universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/48832/1/b-cint-ptg... · 2020. 8....

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE

INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE

INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS”

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR (ES):

BERMÚDEZ REZABALA RONNY EDUARDO

MOREIRA VERA KEVIN ANDRÉS

TUTOR:

ING. IVETTE CARRERA MANOSALVAS, M.Sc.

GUAYAQUIL – ECUADOR

2020

X

x

X

x

X

X

X

REPOSITORIO NACIONAL EN CIENCIA TECNOLOGÍA

FICHA DE REGISTRO DE TRABAJO DE TITULACIÓN

TÍTULO Y SUBTÍTULO ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE

ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN

LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD

DE CIENCIAS MATEMÁTICAS Y FÍSICAS.

AUTOR(ES)

(apellidos/nombres):

BERMÚDEZ REZABALA RONNY EDUARDO MOREIRA VERA KEVIN ANDRÉS

REVISOR(ES)/TUTOR(ES)

(apellidos/nombres):

RAMÍREZ URBINA JACOBO ANTONIO CARRERA MANOSALVAS IVETTE KEMBELY

INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL

UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

MAESTRÍA/FACULTAD: INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

GRADO OBTENIDO : INGENIERO EN NETWORKING Y

TELECOMUNICACIONES

FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 187

ÁREAS TEMÁTICAS : SEGURIDAD INFORMÁTICA; DELITOS INFORMÁTICOS

PALABRAS CLAVES

/KEYWORDS:

ATAQUES INFORMÁTICOS, INGENIERÍA SOCIAL,

CIBERDELITOS, CIBERDELINCUENTES.

RESUMEN/ABSTRACT: El presente proyecto investigativo tiene como finalidad analizar las

incidencias de los ataques informáticos basado en Ingenieria social en los estudiantes de la

Carrera de Ingeniería Civil de la Facultad de Ciencias Matemáticas y Físicas, a través de la

recopilación de datos, casos de estudios y simulaciones en un ambiente controlado como

instrumentos necesarios para dar a conocer el impacto que estos ataques pueden ocasionar

en los estudiantes por la falta de conocimientos a estos ciberdelitos.

ADJUNTO PDF : SI NO

CONTACTO CON

AUTOR/ES:

Teléfono: 0999456226

Teléfono: 0985383569

E-mail:

[email protected]

E-mail:

[email protected]

CONTACTO CON LA

INSTITUCIÓN

Nombre:

Teléfono:

E-mail

mailto:[email protected]

mailto:[email protected]

III

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “ANÁLISIS DE LAS

INCIDENCIAS E IMPACTO DE ATAQUES DE INGENIERÍA SOCIAL O

CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS” elaborado por el

Sr. Bermúdez Rezabala Ronny Eduardo y el Sr. Moreira Vera Kevin Andrés,

Alumnos no titulados de la Carrera de Ingeniería en Networking y

Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de

la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero

en Networking y Telecomunicaciones, me permito declarar que luego de

haber orientado, estudiado y revisado, la Apruebo en todas sus partes.

Atentamente,

Ing. Ivette Carrera Manosalvas, MSc. TUTOR

IV

DEDICATORIA

Dedico esta tesis a cada miembro de mi Familia y a cada una de las personas que me han brindado su apoyo en el trayecto de mis estudios. En especial le dedico esta Tesis a mi Madre Norga Rezabala que siempre está en los momentos más complicado de mi existencia.


V

DEDICATORIA

A Dios por llenar mi existencia de bendiciones, sabiduría, paciencia y perseverancia ante cualquier dificultad en mi vida. A mis padres, Maritza Vera Benítez y Miguel Bajaña Navarrete por ser mi base fundamental y enseñarme los valores necesarios para forjarme como persona, además que son mi inspiración y de una u otra forma me acompañan en todos mis sueños y metas. A mis hermanas, Julissa Iliana Moreira Vera y Johanna Noemí Bajaña Vera por su amor constante y estar conmigo en todo momento de mi vida. A mi mejor amiga, Jenniffer Vásquez por su cariño y apoyo incondicional a lo largo de mi vida universitaria.


VI

AGRADECIMIENTO

Agradezco a Dios por la salud y sus bendiciones que nos brinda cada día. A mis padres por apoyarme a lo largo de mi camino y brindarme los estudios en esta vida, enseñándome sus valores, convirtiendo de mí en una persona de bien. Agradezco a mi hermano Andy Bermúdez por ayudarme con la parte inicial de mi Carrera Universitaria, a los buenos compañeros que brindaron su apoyo a lo largo de mi Carrera. A mi compañero de Tesis Kevin Moreira por ser una persona comprensiva y colaborativa dentro del proceso de esta tesis. A los Docentes que impartieron con responsabilidad sus cátedra y ayudaron a fórmame profesionalmente en especial a la tutora, Ing. Ivette Carrera Manosalvas, gracias a sus conocimientos en la materia que, con su aportación, dedicación y paciencia, ayudó a cumplir con todos los objetivos necesarios para

poder culminar esta tesis.


VII

AGRADECIMIENTO

Mi agradecimiento infinito a mis padres que con su esfuerzo y dedicación me ayudaron a culminar mi carrera universitaria y me dieron el apoyo total para no desfallecer cuando todo parecía imposible o complicado. Asimismo, agradezco a mis hermanas por su infinito amor y enseñanza, me daban las fuerzas necesarias para seguir avanzando a lo largo del camino. A mis amigos, con todos los que compartí dentro y fuera de las aulas, por su apoyo moral y contribuir a que pueda culminar con éxito la meta propuesta. A mi compañero de tesis, Ronny Bermúdez por su perseverancia y ayuda se hizo posible lograr todos los objetivos del proyecto Agradezco infinitamente a la carrera de Networking y Telecomunicaciones de la facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, en especial a mi tutora de tesis, la Ing. Ivette Carrera Manosalvas, por su paciencia, enseñanza y dedicación a esta investigación y ser parte de otro objetivo alcanzado.


VIII

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Fausto Cabrera Montes, M.Sc. DECANO DE LA FACULTAD CIENCIAS MATEMÁTICAS Y

FÍSICAS

Ing. Abel Alarcón Salvatierra, Mgs DIRECTOR DE LA CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

Ing. Jacobo Ramírez Urbina, M.Sc.

PROFESOR REVISOR TRIBUNAL

Nombre y Apellidos

PROFESOR DEL ÁREA TRIBUNAL

Ing. Ivette Carrera Manosalvas, M.Sc.

PROFESOR TUTOR DEL PROYECTO DE TITULACIÓN

Ab. Juan Chávez Atocha, Esp.

SECRETARIO (E) DE LA FACULTAD

IX

DECLARACIÓN DE AUTORÍA Y DE AUTORIZACIÓN DE LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO COMERCIAL DE LA OBRA CON FINES

NO ACADÉMICOS

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUCACIONES

LICENCIA GRATUITA INTRANSFERIBLE Y NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS

Nosotros, Bermúdez Rezabala Ronny Eduardo – Moreira Vera Kevin Andrés, con C.I. No. 0954373890 – 0951760230, certificamos que los contenidos desarrollados en este trabajo de titulación, cuyo título es “ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS” son de nuestra absoluta y responsabilidad, en conformidad al Artículo 114 del CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN, autorizamos la utilización de un licencia gratuita intransferible, para el uso no comercial de la presente obra a favor de la Universidad de Guayaquil.

Bermúdez Rezabala Ronny Eduardo Moreira Vera Kevin Andrés

C.I.:095437389-0 C.I.:095176023-0

X

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE

INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS

Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autor: BERMÚDEZ REZABALA RONNY EDUARDO

C.I. 0954373890

Tutor: ING. IVETTE CARRERA MANOSALVAS, MS.c

Guayaquil, junio del 2020

XI



ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE

INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS

Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autor: MOREIRA VERA KEVIN ANDRÉS

C.I. 0951760230

Tutor: ING. IVETTE CARRERA MANOSALVAS, M.Sc.


XII

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la

Universidad de Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por los

estudiantes Bermúdez Rezabala Ronny Eduardo y Moreira Vera Kevin

Andrés, como requisito previo para optar por el título de Ingeniero en

Networking y Telecomunicaciones cuyo título es:

“ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE

INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE

INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y

FÍSICAS”

Considero aprobado el trabajo en su totalidad.

Presentado por:

Bermúdez Rezabala Ronny Eduardo C.I.:095437389-0 Moreira Vera Kevin Andrés C.I.:095176023-0

Tutor: Ing. Ivette Carrera Manosalvas, MSc.


XIII



AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL

1. Identificación del Proyecto de Titulación

Nombre Alumno: Bermúdez Rezabala Ronny Eduardo

Dirección: Km 8.5 vía a Daule, Coop 8 de Mayo Mz 504 s21

Teléfono: 0999456226 E-mail: [email protected]

Nombre Alumno: Moreira Vera Kevin Andrés

Dirección: Los Vergeles Mz182 s23 c

Teléfono: 0985383569 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Proyecto de titulación al que opta: Ingeniería en Networking y Telecomunicaciones Profesor guía: Ing. Ivette Carrera Manosalvas,MSc.

Título del Proyecto de titulación: “ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS”

Palabras claves: Ataques Informáticos, Ingeniería Social, Ciberdelitos,

Ciberdelincuentes

XIV

2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:

Inmediata X Después de 1 año

Firma Alumno: Bermúdez Rezabala Ronny Eduardo Moreira Vera Kevin Andrés

C.I.:095437389-0 C.I.:095176023-0

3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM

XV

ÍNDICE GENERAL

APROBACIÓN DEL TUTOR ....................................................................III

DEDICATORIA ....................................................................................... IV

DEDICATORIA ........................................................................................ V

AGRADECIMIENTO ............................................................................... VI

AGRADECIMIENTO .............................................................................. VII

TRIBUNAL PROYECTO DE TITULACIÓN ........................................... VIII

DECLARACIÓN DE AUTORÍA Y DE AUTORIZACIÓN DE LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS ................. IX

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................... XII

AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL ................................................. XIII

ÍNDICE GENERAL ................................................................................ XV

ABREVIATURAS .................................................................................. XXI

SIMBOLOGÍA ...................................................................................... XXII

ÍNDICE DE CUADROS ....................................................................... XXIII

ÍNDICE DE GRÁFICOS ...................................................................... XXV

RESUMEN....................................................................................... XXVIII

ABSTRACT ....................................................................................... XXIX

INTRODUCCIÓN ......................................................................................1

CAPÍTULO I - PLANTEAMIENTO DEL PROBLEMA ..............................3

Ubicación del Problema en un Contexto ............................................3

Situación Conflicto Nudos Críticos ....................................................4

Delimitación del problema .................................................................7

Formulación del problema .................................................................8

Evaluación del problema ...................................................................8

OBJETIVOS ......................................................................................9

OBJETIVO GENERAL ..............................................................9

OBJETIVOS ESPECÍFICOS .....................................................9

ALCANCES DEL PROBLEMA ..........................................................9

JUSTIFICACIÓN E IMPORTANCIA ................................................10

METODOLOGÍA DEL PROYECTO .................................................11

XVI

CAPÍTULO II - MARCO TEÓRICO .........................................................13

ANTECEDENTES DEL ESTUDIO .....................................................13

FUNDAMENTACIÓN TEÓRICA ........................................................15

Seguridad informática ................................................................16

Dualismo de la seguridad informática ...................................17

Dualismo de la inseguridad informática .................................17

Seguridad de la información ........................................................18

Pilares de la seguridad de la información ..............................18

Ataque informático ......................................................................19

Fase de un ataque informático ..............................................19

Tipos de atacantes ................................................................21

Hackers ............................................................................21

Cracker .............................................................................21

Phreaker ...........................................................................21

Ciberdelincuente ...............................................................21

Script kiddie ......................................................................21

Sniffers .............................................................................21

Lamer ...............................................................................22

Vectores de ataques ...................................................................22

Vectores de ataques en redes ..............................................22

AP falso ............................................................................22

Spoofing ...........................................................................23

DDoS ................................................................................24

Sniffing .............................................................................24

Vectores de ataques host .....................................................25

Ingeniería social................................................................25

Técnicas de ingeniería social........................................26

Engaño Humano ......................................................26

Hunting .....................................................................26

Pharming ..................................................................26

Dumpster Diving .......................................................26

Vishing .....................................................................27

Pretexting .................................................................27

Correo Spam ............................................................27

XVII

Campañas de Extorsión .....................................28

Phishing ...................................................................28

Campañas de Phishing ......................................30

Fases del Phishing .............................................32

Malware ............................................................................33

Troyano ......................................................................34

Virus Informático.........................................................34

Gusanos .....................................................................34

Backdoors (puertas traseras) .....................................34

Keyloggers .................................................................34

Spyware .....................................................................34

Ransomware ..............................................................34

Inyección SQL ..................................................................34

Caso de estudio de Ingeniería social ......................................35

Herramientas de ataques ........................................................36

Kali Linux ..........................................................................36

The social- engineer toolkit (SET) ...............................37

Matelgo ......................................................................37

Metasploit ...................................................................39

Arquitectura y librerías de Metasploit ...................39

Herramientas en la plataforma de GitHub .........................40

Shellphish ...................................................................41

Gophish ......................................................................41

sAINT .........................................................................44

Herramienta DroidJack, ataques en dispositivo móviles ...44

Características de DroidJack ......................................45

Requisitos de DroidJack .............................................45

FUNDAMENTACIÓN LEGAL ............................................................46

HIPÓTESIS .......................................................................................48

VARIABLES DE LA INVESTIGACIÓN ..............................................48

DEFINICIONES CONCEPTUALES ...................................................49

CAPÍTULO III - METODOLOGÍA DE LA INVESTIGACIÓN ...................51

Modalidad de la Investigación ...........................................................51

Tipo de investigación ........................................................................51

XVIII

POBLACIÓN Y MUESTRA ................................................................52

OPERACIONALIZACIÓN DE VARIABLES ........................................55

Instrumentos de recolección de datos ...............................................56

La técnica ......................................................................................56

Documental ...................................................................................56

Lectura científica ...........................................................................56

Campo ..........................................................................................56

Instrumentos de la investigación .......................................................56

Encuesta .......................................................................................56

Cuestionario ..................................................................................57

Herramienta Google Drive .............................................................57

Recolección de la información ...........................................................57

Procesamiento y análisis ...................................................................58

Validación de análisis de datos .........................................................74

Mecanismos de ataques ....................................................................74

Desarrollo de escenarios ...............................................................75

Escenario 1 ...............................................................................75

Preparación y ejecución del escenario 1 (CASO REAL) .......75

Variaciones de este escenario ..............................................79

Simulación de phishing a través correo electrónico...............79

Diseño y elaboración del Phishing ........................................79

Ejecución de phishing a través de la herramienta Shellphish y Ngrok ....................................................................................81

Resultados de ejecución .......................................................83

Simulación 2 - Generador spyware–keylogger ......................86

Spyware a través de la herramienta sAINT ...........................86

Ejecución de ataque .............................................................90

Resultado del ataque ............................................................92

Análisis del impacto ..............................................................93

Escenario 2 ...............................................................................95

Verificación de dos pasos .....................................................95

Ataque de virus y malware ....................................................96

Caso de estudio: Espionaje a usuarios de WhatsApp ...........96

Análisis del impacto ..............................................................97

XIX

Escenario 3 ...............................................................................99

Preparación y ejecución del escenario 3 (CASO REAL) .......99

Variaciones del escenario ................................................... 102

Simulación Ataque en dispositivos móviles, mediante generadores de codigo Qr .................................................. 102

Ejecución de ataque ........................................................... 103

Resultados .......................................................................... 105

Ataque de Phishing por medio de código QR ...................... 107

Descarga de Malware por medio de código QR .................. 107

Caso de estudio: malware en aplicaciones Android ............ 107

Análisis del impacto ............................................................ 108

Escenario 4 ............................................................................. 109

Ataques por redes inalámbricas .......................................... 109

Simulación de ataque Mitm - capturar credenciales vía http110

Proceso y ejecución Mitm a través de la herramienta ettercap v-0.8.3 ................................................................................. 110

Análisis del impacto ............................................................ 115

CAPÍTULO IV - RESULTADOS, CONCLUSIONES Y RECOMENDACIONES......................................................................... 116

RESULTADOS ............................................................................... 116

CONCLUSIONES ............................................................................ 121

RECOMENDACIONES ................................................................... 123

BIBLIOGRAFÍA .................................................................................... 124

ANEXOS .............................................................................................. 127

Anexo 1: Estrategias para contrarrestar los ciberdelitos basados en Ingeniería social .............................................................................. 127

Capacitación ............................................................................. 127

Conceptualización ..................................................................... 128

Simulación ................................................................................ 128

Evaluación ................................................................................ 130

Poster x- banners ...................................................................... 136

Video explicativo ....................................................................... 137

Medidas de prevención ante los ciberdelitos basados en ingeniería social. ....................................................................... 138

Anexo 2: Cronograma del proyecto de titulación ............................. 140

XX

Anexo 3: Encuesta desde google forms .......................................... 142

Anexo 4: Tabulación de datos ......................................................... 145

Anexo 5: Encuesta de capacitación ................................................. 147

Anexo 6: Solicitudes de levantamiento de información .................... 148

Anexo 7: Solicitud para la charla de capacitación y colocación de poster x-banner ............................................................................... 151

Anexo 8: Coordinación con departamento de bienestar estudiantil . 152

Anexo 9: Solicitud de enfoque de video ........................................... 153

Anexo 10: Base de datos de los estudiantes ................................... 154

Anexo 11: Capacitaciones impartidas en los cursos ........................ 155

Anexo 12: Poster x-banner colocado en la FCMF ........................... 157

Anexo 13: Entrega del video al departamento de relaciones públicas de la Universidad de Guayaquil ....................................................... 158

XXI

ABREVIATURAS

UG Universidad de Guayaquil Ing. Ingeniería FCMF Facultad de Ciencias Matemáticas y Físicas ISP Proveedor de Servicio de Internet DNS Sistemas de nombres de dominios MITM. Hombre en el Medio URL Localizador de Fuente Uniforme SET The Social-Engineer Toolkit HTML Lenguaje de Marca de salida de Hyper Texto HTTP Protocolo de transferencia de Hyper Texto HTTPS Protocolo de transferencia de hipertexto Seguro

https://www.trustedsec.com/tools/the-social-engineer-toolkit-set/

https://www.trustedsec.com/tools/the-social-engineer-toolkit-set/

XXII

SIMBOLOGÍA

S Desviación estándar e Error E Espacio muestral E(Y) Esperanza matemática de la v.a. y s Estimador de la desviación estándar e Exponencial

XXIII

ÍNDICE DE CUADROS

Cuadro N.1 Causas y consecuencias del problema ..................................7

Cuadro N.2 Población de estudio ............................................................53

Cuadro N.3 Matriz de operacionalización de variables ............................55

Cuadro N.4 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................58




Cuadro N.8 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil - FCMF .......................................................................64


Cuadro N.10 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil - FCMF ...........................................................66

Cuadro N.11 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................68





Cuadro N.16 Análisis de las causas y consecuencias ........................... 117

Cuadro N.17 Impactos generales .......................................................... 119

Cuadro N.18 Seguimiento a los objetivos ............................................. 120

Cuadro N.19 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil - FCMF ........................... 131



XXIV


Cuadro N.23 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil – FCMF .......................... 135

Cuadro N.24 Presupuesto ..................................................................... 139

XXV

ÍNDICE DE GRÁFICOS

Gráfico 1: Denuncias de delitos informáticos ............................................5

Gráfico 2: Delitos informáticos ..................................................................6

Gráfico 3: Dualismo de la seguridad informática .....................................17

Gráfico 4: Dualismo de la inseguridad informática ..................................18

Gráfico 5: Pilares de la seguridad de la información ..............................19

Gráfico 6: Fase de un ataque informático ..............................................20

Gráfico 7: Ataque de un AP falso ............................................................23

Gráfico 8: Ataque de un Spoofing ...........................................................23

Gráfico 9: Ataque DDoS .........................................................................24

Gráfico 10: Ataque Sniffing .....................................................................24

Gráfico 11: Proceso de la Ingeniería social .............................................26

Gráfico 12: Característica de un correo spam .........................................27

Gráfico 13: Campañas de extorsión ........................................................28

Gráfico 14: Proceso de ataque Phishing .................................................29

Gráfico 15: Evolución del Phishing .........................................................30

Gráfico 16: Plataformas más usadas por los ciberdelincuentes ..............32

Gráfico 17: Tipos de malware .................................................................33

Gráfico 18: Sistema operativo Kali Linux ................................................36

Gráfico 19: Funcionamiento de SET .......................................................37

Gráfico 20: Funcionamiento de Matelgo .................................................38

Gráfico 21: Funcionamiento de Matelgo .................................................39

Gráfico 22: Arquitectura y librerías de Metasploit ....................................40

Gráfico 23: Interfaz de Shellphish ...........................................................41

Gráfico 24: Interfaz de Gophish ..............................................................42

Gráfico 25: Clonación de sitio web ..........................................................43

Gráfico 26: Control de campañas mediante gráficos estadísticos ...........43

Gráfico 27: Interfaz de sAINT .................................................................44

Gráfico 28: Interfaz de DroidJack ............................................................45

Gráfico 29: Conocimiento de Ingeniería social ........................................58

Gráfico 30: Conectividad a redes públicas ..............................................60

Gráfico 31: Actividad en la red ................................................................61

Gráfico 32: Descarga de programa .........................................................63

Gráfico 33: Notificaciones de dudosa procedencia .................................64

XXVI

Gráfico 34: Redes sociales más utilizada ...............................................65

Gráfico 35: Propósito de utilizar redes sociales ......................................67

Gráfico 36: Medios solicitados para campañas publicitarias ...................68

Gráfico 37: Edad de los encuestados .....................................................69

Gráfico 38: Proporción de información a campañas publicitarias ............70

Gráfico 39: Conocimiento de Phishing ....................................................71

Gráfico 40: Identificación una página web ..............................................72

Gráfico 41: Uso continuo de las contraseñas ..........................................73

Gráfico 42: Estructura de un escenario ...................................................75

Gráfico 43: Ataque simulado por vía correo electrónico ..........................76

Gráfico 44: Técnica de suplantación de identidad por vía correo electrónico ..............................................................................................77

Gráfico 45: Anzuelo para poder obtener los números telefónicos ...........78

Gráfico 46: Código de template de la página web falsa ..........................79

Gráfico 47: Template de Outlook ...........................................................80

Gráfico 48: Cuenta falsa ........................................................................81

Gráfico 49: Ejecución de phishing a través de la herramienta Shellphish ...............................................................................................................81

Gráfico 50: Ejecución de Ngrok .............................................................82

Gráfico 51: Interfaz de Shellphish ..........................................................83

Gráfico 52: Notificaciones de entrada del correo electrónico .................84

Gráfico 53: Robo de credenciales Outlook .............................................85

Gráfico 54: Robo de credenciales Outlook .............................................86

Gráfico 55: Instalación de repositorios de sAINT ...................................87

Gráfico 56: Interfaz de sAINT ................................................................87

Gráfico 57: Validación de datos en sAINT ..............................................88

Gráfico 58: Permisos de aplicación en Gmail.........................................89

Gráfico 59: Archivos ejecutable .............................................................89

Gráfico 60: Enlace directo de los archivos ejecutable ............................90

Gráfico 61: Mecanismo de Ingeniería social a través de correo electrónico ..............................................................................................91

Gráfico 62: Descarga del Spyware ........................................................91

Gráfico 63: Notificaciones de la víctima .................................................92

Gráfico 64: Espionaje de datos de la víctima .........................................92

Gráfico 65: Espionaje de credenciales ...................................................93

XXVII

Gráfico 66: Verificación de dos pasos ....................................................95

Gráfico 67: Volante escenario 3 ............................................................ 100

Gráfico 68: Test de ciberseguridad ....................................................... 100

Gráfico 69: Obtener datos a través de test ........................................... 101

Gráfico 70: Resultados de las personas que accedieron al test ............ 101

Gráfico 71: Preparación del ataque ...................................................... 102

Gráfico 72: Aplicación en Android generada ......................................... 103

Gráfico 73: Serie de ataque basada en Ingeniería social ...................... 104

Gráfico 74: Ejecución de un generador de código Qr ............................ 105

Gráfico 75: Apk infectada por supuesto juego de Android .................... 105

Gráfico 76: Ataque por apk infectado .................................................... 106

Gráfico 77: Ataque por apk infectado .................................................... 106

Gráfico 78: Aplicativos maliciosos Qr en Android .................................. 108

Gráfico 79: Esquema de ataque MITM ................................................. 110

Gráfico 80: Uso de Ettercap .................................................................. 111







Gráfico 87: Factores clave de la investigación ...................................... 127

Gráfico 88: Elementos de la capacitación ............................................. 128

Gráfico 89: Témplate de Netflix............................................................. 129

Gráfico 90: Correo Phishing .................................................................. 129

Gráfico 91: Campaña de phishing ......................................................... 130

Gráfico 92: Acceso mediante enlaces ................................................... 131

Gráfico 93: Ingreso de datos mediante sorteo ...................................... 132

Gráfico 94: Descarga de programas ..................................................... 133

Gráfico 95: Ingreso de información mediante WI-FI Pública ................. 134

Gráfico 96: Efectividad de la capacitación ............................................ 135

Gráfico 97: Diseño de poster ................................................................ 136

Gráfico 98: Video explicativo ................................................................ 137

XXVIII




“Análisis de las incidencias e impacto de ataques de Ingeniería social o

ciberdelitos en la Carrera de Ingeniería Civil de la Facultad de Ciencias

Matemáticas y Físicas”

RESUMEN

El presente proyecto investigativo tiene como finalidad analizar las incidencias de

los ataques informáticos basado en Ingeniería social en los estudiantes de la

Carrera de Ingeniería Civil de la Facultad de Ciencias Matemáticas y Físicas, a

través de la recopilación de datos, casos de estudios y simulaciones en un

ambiente controlado como instrumentos necesarios para dar a conocer el impacto

que estos ataques pueden ocasionar en los estudiantes por la falta de

conocimientos a estos ciberdelitos. Se hablará a detalle de los mecanismos,

técnicas y herramientas que los atacantes utilizan. Debido a la importancia de

este tema en la sociedad, se recomiendan estrategias de prevención a los

estudiantes de la Carrera de Ingeniería Civil ante estos posibles ataques

informáticos, dando a conocer la efectividad de esta logística mediante datos

estadísticos.

Palabras clave: Ataques Informáticos, Ingeniería Social, Ciberdelitos,

Ciberdelincuente.

Autor: Bermúdez Rezabala Ronny - Moreira Vera Kevin Tutor: Carrera Manosalvas Ivette Kembely

XXIX




“Analysis of the incidences and impact of social engineering attacks or

cybercrimes in the Civil Engineering Career of the Faculty of Mathematical

and Physical Sciences"

ABSTRACT

This research project aims to analyze the incidence of computer attacks based on

social engineering in students of the Civil Engineering Career in the Faculty of

Mathematics and Physics, through the collection of data, case studies and

simulations in a controlled environment as necessary tools to publicize the impact

that these attacks can cause in students due to lack of knowledge of these

cybercrimes. The mechanisms, techniques and tools used by the attackers will be

discussed in detail. Due to the importance of this topic in society, prevention

strategies are recommended to students of the Civil Engineering career in front of

these possible computer attacks, making known the effectiveness of this logistics

through statistical data

Keywords: Computer Attacks, Social Engineering, Cybercrime, Cyber criminal

Autor: Bermúdez Rezabala Ronny - Moreira Vera Kevin Tutor: Carrera Manosalvas Ivette Kembely

1

INTRODUCCIÓN

Actualmente, se vive pleno desarrollo tecnológico en el campo de las

comunicaciones y otras áreas permitiendo ampliar los mecanismos de

comunicación donde el ser humano juega un papel importante. Este desarrollo ha

provocado cambios sociológicos en las personas creando la necesidad de querer

siempre estar modernizado y conectados a internet.

El internet es una de las herramientas principales que se ha vuelto una

necesidad para el uso diario en cualquier comunidad del mundo a tal grado de:

almacenar e intercambiar información, comunicarnos por redes sociales y otras

multiplicidades de usos a conveniencia de cada persona etc.

Las redes sociales forman parte de la vida cotidiana de los seres humanos

gracias al libre acceso al internet ya que cualquier persona puede crear una cuenta

y modificar a su gusto su perfil sea real o ficticio, pudiendo hacer uso de la

comunicación brindada por esta herramienta para diversas actividades como la

interacción con su familia, amigos, compañeros de trabajo, además de un sin

números de personas que se encuentren registradas dentro de la misma u otra

plataforma.

El diario nacional EXTRA mencionó que el uso del internet y las redes sociales

poseen una gran acogida a nivel del país, existiendo el 79% de usuarios

registrados en el 2019. Sin embargo, el aumento de usuarios en las diferentes

plataformas que provee el internet los convierten en un blanco fácil a delitos

informáticos.

Sin embargo, en internet no todo es seguro ya que existen factores que pueden

amenazar la identidad y seguridad de los datos. Los usuario “siendo el eslabón

más debil” desconocen los tipos de ataques de IngenierÍa social más comunes

2

así como también los artículos de la Ley que integran el Código Penal del Ecuador,

publicado el 10 de agosto del año 2014, donde se tipifican delitos informáticos.

La Ley que integra el Código Penal donde no se ajusta abiertamente los delitos

incurrido a través de las redes sociales pero sí hacen referencia a los delitos

relacionados por medios de la red como son el: el phishing, robo de identidad,

las injurias, las calumnias, la extorción, el acoso, la publicación de pornografía,

la pedofilia, el grooming, difusión de malware, trata de blancas, sicariato, happy

slapping, la estafa (Obregón, Gomez, & López, 2017).

Tomando en cuenta la realidad, los ataques informáticos como Ingeniería

social siguen surgiendo en tiempos actuales con nuevos métodos y técnicas que

las personas desconocen por lo tanto como propuesta de trabajo en esta

investigación, se realizará un análisis de estos acontecimientos en los estudiantes

de la Facultad de Ciencias Matemáticas y Físicas en la Carrera de Ingeniería civil

para determinar los niveles de incidencias e impacto de estos ataques informáticos

estableciendo los conocimientos que esta población posee sobre estas amenazas.

3

CAPÍTULO I

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

La Ingeniería social es el arte del engaño con el propósito de interactuar con el

usuario para robar o sacar información personal muy cercana a un sistema, ya sea

una organización o institución. En otras palabras se define “Como una acción o

conducta social destinada a conseguir información de las personas cercanas a un

sistema” (Borghello, 2009, p.2).

Por lo tanto, la Ingeniería social sigue siendo un arma muy sigilosa y peligrosa

por lo que origina unas series de delitos informáticos utilizando señuelos, que a

simple descuido utilizan cualquier medio de comunicación para obtener la

información del usuario.

El desarrollo constante de nuevas tecnologías ha permitido que la cantidad de

información brindada a través de internet sea innumerable. Gracias a la necesidad

de estar interconectados con el mundo se han abierto nuevas brechas para

diferentes tipos de ataques, ya sea por redes sociales, correos u otras técnicas,

con el afán de conseguir la información y poder hacer uso lucrativo de los datos

extraídos del usuario atacado. Avogadro (2009) define los ciberdelitos: “Como las

actividades ilegales en las que intervienen medios electrónicos y nuevas

tecnologías” (p.1).

4

Jiménez (1996) indica que las redes sociales: “Son un portal web, que es un

espacio que ofrece acceso a una serie de recursos y servicios, éste puede incluir

enlaces, buscadores, foros, etc. para facilitar el acceso a la información” (p.17).

El internet posee huecos muy profundos en ámbitos de legislación, con un sin

números de desventajas, por lo que no se sabe ¿Cómo? ¿Cuándo? y ¿Dónde?

se estará expuestos a un ataque siendo beneficiados los delincuentes que cada

día buscan nuevos modus operandi para sobrepasar la seguridad informática.

Situación Conflicto Nudos Críticos

En la actualidad, los ciberdelitos se han realizado con mayor frecuencia dando

inicio a una nueva forma de delinquir desarrollando varios tipos de ataques en los

que se manipula a los usuarios para beneficio personal.

La Ingeniería social tiene como finalidad ganar la confianza del usuario para fines

maliciosos, ya sea por redes sociales, spam (correos no deseados) u otra técnica

infalible, con el afán de conseguir información y poder hacer uso lucrativo de los

datos extraído del usuario atacado.

En Ecuador, gran parte de la población tiene conectividad a internet según el

diario Extra redactó: El uso de Internet alcanzó una penetración del 79 % para

inicios del presente año, esto se traduce en que somos un promedio de 13.4

millones de usuarios de este servicio. ¿Y para qué lo usamos? Como era de

suponerse, para redes sociales: 12 millones de personas navegaron en alguna

red social y el dispositivo preferido fue el móvil, con un total de 11 millones de

usuarios (EXTRA, 2019).

Estas redes sociales son consideradas medios de comunicación siendo de gran

utilidad para fines personales, financieros, educativos entre otros. Las redes

sociales mas utilizadas son Facebook, Instagram, Twitter, Linkedin según el diario

Primicias, el cual menciona el índice de usuarios de las respectivas redes sociales

más usadas: Facebook posee 12 millones de usuarios, siendo la red social con

más perfiles creados en el país, superando a Twitter e Instagram con alrededor

5

de 8 millones en donde más del 50% de los usuarios son hombres. Twitter tiene 4

millones de usuarios registrados en donde el 67% de las cuentas pertenecen a

hombres entre 25 a 49 años. Instagram tiene 3,9 millones de perfiles en el país y

la mayoría de usuarios están entre los 18 y 34 años, la cual es una red social muy

gráfica, una especie de ‘álbum de fotos digital’. Linkedin cuenta con más de 2

millones de cuentas en el país., la cual es una red de tipo profesional, una especie

de hoja de vida digital (Rodríguez, 2019).

Según la información que provee el diario El telégrafo en el lapso de enero a

agosto del 2015: De los 1026 casos de delitos informáticos, 646 (más del 50%) se

realizaron utilizando el mecanismo de apropiación fraudulenta de correo.

Gráfico 1: Denuncias de delitos informáticos

Elaborado por: El Telégrafo, 2015 Fuente: https://www.eltelegrafo.com.ec/noticias/judicial/12/la-fiscalia-

creara-unidad-especial-para-combatir-ciberdelitos

Por otra parte, el diario El Telégrafo dio a conocer estadísticas sobre el

incremento de los ciberdelitos en el año 2016. (TELÉGRAFO, 2016) informó: Un

estudio elaborado por la Policía Nacional, Interpol, el centro de respuesta a

Incidentes Informáticos de Ecuador (Ecucert), con el soporte de organismos

similares de América Latina, indica que el 85% de los ataques a los sistemas

informáticos son causados por errores de los consumidores, quienes no toman

https://www.eltelegrafo.com.ec/noticias/judicial/12/la-fiscalia-creara-unidad-especial-para-combatir-ciberdelitos

https://www.eltelegrafo.com.ec/noticias/judicial/12/la-fiscalia-creara-unidad-especial-para-combatir-ciberdelitos

6

precauciones al acceder a las redes sociales, utilizar el correo electrónico, y en el

uso de usuario y contraseña. (p.2)

Gráfico 2: Delitos informáticos

Elaborado por: El Telégrafo, 2016 Fuente: https://www.eltelegrafo.com.ec/noticias/judicial/12/en-ecuador-el-

85-de-los-delitos-informaticos-ocurre-por-descuido-del-usuario

https://www.eltelegrafo.com.ec/noticias/judicial/12/en-ecuador-el-85-de-los-delitos-informaticos-ocurre-por-descuido-del-usuario

https://www.eltelegrafo.com.ec/noticias/judicial/12/en-ecuador-el-85-de-los-delitos-informaticos-ocurre-por-descuido-del-usuario

7

Cuadro N.1

Causas y consecuencias del problema

CAUSA CONSECUENCIA

Falta de conocimiento sobre

ciberdelitos

Usuarios propensos a ataques

informáticos mediante técnicas de

manipulación o engaño.

Personas con baja autoestima

frente al uso de redes sociales

Ser blanco fácil al momento de ser

persuadidos o manipulados por sus

emociones.

Confiar en otras personas con

facilidad

Exponer información personal para un

uso malicioso

Pensar que el uso de las redes

sociales y el internet es muy seguro

Al momento de usar cualquiera de

estas plataformas inconscientemente

ingresar a links o páginas maliciosas

Desarrollo de nuevas tecnologías La aparición de nuevos mecanismos

de ataques a las medidas de seguridad

Descargas de dudosa procedencia

que contengan malware

Robo de información o afectación a un

sistema en el funcionamiento de los

procesos

Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación

Delimitación del problema

Campo: Informática

Área: Seguridad informática; Delitos informáticos

Aspecto: Incidencias e impactos de Ataques de Ingeniería social

Tema: Análisis de las incidencias e impactos de ataques de Ingeniería social

o ciberdelitos en la Carrera de Ingeniería Civil de la Facultad de Ciencias

Matemáticas y Físicas.

8

Formulación del problema

¿Cómo afecta el desconocimiento sobre ataques informáticos como la

Ingeniería social a los estudiantes de Ingeniería Civil?

Evaluación del problema

Delimitado: Esta investigación es limitada a un área específica, este proyecto de

titulación se centra en realizar un análisis sobre las incidencias e impactos de

ataques de Ingeniería social a los estudiantes de la Carrera de Ingeniería Civil de

la Facultad de Ciencias Matemáticas y Físicas.

Claro: Conocer el impacto de las incidencias de ataques de Ingeniería social en

los estudiantes de la Carrera de Ingeniería Civil.

Evidente: El resultado de las encuestas realizadas en la población permitirá

observar la situación actual, del tema a analizar.

Concreto: Se simulará mecanismos de ataques de Ingeniería social a los

estudiantes y se evaluará los resultados establecidos.

Relevante: Este análisis es relevante ya que dará a conocer los riesgos que

corren los estudiantes de Ingeniería Civil al no conocer sobre los ciberdelitos

Factible: El proyecto es viable ya que la situación planteada no requiere de mayor

inversión ya que se basa en la revisión bibliográfica y experimental para poder

determinar el impacto de los incidentes simulados.

9

OBJETIVOS

OBJETIVO GENERAL

Analizar las incidencias de los ataques de Ingeniería social con el fin de dar a

conocer el impacto que estos ataques pueden causar en los estudiantes de la

Carrera de Ingeniería Civil en la Facultad de Ciencias Matemáticas y Físicas.

OBJETIVOS ESPECÍFICOS

Identificar las diferentes técnicas de ataques, para conocer los mecanismos y

herramientas más empleadas en los ciberdelitos.

Determinar el nivel de conocimiento sobre Ingeniería social en los estudiantes

de la Carrera de Ingeniería Civil de la Facultad de Ciencia Matemáticas y

Físicas para analizar la incidencia ante estos ataques.

Simular mecanismos de Ingeniería social en un ambiente controlado para

determinar el impacto de estos ataques en la muestra establecida.

Analizar el impacto de los ataques realizados para socializar los riesgos a los

cuales están expuestos por el uso inadecuado del Internet.

ALCANCES DEL PROBLEMA

La realización de esta investigación se presenta como un análisis para identificar

el actual problema situado, donde se va a determinar, procesar y levantar la

información con encuestas a los estudiantes de la Carrera de Ingeniería Civil de

la Facultad de Ciencias Matemáticas y Físicas en una población determinada,

donde se llegará a conocer el nivel de conocimiento sobre estos ataques y se

identificarán las incidencias que presentan. Además, se simulará mecanismos de

Ingeniería social para dar a conocer los posibles escenarios de ataque en un

ambiente controlado a los estudiantes de la Carrera de Ingeniería civil sin llegar a

afectar los tipos de datos expuestos por el estudiante.

10

Se dará a conocer el impacto de los ataques a través de revisión documental

especificando cómo llegan a influir estos ataques informáticos en los estudiantes

de la carrera Ingeniería Civil.

Además, se darán a conocer estrategias de seguridad frente a estos tipos de

amenazas informáticas con el fin de evitar cualquier riesgo y amenazas en los

estudiantes.

JUSTIFICACIÓN E IMPORTANCIA

A medida que pasa el tiempo los ataques informáticos, en su constante evolución

son muy utilizados por ciberdelincuentes, mediante su conocimiento y práctica,

usan de manera indebida el internet, con el fin de afectar, vulnerar y extorsionar a

personas mediante los diferentes mecanismos de Ingeniería social que corrompen

su información personal sin su consentimiento. Por ejemplo: Persuasión del

atacante informático hacia la víctima para ganar su confianza, suplantación de

identidad, clonación de sitios web en estos casos plataformas de redes sociales o

páginas bancarias, e instalar algún tipo de malware en su ordenador o dispositivo.

El uso diario del Internet genera un mayor índice de ataques informáticos, lo cual

origina pérdidas a nivel social y económico.

Se presume que los alumnos de la carrera de Ingeniería Civil de la Facultad

Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, al no ser una

Carrera tecnológica y no poseer en el pensum académico materias acerca de las

TICs, desconocen los mecanismos para llevar a cabo delitos informáticos como

por ejemplo Ingeniería social. El uso del Internet como parte del diario vivir,

convierte a los estudiantes en potenciales víctimas a estos ataques al no tomarse

las debidas precauciones cuando se hace uso del Internet en las distintas

actividades

Es importante destacar que este proyecto investigativo será de gran aporte a

la Universidad de Guayaquil, por lo cual los resultados obtenidos en la Carrera de

Ingeniería Civil, servirán de referencia para otras facultades donde seguramente

11

existe la misma problemática. Este proyecto de titulación servirá como referencia

para futuros trabajos investigativos y permitirá exponer la importancia de conocer

sobre los ciberdelitos para que se tomen acciones preventivas y permitirá

entender de mejor manera los ataques informáticos existentes.

METODOLOGÍA DEL PROYECTO

La metodología usada en este proyecto investigativo está compuesta por las

siguientes fases:

Fase 1

Levantamiento de información

Se procederá levantar información en el desarrollo de la problemática para obtener

constancia con todos los permisos necesarios.

Fase 2

Exploración de información

En esta fase se procederá a identificar los conceptos que abarca a la seguridad

informática con respecto a los ciberdelitos. Además de conocer sobre las

características y funcionamiento de las herramientas de ataques que utilizan los

Ciberdelincuentes.

Fase 3

Análisis de las incidencias e impactos

En esta fase se procederá analizar mediante encuestas las incidencias y

desconocimiento sobre ingeniería social en los estudiantes de Ingeniería Civil.

Mediante escenarios, se analizará el impacto de las causas que ocasión los

ciberdelitos.

12

Fase 4

Análisis de los resultados

Dentro de los resultados de esta investigación, se procederá a elaborar de manera

detallada un análisis en general sobre los factores que transcienden en este

proyecto de investigación.

Mediante el impacto que puede ocasionar estos ciberdelitos se realizará

estrategias preventivas ante los ataques de Ingeniería social. Este plan de

seguridad, permitirá disminuir el desconocimiento ante estos tipos de ataques en

los estudiantes.

Las medidas a establecerse en la actual problemática serán desarrolladas

mediante lo siguiente:

Capacitación y simulación en tiempo real sobre los ataques informáticos.

Elaboración de un poster x-banner sobre los ataques y medidas

preventivas de ingeniería social que estará establecido en las entradas de

la FCMF en la carrera de Ingeniería civil.

Desarrollo de un video explicativo en animación 2D, para que sea enfocado

en el Tótem de la plazoleta de la Universidad de Guayaquil.

13

CAPÍTULO II

MARCO TEÓRICO

El presente capitulo consta de los fundamentos y conceptos teóricos que ayudaran

a la comprensión del lector sobre la relevancia de este tema. Se

identificaran las diferentes técnicas de ingeniería social, conociendo los

mecanismos y herramientas más empleadas en este tipo de ciberdelitos.

La ingeniería social como tal es el arte de engañar personas para evadir el

sistema de seguridad. El ser humano tiene mucho en juego, al tener el poder total

de sus datos personales, siendo en algunas ocasiones negligente e irresponsable

con su propia privacidad. Cabe recalcar que el Internet permite a los seres

humanos interactuar con otras personas de manera inmediata, donde los

atacantes informáticos buscan aprovecharse de esta necesidad valiéndose de

huecos de seguridad para para extraer, modificar o destruir los datos del usuario.

Además, se mencionan las normas y acciones legales destacadas en contra

los delitos informáticos que conciernen a estos riesgos por el inadecuado uso de

las tecnologías de la información y comunicación.

ANTECEDENTES DEL ESTUDIO

En las últimas décadas, el crecimiento tecnológico en el Ecuador se ha

desarrollado a gran escala. El uso intensivo del internet facilita la búsqueda diaria

de información de manera superficial o profunda por lo que han surgido nuevos

mecanismos delictivos a sistemas informáticos con el principal objetivo de engañar

o manipular a las personas para obtener información confidencial e incluso activos

informáticos mediante una acción maliciosa.

14

Al principio no se consideraba de mucha relevancia este tipo de amenazas

informáticas, pero con los años se han desarrollado muchas técnicas

malintencionadas que sobrepasan las barreras de seguridad informática que

puedan estar implementadas ya sean de hardware como de software.

A medida que pasa el tiempo se descubren nuevas zonas débiles y, por lo

general, son pocos los responsables de TI que comprenden en su justa medida la

importancia que tiene la seguridad y cómo pueden abordar el grave problema que

existe detrás de vulnerabilidades que permiten a un atacante, violar la seguridad

de un entorno y cometer delitos en función de los datos robados. (Mieres, 2009,

p.3)

Los datos que comúnmente utilizamos ya sea contraseñas, número de cuentas

bancarias, etc., estén siendo vigilados, sin darnos cuenta por algún atacante

esperando el más mínimo descuido para realizar su objetivo. “La información

sobre nuestra vida personal se está volviendo un bien muy cotizado por las

compañías del mercado actual” (Acurio Del Pino, 2016, p.4).

Santillan Arenas (2009) nos define el concepto de Ingeniería social: “Cuyo

principal objetivo es manipular a una entidad, en este caso a las personas, para

que directa o indirectamente realicen acciones que llevarán a conseguir un fin

específico para quien las aplica”(p.6).

Como tal las personas no toman las debidas precauciones al momento de usar

una red social o al estar navegando en internet. Por lo que hay una variedad y

formas de ataques que solo el atacante puede saber. En general, los ataques de

Ingeniería Social actúan en dos niveles: el físico y el psicosocial” (Sandoval

Castellanos, 2011, p.24). Siendo así que el primer nivel significa el medio y los

materiales por el cual se acciona el ataque y el segundo nivel describe las

habilidades sociales que sirven para engañar a la víctima.

15

La mente humana es susceptible a cualquier tipo de engaño que pueda

exponer información confidencial de una persona. El ciberdelincuente busca todas

las maneras posibles de interactuar y ganar la confianza de la víctima para lograr

su objetivo malicioso, incluso se han dado casos en que los mismos profesionales

de la seguridad informática caen ante estos sucesos.

FUNDAMENTACIÓN TEÓRICA

Las nuevas formas de comunicación gracias a la tecnología han permitido que la

diferencia entre la máquina con el ser humano sea cada vez menor. Los

complicados algoritmos de comunicación han evolucionado, haciendo que el

usuario tenga la capacidad de estar interconectado con el mundo de una manera

fácil, rápida y sencilla.

Siendo así que las empresas públicas o privadas, incluyendo a las personas,

estén ligadas de alguna forma a la tecnología de la información como un elemento

importante para fines comerciales o actividades personales en el día a día. De

hecho, “Las sociedades avanzadas tienen una dependencia cada mayor de los

sistemas informáticos para el control de muchos procesos y actividades

cotidianas: control de fluido eléctrico, de la red de abastecimientos de aguas, de

las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de

señalización semafórica, de los sistemas financieros, etcétera” (Vieites).

Paulatinamente, los riesgos informáticos están muy presentes y constituidos

por dos elementos: amenaza y vulnerabilidad. Ambos elementos están ligados

uno del otro, por tanto, no habrá consecuencia sin la presencia de algunos de

ellos.

Los sistemas de seguridad por más robustos que sean, tanto a nivel de

hardware como software, tendrían una mínima brecha que podría romper los

esquemas de seguridad informática. Además de los componentes informáticos,

las personas son la pieza clave para mantener la seguridad de una organización.

Camacho Losa (1987) afirma: “En todas las facetas de la actividad humana existen

el engaño, las manipulaciones, la codicia, el ansia de venganza, el fraude, en

definitiva, el delito”.

16

Los atacantes informáticos siguen una serie de pasos para atacar al usuario y

obtener su información. Tal vez, algunos ataques requieran de más tiempo,

trabajo, dinero y conocimiento, mientras que otros pueden ser más fáciles de

realizar dependiendo del nivel de seguridad implementado en el objetivo. “Los

atacantes sea estos éticos y no éticos siempre seguirán esta secuencia, pero

puede variar las técnicas y herramientas que utilicen” (Guamán Sinchi, 2015,

p.22).

Entre los ataques más usados y que sigue en constante crecimiento se

encuentra la Ingeniería social, basados en los tipos de engaño, siendo el más

efectivo; solo que son pocas las personas que pueden explotar y controlar la

mente humana. Moyano Morales (2015) define: Es el juego mental de una persona

por medio de actitudes, estos, entonaciones de voz, comportamientos, a tal punto

de llegar a familiarizarse con la víctima o pasar desapercibido burlando los

sistemas de seguridad y lograr con esto a obtención de resultados. (p.1)

Seguridad informática

Es la protección de un sistema informático que implica la seguridad lógica y física

dentro de una infraestructura computacional. Por otra parte, es el proceso que

comprende la detección y prevención de los datos informáticos, minimizando el

riesgo de la información.

“La seguridad informática intenta proteger el almacenamiento, procesamiento

y transmisión de información digital” (Buendía, 2013, p.8).

Urbina (2016) define: La seguridad informática es la disciplina que, con base

en políticas y normas internas y externas de la empresa, se encargan de proteger

la integridad y privacidad de la información que se encuentra almacenada en un

sistema informático, contra cualquier tipo de amenazas, minimizando los riesgos

tanto físicos como lógicos, a los que está expuesta. (p.12)

17

Dualismo de la seguridad informática

Existen técnicas comunes empleadas hoy en día como: SPAM, dispositivos de

almacenamientos USB infectados por virus, malware, troyano, manipulación, etc.,

que al no existir las debidas precauciones causarían impactos negativos en la

víctima. Estas situaciones tienen una causa y efecto que se denominan dualismo

de la seguridad informática

En seguridad informática es el desarrollo que toma como base los conceptos

tecnológicos a una perspectiva dual dentro de un sistema ya sea seguro o

inseguro. Se aplica técnicas de seguridad informática para contrarrestar los

riesgos e implementar controles, ante las nuevas vulnerabilidades que nos hacen

propenso a los ataques informático para así tomar medidas preventivas (Cano,

2004).

Gráfico 3: Dualismo de la seguridad informática


Dualismo de la inseguridad informática

Es la contraparte de la seguridad informática que establece situaciones no viables

en la protección de eventualidades maliciosas que sucedan en una organización.

Cano (2004) comenta: “En este sentido, comprender la inseguridad informática

como el dual de la seguridad informática, en el contexto organizacional,

representada esta última en sus participantes, sus procesos y tecnología”. ( p.43)

18

Gráfico 4: Dualismo de la inseguridad informática


Seguridad de la información

Es el conjunto de técnicas o medidas que permiten el control de los datos que

conforman una organización o sistemas tecnológicos con el afán de asegurar o

resguardar la información de manera confidencial.

“La seguridad de la información también abarca los procedimientos que deben

seguir los empleados y la dirección de una compañía para garantizar la protección

de los datos confidenciales y de los sistemas de información frente a las amenazas

actuales” (Soriano, 2014, p.7).

Pilares de la seguridad de la información

Confidencialidad: Garantizar que la información no sea revelada o publicada

a usuarios o sistemas no autorizados.

Integridad: Garantiza la protección de información sin que haya sido

manipulada por algún personal no autorizado, siendo un sistema limpio y sin

modificaciones.

Disponibilidad: Característica que permite que la información se encuentre

accesible y disponible al personal autorizado cuando sea necesario.

19

Gráfico 5: Pilares de la seguridad de la información


Ataque informático

Un ataque informático consiste en toda actividad mal intencionada cuyo objetivo

es eliminar, extraer o desestabilizar los datos de un sistema informático. Un ataque

informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el

software, en el hardware, e incluso, en las personas que forman parte de un

ambiente informático; a fin de obtener un beneficio, por lo general de índole

económico, causando un efecto negativo en la seguridad del sistema, que luego

repercute directamente en los activos de la organización. (Mieres, 2009, p.4)

Fase de un ataque informático

Reconocimiento: Es el inicio de todo el proceso donde el atacante debe

recoger o recolectar la mayor información de la víctima. Esto permitirá

establecer qué clase de estrategia se utilizará para romper la seguridad

que el usuario disponga.

Exploración: Consiste en el uso de la información obtenida del usuario,

donde se llevará a cabo el sondeo de lo que hace, ve y oye. En pocas

SEGURIDAD DE LA

INFORMACIÓN

CONFIDENCIALIDAD

DISPONIBILIDAD

INTEGRIDAD

20

palabras es el escaneo o filtrado de los posibles puntos abierto que tenga

dentro de su sistema.

Obtener acceso: Es la fase donde se comienza a hacer el ataque a través

de la explotación de brechas abiertas que tenga en su sistema donde se

comienza con ataques de fuerza bruta, denegación de servicios entre

otros.

Mantener el acceso: Consiste en mantener habilitado el sistema para su

acceso cada vez que el atacante lo desee para lo cual buscará el

mecanismo de dejar la puerta abierta al sistema.

Borrar huellas: Una vez accedido y mantenido el sistema, se eliminará u

ocultará cualquier rastro de visita que se haya creado durante el ataque

para no ser detectado y seguir accediendo al sistema cada vez que sea

necesario.

Gráfico 6: Fase de un ataque informático


Reconocimiento

Exploración

Obtención de acceso

Mantener el acceso

Borrado de rastros

21

Tipos de atacantes

Hackers

Son individuos expertos en las ramas de la informática que buscan hallar todo tipo

de vulnerabilidad de un sistema, para estudiar y corregir cualquier fallo.

Cracker

Conocidos como Black Hat hacker, son aquellos que violan y rompen toda política

de seguridad de un sistema para fines de lucro maliciosos y económicos. También

son creadores de todo programas y herramientas maliciosos como los malware,

exploits, etc.

Phreaker

Son hackers que se encargan de investigar y espiar la información que se

encuentra en las redes telefónicas.

Ciberdelincuente

EL Ciberdelincuente o cibercriminal son aquellos que realizan acciones ilegales o

ilícitas a través de internet, aprovechándose de las herramientas informáticas y de

los nuevos cambios tecnológicos.

Script kiddie

Son personas no sofisticadas o aficionadas que utilizan programas de

desarrolladores para poder atacar a sistemas informáticos.

Sniffers

Conocedores por excelencia de los protocolos de red capaces del capturar el

tráfico de red y encontrar información útil.

22

Lamer

Personas novatas en el mundo del hacking que carecen de conocimientos

avanzados.

Vectores de ataques

Es la estrategia o ruta a seguir de un atacante para acceder a una computadora y

tener como objetivo sus datos informáticos.

De manera lógica cada atacante usa sus propias ideas o estrategias para llevar

a cabo un objetivo establecido en este caso, la información. El uso cotidiano de

este tipo de entorno, donde la trasferencia de datos en un sistema informático es

muy normal, se ha tornado muy hostil ya que a diario los hackers intentan extraer

los recursos de manera malintencionada.

Vectores de ataques en redes

Las redes son blanco fácil para los atacantes informáticos porque les permitirá

extraer o tomar sin permiso los datos de un sistema en la red para poder venderlo

al mejor postor o también ocasionar la ralentización del tráfico de la red. Los

vectores de ataques en redes se clasifican en dos tipos: activos y pasivos.

Los ataques activos se logran cuando el atacante inserta un código malicioso

saboteando el buen funcionamiento de la red. En cambio, los ataques pasivos

sufren una alteración en los movimientos de los datos cuando el atacante se

encuentra dentro de la red.

Activo

AP falso

Es un punto de acceso no autorizado manejado o manipulado por alguien que no

está registrado dentro de la empresa, permitiendo que al conectarse a dicha AP

falsa estén expuesto a robo de información como número de cuenta bancarias,

contraseñas, etc.

23

Gráfico 7: Ataque de un AP falso


Spoofing

Es un tipo de engaño que es utilizado para la suplantación de identidad de un

usuario para fines maliciosos.

Busca suplantar la identidad en la red; en la mayoría de ocasiones con fines

maliciosos (Espitia Garzón, 2014).

Gráfico 8: Ataque de un Spoofing


24

DDoS

Consiste en dejar fuera de servicio un sitio web, imposibilitando a los usuarios de

acceder al sitio denegado o colapsado.

Gráfico 9: Ataque DDoS


Pasivo

Sniffing

Técnica que permite escuchar todo lo que se transmite dentro del tráfico de la red

entre el emisor y receptor.

Gráfico 10: Ataque Sniffing


25

Vectores de ataques host

Estos ataques van dirigido directamente a las computadora o hosts.

Ingeniería social

Borghello (2009) define: “Como una acción o conducta social destinada a

conseguir información de las personas cercanas a un sistema” (p.2).

Se generaliza el concepto de ingeniería social como “el arte de hackear al

individuo ; “es decir, que ya no solo se hackean equipos de cómputo, redes y

empresas, sino que también se hackean personas” (Camacho Nieto, 2016, p.3)

Sandoval Castellanos (2011) define: “La ingeniería social es el acto de

manipular a una persona a través de técnicas psicológicas y habilidades sociales

para cumplir metas específicas” (p.23).

Según Kevin Mitnick, renombrado hacker a nivel mundial y conocedor de la

ingeniería social plantea sietes principios básicos de cómo el atacante informático

debe ser frente a sus víctimas (Mitnick & Simon, 2007).

Buscar el rol en particular

Todos queremos ayudar

El primer movimiento es siempre de confianza hacia el otro

Dar credibilidad de la situación que se plantea y ganar simpatía

No nos gusta decir NO

A todos nos gusta que nos alaben

Inculcar miedo

El desconocimiento de esta amenaza trae consigo vulnerabilidades a las que

pueden estar expuestos con frecuencia los usuarios conectados a internet. Esta

amenaza como tal tiene una serie de pasos y procesos que se llevan a cabo para

ejecutar los diferentes tipos de ataques basados en Ingeniería Social.

26

Gráfico 11: Proceso de la Ingeniería social


Técnicas de ingeniería social

Engaño Humano

Interacción directa con el objetivo o quien tiene acceso a este. Es aquí donde las

dotes de manipulación sobresalen y el ataque se da a nivel psicológico.(Camacho

Nieto, 2016)

Hunting

Ataque bajo perfil, no se tiene interacción completa con el objetivo y esta se limita

a un par de veces nada más (Camacho Nieto, 2016).

Pharming

Es una técnica que trata de engañar a la víctima redireccionando a un sitio web

falso atacando al servidor Dns, con el afán de obtener información mediante la

introducción de credenciales.

Dumpster Diving

Recolección de información que se encuentra en la basura o todo archivo que se

puede recuperar para un fin malicioso.

Recolección de

información

Desarrollo de la

información

Explotación de relación

Ejecución para lograr el

objetivo

27

Vishing

Es un tipo de fraude muy parecido al phishing, pero a través del uso de la línea

telefónica o VoIP con el fin de engañar a las personas y obtener información para

la suplantación de identidad o robo de credenciales.

Pretexting

Es la suplantación de identidad de un cliente falso donde trata de convencer a las

empresas ya sea de telefonía o bancarias de divulgar información que debe ser

privada.

Correo Spam

Correos con anuncios publicitarios, información falsa, accesos a sitios de citas y

demás que luego de dar clic a un link, se descarga una aplicación que permite

acceso al atacante(Camacho Nieto, 2016).

Estos tipos de correo son muy molestos y a su vez peligrosos porque pueden

contener scripts maliciosos que ejecuten una determinada acción acorde a lo que

el atacante desee obtener en la víctima como por ejemplo clonar datos de acceso

y contraseñas.

Gráfico 12: Característica de un correo spam


1

•Dirección del mensaje desconocido y sin remitente

2•No tiene dirección Reply

3•Presenta un asunto llamativo

4 •Contenido publicitario

28

Campañas de Extorsión

Consiste en tratar de transmitir miedo a través de la extorsión por medio de

mensajes muy directos como “su cuenta ha sido hackeada”, tratando de manipular

las emociones de la víctima y hacerlos caer en su trampa. En las empresas es

muy recurrente este tipo de ataques que buscan perjudicar al usuario.

Los delincuentes informáticos utilizan las campañas de extorsión como modo de

operación, donde buscan engañar a las personas a cambio de un pago por lo que

es conveniente hacer caso omiso de este tipo de mensajes y aplicar las buenas

prácticas en el uso del correo electrónico junto a otras recomendaciones, como

cambiar las contraseñas de manera regular, utilizar soluciones de seguridad en

los equipos, así como habilitar las opciones de doble autenticación disponibles en

los diferentes servicios de Internet (Cecilia Pastorino, 2018).

Gráfico 13: Campañas de extorsión

Elaborado por: Cecilia Pastorino, 2018 Fuente: https://www.welivesecurity.com/la-es/2018/09/21/campana-

extorsion-activa-correo-simula-ser-desde-cuenta-victima/

Phishing

Es un ataque simple pero efectivo busca engañar al usuario para que piense que

el administrador del sistema solicita clave con fines legítimos.

“Por eso las personas que navegan en internet frecuentemente reciben

mensajes que solicitan contraseñas o información de su tarjeta de crédito con el

https://www.welivesecurity.com/la-es/2018/09/21/campana-extorsion-activa-correo-simula-ser-desde-cuenta-victima/


29

motivo de crear una cuenta reactivar una configuración o realizar otra operación

aparentemente inofensiva” (Espitia Garzón, 2014, p.3)

Gráfico 14: Proceso de ataque Phishing


El Phishing intenta recopilar contraseñas de los usuarios de internet. Según

Leguizamón (2015) define el phishing: “el proceso por el cual una persona es

contactada por email o por teléfono por alguien que simula ser una institución

legítima para obtener datos privados, tales como datos bancarios, contraseñas,

datos personales” (p.12).

Dentro de su clasificación se encuentra el phishing bancario y el phishing de

redes sociales siendo una de las técnicas más usadas para fraudes comerciales

con mayor crecimiento en los últimos años.

Phisher aloja el paquete fraudulento

en un zombi

Usuario accede a página falsa y

deposita los datos

Phisher recolecta la información confidencial

Phisher comercializa los

datos

Phiser obtiene ganancia

30

Gráfico 15: Evolución del Phishing

Elaborado por: Leguizamón, 2015 Fuente:

http://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%c3%b3n_Mayra.pdf?sequence=1&isAllowed=y/

El gráfico 15, muestra que esta técnica ha cobrado mucha fuerza en los últimos

años. Por otra parte, a medida que el phishing y sus técnicas van avanzando, las

medidas para combatirlo también van aumentando. Una de las últimas

evoluciones del phishing, consiste en el envío de mensajes más personales y por

ende más creíbles para el usuario.

Campañas de Phishing

Se divulga una nueva herramienta para pruebas de penetración con fines

educativos para suplantar servicios con doble factor de autenticación (Juan

Manuel Harán, 2019).

Modlishka es una herramienta que permite llevar a otro nivel las campañas de

phishing, pero con un mínimo esfuerzo. Esta herramienta puede ser utilizadas en

sitios web conocidos. Su propósito en sí, es utilizarlo con fines educativos y

pruebas de penetración legítima.

Al usar esta herramienta se ubica entre el usuario y la página web que se eligió.

Al recibir dicha dirección ingresada en la cuenta, la víctima en realidad está siendo

http://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%c3%b3n_Mayra.pdf?sequence=1&isAllowed=y

http://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%c3%b3n_Mayra.pdf?sequence=1&isAllowed=y




31

registrada primero por la herramienta Modlishka y el componente de proxy inverso

hace una solicitud al sitio suplantando la cuenta del usuario.

El atacante solo necesita un nombre de dominio para el phishing que alojará

en el servidor de Modlishka y un certificado TLS válido para que el usuario no sea

alertado por la falta de una conexión HTTPS. (Juan Manuel Harán, 2019)

Por otro lado, existen muchas campañas de phishing que buscan la manera de

infiltrarse por medio de correos dirigidos en que el atacante suplanta la identidad

de una cuenta de correo de una empresa reconocida con el objetivo de hacerse

pasar por un remitente conocido.

Según el reporte al respecto de la empresa Barracuda, este tipo de ataques

son veinte veces más efectivos que los phishing convencionales y han generado

pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años. (Luis

Lubeck, 2019)

Las redes sociales pueden ser un arma de doble filo, tanto así que aportan en

la vida cotidiana, pero a su vez sirven de mecanismo para que los atacantes

encuentren la manera de flagelar la seguridad de sus usuarios.

32

Gráfico 16: Plataformas más usadas por los ciberdelincuentes

Elaborado por: Luis Lubeck, 2019/ Fuente: https://www.welivesecurity.com/la-es/2019/12/26/mensajes-

asuntos-correo-mas-utilizados-cibercriminales/

Fases del Phishing

El Phishing posee diferente etapas o procedimientos para llevar a cabo el delito

sistemático. Si se percatan de estas etapas se pueden evitar y prevenir estos

ataques por lo que es importante conocer que se puede variar la estrategia o

dificultad dependiendo del atacante y de cómo lo vaya a emplear. Sus etapas son:

Identificar a la víctima: Es el objetivo que se plantea el atacante, sea

persona u organización por lo que se estima una gran probabilidad de éxito

en su ataque.

Reconocimiento: Consiste en la búsqueda de información de manera

detallada y precisa (redes sociales, guías telefónicas, etc.) luego de

establecer el objetivo de ataque.

Crear el escenario: Es el lugar o la posición donde se procederá el ataque,

simulando una emergencia, una conversación o un tipo de bullicio tratando

https://www.welivesecurity.com/la-es/2019/12/26/mensajes-asuntos-correo-mas-utilizados-cibercriminales/




33

de crear el escenario único para engañar y manipular a las personas que

conforman parte de la empresa o una organización.

Realizar el ataque: Teniendo el lugar y la víctima con la total confianza, se

pone en práctica las habilidades o técnicas de ingeniería social, sea el

engaño basado humano o basado en máquina.

Obtener la información: Dominio total de la situación, de la red o de la

máquina donde realice el ataque ya sea por medio de malware, virus,

troyano u otras técnicas para obtener la información necesaria.

Salir: Cumplida la misión y una vez terminado el ataque, atacante

abandona el lugar sin dejar huellas ni sospechas.

Malware

Software malicioso que contiene errores dañinos. Entre su composición están: los

gusanos, troyanos, virus, etc.

Se cataloga como un código malicioso compuesto por gusanos, spyware,

troyanos, virus o script malintencionados que tiene como propósito infiltrarse y

dañar un computador o sistema de información sin el consentimiento de los

propietarios (Cañon Parada, 2015).

Gráfico 17: Tipos de malware

Elaborado por: Ronny Bermúdez – Kevin Moreira

Fuente: Proyecto de investigación

MALWARETroyano

Virus

Adware

Dialers Gusanos

Spywares

Backdoors

Keyloggers

34

Troyano

Es un malware que se camufla como un software ejecutable aparentemente

confiable creado para controlar un sistema de cómputo de forma remota.

Virus Informático

Son programas maliciosos que alteran el funcionamiento del computador,

infectando los archivos del sistema, derrochando recursos, modificando y

destruyendo datos.

Gusanos

Son programas maliciosos que se propagan por sí solos aprovechándose de una

vulnerabilidad e infectan de forma muy rápida a diferentes equipos en la red.

Backdoors (puertas traseras)

Son sistemas infectados que permiten al atacante tener el control total del equipo

donde podrá eliminar, modificar, enviar y recibir archivos.

Keyloggers

Malware empleado para llevar un registro de pulsación de teclas que el atacante

usa mediante software o hardware que permitirá conocer de forma remota sus

contraseñas, números de tarjeta de crédito, etc.

Spyware

Un Spyware es un tipo de malware que permita espiar y capturar toda información

introducida a través de teclado.

Ransomware

Permite el bloqueo de archivos o del dispositivo donde el atacante busca una

recompensa económica para luego restaurar el dispositivo.

Inyección SQL

Es una vulnerabilidad en la capa de base de datos donde el atacante inyecta

instrucciones SQL de manera maliciosa con el fin de manipular cadenas de base

de datos (Cañon Parada, 2015).

35

Este tipo de ataque es muy común en las organizaciones o empresa que

manejan negocios electrónicos con una gran cantidad de base de datos donde el

atacante podrá extraer datos valiosos.

Caso de estudio de Ingeniería social

A medida que avanza la tecnología, aparecen nuevos ataques informáticos que

perjudican y atentan al bienestar de las personas. Por lo tanto, estamos expuestos

a cualquier ataque suficientemente fuerte para vulnerar la seguridad y acceder a

la información personal por medio de las diferentes técnicas de ingeniería social.

Es muy concurrente tener en el entorno algún dispositivo móvil o Smartphone que

contenga datos personales, imágenes, credenciales, entre otros, que por más

cuidado que se tenga el atacante siempre estará al asecho y buscará la forma de

enviar algún correo electrónico malicioso, hacerse pasar por un empleado

reconocido dentro de la empresa o llegar a clonar páginas web falsas que le

permita obtener información confidencial.

El noticiero BBC comparte este suceso. “El email de mi jefe parecía tener

sentido. Decía que un nuevo proveedor necesitaba un pago urgente de

US$60.000 para asegurar un contrato importante. Y quería efectuarlo lo antes

posible porque estaba de vacaciones y no quería preocuparse más sobre asuntos

de trabajo. Al director financiero también le pareció que era verdad porque su jefe

ya había publicado una foto en Instagram de sus vacaciones en Grecia. Su

dirección de email también parecía la auténtica. Pero, por supuesto, no era el jefe”

(Wall, 2017). En este caso en particular donde se aplica ingeniería social, se

suplanta la identidad de una persona importante de una empresa con tan solo la

manipulación del personal enviando un correo de suplantación de identidad, el

cual consiste en que el atacante o estafador se hace pasar por el jefe y envía un

correo electrónico a la secretaria diciendo que necesitaba pagar cierta suma de

dinero a un proveedor X para poder acentuar el contrato. Como se puede

observar, el atacante fue muy hábil al manejar la situación al ser un buen

manipulador psicológico, tan solo interactuó con las personas a través de un email

y el resultado fue satisfactorio; por tal motivo es necesario analizar los posibles

36

escenarios que se pueden emplear en este tipo de ataque para evitar ser

atacados.

Herramientas de ataques

En este punto de la investigación se revisarán las herramientas que vienen

instalada de manera predeterminada en Kali Linux y otras herramientas que se

encuentran en la plataforma de GitHub, que son utilizadas bajo el uso responsable

del usuario.

Kali Linux

Kali Linux es una distribución derivada de Debían, considerada por su calidad

y estabilidad, la cual permite ejecutar distintas pruebas de auditorías y penetración

de seguridad. Kali posee un centenar de herramientas dedicadas a los diversos

elementos que corresponde a la seguridad de la información.

Las distintas herramientas que proporciona Kali es fundamental para un

atacante, ya que brinda los recursos necesarios de ataques esenciales para

obtener un mejor proceso al ejecutar un escenario de manipulación hacia las

victima(s).

Gráfico 18: Sistema operativo Kali Linux

Fuente: Proyecto de investigación Elaborado por: Ronny Bermúdez – Kevin Moreira

37

A continuación, se mencionará sobre las herramientas de Kali Linux que son

esenciales para el uso de ataques de Ingeniería social.

SET

Matelgo

Metasploit framework

The social- engineer toolkit (SET)

Set es un kit de herramientas de código abierto basado en Python especialmente

diseñadas para pruebas de penetración y exclusivo para técnicas de ataques de

ingeniería social.

Como se muestra en el gráfico 19, proporciona una serie de ataque basada en

ingeniería social, como (phishing), malware, payloads, generadores de códigos

Qr, envío de SMS (mensajes de textos) falsos y en otras técnicas. Por lo tanto,

este kit herramienta facilita al atacante realizar de una manera más rápida la

elaboración y ejecución de ataques contra la víctima.

Gráfico 19: Funcionamiento de SET


Matelgo

Matelgo es una herramienta de múltiples ediciones para el análisis de información.

Tiene una interfaz gráfica interactiva para el analizador, al punto de recolectar

información a su gusto ya sea en una infraestructura, organización, dominio,

persona etc., mostrando segmentos de información de manera visual en gráficos

de nodos.

38

Esta herramienta con respecto a Ingeniería social es de gran utilidad porque

permite en un mejor plano al atacante conocer toda información relevante de la

víctima situadas en distintas fuentes en internet.

Este tipo de herramienta envía petición a los servidores en formato XML a

través de HTTPS y los resultados se devuelven al cliente dentro de Matelgo,

permitiendo analizar y recolectar información necesaria con tan solo obtener un

dato de la víctima, sea por el nombre, su e-mail, teléfono o de una red social.

Tomando como ejemplo un sencillo funcionamiento de Matelgo en el gráfico

18, al seleccionar y arrastrar la opción de personal hacia el panel se escribe el

nombre de la víctima de la que se quiere conocer y recolectar información, esta

permitirá transformar y arrojar información que esté relacionada con la persona

que se halla insertado.

Gráfico 20: Funcionamiento de Matelgo


En la siguiente gráfica, se puede observar cómo Matelgo ayuda a obtener la

recolección de información de esa persona.

39

Gráfico 21: Funcionamiento de Matelgo

Elaborado por: Ignacio Pérez, 2014 Fuente: https://www.welivesecurity.com/la-es/2014/02/19/maltego-

herramienta-muestra-tan-expuesto-estas-internet/

Metasploit

Metasploit es un framework que proporciona un conjunto de herramientas de

distintos multiusos desarrollada para la ejecución de exploits dentro de una

vulnerabilidad de un sistema informático o de información, la cual es utilizada

ampliamente por profesionales de seguridad de la información.

Arquitectura y librerías de Metasploit

La arquitectura de Metasploit usan distintas bibliotecas para la funcionalidad del

sistema, donde estas bibliotecas corresponde a una colección de tareas

predefinidas, que pueden ser utilizadas por los distintos módulos del sistema.

https://www.welivesecurity.com/la-es/2014/02/19/maltego-herramienta-muestra-tan-expuesto-estas-internet/

https://www.welivesecurity.com/la-es/2014/02/19/maltego-herramienta-muestra-tan-expuesto-estas-internet/

40

Gráfico 22: Arquitectura y librerías de Metasploit


Por lo tanto, Metasploit permite a un atacante de alto conocimiento crear más

formas de generar y ejecutar ataques informáticos, vulnerar los datos de las

personas mediante técnicas de Ingeniería social, por ejemplo: atacar dispositivos

móviles basados en Android, generar SMS spoofing de manera anónima, ejecutar

payloads para controlar de manera absoluta la máquina víctima, etc.

Herramientas en la plataforma de GitHub

GitHub es un sitio web y una plataforma en la nube, que permite a los

desarrolladores compartir y almacenar sus proyectos dentro del repositorio de Git.

A continuación, se mencionará las herramientas encontradas en el repositorio

de GitHub para realizar ataques basados en Ingeniería social.

Shellphish

Gophish

SAINT

41

Shellphish

Shellphish es una herramienta de código abierto para realizar ataques de phishing.

Esta herramienta proporciona 19 plantillas pre configuradas, que facilitan la

clonación de sitios como redes sociales y otros servicios de Internet.

Características

Proporciona una URL mediante la herramienta ngrok para realizar el

ataque fuera de la red local.

Permite reconocer el host de la víctima, además del ISP, DNS, y su IP

Pública.

Toda la información proporcionada por la víctima es mostrada en su

consola.

Gráfico 23: Interfaz de Shellphish


Gophish

Gophish es una herramienta multiplataforma de código abierto basada en lenguaje

de GO, la cual está diseñada para realizar pruebas de penetración en ataques de

phishing.

42

Características

Su interfaz gráfica interactiva y su sencillo funcionamiento la convierte en

una herramienta especial para realizar varias campañas de phishing a los

usuarios.

Permite tener un escenario preparado, demostrando en tiempo real

ataques de phishing por correos electrónicos dentro la red local y fuera de

ella.

Permite clonar la mayor parte de sitios web de internet solamente

introduciendo la URL.

Permite enviar la campaña a más de 100 usuarios por correos electrónicos.

Permite personalizar template para los distintos tipos de campaña.

Mediante gráficos estadísticos permite llevar el control de las campañas

generadas.

Gráfico 24: Interfaz de Gophish


43

Gráfico 25: Clonación de sitio web


Gráfico 26: Control de campañas mediante gráficos estadísticos


44

sAINT

Esta herramienta permite crear un malware tipo Spyware, que se generan en los

sistemas operativos basados en Windows mediante programas ejecutables exe o

jar.

Características

EL ejecutable jar, es indetectable al antivirus defender de Windows y a

otros antivirus.

Tiene la función de un Keylogeer.

Permite encender la webcam del equipo.

Toda acción realizada mediante pulsos de teclado, es notificada al correo

mediante Screenshot.

Gráfico 27: Interfaz de sAINT


Herramienta DroidJack, ataques en dispositivo móviles

DroidJack permite infectar mediante un troyano los sistemas basados en Android,

permitiendo acceder de manera remota a la mayor parte de información de un

usuario.

45

Características de DroidJack

El apk instalado permite ocultarse dentro del dispositivo.

Control de dispositivo de manera remota.

Generan errores en la cámara del dispositivo.

Permite Obtener información del dispositivo.

Requisitos de DroidJack

Para que pueda ejecutarse DroidJack, se necesita tener instalado java en

el sistema operativo de Windows.

Se debe deshabilitar toda la protección de seguridad en el sistema

operativo incluido el firewall de Windows, para que la aplicación se cree de

manera correcta.

Gráfico 28: Interfaz de DroidJack


46

FUNDAMENTACIÓN LEGAL

El presente análisis, marco legal se apoya en las leyes de los artículos del

(C.O.I.P) Código Orgánico Integral Penal del Ecuador, dichos artículos integran y

sancionan todas las infracciones delictivas de algún tipo de delito, justificando que

todo fraude o divulgación de información son delictivas dentro de estas leyes.

A continuación, se detallarán los artículos más específicos a correspondencia de

este análisis.

Artículo 178.- Violación a la intimidad. - La persona que, sin contar con el

consentimiento o la autorización legal, acceda, intercepte, examine, retenga,

grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,

audio y vídeo, objetos postales, información contenida en soportes informáticos,

comunicaciones privadas o reservadas de otra persona por cualquier medio, será

sancionada con pena privativa de libertad de uno a tres años(Penal, 2014).

Artículo 179.- Revelación de secreto. - La persona que, teniendo conocimiento

por razón de su estado u oficio, empleo, profesión o arte, de un secreto cuya

divulgación pueda causar daño a otra persona y lo revele, será sancionada con

pena privativa de libertad de seis meses a un año(Penal, 2014).

Artículo 186.- Estafa. - La persona que, para obtener un beneficio patrimonial

para sí misma o para una tercera persona, mediante la simulación de hechos

falsos o la deformación u ocultamiento de hechos verdaderos, induzca a error a

otra, con el fin de que realice un acto que perjudique su patrimonio o el de una

tercera, será sancionada con pena privativa de libertad de cinco a siete años.

La pena máxima se aplicará a la persona que:

1. Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando

ella sea alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo

consentimiento de su propietario(Penal, 2014).

Artículo 190.- Apropiación fraudulenta por medios electrónicos. -

La persona que utilice fraudulentamente un sistema informático o redes

electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno

47

o que procure la transferencia no consentida de bienes, valores o derechos en

perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando,

manipulando o modificando el funcionamiento de redes electrónicas, programas,

sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones,

será sancionada con pena privativa de libertad de uno a tres años. La misma

sanción se impondrá si la infracción se comete con inutilización de sistemas de

alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas,

utilización de tarjetas magnéticas o perforadas, utilización de controles o

instrumentos de apertura a distancia, o violación de seguridades electrónicas,

informáticas u otras semejantes(Penal, 2014).

Artículo 212.- Suplantación de identidad. - La persona que de cualquier forma

suplante la identidad de otra para obtener un beneficio para sí o para un tercero,

en perjuicio de una persona, será sancionada con pena privativa de libertad de

uno a tres años(Penal, 2014).

Artículo 229.- Revelación ilegal de base de datos. - La persona que, en

provecho propio o de un tercero, revele información registrada, contenida en

ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un

sistema electrónico, informático, telemático o de telecomunicaciones;

materializando voluntaria e intencionalmente la violación del secreto, la intimidad

y la privacidad de las personas, será sancionada con pena privativa de libertad de

uno a tres años(Penal, 2014).

Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena

privativa de libertad de tres a cinco años:

1. La persona que, sin orden judicial previa, en provecho propio o de un tercero,

intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato

informático en su origen, destino o en el interior de un sistema informático, una

señal o una transmisión de datos o señales con la finalidad de obtener información

registrada o disponible.

2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,

certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes

o modifique el sistema de resolución de nombres de 66 Código Orgánico Integral

48

Penal/ www.derechoecuador.com dominio de un servicio financiero o pago

electrónico u otro sitio personal o de confianza, de tal manera que induzca a una

persona a ingresar a una dirección o sitio de internet diferente a la que quiere

acceder(Penal, 2014).

Artículo 232.- Ataque a la integridad de sistemas informáticos

La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause

mal funcionamiento, comportamiento no deseado o suprima datos informáticos,

mensajes de correo electrónico, de sistemas de tratamiento de información,

telemático o de telecomunicaciones a todo o partes de sus componentes lógicos

que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.

Con igual pena será sancionada la persona que:

1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o

distribuya de cualquier manera, dispositivos o programas informáticos

maliciosos o programas destinados a causar los efectos señalados en el

primer inciso de este artículo(Penal, 2014).

HIPÓTESIS

El desconocimiento sobre ataques de Ingeniería social aumenta el

porcentaje de incidencia de estos ataques en los alumnos de la carrera de

Ingeniería Civil.

VARIABLES DE LA INVESTIGACIÓN

Variable dependiente

Incidencia de los ataques informáticos en los estudiantes de Ingeniería Civil.

Variable independiente

Falta de conocimiento de ataques de ingeniería social en los estudiantes de Ingeniería Civil.

49

DEFINICIONES CONCEPTUALES

Ciberdelitos: Los ciberdelitos son aquellos ataques que se producen a través de

cualquier medio informático, donde su principal objetivo es realizar algún deterioro

o interrupción a un sistema informático.

Seguridad Informática: Es el proceso que comprende la detección y prevención

de los datos informáticos, minimizando el riesgo de la información.

Riesgo: Es la probabilidad de que ocurra un incidente dentro del contexto

informático son todas las amenazas que pueden afectar a los activos de

información de la organización.

Datos/información: Los datos e información es el núcleo que permite a una

organización prestar sus servicios.

Impacto: Es toda consecuencia o resultado que se logra tener dentro en un

contexto, al ser un conjunto de cambios que se producen dentro de una sociedad.

Analizar: Consiste en una serie de procesos donde se va identificar e interpretar

un evento o situación, para entender su funcionamiento y características.

Amenaza: Se la puede definir como todo evento que pone en peligro a una

situación y puede provocar un daño.

Incidente: Es un evento en el que ocurre o puede haber ocurrido un efecto.

Dentro del contexto de la seguridad informática, consiste en una serie de eventos

imprevistos que intentan afectar los pilares de la seguridad de la información:

integridad, confidencialidad e integridad.

Vulnerabilidad: Es una situación existente que presenta una debilidad en un

elemento, permitiendo que una amenaza se pueda presentar.

50

Ataque informático: Un ataque informático consiste en la explotación de una

vulnerabilidad o fallo en el sistema ya sea por software o hardware, inclusive en

las personas a fin de conseguir un beneficio.

Exploit: Son códigos diseñados para aprovecharse de algún tipo de vulnerabilidad

o brechas de seguridad en un sistema.

Payloads: Payloads o carga útil son códigos que se ejecutan dentro de un agujero

de seguridad.

51

CAPÍTULO III

METODOLOGÍA DE LA INVESTIGACIÓN

Modalidad de la Investigación

Para la realización de este trabajo se aplica la modalidad síntesis bibliográfica,

donde la información fue adquirida de varias fuentes relacionadas al tema; se

seleccionó artículos científicos, informes, páginas webs, libros electrónicos, que

son necesarios y fundamentales para cumplir con los objetivos y explicar la

propuesta del tema.

Otra modalidad aplicada en este trabajo es la de campo, ya que se centra en

el uso de métodos, técnicas, e instrumentos que permitirán observar con más

precisión la actual problemática.

Tipo de investigación

El tipo de investigación que se realizará será: Descriptivo, explicativo

Descriptiva

Es el estudio que busca especificar las propiedades importantes de personas,

grupos, comunidades o cualquier otro fenómeno que sea sometido a un análisis

(Hernández Sampieri, Fernández Collado, & Baptista Lucio, 2010).

Es decir, la investigación descriptiva permite determinar o medir un fenómeno

de dicha investigación, donde esta permite implicar al grupo que se va medir en el

estudio. En este tipo de investigación se busca conocer los riesgos a los que

puede estar expuesto el estudiante debido al desconocimiento de ataques como

52

Ingeniería social, donde mediante el análisis de datos obtenidos mediante

encuestas se determinará el nivel de desconocimiento en la muestra.

Explicativa

Los diseños explicativos están dirigidos a responder a las causas de los eventos

físicos o sociales. Como su nombre lo indica, su interés se centra en explicar por

qué ocurre un fenómeno y en qué condiciones se da éste, o por qué dos o más

variables están relacionadas(Hernández Sampieri et al., 2010).

Se realiza el uso de este tipo de investigación ya que se explicará el impacto

de la ocurrencia de este tipo de incidentes a través de la revisión bibliográfica

basada en fundamentos teóricos, casos reales, métodos, técnicas y la aplicación

de escenarios virtuales.

POBLACIÓN Y MUESTRA

Población

La población de estudio estará conformada por los estudiantes de la Facultad de

Ciencias Matemáticas y Físicas de la carrera de Ingeniería Civil, tanto la modalidad

semestral como continua del ciclo 2019 – 2020 como se observa en el cuadro.

AS C

53

Cuadro N.2

Población de estudio

CARRERAS

Elaborado: Secretaría de la información-FCMF-ING-CIVIL Fuente: Datos de la Población

PERIODOS FACULTADES CARRERAS NIVELES # ESTUDIANTES

2019 - 2020 CII

CIENCIAS MATEMÁTICAS Y FÍSICAS

INGENIERÍA CIVIL (SEMESTRAL)

2 24

2019 - 2020 CII



3 66

2019 - 2020 CII



4 176

2019 - 2020 CII



5 272

2019 - 2020 CII



6 186

2019 - 2020 CII



7 184

2019 - 2020 CII



8 247

2019 - 2020 CII



9 106

2019 - 2020 CII


INGENIERÍA CIVIL-2018

1 205

2019 - 2020 CII



2 168

2019 - 2020 CII



3 124

2019 - 2020 CII



4 59

TOTAL CARRERA 1817

54

Muestra

Para la recolección de datos se procede a determinar la muestra correspondiente

a la población de 1817 estudiantes. Como se observa en el cuadro, serán

considerados los alumnos de 5to a 9no semestre de la modalidad semestral y

continua de 1ro a 4to nivel del ciclo 2019 – 2020. La muestra se la determinará

con la siguiente fórmula.

𝑛 = 𝑚

𝑒2(𝑚 − 1) + 1

Donde: n=tamaño de la muestra m=tamaño de la población (1817)

e= error de estimación (0.08) EL TAMAÑO DE LA MUESTRA

𝑛 = 1817

0.082(1817 − 1) + 1

𝑛 = 𝑚

𝑒2(𝑚 − 1) + 1

𝑛 = 1817

11.6224 + 1

𝑛 = 1817

12.6224

𝑛 = 144

55

OPERACIONALIZACIÓN DE VARIABLES

Cuadro N.3

Matriz de operacionalización de variables

Fuente: Datos de la encuesta


Variables Dimensiones Indicadores Técnicas y/o Instrumentos

Variable independiente Falta de conocimiento de ataques de Ingeniería social en los estudiantes de Ingeniería civil

Medios y procedimientos

Nivel de conocimiento sobre ataques de Ingeniería Social

Redes Sociales utilizadas en la vida cotidiana por los alumnos

Cuestionarios, Encuestas, Análisis de encuestas Observaciones

Variable dependiente Incidencia de los ataques informáticos en los estudiantes de Ingeniería civil

Recolección de Información Análisis de escenarios

Mecanismos utilizados para la ejecución de ataques de Ingeniería Social

Información sensible de los alumnos expuesta por ataques de Ingeniería Social

Cuestionarios, Encuestas, Análisis de encuestas Observaciones, Bibliografía especializada, consulta a expertos.

56

Instrumentos de recolección de datos

La técnica

Para que este trabajo investigativo resulte factible se necesitan técnicas que

faciliten la combinación de información y análisis de datos, por lo tanto, la técnica

que se utilizaran será documental y de campo.

Documental

La técnica documental en este trabajo investigativo permitirá describir, analizar,

explicar y confrontar el tema de estudio, con partes de los resultados de esta

investigación.

Lectura científica

En este trabajo investigativo a través de la lectura científica nos permitirá obtener

la capacidad de comprender y profundizar el tema a investigar, obteniendo

información más confiable desde principales fuentes primarias y secundarias.

Campo

Para este trabajo investigativo se procedió a emplear la técnica de campo. Para

la recolección de datos se realizó una encuesta, la misma que permitirá identificar

el nivel de conocimiento sobre ataques informáticos especialmente de Ingeniería

Social. Así mismo, se podrá obtener información de referencia para los escenarios

de simulación sobre los posibles ataques de ingeniería social para realizar el

análisis del impacto de dichos ataques.

Instrumentos de la investigación

Encuesta

La encuesta es una técnica que permite la recolección de información. El objetivo

de la encuesta aplicada en la presente investigación es determinar el nivel de

conocimiento de los estudiantes de Ingeniería Civil sobre ataques informáticos a

los que se encuentran expuestos para determinar la incidencia de los mismos y

su posible impacto.

57

Cuestionario

El cuestionario es una serie de preguntas estructuradas con el objetivo de obtener

información de los encuestados.

Se desarrollará un cuestionario de 12 preguntas de selección y opción múltiple

diseñadas desde Google Forms.

Herramienta Google Drive

Para la elaboración del cuestionario se hace uso de la plataforma google drive, la

misma que permitirá crear preguntas y almacenar los datos ingresados por los

encuestados. Además, proporciona de manera automática la tabulación de la

encuesta y los resultados estadísticos obtenidos.

La encuesta será enviada a los correos electrónicos proporcionados por la

Secretaria de la carrera de ingeniería civil de manera aleatoria.

Recolección de la información

Para la aplicación de la encuesta se realizó una Solicitud de levantamiento de

información al Decano de la Facultad de Ciencias Matemáticas y Físicas, para

obtener la base de datos de los correos electrónicos de los estudiantes de

Ingeniería Civil de todos los niveles matriculados en el ciclo II 2019-2020.

Elaboración y formulación de cuestionario.

Aprobación de tutora sobre las preguntas formuladas y el script del correo electrónico a enviar a la muestra

Proceso de envió de correos

Recolección y análisis de los datos del cuestionario respondido por los estudiantes

58

Procesamiento y análisis

Realizada todas las tareas de recolección y recopilación de información se

procede a realizar el respectivo análisis y tabulación de los datos relevantes en la

investigación.

PREGUNTA 1 ¿CONOCE USTED SOBRE EL TÉRMINO DE INGENIERÍA SOCIAL?

Cuadro N.4

Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF

SELECCIÓN

TOTAL DE RESULTADOS POR

MUESTRA

PORCENTAJE

SI 36 25.2 %

NO 107 74.8%

TOTAL 143 100%

Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta

Gráfico 29: Conocimiento de Ingeniería social


59

Análisis: En el gráfico 29, se puede observar que de los 144 encuestados el

74.8% de la muestra no conoce el término Ingeniería social, mientras que el 25.2%

indica que si conocen el término de Ingeniería social.

Como se observa, la mayor parte de los encuestados no conocen el

término de ingeniería social lo que demuestra que el nivel de conocimiento

sobre este tipo de ataque es muy bajo pudiéndose inferir que el

conocimiento sobre otros tipos de ataques informático también será bajo.

PREGUNTA 2 ¿SE CONECTA USTED A REDES WI-FI PÚBLICAS EN CUALQUIER LUGAR?

Cuadro N.5


TIPO DE OPCIÓN

TOTAL DE E RESULTADOS POR

MUESTRA

PORCENTAJE

SIEMPRE 37 25.9%

NUNCA 7 4.9%

A VECES 99 69.2%

TOTAL 143 100 %


60

Gráfico 30: Conectividad a redes públicas


Fuente: Datos de la encuesta Análisis: En el gráfico 30, se puede observar que de los 144 encuestados, el

25.9% de la muestra siempre se conectan a cualquier WIFI pública, el 4.9% indica

que nunca se conectan a WIFI públicas, mientras el 69.2 % indican que solo a

veces se conectan a redes inalámbricas públicas.

Como se observa, existe un porcentaje alto de la muestra que se conectan

a redes inalámbricas públicas pudiéndose inferir que no conocen los niveles

de riesgo y amenazas que existen al conectarse a cualquier red WIFI pública.

PREGUNTA 3 ¿CON RESPECTO A LA PREGUNTA ANTERIOR, QUÉ ACTIVIDADES REALIZA USTED EN LA RED? (SELECCIONE TODAS LAS QUE APLIQUE)

61

Cuadro N.6



Gráfico 31: Actividad en la red


Fuente: Datos de la encuesta Analisis : En el gráfico 31, se puede observar que de los 144 encuestados, como

parte de las actividades que realizan al conectarse a una red WIFI pública

indicaron, el 16.4% realizan transacciones bancarias, el 60 % revisan sus correos

electrónicos, el 87.9% revisan sus redes sociales, el 56.4% visitan páginas

informativas, mientras el 4.2 % lo utilizan para otra actividad.

SELECCIÓN MULTIPLE

NÚMEROS DE RESULTADO POR

SELECCIÓN

PORCENTAJE

TRANSACCIONES BANCARIAS

23 16.4 %

REVISAR CORREOS ELECTRÓNICOS

84 60%

REVISAR REDES SOCIALES

127 87.9%

VISITAR PAGINAS INFORMATIVAS

79 56.4%

OTRA 6 4.2%

62

Se puede observar que gran parte de la muestra realiza actividades de

alto riesgo dentro de una red WIFI pública al posible grado de exponer su

informacion personal.

PREGUNTA 4 ¿AL MOMENTO DE NECESITAR UN PROGRAMA PARA USO PERSONAL USTED?

Cuadro N.7

Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF

TIPO

DE OPCIÓN


MUESTRA

PORCENTAJE

DESCARGA LA VERSIÓN PAGADA DESDE LA PAGINA

OFICIAL

15 10.6%

DESCARGA EL PROGRAMA

GRATUITO DESDE CUALQUIER PAGINA

111 78.2%

DESCARGA UN GENERADOR DE CLAVE PARA LA

VERSIÓN PAGADA

16 11.2%

TOTAL 142 100%


63

Gráfico 32: Descarga de programa



Análisis: En el gráfico 32, se puede observar que de los 144 encuestados, el

10.6% de la muestra indica que siempre descargan la versión pagada desde la

página oficial, el 78.2% descarga el programa gratuito desde cualquier página,

mientras el 11.2% descargan un generador de claves.

En el gráfico se observa, que la mayor parte de los encuestados

descargan programas desde cualquier sitio no oficial de internet; lo que

representa un alto porcentaje de la muestra vulnerable hacia cualquier

amenaza informática, ya que este tipo de descargas no siempre son seguras

porque pueden implicar la descarga de algún malware.

Pregunta 5 ¿ACCEDE USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?

64

Cuadro N.8

Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF



Gráfico 33: Notificaciones de dudosa procedencia



Análisis: En el gráfico 33, se puede observar que de los 144 encuestados, el 6.3%

indicó que casi siempre acceden a las notificaciones de correos de dudosa

procedencia, el 62.9% nunca acceden, mientras el 30.1% indican que a veces

acceden a correos de dudosa procedencia.

Según la gráfica, el 37% de la muestra total indican que acceden a correos

de dudosa procedencia, por lo que se puede inferir que gran parte de los

estudiantes son blanco fácil a ataques por medio de correos electrónicos.

TIPO DE OPCIÓN


MUESTRA

PORCENTAJE

SIEMPRE 1 0,7%

CASI SIEMPRE 9 6,3%

NUNCA 92 62,9%

A VECES 43 30,1%

TOTAL 143 100 %

65

PREGUNTA 6 ¿QUÉ RED SOCIAL UTILIZA CON MÁS FRECUENCIA? (SELECCIONE TODAS LAS QUE APLIQUE)

Cuadro N.9


SELECCIÓN MÚLTIPLE

CANTIDAD DE RESPUESTA POR

SELECCIÓN

PORCENTAJE

FACEBOOK 95 66%

WHATSAPP 131 91%

INSTAGRAM 64 44.4%

TWITTER 16 11.1%

OTRO 6 4.2%


Gráfico 34: Redes sociales más utilizada


Fuente: Datos de la encuesta Análisis: En el gráfico 34, se puede observar que de los 144 encuestados, el 66%

indica que la red social que utilizan con más frecuencia es Facebook, el 91%

WhatsApp, el 44.4% Instagram, el 11.1% Twitter, mientras un 4.2% indicaron otro

tipo de red social.

66

Como se puede observar en esta pregunta, todos los encuestados utilizan

alguna red social ya que son utilizadas a diario para diferentes fines, siendo

las redes sociales las campañas más utilizadas para desplegar ataques de

Ingeniería social como el phishing.

PREGUNTA 7 ¿PARA QUE PROPÓSITO UTILIZA LAS REDES SOCIALES? (SELECCIONE TODAS LAS QUE APLIQUE)

Cuadro N.10

Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF



CANTIDAD DE RESULTADOS

PORCENTAJE

PARA CONOCER NUEVAS PERSONAS

29 20,1%

PUBLICAR FOTOS 42 29,2%

PARA ESTAR AL DÍA CON NOTICIAS U OTRO EVENTO

131 91%

OTRO 17 11,9%

67

Gráfico 35: Propósito de utilizar redes sociales



20.1% utilizan las redes sociales para conocer nuevas personas, el 29.2% para

publicar fotos, el 91% para estar al día con noticias u otro evento mientras el total

de un 11.9 % la utilizan para otros propósitos.

Como se observa en el gráfico 35, existen porcentajes divididos sobre el

uso de las redes sociales, donde se refleja que la mayor parte de la muestra

utilizan las redes sociales para estar el día con noticias y otros eventos.

Como se mencionó anteriormente, gran parte de los ciberdelitos se

despliegan a través de las redes sociales ya que sus usuarios no conocen

los ataques a los que pueden estar expuestos al utilizarlas.

Pregunta 8 ¿SE LE HA SOLICITADO INFORMACIÓN PERSONAL PARA CAMPAÑAS PUBLICITARIAS A TRAVÉS DE ALGUNO DE ESTOS MEDIOS? (SELECCIONE TODAS LAS QUE APLIQUE)

68

Cuadro N.11



NUMERO DE RESULTADOS POR

MUESTRA

PORCENTAJE

Llamadas telefónicas 31 22.1%

Redes sociales 52 37.1%

Encuestas 79 56.4%

Otro 7 4.2%


Gráfico 36: Medios solicitados para campañas publicitarias



56,4% de la muestra proveen información personal por medio de encuestas, el

37.1% por medio de redes sociales, el 22.1% por llamadas telefónicas y el 4.2%

no lo hacen por ningún medio o no dan información.

Un alto porcentaje de la muestra proporciona información a través de los

mecanismos mencionados anteriormente, los mismos que pueden ser

utilizados por atacantes para obtener información más detallada del usuario

encuestado como nombre, apellido, cédula, edad y correo electrónico,

69

siendo una información muy verídica que llevaría al inicio de un ataque

informático sin que el individuo se dé cuenta, como se muestra en el gráfico

36, la mayor parte de la muestra revelaron su edad.

Gráfico 37: Edad de los encuestados


Fuente: Datos de la encuesta Pregunta 9 ¿CON RESPECTO A LA PREGUNTA ANTERIOR, USTED HA PROPORCIONADO LA INFORMACIÓN SOLICITADA?

Cuadro N.12

Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF

OPCIÓN

TOTAL DE E RESULTADOS POR MUESTRA

PORCENTAJE

Sí 42 29.6%

No 100 70.4%

TOTAL 115 100%


70

Gráfico 38: Proporción de información a campañas publicitarias


Análisis: En el gráfico 38, se puede observar que de los 144 encuestados el

29,6% de los estudiantes sí provee la información a los medios mencionados y

que el 70,4% no provee información personal.

Las personas al no saber para qué será de utilidad sus datos personales

brindan fácilmente su información a estos tipos de medios, exponiendo su

privacidad y confidencialidad antes posibles ataques informáticos.

Pregunta 10 ¿CONOCE USTED EL TÉRMINO DE PHISHING?

Cuadro N.13


SELECCIÓN


MUESTRA

PORCENTAJE

Sí 17 11.8%

No 127 88.2%

TOTAL 116 100%


71

Gráfico 39: Conocimiento de Phishing


Fuente: Datos de la encuesta Análisis: En el gráfico 39, se puede observar que de los 144 encuestados el

88.2% desconocen esta técnica de Ingeniería social y el 11.8% si lo conocen.

Considerando que el Phishing es un tipo de engaño que bien puede

hacerse pasar por una persona o empresa conocida con el afán de obtener

la información por medio de correo electrónico o mensajería maliciosa. Es

muy alarmante que los estudiantes desconozcan este tipo de técnicas de

ingeniería social, volviéndose vulnerables a este popular ataque.

Pregunta 11

¿SABE USTED IDENTIFICAR SI UNA PÁGINA WEB ES SEGURA?

Cuadro N.14

Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF

SELECCIÓN

TOTAL DE RESULTADOS POR MUESTRA

PORCENTAJE

Sí 68 47.9%

No 74 52.1%

TOTAL 115 100%



72

Gráfico 40: Identificación una página web



52,1% desconocen si una página web es segura y el 47.9% dicen saber identificar

si una página web es segura.

Al momento de conectarse a internet son muchas las páginas disponibles

para las necesidades del usuario, pero por cuestiones de seguridad es

indispensable conocer si la página es o no segura, ya que existen ataques

como la clonación de páginas web o ataques de suplantación de identidad

que buscan engañar al usuario para obtener información confidencial como

usuarios y contraseñas.

Pregunta 12 ¿USTED UTILIZA LAS MISMAS CONTRASEÑAS PARA TODAS SUS CUENTAS PERSONALES?

73

Cuadro N.15


SELECCIÓN

TOTAL DE RESULTADOS POR

MUESTRA

PORCENTAJE

SIEMPRE 7 4.9%

NUNCA 65 45.1%

A VECES 72 50%

TOTAL 144 100%


Gráfico 41: Uso continuo de las contraseñas


Fuente: Datos de la encuesta Análisis: En el gráfico 41, se puede observar que de los 143 encuestados el

51.7% usan “a veces” las mismas contraseñas, el 45.1% “nunca” usan las mismas

contraseñas, el 4.9 % “siempre” usan las mismas contraseñas para las cuentas

personales.

El uso de contraseñas es un método de autenticación personal que se

utiliza para proteger un bien común de manera confidencial. A media que

pasa el tiempo, los usuarios tienen la necesidad de utilizar varias

plataformas ya sean personales, sociales, educativas o científicas donde

son los mismos usuarios los creadores de su propia privacidad, esto genera

que, al usar las mismas contraseñas en todas las plataformas, facilitan al

atacante de acceder a la mayor parte de las cuentas para lucros maliciosos.

74

Validación de análisis de datos

Después de realizar el análisis de la muestra, se pudo verificar que

aproximadamente el 75% de los encuestados desconocen sobre el término

Ingeniería social, y un total del 88% desconocen sobre técnicas de phishing, esto

demuestra un alto porcentaje ante el desconocimiento de las técnicas de

Ingeniería social y mecanismos de ataques que el ciberdelincuente puede usar.

Como dato a considerar del total de los alumnos encuestados, un aproximado

del 70%, proporcionaron sus números telefónicos mediante la encuesta, en la cual

se puso a prueba a los estudiantes y ver la cantidad que estos caían además de

proceder a la incidencia. Esto demuestra que un porcentaje alto de los alumnos

proporcionan datos en la encuesta y son vulnerable ante otros mecanismos para

obtener información.

Por lo tanto, mediante la interpretación de datos en general, se puede

determinar que el porcentaje de incidencia de los ataques informáticos es

inversamente proporcional al desconocimiento de los alumnos.

De acuerdo a los resultados evidenciados, existe la necesidad de demostrar

mediante escenarios, los mecanismos de ataques que utilizan los

ciberdelincuentes para analizar el impacto que estos ciberataques pueden causar.

Mecanismos de ataques

Los mecanismos de ataques tienen como objetivo demostrar los principales

ataques informáticos que se podrían emplear para atacar a la muestra y por medio

de un análisis de los distintos escenarios se determinará el impacto que pueden

causar en los usuarios.

Cabe aclarar que dentro de estas simulaciones no se busca realizar ataques

en la que se pueda afectar a los implicados sino más bien se buscará la forma de

demostrar a los estudiantes que pueden estar expuestos a estos tipos de ataques

informáticos.

75

Desarrollo de escenarios

Los escenarios están estructurados de la siguiente forma:

Gráfico 42: Estructura de un escenario


Escenario 1

En este escenario, se considerará una simulación de ataque usando la técnica de

phishing mediante el envío de correos electrónicos a los alumnos de Ingeniería

Civil; cabe destacar que el objetivo no es lanzar un ataque real sino más bien

demostrar como el atacante informático procedería a un ataque programado por

medio de esta técnica.

Preparación y ejecución del escenario 1 (CASO REAL)

El tipo de anzuelo que se procedió a usar fue un enlace que los enviaba a una

encuesta, donde los estudiantes de la Carrera de Ingeniería Civil procedieron a

responder temas que miden sus conocimientos sobre ataques de seguridad como

ingeniería social, en la cual se pudo:

Recopilación de infomación

Prepararar escenario

Ejecución del escenario

Obtener información

76

Determinar la cantidad de estudiantes que abrieron el enlace a través de

correo y explicar el posible ataque ante el envío de correo electrónico.

Obtener números de WhatsApp de los estudiantes mediante técnica de

manipulación psicológica a través de la encuesta.

Gráfico 43: Ataque simulado por vía correo electrónico


Como se observa en el gráfico 43, a partir de la muestra de los estudiantes que

se recopilo en la carrera de Ingeniería Civil se procedió a enviar por medio de

correo el enlace de la encuesta.

Los Ciberdelincuente siempre buscan la manera de encontrar nuevos métodos

de manipulación a las víctimas para alcanzar su objetivo, unos de los principales

métodos es generar confianza y seguridad en las víctimas para que estos puedan

ser manipulados y no sospechen de un presunto ataque.

Utilizando la técnica de phishing se buscó generar confianza y credibilidad a

los estudiantes mediante un mensaje de presentación a través de los correos

electrónicos, en donde se les da a conocer que el correo proviene de estudiantes

de la universidad y se les solicita acceder al enlace.

77

Gráfico 44: Técnica de suplantación de identidad por vía correo electrónico


Además, mediante este mismo escenario se puede demostrar como los

estudiantes proporcionan información por medio de un engaño psicológico a

través de la encuesta, suficiente para llevar a cabo un ataque más sofisticado.

78

Gráfico 45: Anzuelo para poder obtener los números telefónicos


Como se observa en el gráfico 45, dentro del encuesta se formuló una pregunta

opcional, en la cual se obtuvo un total de 93 números telefónicos de distintos

estudiantes.

Por lo tanto, a través de esta técnica se comprueba que más del 60% de los

estudiantes proporcionaron información personal al hacerles creer que podían

ganar algo, demostrándose la facilidad con la que un atacante podría obtener su

información personal a través del uso de Ingeniería social.

A partir de esta información de los números telefónicos se puede llegar a

ejecutar otras técnicas de Ingeniería social como es el VISHING o técnicas de

PRETEXTING formando parte del escenario 2.

79

Variaciones de este escenario

Simulación de phishing a través correo electrónico

Con esta variación, se demostrará lo que podría realizar un atacante en un

ambiente real utilizando la misma técnica: phishing por correo electrónico. Cabe

aclarar que, dentro de esta simulación, el ataque está dirigido a los estudiantes

Ronny Eduardo Bermúdez Rezabala y Kevin Andrés Moreira Vera, quienes son

los encargados de realizar la tesis.

Diseño y elaboración del Phishing

El ataque basado en engaño será un mensaje de alerta de seguridad de Microsoft

Outlook para lo cual se realizó un template basado en HTML y CSS, ya que se

busca generar la táctica de urgencia en el correo, esto permitiría aumentar la

probabilidad de enganchar a las víctimas para alcanzar su objetivo.

Gráfico 46: Código de template de la página web falsa


En el gráfico 47, se muestra un tipo de alerta muy comprometedor haciendo creer

que en verdad se trata de un mensaje de alerta del mismo Outlook, por lo que a

través de este engaño se podría lograr que los estudiantes con desconocimiento

de estas técnicas caigan en el anzuelo y sean redireccionados al sitio falso para

obtener las credenciales de su cuenta de Outlook.

80

Gráfico 47: Template de Outlook


Para mayor credibilidad del ataque se puede crear una cuenta falsa de correo muy

similar a la cuenta de soporte de Outlook, lo cual generará más confianza en la

víctima haciéndolos más propensos a caer en el engaño.

81

Gráfico 48: Cuenta falsa


Ejecución de phishing a través de la herramienta Shellphish y Ngrok

Como primer esquema, se descarga la paquetería de Shellphish desde el servicio

de GitHub.

Gráfico 49: Ejecución de phishing a través de la herramienta Shellphish


82

Para realizar ataque fuera de la red local, Shellphish está vinculada con la

herramienta de ngrok. Esta herramienta genera enlaces de tipo https para acceder

al servidor local.

Para ejecutar ngrok se debe remendar el comando proporcionado por la página

de ngrok, en las carpetas de instalación Shellphish.

Gráfico 50: Ejecución de Ngrok


Realizado lo anterior, con el comando bash shellphish.sh se muestra la interfaz

de Shellphish con sus 19 plantillas preconfiguradas.

En este caso, se desea realizar una prueba a través de la plantilla de Microsoft

para obtener esa credencial, se observa como ngrok genera un enlace que

permite llevar al sitio proporcionado por la herramienta.

83

Gráfico 51: Interfaz de Shellphish


Resultados de ejecución

Como se observa en el gráfico 52, en las notificaciones de entrada del correo

electrónico, el template con enlace camuflado Outlook no lo detecta como un

phishing ni mensaje spam.

84

Gráfico 52: Notificaciones de entrada del correo electrónico


Cuando se da clic en el enlace camuflado, la herramienta ngrok redirecciona a

la víctima al servidor del atacante pudiendo así obtener las credenciales del

objetivo. En el momento en que la víctima introduce sus credenciales es

redireccionado al sitio original de Microsoft haciéndolo creer que sus credenciales

fueron ingresadas de manera errónea y siendo imperceptible el robo de las

mismas.

85

Gráfico 53: Robo de credenciales Outlook


Como se demuestra en el gráfico 54, con este ataque se puede llegar a obtener

información confidencial como IP, DNS, ciudad, proveedor de internet y sobre todo

las credenciales de un usuario. Por temas de seguridad se cubre información del

ataque simulado.

86

Gráfico 54: Robo de credenciales Outlook


Simulación 2 - Generador spyware–keylogger

El objetivo de esta simulación es demostrar como los estudiantes de Ingeniería

Civil, pudieron haber sido afectados por este spyware con solo acceder al enlace

y ejecutar el archivo.

Spyware a través de la herramienta sAINT

A través del repositorio GitHub se clona toda la paquetería de Saint en la terminal

de Kali Linux para proceder con la instalación.

87

Gráfico 55: Instalación de repositorios de sAINT

Elaborado por: Github, 2017

Fuente: https://github.com/tiagorlampert/sAINT

Realizada la instalación de toda la paquetería de (s)AINT, se arranca el

software con el comando Java –jar Saint.jar en la carpeta de instalación, y se

acepta los requisitos del software bajo la responsabilidad del usuario.

Gráfico 56: Interfaz de sAINT



https://github.com/tiagorlampert/sAINT

88

Antes de la creación del archivo ejecutable o malware, el software indica una serie

de procesos de validación de datos y que característica contendrá el archivo

ejecutable.

Agregar usuario y contraseña del correo Gmail, donde llegará la

información cuando la víctima ejecute el malware, (de sugerencia es crear

una cuenta Gmail para realizar estos tipos de ataques).

Realizado el proceso anterior, se indica que el archivo ejecutable tenga la

siguiente característica: encender la webcam, realizar screenshot,

persistencia y cuando la víctima teclea 15 caracteres llegue información al

correo indicado.

Finalmente se valida los datos ingresados de manera correcta, para que

proceda a crear el archivo ejecutable en jar.

Gráfico 57: Validación de datos en sAINT



89

Una vez creado los archivos ejecutables, la herramienta despliega un enlace

hacia al correo indicado, para activar el acceso de este software al correo.

Gráfico 58: Permisos de aplicación en Gmail



Para verificar que los ejecutable jar y exe estén creados, se debe acceder a

Carpeta personal/Saint/ target.

Gráfico 59: Archivos ejecutable



90

Ejecución de ataque

Para la ejecución del ataque hacia la víctima, se sube el archivo ejecutable a un

servidor de almacenamiento para compartir el archivo a través del enlace por

correo electrónico. Dentro de esta simulación se utiliza el archivo jar ya que a

diferencia del exe, el jar no es detectado por todos los antivirus y el navegador no

impide su descarga.

Gráfico 60: Enlace directo de los archivos ejecutable


Para que el ataque tenga un mayor éxito se utilizan técnicas de Ingeniería social

en el script, como el método de pedir “ayuda” y despertar “curiosidad”, mostrado

en el gráfico 60, para persuadir a la víctima de abrir el enlace y los enganche a

realizar el proceso de ejecución del malware.

91

Gráfico 61: Mecanismo de Ingeniería social a través de correo electrónico


Al dar clic en el enlace, los archivos se descargan de manera automática y

cuando la víctima ejecute la aplicación maliciosa, automáticamente entra en el

proceso de ser víctima del Spyware.

Gráfico 62: Descarga del Spyware



92

Resultado del ataque

Como se observa en el gráfico 63, en la bandeja de entrada del correo electrónico

de Gmail, sAINT notifica y entrega información cada vez que la víctima teclee 15

caracteres.

Gráfico 63: Notificaciones de la víctima


Fuente: Proyecto de investigación Al entrar en una de las notificaciones que envía sAINT, se muestra lo que está

realizando por medio de imágenes.

Gráfico 64: Espionaje de datos de la víctima



93

Finalmente, al entrar a los archivos notificados, se puede observar como la victima

entrega sus credenciales de una cuenta bancaria sin sospechar que es víctima de

un ataque informático.

Gráfico 65: Espionaje de credenciales



Análisis del impacto

Dentro de la simulación se utilizó la técnica más empleada por los atacantes

informáticos que es el phishing en donde se utilizaron dos esquemas para poder

lanzar ataques. En el primer esquema, mediante un correo electrónico de alerta

de Outlook se induce a la víctima a dar clic en un enlace camuflado que lo

redirecciona a un sitio web de Microsoft donde el usuario supone que su cuenta

está en alerta de seguridad y necesita ingresar sus credenciales dándole sus

claves de acceso al atacante, permitiéndole hacer lo que quisiera con la cuenta

de la víctima.

En el segundo esquema, bajo la misma técnica de phishing se busca introducir

un spyware en el equipo de la víctima. Dentro de la simulación a través del

spyware se puede demostrar otro tipo de campaña de Ingeniera social donde por

medio de un correo electrónico se induce a la víctima a descargar una aplicación

94

maliciosa, la cual con solo dar clic se descargará de manera automática al

computador que podría espiar y ver lo movimientos de escritura que realice la

víctima en el computador exponiendo la integridad y seguridad de los datos del

usuario.

Los escenarios simulados son un panorama de los sucesos que pueden

ocurrirle a los estudiantes en el día a día. Los datos estadísticos de la pregunta

#1, que consiste en el nivel de desconocimiento de Ingeniería social, corroboran

el desconocimiento de este tema en los alumnos donde el 74.8% desconoce sobre

el tema, lo cual aumenta la probabilidad de incidencia ante estos tipos de ataques.

La ignorancia sobre este tema, la falta de prevención y precaución ocasionan que

las personas sean muy vulnerables a diferentes tipos de ataques durante el

manejo de sus datos personales. Las redes sociales e internet, son elementos

prodigiosos para los atacantes informáticos que al usar mecanismos similares a

los escenarios detallados previamente pueden provocar inestabilidad emocional a

las personas induciendo a la persona a instalar malware sin saber que está

provocando la infección de los registros del sistema e incluso está cediendo el

control total del equipo.

Estos mecanismos permiten la sustracción de información personal como

cuentas de créditos o cuentas bancarias mediante la clonación de páginas

institucionales como la de un banco o de una compañía de comercio electrónico

donde la victima sin saber que es falsa, el usuario ingresa sus credenciales y el

atacante se apodera de sus recursos financieros causando pérdidas económicas

a la víctima.

Infección: Control total del equipo, daños a los registros del sistema.

Robo de información: Acceso a datos personales, pérdida de claves de

acceso.

Fraude: Transacciones bancarias, pérdida de dinero.

Imagen: El atacante puede usar la información obtenida para dañar la

imagen de la víctima causando un impacto social sobre la persona.

95

Escenario 2

En este escenario se va a tomar en cuenta los diferentes sucesos o ataques que

pueden ocurrir con solo obtener los números telefónicos de los usuarios o en este

caso de los estudiantes, con el fin de obtener información de su Smartphone

donde pueden ocurrir una serie de daños colectivos ya sea en el sistema y en los

archivos.

Verificación de dos pasos

Es una medida de seguridad que permite confirmar la identidad, por medio del

número telefónico.

La recolección exhaustiva de información es la primera fase de cualquier

ataque siendo este el modus operandi para dar inicio al proceso de Ingeniería

social. En muchas plataformas digitales, como por ejemplo Facebook, se tiene la

opción “Olvidé la contraseña” la cual le permite a un usuario recuperar su

contraseña en caso de que se le olvide. Esta opción utiliza la verificación de dos

pasos con la ayuda del número telefónico sincronizado a dicha plataforma

permitiéndole al usuario ingresar nuevamente a su cuenta de manera sencilla. De

la misma forma trabaja el atacante informático con solo obtener el número

telefónico de la víctima aprovecha la verificación de dos pasos, que funciona a

través de mensaje de texto y envían códigos como se muestra en el gráfico 66

para que supuestamente puedan asegurar más la cuenta.

Gráfico 66: Verificación de dos pasos


96

Ataque de virus y malware

Otro escenario que es muy común son las infecciones por medio de la descarga

de malware, independiente de cualquier sistema operativo que se esté utilizando

en el Smartphone. Sin embargo, Android es el sistema operativo más propenso

en cuanto a intrusiones en comparación con IOS, al ser un sistema de código

abierto que provoca que los usuarios estén mucho más expuesto a ataques

malintencionados.

Dentro de lo que puede ocurrir en un dispositivo móvil infectado se las mencionara

a continuación:

Publicidad masiva es muy molestoso para los usuarios el tener ventanas

emergentes en el navegador que son muy complicadas de cerrar. (Pueden

aparecer ventanas clonadas que pueden sustraer datos personales,

contraseñas, cuentas bancarias y contactos telefónicos).

Por medio de un enlace enviado por redes sociales se encuentre un

malware que sin levantar sospechas infecte el dispositivo, abriendo una

puerta para el envío de información del usuario afectado.

Al momento de descargar una aplicación no se verifique la procedencia de

origen de ese paquete, más bien se lo descarga e instala sin saber el daño

que puede ocasionar como por ejemplo bloquear el dispositivo por el cual

el atacante pide un pago de dinero como rescate para devolver el control

del dispositivo. Suele ocurrir que se paga lo acordado y el atacante

informático no cumple con lo acordado y no desbloquea el dispositivo.

Caso de estudio: Espionaje a usuarios de WhatsApp

WhatsApp es una aplicación de mensajería instantánea y propiedad de Facebook,

la misma que anunció una alerta de ataques informáticos y flujo de información

para los usuarios que usan esta plataforma. La compañía reconoció que dejó una

brecha muy vulnerable en sus sistemas donde los atacantes informáticos

aprovecharon e hicieron uso de un software espía para que pudieran acceder a

los datos que contenían dichos dispositivos.

97

La compañía confirmó en un comunicado la información que unas horas antes

había publicado en exclusiva el Financial Times e instó a los 1.500 millones de

usuarios que tiene en todo el mundo “actualizar la aplicación a su última versión”

y a mantener al día su sistema operativo como medida de “protección”("WhatsApp

alerta de un nuevo ataque y robo selectivo de datos," 2019).

Aún no se precisa la cantidad exacta de personas afectadas por este tipo de

ataque de espionaje, se efectuó de manera selectiva a las víctimas asumiendo

que no fue un ataque de gran escala.

El “spyware” o software espía que se instalaba en los teléfonos “se asemeja” a

la tecnología desarrollada por la empresa de ciberseguridad israelí NSO Group, lo

que llevó a WhatsApp a situarla como principal sospechosa detrás del programa

de espionaje("WhatsApp alerta de un nuevo ataque y robo selectivo de datos,"

2019).

Esta vulnerabilidad en el sistema, hizo que la compañía lanzara una

actualización o parche de seguridad para evitar más actividad de espionaje.


Los números telefónicos juegan un papel importante en las cuentas de redes

sociales como en Facebook, WhatsApp, correos electrónicos entre otros para

poder autenticarse y sincronizarse de manera automática permitiendo acceder a

la información que se tenga tanto en la nube como dentro del dispositivo.

Cabe recalcar que el Smartphone se convierte en un botín llamativo para los

atacantes informáticos, que buscan la manera de vulnerar el sistema para tener

acceso completo al dispositivo o manipular a las personas por medio de llamadas

intimidantes (VISHING) para obtener datos bancarios, información muy delicada,

credenciales del trabajo, etc.

Los atacantes informáticos pueden fácilmente hacerse pasar por el usuario

afectado tratando de convencer a los servicios de atención al cliente o peor aún a

entidades bancarias de realizar cualquier trámite que ellos quisieran.

98

En la pregunta #6, se puede apreciar a través del gráfico 34, que la red social

más utilizada por los estudiantes de la carrera de Ingeniería Civil es WhatsApp

con una taza del 91%. Siendo WhatsApp la red social más usada por los

estudiantes en el uso diario, existe una probabilidad alta de que sea usada para

lanzar ataques de Ingeniería social.

Al desconocer las distintas técnicas de ataque informáticos, los estudiantes son

vulnerables a engaños y extorsión por llamadas telefónicas o mensajes. Al obtener

el número telefónico de las personas, el atacante suplanta la identidad de una

persona de soporte técnico de cualquier empresa reconocida logrando engañar

por más tiempo y obtener más información privilegiada de la víctima.

El número telefónico puede ser usado por el atacante para envío de enlaces o

cadenas de mensajes malicioso que pueden provocar la descargar de un

Spyware. Este malware es muy conocido ya que su objetivo es espiar en tiempo

real los movimientos que realiza la víctima en su dispositivo para extraer

información, obtener registros de llamadas, credenciales de otras plataformas

sociales, credenciales bancarias. Los estudiantes pueden estar expuestos a estos

delitos informáticos como sucedió en el caso basado en el espionaje de los

usuarios de WhatsApp, siendo una plataforma que se usa a diario para la

comunicación de diversos factores sea familiar o profesional donde se maneja un

gran flujo de información que se almacenan dentro de nuestro dispositivo. De

manera que el atacante informático aprovecha las vulnerabilidades de dicha

plataforma que comienzan a usar Spyware que les permite observar lo que

realizaban con sus contactos y ver los mensajes con quienes mantienen

comunicación. Esto causa gran revuelo y angustia en las víctimas por el impacto

económico y social que puede ocasionar el ataque informático.

Los efectos que pueden producir estos tipos de ataques son los siguientes:

Robo de información: Datos personales y documentos.

Control del sistema: Manipulación del dispositivo para provocar sobornos

y chantaje, espionaje.

Credenciales: Acceso de clave de redes sociales, acceso bancario.

99

Escenario 3

El desarrollo de las aplicaciones maliciosas ha desatado una cadena de ataques

que colocan al usuario como principal blanco por parte de los atacantes

informáticos. Este escenario tiene como objetivo ataques por medio de códigos

QR que serán un factor importante en la vulnerabilidad de los programas y

herramientas de seguridad en los sistemas.

Preparación y ejecución del escenario 3 (CASO REAL)

En el proceso de preparación del escenario se procedió con el diseño de un

volante que solicitaba el acceso mediante un código QR para llenar una trivia

sobre ataques informáticos y entre los participantes se sortearía un premio:

memoria de almacenamiento USB de 64GB. Dichos volantes, fueron colocados

en pizarras publicitarias de la FCMF carrera Ingeniería Civil durante una semana.

Con estos anuncios se buscaba captar la atención de los estudiantes e incitarlos

a participar en este escenario. Por cuestiones de seguridad para preservar los

derechos de los estudiantes, el código QR no contenía ningún tipo de ataque

informático, solo los redirigía a un test donde el estudiante debía contestar 6

preguntas de ciberseguridad.

100

Gráfico 67: Volante escenario 3



Gráfico 68: Test de ciberseguridad


101

Gráfico 69: Obtener datos a través de test


Mediante este escenario se pudo comprobar que los estudiantes de Ingeniería

Civil son vulnerables a técnicas de Ingeniería Social con solo acceder al Código

QR. En el gráfico 70, se puede observar que en tan sólo una semana 24 personas

accedieron al código QR, el mismo que pudo ser usado con fines maliciosos

combinados con otras técnicas de manipulación para que los estudiantes

concedan información personal como se observa en el gráfico 69.

Gráfico 70: Resultados de las personas que accedieron al test


102

Variaciones del escenario

Simulación Ataque en dispositivos móviles, mediante generadores de codigo Qr

El objetivo de este escenario es infectar un dispositivo basado en Android

mediante técnicas de Ingeniería social, para acceder a los datos de la víctima.

Esta simulación se la realiza en un ambiente controlado dentro de la red local,

permitiendo demostrar vectores de ataques que utilizan los Ciberdelicuente para

aprovecharse de los eslabones más débiles. Además, permite demostrar la

amenaza de la cual pudieran haber sido víctima los estudiantes de Ingeniería Civil

con tan sólo acceder al generador de código Qr.

Se utilizará la herramienta DroidJack y SET para la simulación de este ataque.

Gráfico 71: Preparación del ataque


Como se observa en el gráfico 71, DroidJack es una herramienta interactiva con

una interfaz muy sencilla usar. Para la creación de una apk maliciosa se debe

realizar lo siguiente:

103

Como primer punto se debe colocar el nombre de la aplicación a crear, en

este caso se le dio como nombre Juego-DeGENIOS, este nombre varía de

acuerdo al tipo de escenario que se vaya a realizar y de acuerdo al objetivo.

En este ejemplo está referenciando a los volantes colocados en la FCMF-

ING-CIVIL, este nombre permitiría que los involucrados tengan mayor

“interés” y “curiosidad” en descargar la aplicación maliciosa en su

dispositivo móvil.

En Dynamic Dns, se coloca un nombre de dominio en caso de realizar la

prueba fuera de la red local. En esta simulación el ataque se lo realizó

dentro de la misma red y se colocó la dirección IP del ordenador y un

Puerto de preferencia.

La casilla Stealh Mode permite ocultar la aplicación cuando un implicado

la instale.

Finalmente, se da clic en la opción generar para que se cree la aplicación.

Gráfico 72: Aplicación en Android generada


Ejecución de ataque

Se procedió a subir la apk en un servidor de almacenamiento, para generar un

enlace url.

104

Para ejecutar este ataque se utiliza la herramienta SET, para camuflar el

troyano dentro de un código QR como método de ataque de Ingeniería social.

Gráfico 73: Serie de ataque basada en Ingeniería social


En el gráfico 74, se puede observar cómo la herramienta facilita la ejecución

del ataque de manera sencilla, utilizando la opción de generador de código QR

mediante la URL que se ingrese.

105

Gráfico 74: Ejecución de un generador de código Qr



Resultados

Como se observa en el gráfico 75, cuando la víctima escanea el código QR en su

dispositivo, automáticamente lo lleva al servidor de descarga.

Gráfico 75: Apk infectada por supuesto juego de Android



Finalmente, cuando la víctima instale el apk, automáticamente el atacante

accede de manera remota al dispositivo, dejando su dispositivo e información bajo

las amenazas de un atacante, como se observa en los gráficos 76 y 77.

106

Gráfico 76: Ataque por apk infectado



Gráfico 77: Ataque por apk infectado

O


107

Ataque de Phishing por medio de código QR

Los ataques de phishing son muy concurrentes en la vida cotidiana donde los

atacantes informáticos buscan nuevas estrategias para vulnerar cualquier

sistema. Los atacantes emplean los códigos QR con el objetivo de redireccionar

a la víctima a una página clonada buscando que ingrese sus datos sin saber que

no es una página legítima para apoderarse de sus credenciales y convertirse en

dueños de las cuentas.

Descarga de Malware por medio de código QR

Las descargas de datos y aplicaciones son muy comunes, en el cual no se

diferencia si el archivo que se descarga contiene código malicioso o no. Los

atacantes tratan de mejorar sus dotes para así evitar las medidas de seguridad,

dando origen a un nuevo método que con solo usar una imagen QR se redirige al

link de descarga de una aplicación o imagen. Este mecanismo busca engañar a

sus víctimas para que descarguen un software malicioso que afecté a su

dispositivo. Cabe recalcar que dentro del código QR se haya un malware de

cualquier tipo que podría afectar o peor aún robar la información privada del

usuario.

Caso de estudio: malware en aplicaciones Android

La empresa Google ha manejado con éxito las diversas medidas de seguridad

para mantener distante los malware en las aplicaciones de Play Store. Los

atacantes informáticos han desarrollado nuevas formas para evadir la seguridad.

Prueba de esto es que SophosLabs recientemente descubrió un malware

llamado Andr/HiddnAd-AJ que se ocultaba dentro de siete aplicaciones

aparentemente inofensivas como lectores de códigos QR y una brújula (vía

ZDNet)(Flores, 2018).

108

Gráfico 78: Aplicativos maliciosos Qr en Android

Elaborado por: Flores, 2018 Fuente: https://www.fayerwayer.com/2018/03/malware-android-500000-

descargas/

Si bien ocultar malware en este tipo de aplicaciones no es algo nuevo, estos

cibercriminales lograron burlar la seguridad con algunos trucos ingeniosos como

colocar el código hostil de forma que pareciera una biblioteca de programación

regular de Android y con una activación que arranca seis horas después de

haberse realizado la instalación (Flores, 2018).


Un código QR según (Huidobro, 2009) se define como: “Es un sistema de

almacenamiento de información en una matriz de puntos o un código de barras

bidimensional”. Por ello, existen un sin números de herramientas posible que dan

la posibilidad de obtener un código QR que se puede personalizar de manera

profesional y creativa para el uso de campañas de marketing y redes sociales.

El acceso a este tipo de herramientas también tiene su desventaja para los

usuarios que tratan de ingresar a páginas sin saber la procedencia que estas

tengan ya que los códigos QR pueden ser utilizados de forma maliciosa. Castro

(2012) afirma: “Un atacante, por ejemplo, podría direccionar usuarios a páginas

que alojen sitios de phishing, descarga de malware y demás amenazas”.

https://www.fayerwayer.com/2018/03/malware-android-500000-descargas/

https://www.fayerwayer.com/2018/03/malware-android-500000-descargas/

109

En este escenario se generan estos códigos QR para ser usados con la técnica

de phishing. Esta herramienta crea una nueva manera de realizar ataques

informáticos donde estos códigos sirven para almacenar y obtener información

que los ciberdelincuentes utilizan para realizar sus fechorías con el propósito de

adquirir información de la víctima. En el gráfico 39, consiste en el nivel de

conocimiento del phishing, se puede constatar que los estudiantes de la carrera

de Ingeniería Civil muestran una taza del 88.2% de desconocimiento sobre

phishing. Los estudiantes pueden ser blanco fácil bajo este tipo de escenario

donde el atacante incita a la víctima a acceder a estos códigos con la intención de

vulnerar y perder su información, registro de claves de otras redes sociales, control

de su dispositivo y estafas por clonación de sitios web al ingresar credenciales.

Además, los códigos QR también pueden empezar la descargar de algún tipo de

archivo que contenga un malware como en el caso de las apk maliciosas en

Android. En el gráfico 78, se puede apreciar que el nivel de seguridad que posee

google fue evadido e hizo posible que se filtrarán estas apk en el Play Store que

contenían alguna clase de malware donde quienes hayan descargado estas apk

sufrieron algún tipo de robo de información o espionaje dentro de su dispositivo

móvil.

Registros de claves

Control del dispositivo móvil (cámara, escuchar conversaciones, etc.)

Estafas por medio de tiendas online falsas y sitios web de pago (dinero)

Escenario 4

Ataques por redes inalámbricas

En este escenario se dará a conocer uno de los ataques por redes inalámbricas a

través de un Man in The Middle (MITM u Hombre en el Medio). Este ataque puede

afectar a los estudiantes al no conocer los riesgos de estar conectado a una red

pública. El MITM busca la manera de husmear en el tráfico de la red, por ejemplo:

una conversación de dos personas donde el atacante les hace creer que es una

conexión directa y segura, pero en realidad la conversación está siendo

manipulada por el atacante.

110

Simulación de ataque Mitm - capturar credenciales vía http

Gráfico 79: Esquema de ataque MITM



La simulación a demostrar en este escenario es capturar las credenciales vía

http a través de ataque MIMT empleando la técnica de ARP SPOOFING.

Proceso y ejecución Mitm a través de la herramienta ettercap v-0.8.3

Ettercap es una herramienta multiusos para filtrado de la red, permite implantar el

filtrado y conexiones de la red a través de inyección de datos. Esta herramienta

es usada como método de ataque por los Ciberdelicuente en las redes

inalámbricas, ya que permite obstruir en conexiones vía HTTP o HTTPS.

Paso 1: Como primer proceso para la ejecución del MIMT, se escoge la interfaz

que se utilizará para husmear la red: eth0.

111

Gráfico 80: Uso de Ettercap


Paso 2: Dentro del menú de ettercap, se seleccionas la opción Scan for host para

escanear todos los dispositivos que se encuentre conectado a la red en ese

momento.



Paso 3: Seleccionado el escaneo de host, la herramienta muestra el número de

hosts que se encuentra conectados en esa red.

112



Paso 4: IP víctima.



Paso 5: Cuando se despliega la lista de hosts, ettercap manifiesta las direcciones

IPv4, IPv6, Mac Address, etc. A través de estas direcciones IP, se selecciona la

subred de la víctima y la puerta de enlace que brinda el router para acudir a realizar

un envenenamiento ARP o ARP Poisoning. A partir de ese envenamiento,

113

automáticamente ettercap comenzará a realizar el Snnifer para el filtrado de datos

en la víctima.



Paso 6: Para realizar la prueba de filtrado de datos a partir del envenenamiento

ARP, se selecciona una página con protocolo http, para que la víctima ingrese sus

credenciales en la página.

114



Paso 7: Cuando la víctima introduce sus credenciales en la página, el atacante

recibe las credenciales, logrando conseguir el objetivo.



115


Las redes públicas son el epicentro de los ataques de hombre en el medio, siendo

los usuarios un blanco fácil al conectarse a una red no segura. Al conectarse a

una red pública existe la posibilidad de que un atacante este escuchando todo lo

que transita en la red en busca de información sensible de la víctima por lo que, si

no se toman las debidas precauciones al momento de realizar una transacción

bancaria, navegar o ingresar a las redes sociales puede quedar expuesta toda la

información del usuario.

Por otra parte, existen otros métodos que los atacantes usan para poder saltar

la seguridad de las webs seguras SSL (https), donde con tan solo un script se

puede convertir una página HTTPS en simple HTTP para poder realizar el Sniffing

con el afán de obtener credenciales y contraseñas de las víctimas.

Además, existen mecanismos muy sencillos que resultan ser más fructíferos al

momento de realizar un ataque como es el caso de los AP falsos. Los atacantes

crean AP falsos con redes inalámbricas no autorizadas en una red como un

anzuelo para que las personas accedan y poder husmear toda la información que

transita en su canal.

Dentro de este escenario simulado se hizo un escaneo exhaustivo que permitía

husmear el tráfico de datos de las personas que estaban conectadas a la red WI-

FI. En el gráfico de la pregunta #2, que consiste en la conectividad de redes WI-

FI públicas, se puede constatar que el 95.1% de los estudiantes de la Carrera de

Ingeniería Civil se conectan a redes WI-FI públicas, ya que estas redes permiten

navegar y facilitar un sin número de ocupaciones sin saber el riesgo al que se está

expuesto durante su uso. Cabe destacar que estas redes WI-FI públicas, son el

nicho de los Mitm (hombre en el medio) que al usar herramientas sofisticadas

pueden capturar, interpretar y almacenar los paquetes de datos que están en la

red. Por lo que esto hace posible el robo de información, correos electrónicos y

credenciales bancarias. Los efectos que puede causar este ataque, al conectarse

en cualquier red pública son:

Captura de credenciales y contraseñas.

Secuestro de sesiones y espionaje en la red.

116

CAPÍTULO IV

RESULTADOS, CONCLUSIONES Y RECOMENDACIONES

En este último capítulo se va a detallar de manera general las observaciones,

experiencias y logros que han venido transcendiendo en la labor investigativa

correspondiente al tema de titulación, incluyendo los resultados de las encuestas

que abarca la estadística de la población. Además, de impartir estrategias y

medidas preventivas con el objetivo de dar a conocer los riesgos y amenazas

frente a estos ataques en los estudiantes de la Carrera de Ingeniera Civil.

RESULTADOS

Dado el compromiso del hallar los resultados de la problemática del tema de

titulación “Analizar las incidencias e impactos de los ataques de ingeniería social

con el fin de reducir el desconocimiento sobre ese tipo de amenazas informáticas

en los estudiantes de la Carrera de Ingeniería Civil en la Facultad de Ciencias

Matemáticas y Físicas”, se pudo determinar los siguientes factores que son muy

comunes en este tipo de casos.

117

Cuadro N.16

Análisis de las causas y consecuencias

CAUSA TIPO DE EVALUACIÓN CONSECUENCIA

Falta de conocimiento

de los ciberdelitos y

técnicas de ingeniería

social.

Ejecución de la encuesta

referente al tema de

ingeniería social.

Capítulo 3:

Pregunta 1.- ¿CONOCE

USTED SOBRE EL TERMINO DE INGENIERÍA

SOCIAL?

El 75% de las personas

encuestadas

desconocen este

término y están

propenso a ataques

informáticos mediante

técnicas de

manipulación.

Pensar que el uso de

redes sociales y el

internet es muy seguro

Mediante la encuesta se

pudo observar el uso que

le dan los estudiantes al

internet de manera muy

frecuente sin saber la

procedencia de red a la

que están conectados.

Capítulo 3:

Pregunta 2.- ¿SE

CONECTA USTED A REDES WI-FI PÚBLICAS EN CUALQUIER LUGAR? Pregunta 3.- ¿CON RESPECTO A LA PREGUNTA ANTERIOR, QUÉ ACTIVIDADES REALIZA USTED EN LA RED? Pregunta 5.- ¿ACCEDE

USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?

Pregunta 6.- ¿QUÉ RED

SOCIAL UTILIZA CON MÁS FRECUENCIA?

Al momento de utilizar

estas plataformas o

páginas de dudosa

procedencia

inconscientemente se

pueden encontrar links

maliciosos con el afán de

extraer datos

confidenciales.

Con respecto a la

pregunta 3, el 16.4% de

las personas se

conectan a la red para

realizar transacciones

bancarias, el 87.9% para

revisar las redes

sociales. Cabe recalcar

que el atacante

informático al realizar un

Snnifer de red puede ver

118

Pregunta 7.- ¿PARA QUÉ

PROPÓSITO UTILIZA LAS REDES SOCIALES? Pregunta 11.- ¿SABE USTED IDENTIFICAR SI UNA PÁGINA WEB ES SEGURA?

Pregunta 12.- ¿USTED UTILIZA LAS MISMAS CONTRASEÑAS PARA TODAS SUS CUENTAS PERSONALES?

las credenciales y

contraseñas haciendo

uso propio de ellas.

Descargas de dudosa

procedencia que

contengan malware.

Capítulo 3:

Pregunta 4.- ¿AL MOMENTO DE NECESITAR UN PROGRAMA PARA USO PERSONAL USTED? Pregunta 5.- ¿ACCEDE

USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?

Robo de información o

afectación a un sistema

en el funcionamiento de

los procesos. Al

momento de descargar

algún archivo o

aplicación se desconoce

si tendrá un malware que

puede dañar los

registros del sistema,

espionaje de información

(spyware), control de

sistema de manera

remota (troyano), etc.

El 11.2% de las

personas encuestadas,

descargan generadores

de clave para los

programas de versión

pagad sin saber que

estos generadores de

clave (Keygen) son

software malicioso que

ofrecen de manera ilegal

el contenido completo

119

del programa por

desarrolladores sin

renombre. Generando

que estos Keygen

instalados en el

computador puedan

propiciar a la larga

extracción de

información


Cuadro N.17

Impactos generales

IMPACTO SOCIAL IMPACTO ECONÓMICO

Robo y manipulación de cuentas

de redes sociales.

Pérdida económica de la víctima por

parte del atacante que piden

recompensa para restablecer el

dispositivo controlado.

Llamadas intimidantes que piden

recompensa para no hacer público

su información privada.

Robo o extracción de datos bancario

por parte del atacante.

Espionaje en tiempo real por parte

de Ciberdelicuente.

Control del dispositivo y daños a los

registros del sistema por infección de

algún malware.

Hurto de información personal

muy privada y confidencial.

Estafas por medio de tiendas online

falsas y sitios web


120

Cuadro N.18

Seguimiento a los objetivos

Identificar las diferentes

técnicas de ingeniería social,

para conocer los

mecanismos y herramientas

más empleadas en este tipo

de ciberdelitos.

CAPÍTULO II

Vectores de ataques

Técnicas de ingeniería social

Herramientas para realizar

ataques de Ingeniería social

Analizar datos mediante

encuestas sobre ingeniería

social para determinar las

incidencias y nivel de

desconocimiento de los

estudiantes de la Carrera de

Ingeniería civil de la Facultad

de Ciencia Matemáticas y

Físicas sobre este tipo de

delito.

CAPÍTULO III

Instrumentos de recolección

de datos

Simular mecanismos de

ingeniería social en un

ambiente controlado para

determinar las posibles

consecuencias provocadas

de estos ataques en los

alumnos o en la muestra

establecida de la carrera.

CAPÍTULO III

Simulación de phishing a

través correo electrónico.

Simulación de generador

spyware –keylogger.

Simulación de Ataque por

Dispositivos móviles basados

en Android

Ataques por redes

inalámbricas .

Analizar el impacto de los

ataques realizados para

socializar los riesgos a los

CAPÍTULO III, CAPÍTULO IV

121

cuales están expuestos por

el uso inadecuado del

Internet


Resumiendo, los factores de esta investigación se procederán a realizar

estrategias y medidas de prevención ante los ataques informáticos con el fin de

darle a conocer al estudiante sobre los riesgos y amenazas frente a estos

ciberdelitos que serán debidamente mencionados en los anexos.

CONCLUSIONES

Gracias al cumplimiento de todos los objetivos y el alcance de este proyecto

investigativo se determinaron las siguientes conclusiones:

La Ingeniería social es el mecanismo más empleado por los delincuentes

informáticos. Ingeniería social es el arte o la ciencia de engañar a las

personas dentro de cualquier ámbito que se encuentren, permitiendo

incrustarse en la psicología de las personas para llevarlos a un acto

fraudulento. La principal técnica para llevar a cabo estos ataques busca

generar confianza en la víctima para lograr su objetivo. Este mecanismo

permitió que los estudiantes accedan al enlace de la encuesta e ingresaran

sus números telefónicos, logrando evidenciarse que los estudiantes son

vulnerables ante estos incidentes. Además, esta investigación permitió

identificar diversas herramientas de ataques informáticos que, en

combinación con los mecanismos de Ingeniería Social, facilitan al

ciberdelincuente la ejecución de ataques obteniendo información

confidencial de la víctima.

Mediante las encuestas realizadas para encontrar las incidencias de estos

ataques en los estudiantes se pudo verificar que el 88% de los

encuestados desconocen sobre los ataques de phishing y el 75%

122

desconoce sobre Ingeniería social, por lo que se deduce que la

probabilidad de incidencia ante estos ataques es alta.

Mediante el análisis del impacto dentro de los escenarios, se demuestra

con casos de estudios reales y simulaciones, como los mecanismos de

Ingeniería social podrían afectar a los estudiantes de Ingeniería Civil

pudiendo convertirse en víctimas frente a estos ataques, llevándolos a

cualquier extorsión que el atacante quisiera recurrir.

Dentro de este análisis se describió todo lo referente a los ciberdelitos,

permitiendo enfocarse en si a los ataques basados en Ingeniería Social,

por lo cual mediante esta investigación se pudo analizar, mediante

métodos y mecanismos propios, las incidencias e impacto de estos

ataques, logrando cumplir con los objetivos de este proyecto investigativo.

Los elementos utilizados en la capacitación fueron factores claves para

que los estudiantes creen conciencia de manera instantánea ante estos

ciberdelitos, lo cual fue verificado mediante datos estadístico donde se

obtuvieron porcentajes favorables sobre el nivel de conocimiento de las

posibles amenazas a las cuales están expuestos los estudiantes, en

comparación con la primera encuesta realizada al inicio del proyecto donde

los estudiantes demostraron un porcentaje inversamente proporcional ante

estos incidentes, permitiendo concluir que esta investigación es de

relevancia para cualquier institución educativa.

123

RECOMENDACIONES

Determinada las conclusiones de este proyecto investigativo es considerable

tomar las siguientes recomendaciones:

La Revelación de información personal convierte a los estudiantes en un

punto frágil en la existencia de los mecanismos de Ingeniería social.

Tomando en cuenta, que los delincuentes informáticos seguirán en

constante desarrollo de nuevas técnicas y herramientas de ataques en

base a Ingeniería social, para infringir el nivel seguridad de cualquier

persona.

Es de suma importancia que los estudiantes a través de las estrategias

establecidas, reduzcan el desconocimiento y riesgos de incidencias ante

estos ataques informáticos que se basan en Ingeniería social y sepan que

no todo lo que se encuentra en la red es seguro.

La conciencia da señales de advertencia en cuanto estamos expuesto a

un ataque. Es importante que los estudiantes y personas no enfatizada a

las Tics estén siempre al día con las tendencias de estos ataques, ya que

los impactos analizados generan amenazas bastantes fuertes, tanto a nivel

social y económico.

Se debe dar a conocer en todas las carreras de la Universidad de

Guayaquil, tomando como guía los resultados de esta investigación, el

impacto que ocasionan los ataques informáticos basados en Ingeniería

social realizando capacitaciones con simulaciones en tiempo real, ya que

este tipo de capacitación permiten asimilar con un 95% de efectividad los

riesgos a los que están expuestos los estudiantes y personal en general.

124

BIBLIOGRAFÍA

Acurio Del Pino, S. (2016). Delitos informáticos: generalidades.

Avogadro, M. (2009). Comunicación, redes sociales y ciberdelitos. Revista Razón

y Palabra, marzo, 12.

Borghello, C. (2009). El arma infalible: la Ingeniería Social. ESET Latinoamérica.

Buendía, J. F. R. (2013). Seguridad informática: McGraw-Hill España.

Camacho Losa, L. (1987). El delito informático. Madrid: Gráficas Cóndor.

Camacho Nieto, N. A. (2016). Una breve mirada a la ingeniería social.

Universidad Piloto de Colombia.

Cano, J. J. (2004). Inseguridad informática: un concepto dual en seguridad

informática. Revista de Ingeniería(19), 40-44.

Cañon Parada, L. J. (2015). Ataques informáticos, Ethical Hacking y conciencia de

seguridad informática en niños. Universidad Piloto de Colombia.

Castro, R. L. (Producer). (2012, Enero 2). welivesecurity. welivesecurity. Retrieved

from https://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-

malware/

Espitia Garzón, A. M. (2014). Ingeniería social amenaza latente para la seguridad

informática. Universidad Piloto de Colombia.

Flores, J. (2018, Marzo 26). Encuentran malware en aplicaciones Android con

500.000 descargas. fayerwayer.

Gonzato, M., & Godino, J. D. (2010). Aspectos históricos, sociales y educativos de

la orientación espacial. Revista Iberoamericana de Educación Matemática,

23, 45-58.

Guamán Sinchi, B. V. (2015). Anatomía de un ataque Informático. Universidad del

Azuay.

Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2010).

Metodología de la investigación: México: McGraw-Hill.

Huidobro, J. M. (2009). Código QR. Bit, dic.-ene, 172, 47-49.

Jiménez, C. (1996). Los delitos en las redes sociales: aproximación a su estudio y

clasificación.

Leguizamón, M. S. M. (2015). El phishing.

Mieres, J. (2009). Ataques informáticos. Debilidades de seguridad comúnmente

explotadas). Recuperado http://proton. ucting. udg.

mx/tutorial/hackers/hacking. pdf.

Mitnick, K. D., & Simon, W. L. (2007). El arte de la intrusion: la verdadera

historia de las hazanas de hackers, intrusos e impostores. 2: Alfaomega.

Moyano Morales, S. A. (2015). La manipulación de la mente humana como arma

blanca en la ingeniería social. Universidad Piloto de Colombia.

Obregón, L. J., Gomez, E. F., & López, G. R. (2017). Delitos a través redes sociales

en el Ecuador: una aproximación a su estudio. I+ D Tecnológico, 13(2),

111-122.

Penal, C. O. I. (2014). Código Orgánico Integral Penal. Quito: Corporación de

Estudios y Publicaciones, Legislación Conexa. Versión Profesional.

Sandoval Castellanos, E. J. (2011). Ingeniería Social: Corrompiendo la mente

humana.

http://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-malware/

http://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-malware/

http://proton/

125

Santillan Arenas, J. U. (2009). Ingeniería Social, Técnica de Ataque Eficaz en

Contra de la Seguridad Informática.

Soriano, M. (2014). Seguridad en redes y seguridad de la información. Obtenido de

http://improvet. cvut.

cz/project/download/C2ES/Seguridad_de_Red_e_Informacion. pdf.

Urbina, G. B. (2016). Introducción a la seguridad informática: Grupo editorial

PATRIA.

Vieites, A. G. La lucha contra el ciberterrorismo y los ataques informáticos:

Recuperado el.

WhatsApp alerta de un nuevo ataque y robo selectivo de datos. (2019, Mayo 14).

La Vanguardia.

Castro, R. L. (2012, Enero 2). welivesecurity. Retrieved from welivesecurity:

https://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-malware/

Cecilia Pastorino. (2018, Septiembre 21). https://www.welivesecurity.com/.

Retrieved from https://www.welivesecurity.com/:

https://www.welivesecurity.com/la-es/2018/09/21/campana-extorsion-

activa-correo-simula-ser-desde-cuenta-victima/

EXTRA, R. D. (2019, Marzo 27). INTERNET. Internet en Ecuador: ¿Qué tan

conectados estamos? Guayaquil, Guayas, Ecuador. Retrieved from

https://www.extra.ec/actualidad/internet-redessociales-ecuador-datos-

tecnologia-FY2717412

fiscalia.gob.ec. (2015, Junio). Retrieved from fiscalia.gob.ec:

https://www.fiscalia.gob.ec/los-delitos-informaticos-van-desde-el-fraude-

hasta-el-espionaje/

Flores, J. (2018, Marzo 26). Encuentran malware en aplicaciones Android con

500.000 descargas. fayerwayer. Retrieved from

https://www.fayerwayer.com/2018/03/malware-android-500000-

descargas/

Juan Manuel Harán. (2019, Junio 11). welivesecurity.com. Retrieved from

welivesecurity.com: https://www.welivesecurity.com/la-

es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-

evadir-doble-factor-autenticacion/

Luis Lubeck. (2019, Diciembre 26). https://www.welivesecurity.com/. Retrieved

from https://www.welivesecurity.com/:

https://www.welivesecurity.com/la-es/2019/12/26/mensajes-asuntos-

correo-mas-utilizados-cibercriminales/

M. en C. Roberto Hernández Sampieri, D. C. (n.d.). METODOLOGÍA DE LA

INVESTIGACION. MÉXICO • BUENOS AIRES • CARACAS •

GUATEMALA • LISBOA • MADRID • NUEVA YORK.

Rodríguez, V. (2019, Julio 23). TECNOLOGIA. Guayaquil, Guayas, Ecuador.

Retrieved from https://www.primicias.ec/noticias/tecnologia/ecuatorianos-

redes-sociales-12-millones/

http://improvet/

126

SAN FRANCISCO. (2019, Mayo 14). WhatsApp alerta de un nuevo ataque y

robo selectivo de datos. La Vanguardia. Retrieved from

https://www.lavanguardia.com/tecnologia/aplicaciones/20190514/4622388

13651/whatsapp-ataque-robo-datos-hackers.html

TELEGRAFO, E. (2016, Agosto 16). Redacción Justicia. En Ecuador, el 85% de

los delitos informáticos ocurre por descuido del usuario. Guayaquil,

Guayas, Ecuador. Retrieved from eltelegrafo:

https://www.eltelegrafo.com.ec/noticias/judicial/1/en-ecuador-el-85-de-

los-delitos-informaticos-ocurre-por-descuido-del-usuario

Wall, M. (2017, 03 31). res que se hacen pasar por tu jefe: qué son los fraudes

BEC y cómo puedes protegerte. BBC. Retrieved from

https://www.bbc.com/mundo/noticias-39454968

127

ANEXOS

Anexo 1: Estrategias para contrarrestar los ciberdelitos basados en Ingeniería social

Gráfico 87: Factores clave de la investigación


Se llevaron a cabo tres planificaciones para darle a conocer el impacto de estos

ataques informáticos en los estudiantes. Las fases aplicadas de esta investigación

fueron:

Capacitación

Poster x-banner

Video explicativo

Capacitación

Mediante la capacitación impartida en los cursos, tiene como objetivo darle a

conocer los factores claves de esta investigación en la cual se menciona en el

gráfico 88, con el fin de evaluar a los estudiantes mediante encuestas de los

posibles y futuros ataques de ingeniería social.

Se utilizó tres elementos de planificación para impartir esta capacitación.

Escenarios


Análisis de las

Incidencias

128

Gráfico 88: Elementos de la capacitación


Conceptualización

Dentro de la conceptualización, se dio a conocer el motivo de la capacitación, por

el cual se les mencionó que el 75% de los estudiantes de Ingeniería Civil

desconocen sobre el término de Ingeniería Social.

Estas definiciones fueron impartidas mediante diapositivas en base a los

fundamentos conceptuales y simulando escenarios de esta investigación, para

que los espectadores pudieran considerar y entender en un mejor plano el tema.

Simulación

Se realizó una pequeña simulación referente a un ataque informático, para que

los estudiantes puedan observar cómo se generan estos mecanismos de ataques

mediante phishing por correo electrónico, por lo cual las víctimas eran los propios

instructores de la capacitación.

Se utilizó la herramienta Gophish como práctica de simulación para este

ataque, donde se diseñó un template de netflix personalizado como se muestra

en el gráfico 89, esta simulación consiste en explicar al estudiante como los

atacantes obtienen las credenciales de un usuario mediante un sitio web clonado.

• Introducción

• Técnicas y Métodos

• Mecanismos de ataques

• Impacto de estos ataques

• Medidas Preventivas

Conceptualización

• Template personalizado de netflix

• Phishing mediante la herramienta gophish

• Demostración de un Spyware

• Reacción emocional

Simulación

• Encuesta online

• Conocimiento actual ante estos

ciberataques

• Sastifacción de la capacitación

Evaluación

129

Gráfico 89: Témplate de Netflix


Gráfico 90: Correo Phishing


130

Gráfico 91: Campaña de phishing


Además de esta simulación, se pudo demostrar como los malware tipo Spyware

afectan a los usuarios.

Esta instrucción impartida provocó fuertes reacciones tanto a los estudiantes

como en los docentes, de simular en tiempo real como estos ataques informáticos

pueden afectar a los usuarios.

Evaluación

Concluida la instrucción sobre los ataques informáticos basados en Ingeniería

social, se procedió a evaluar al estudiante con la finalidad de conocer su

conocimiento de estos posibles y futuros ataques de ingeniería social, dando a

conocer mediante datos estadísticos la efectividad de esta capacitación.

Los instrumentos y herramienta en esta recolección de datos fueron realizada

de la siguiente forma:

Se realizó un cuestionario de 5 preguntas diseñados desde google Forms.

La encuesta se realizó a los cursos donde se impartió la capacitación.

Se les mencionó a los estudiantes que ingresaran a la encuesta mediante

un a cortador de enlace.

Para esta encuesta se tomó el tamaño de la muestra correspondiente del

capítulo 3.

131

Pregunta 1

Por ejemplo, si usted recibe un correo electrónico aparentemente de

Facebook

En dónde se le pide dar clic en un enlace. ¿Usted daría clic en el enlace

para ver el comentario?

Cuadro N.19

Encuesta de capacitación sobre Ingeniería social a estudiantes de la Carrera de Ingeniería Civil - FCMF

SELECCIÓN

TOTAL DE

RESULTADOS POR

MUESTRA

PORCENTAJE

Sí 34 23.6%

No 110 76.4%

TOTAL 144 100



Gráfico 92: Acceso mediante enlaces



Interpretación: En el gráfico 92, se puede observar que de los 144 encuestados

solo el 23.6% darían clic en un comentario enviado por correo electrónico

aparentemente de Facebook mientras el 76.4% indican qué no darían clic ante

alguna notificación aparentemente de Facebook por correo electrónico.

132

Pregunta 2

Por ejemplo, si le envían un correo de un sorteo o premiación de algún

contenido de origen desconocido. ¿Usted daría sus datos personales para

iniciar el dudoso sorteo?

Cuadro N.20

Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF

SELECCIÓN

TOTAL DE

RESULTADOS POR

MUESTRA

PORCENTAJE

Sí 12 8.4%

No 131 91.6%

TOTAL 143 100%



Gráfico 93: Ingreso de datos mediante sorteo




solo el 8.4% daría sus datos personales para iniciar un dudoso sorteo, mientras

un alto porcentaje del 91.6% no daría sus datos personales ante un dudoso sorteo

de cualquier origen desconocido.

133

Pregunta 3

¿Usted descargaría programas de páginas de dudosa procedencia por solo

ahorrarse la activación o costo del aplicativo?

Cuadro N.21

Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería Civil - FCMF

SELECCIÓN

TOTAL DE

RESULTADOS POR

MUESTRA

PORCENTAJE

Sí 62 43.1%

No 82 56.9%

TOTAL 144 100%



Gráfico 94: Descarga de programas




solo el 43.1% descargarían programas de páginas de dudosa procedencia solo

por ahorrarse el costo del aplicativo, mientras el 56.9 % no descargaría programas

de cualquier página de dudosa procedencia. Esta pregunta a comparación al

gráfico 32, disminuye el porcentaje a los que descargan programas desde

cualquier página.

134

Pregunta 4

Por ejemplo, si usted se encuentra conectado en cualquier red WI-FI

pública ¿Ingresaría sus datos confidenciales en esa red?

Cuadro N.22

Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF

SELECCIÓN

TOTAL DE

RESULTADOS POR

MUESTRA

PORCENTAJE

Sí 35 24.3%

No 109 75.75

TOTAL 144 100%



Gráfico 95: Ingreso de información mediante WI-FI Pública




solo el 24.3% ingresarían sus datos confidenciales en cualquier red WI-FI,

mientras el 75.7% indican que no ingresarían sus datos confidenciales en

cualquier WI-FI público que se encuentren conectado.

135

Pregunta 5

¿Crees que esta capacitación, te permitió entender sobre las amenazas y

técnicas basadas en Ingeniería social?

Cuadro N.23

Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF

SELECCIÓN

TOTAL DE RESULTADOS

POR MUESTRA

PORCENTAJE

Sí 137 95.1%

No 7 4,9%

TOTAL 144 100%



Gráfico 96: Efectividad de la capacitación




solo a un 4.9% no les permitió entender las instrucciones de esta capacitación,

mientras el 95,1% de la muestra sí les permitió entender sobre los las amenazas

y técnicas basadas en Ingeniería social, lo que permite concluir que este tipo de

capacitación ayudan a tener un nivel de efectividad muy alta en la prevención de

futuros ataques.

136

Poster x- banners

Gráfico 97: Diseño de poster


137

Como otra estrategia de prevención ante los ataques de Ingeniería social, se

realizó un poster x-banner. Como se observa en el gráfico 97, este poster se

colocó mediante permisos necesarios a las entradas de las FCMF de la ciudadela

Universitaria, en la cual tiene como objetivo que los estudiantes y otras

autoridades de la Facultad puedan visualizar las amenazas de estos ataques.

Video explicativo

El objetivo del video es darle conocer al estudiante de la Universidad de Guayaquil,

el estudio realizado, sobre en qué consiste Ingeniería Social y cuáles son las

medidas preventivas, que deben tener ante estos tipos de ataques en la cual se

observa en el gráfico 98.

EL video fue proporcionado al Departamento de Relaciones Públicas de la

Universidad de Guayaquil, para que sea enfocado en el tótem de la Ciudadela

Universitaria. El enfoque del video, tendrá como finalidad que los estudiantes de

Ingeniería Civil y estudiantes de otras Facultades que realizan sus actividades en

la plazoleta central, se informen sobre la presencia de estos ciberdelitos.

Gráfico 98: Video explicativo


Fuente: https://www.youtube.com/watch?v=bcnLnqGcEdI&feature=youtu.be

https://www.youtube.com/watch?v=bcnLnqGcEdI&feature=youtu.be

138

Medidas de prevención ante los ciberdelitos basados en ingeniería social.

Dentro del desarrollo de esta investigación se han sugerido las medidas de

prevención más considerable en contra de estos ataques informáticos por lo cual

se recomienda que todos los estudiantes y usuario general tengan en cuenta las

siguientes recomendaciones:

No hables con personas desconocidas en la WEB, habrá muchos riesgos

en la que puedes estar expuestos.

Navega en páginas seguras (https).

No descargues archivos o aplicaciones de dudosa procedencia si

desconoces su origen.

No dar clic a enlaces de páginas que te envíen por correo o cualquier otro

medio de comunicación.

Si por correo electrónico te piden verificar alguna cuenta, revisa de donde

proviene el remitente del mensaje.

No ingreses tus credenciales ante cualquier dudosa notificación de alerta

por correo electrónico, de preferencia abre una nueva pestaña en el

navegador.

No confíes en mensajes de correo diciéndote que tiene la posibilidad de

ganar dinero muy fácilmente o dejar tus datos para participar en un sorteo.

No compartas ni accedas a cadenas que contenga algún link con una

noticia o evento importante mediante mensajes.

No digitalices Códigos Qr mediante cualquier anuncio.

No expongas tu número telefónico, datos personales o correo mediante

encuestas.

Si hará una transacción bancaria confirma que sea la URL o página de la

institución bancaria correcta y segura.

No utilices las mismas contraseñas para todas tus cuentas

139

Presupuestos y finanzas

Dentro del presupuesto de esta investigación no se requirió realizar inversiones

de alto costo, ya que este proyecto se enfocó a un estudio investigativo.

Se mencionará cuáles fueron los recursos necesarios para realizar esta

investigación.

Cuadro N.24

Presupuesto

Requerimiento

Costo

Volantes $5

Banner X $35

Video explicativo $40

Total $80



140

Anexo 2: Cronograma del proyecto de titulación

142

Anexo 3: Encuesta desde google forms

145

Anexo 4: Tabulación de datos

147

Anexo 5: Encuesta de capacitación

148

Anexo 6: Solicitudes de levantamiento de información

151

Anexo 7: Solicitud para la charla de capacitación y colocación de poster x-banner

152

Anexo 8: Coordinación con departamento de bienestar estudiantil

153

Anexo 9: Solicitud de enfoque de video

154

Anexo 10: Base de datos de los estudiantes

155

Anexo 11: Capacitaciones impartidas en los cursos

157

Anexo 12: Poster x-banner colocado en la FCMF

158

Anexo 13: Entrega del video al departamento de relaciones públicas de la Universidad de Guayaquil

universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/48832/1/b-cint-ptg... · 2020. 8....

Documents