herramienta más para hacking y otros.

¿Por qué caen las personas en estas

trampas?Falta de adiestramientos La falta de adiestramientos es la variable más común en la lucha por la prevención e identificación de ataques de ingeniería social. Si no se capacita a la fuerza laboral sobre estos temas las empresas seguirán siendo víctimas de estos ataques.

Actitud: “A mí no me va a pasar”Esta actitud refleja la negación de muchas empresas a invertir en adiestramientos y en contramedidas para atacar la ingeniería social en el área laboral. Esta negación a capacitar al personal no técnico así como al técnico se ha traducido en cientos de miles de pérdidas anuales por la fuga de información.

https://www.youtube.com/watch?v=d6zaGDXmVa4&feature=youtu.be

GRACIAS!!!