universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/48832/1/b-cint-ptg... · 2020. 8....
TRANSCRIPT
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE
INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE
INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y
FÍSICAS”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR (ES):
BERMÚDEZ REZABALA RONNY EDUARDO
MOREIRA VERA KEVIN ANDRÉS
TUTOR:
ING. IVETTE CARRERA MANOSALVAS, M.Sc.
GUAYAQUIL – ECUADOR
2020
X
x
X
x
X
X
X
REPOSITORIO NACIONAL EN CIENCIA TECNOLOGÍA
FICHA DE REGISTRO DE TRABAJO DE TITULACIÓN
TÍTULO Y SUBTÍTULO ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE
ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN
LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD
DE CIENCIAS MATEMÁTICAS Y FÍSICAS.
AUTOR(ES)
(apellidos/nombres):
BERMÚDEZ REZABALA RONNY EDUARDO MOREIRA VERA KEVIN ANDRÉS
REVISOR(ES)/TUTOR(ES)
(apellidos/nombres):
RAMÍREZ URBINA JACOBO ANTONIO CARRERA MANOSALVAS IVETTE KEMBELY
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
MAESTRÍA/FACULTAD: INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
GRADO OBTENIDO : INGENIERO EN NETWORKING Y
TELECOMUNICACIONES
FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 187
ÁREAS TEMÁTICAS : SEGURIDAD INFORMÁTICA; DELITOS INFORMÁTICOS
PALABRAS CLAVES
/KEYWORDS:
ATAQUES INFORMÁTICOS, INGENIERÍA SOCIAL,
CIBERDELITOS, CIBERDELINCUENTES.
RESUMEN/ABSTRACT: El presente proyecto investigativo tiene como finalidad analizar las
incidencias de los ataques informáticos basado en Ingenieria social en los estudiantes de la
Carrera de Ingeniería Civil de la Facultad de Ciencias Matemáticas y Físicas, a través de la
recopilación de datos, casos de estudios y simulaciones en un ambiente controlado como
instrumentos necesarios para dar a conocer el impacto que estos ataques pueden ocasionar
en los estudiantes por la falta de conocimientos a estos ciberdelitos.
ADJUNTO PDF : SI NO
CONTACTO CON
AUTOR/ES:
Teléfono: 0999456226
Teléfono: 0985383569
E-mail:
E-mail:
CONTACTO CON LA
INSTITUCIÓN
Nombre:
Teléfono:
III
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “ANÁLISIS DE LAS
INCIDENCIAS E IMPACTO DE ATAQUES DE INGENIERÍA SOCIAL O
CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS” elaborado por el
Sr. Bermúdez Rezabala Ronny Eduardo y el Sr. Moreira Vera Kevin Andrés,
Alumnos no titulados de la Carrera de Ingeniería en Networking y
Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de
la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero
en Networking y Telecomunicaciones, me permito declarar que luego de
haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente,
Ing. Ivette Carrera Manosalvas, MSc. TUTOR
IV
DEDICATORIA
Dedico esta tesis a cada miembro de mi Familia y a cada una de las personas que me han brindado su apoyo en el trayecto de mis estudios. En especial le dedico esta Tesis a mi Madre Norga Rezabala que siempre está en los momentos más complicado de mi existencia.
BERMÚDEZ REZABALA RONNY EDUARDO
V
DEDICATORIA
A Dios por llenar mi existencia de bendiciones, sabiduría, paciencia y perseverancia ante cualquier dificultad en mi vida. A mis padres, Maritza Vera Benítez y Miguel Bajaña Navarrete por ser mi base fundamental y enseñarme los valores necesarios para forjarme como persona, además que son mi inspiración y de una u otra forma me acompañan en todos mis sueños y metas. A mis hermanas, Julissa Iliana Moreira Vera y Johanna Noemí Bajaña Vera por su amor constante y estar conmigo en todo momento de mi vida. A mi mejor amiga, Jenniffer Vásquez por su cariño y apoyo incondicional a lo largo de mi vida universitaria.
MOREIRA VERA KEVIN ANDRÉS
VI
AGRADECIMIENTO
Agradezco a Dios por la salud y sus bendiciones que nos brinda cada día. A mis padres por apoyarme a lo largo de mi camino y brindarme los estudios en esta vida, enseñándome sus valores, convirtiendo de mí en una persona de bien. Agradezco a mi hermano Andy Bermúdez por ayudarme con la parte inicial de mi Carrera Universitaria, a los buenos compañeros que brindaron su apoyo a lo largo de mi Carrera. A mi compañero de Tesis Kevin Moreira por ser una persona comprensiva y colaborativa dentro del proceso de esta tesis. A los Docentes que impartieron con responsabilidad sus cátedra y ayudaron a fórmame profesionalmente en especial a la tutora, Ing. Ivette Carrera Manosalvas, gracias a sus conocimientos en la materia que, con su aportación, dedicación y paciencia, ayudó a cumplir con todos los objetivos necesarios para
poder culminar esta tesis.
BERMÚDEZ REZABALA RONNY EDUARDO
VII
AGRADECIMIENTO
Mi agradecimiento infinito a mis padres que con su esfuerzo y dedicación me ayudaron a culminar mi carrera universitaria y me dieron el apoyo total para no desfallecer cuando todo parecía imposible o complicado. Asimismo, agradezco a mis hermanas por su infinito amor y enseñanza, me daban las fuerzas necesarias para seguir avanzando a lo largo del camino. A mis amigos, con todos los que compartí dentro y fuera de las aulas, por su apoyo moral y contribuir a que pueda culminar con éxito la meta propuesta. A mi compañero de tesis, Ronny Bermúdez por su perseverancia y ayuda se hizo posible lograr todos los objetivos del proyecto Agradezco infinitamente a la carrera de Networking y Telecomunicaciones de la facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, en especial a mi tutora de tesis, la Ing. Ivette Carrera Manosalvas, por su paciencia, enseñanza y dedicación a esta investigación y ser parte de otro objetivo alcanzado.
MOREIRA VERA KEVIN ANDRÉS
VIII
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Fausto Cabrera Montes, M.Sc. DECANO DE LA FACULTAD CIENCIAS MATEMÁTICAS Y
FÍSICAS
Ing. Abel Alarcón Salvatierra, Mgs DIRECTOR DE LA CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Ing. Jacobo Ramírez Urbina, M.Sc.
PROFESOR REVISOR TRIBUNAL
Nombre y Apellidos
PROFESOR DEL ÁREA TRIBUNAL
Ing. Ivette Carrera Manosalvas, M.Sc.
PROFESOR TUTOR DEL PROYECTO DE TITULACIÓN
Ab. Juan Chávez Atocha, Esp.
SECRETARIO (E) DE LA FACULTAD
IX
DECLARACIÓN DE AUTORÍA Y DE AUTORIZACIÓN DE LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO COMERCIAL DE LA OBRA CON FINES
NO ACADÉMICOS
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUCACIONES
LICENCIA GRATUITA INTRANSFERIBLE Y NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS
Nosotros, Bermúdez Rezabala Ronny Eduardo – Moreira Vera Kevin Andrés, con C.I. No. 0954373890 – 0951760230, certificamos que los contenidos desarrollados en este trabajo de titulación, cuyo título es “ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS” son de nuestra absoluta y responsabilidad, en conformidad al Artículo 114 del CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN, autorizamos la utilización de un licencia gratuita intransferible, para el uso no comercial de la presente obra a favor de la Universidad de Guayaquil.
Bermúdez Rezabala Ronny Eduardo Moreira Vera Kevin Andrés
C.I.:095437389-0 C.I.:095176023-0
X
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE
INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y
FÍSICAS
Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autor: BERMÚDEZ REZABALA RONNY EDUARDO
C.I. 0954373890
Tutor: ING. IVETTE CARRERA MANOSALVAS, MS.c
Guayaquil, junio del 2020
XI
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE
INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y
FÍSICAS
Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autor: MOREIRA VERA KEVIN ANDRÉS
C.I. 0951760230
Tutor: ING. IVETTE CARRERA MANOSALVAS, M.Sc.
Guayaquil, junio del 2020
XII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los
estudiantes Bermúdez Rezabala Ronny Eduardo y Moreira Vera Kevin
Andrés, como requisito previo para optar por el título de Ingeniero en
Networking y Telecomunicaciones cuyo título es:
“ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE
INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE
INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y
FÍSICAS”
Considero aprobado el trabajo en su totalidad.
Presentado por:
Bermúdez Rezabala Ronny Eduardo C.I.:095437389-0 Moreira Vera Kevin Andrés C.I.:095176023-0
Tutor: Ing. Ivette Carrera Manosalvas, MSc.
Guayaquil, junio del 2020
XIII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL
1. Identificación del Proyecto de Titulación
Nombre Alumno: Bermúdez Rezabala Ronny Eduardo
Dirección: Km 8.5 vía a Daule, Coop 8 de Mayo Mz 504 s21
Teléfono: 0999456226 E-mail: [email protected]
Nombre Alumno: Moreira Vera Kevin Andrés
Dirección: Los Vergeles Mz182 s23 c
Teléfono: 0985383569 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Proyecto de titulación al que opta: Ingeniería en Networking y Telecomunicaciones Profesor guía: Ing. Ivette Carrera Manosalvas,MSc.
Título del Proyecto de titulación: “ANÁLISIS DE LAS INCIDENCIAS E IMPACTOS DE ATAQUES DE INGENIERÍA SOCIAL O CIBERDELITOS EN LA CARRERA DE INGENIERÍA CIVIL DE LA FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS”
Palabras claves: Ataques Informáticos, Ingeniería Social, Ciberdelitos,
Ciberdelincuentes
XIV
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:
Inmediata X Después de 1 año
Firma Alumno: Bermúdez Rezabala Ronny Eduardo Moreira Vera Kevin Andrés
C.I.:095437389-0 C.I.:095176023-0
3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM
XV
ÍNDICE GENERAL
APROBACIÓN DEL TUTOR ....................................................................III
DEDICATORIA ....................................................................................... IV
DEDICATORIA ........................................................................................ V
AGRADECIMIENTO ............................................................................... VI
AGRADECIMIENTO .............................................................................. VII
TRIBUNAL PROYECTO DE TITULACIÓN ........................................... VIII
DECLARACIÓN DE AUTORÍA Y DE AUTORIZACIÓN DE LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS ................. IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................... XII
AUTORIZACIÓN PARA PUBLICACIÓN DE PROYECTO DE TITULACIÓN EN FORMATO DIGITAL ................................................. XIII
ÍNDICE GENERAL ................................................................................ XV
ABREVIATURAS .................................................................................. XXI
SIMBOLOGÍA ...................................................................................... XXII
ÍNDICE DE CUADROS ....................................................................... XXIII
ÍNDICE DE GRÁFICOS ...................................................................... XXV
RESUMEN....................................................................................... XXVIII
ABSTRACT ....................................................................................... XXIX
INTRODUCCIÓN ......................................................................................1
CAPÍTULO I - PLANTEAMIENTO DEL PROBLEMA ..............................3
Ubicación del Problema en un Contexto ............................................3
Situación Conflicto Nudos Críticos ....................................................4
Delimitación del problema .................................................................7
Formulación del problema .................................................................8
Evaluación del problema ...................................................................8
OBJETIVOS ......................................................................................9
OBJETIVO GENERAL ..............................................................9
OBJETIVOS ESPECÍFICOS .....................................................9
ALCANCES DEL PROBLEMA ..........................................................9
JUSTIFICACIÓN E IMPORTANCIA ................................................10
METODOLOGÍA DEL PROYECTO .................................................11
XVI
CAPÍTULO II - MARCO TEÓRICO .........................................................13
ANTECEDENTES DEL ESTUDIO .....................................................13
FUNDAMENTACIÓN TEÓRICA ........................................................15
Seguridad informática ................................................................16
Dualismo de la seguridad informática ...................................17
Dualismo de la inseguridad informática .................................17
Seguridad de la información ........................................................18
Pilares de la seguridad de la información ..............................18
Ataque informático ......................................................................19
Fase de un ataque informático ..............................................19
Tipos de atacantes ................................................................21
Hackers ............................................................................21
Cracker .............................................................................21
Phreaker ...........................................................................21
Ciberdelincuente ...............................................................21
Script kiddie ......................................................................21
Sniffers .............................................................................21
Lamer ...............................................................................22
Vectores de ataques ...................................................................22
Vectores de ataques en redes ..............................................22
AP falso ............................................................................22
Spoofing ...........................................................................23
DDoS ................................................................................24
Sniffing .............................................................................24
Vectores de ataques host .....................................................25
Ingeniería social................................................................25
Técnicas de ingeniería social........................................26
Engaño Humano ......................................................26
Hunting .....................................................................26
Pharming ..................................................................26
Dumpster Diving .......................................................26
Vishing .....................................................................27
Pretexting .................................................................27
Correo Spam ............................................................27
XVII
Campañas de Extorsión .....................................28
Phishing ...................................................................28
Campañas de Phishing ......................................30
Fases del Phishing .............................................32
Malware ............................................................................33
Troyano ......................................................................34
Virus Informático.........................................................34
Gusanos .....................................................................34
Backdoors (puertas traseras) .....................................34
Keyloggers .................................................................34
Spyware .....................................................................34
Ransomware ..............................................................34
Inyección SQL ..................................................................34
Caso de estudio de Ingeniería social ......................................35
Herramientas de ataques ........................................................36
Kali Linux ..........................................................................36
The social- engineer toolkit (SET) ...............................37
Matelgo ......................................................................37
Metasploit ...................................................................39
Arquitectura y librerías de Metasploit ...................39
Herramientas en la plataforma de GitHub .........................40
Shellphish ...................................................................41
Gophish ......................................................................41
sAINT .........................................................................44
Herramienta DroidJack, ataques en dispositivo móviles ...44
Características de DroidJack ......................................45
Requisitos de DroidJack .............................................45
FUNDAMENTACIÓN LEGAL ............................................................46
HIPÓTESIS .......................................................................................48
VARIABLES DE LA INVESTIGACIÓN ..............................................48
DEFINICIONES CONCEPTUALES ...................................................49
CAPÍTULO III - METODOLOGÍA DE LA INVESTIGACIÓN ...................51
Modalidad de la Investigación ...........................................................51
Tipo de investigación ........................................................................51
XVIII
POBLACIÓN Y MUESTRA ................................................................52
OPERACIONALIZACIÓN DE VARIABLES ........................................55
Instrumentos de recolección de datos ...............................................56
La técnica ......................................................................................56
Documental ...................................................................................56
Lectura científica ...........................................................................56
Campo ..........................................................................................56
Instrumentos de la investigación .......................................................56
Encuesta .......................................................................................56
Cuestionario ..................................................................................57
Herramienta Google Drive .............................................................57
Recolección de la información ...........................................................57
Procesamiento y análisis ...................................................................58
Validación de análisis de datos .........................................................74
Mecanismos de ataques ....................................................................74
Desarrollo de escenarios ...............................................................75
Escenario 1 ...............................................................................75
Preparación y ejecución del escenario 1 (CASO REAL) .......75
Variaciones de este escenario ..............................................79
Simulación de phishing a través correo electrónico...............79
Diseño y elaboración del Phishing ........................................79
Ejecución de phishing a través de la herramienta Shellphish y Ngrok ....................................................................................81
Resultados de ejecución .......................................................83
Simulación 2 - Generador spyware–keylogger ......................86
Spyware a través de la herramienta sAINT ...........................86
Ejecución de ataque .............................................................90
Resultado del ataque ............................................................92
Análisis del impacto ..............................................................93
Escenario 2 ...............................................................................95
Verificación de dos pasos .....................................................95
Ataque de virus y malware ....................................................96
Caso de estudio: Espionaje a usuarios de WhatsApp ...........96
Análisis del impacto ..............................................................97
XIX
Escenario 3 ...............................................................................99
Preparación y ejecución del escenario 3 (CASO REAL) .......99
Variaciones del escenario ................................................... 102
Simulación Ataque en dispositivos móviles, mediante generadores de codigo Qr .................................................. 102
Ejecución de ataque ........................................................... 103
Resultados .......................................................................... 105
Ataque de Phishing por medio de código QR ...................... 107
Descarga de Malware por medio de código QR .................. 107
Caso de estudio: malware en aplicaciones Android ............ 107
Análisis del impacto ............................................................ 108
Escenario 4 ............................................................................. 109
Ataques por redes inalámbricas .......................................... 109
Simulación de ataque Mitm - capturar credenciales vía http110
Proceso y ejecución Mitm a través de la herramienta ettercap v-0.8.3 ................................................................................. 110
Análisis del impacto ............................................................ 115
CAPÍTULO IV - RESULTADOS, CONCLUSIONES Y RECOMENDACIONES......................................................................... 116
RESULTADOS ............................................................................... 116
CONCLUSIONES ............................................................................ 121
RECOMENDACIONES ................................................................... 123
BIBLIOGRAFÍA .................................................................................... 124
ANEXOS .............................................................................................. 127
Anexo 1: Estrategias para contrarrestar los ciberdelitos basados en Ingeniería social .............................................................................. 127
Capacitación ............................................................................. 127
Conceptualización ..................................................................... 128
Simulación ................................................................................ 128
Evaluación ................................................................................ 130
Poster x- banners ...................................................................... 136
Video explicativo ....................................................................... 137
Medidas de prevención ante los ciberdelitos basados en ingeniería social. ....................................................................... 138
Anexo 2: Cronograma del proyecto de titulación ............................. 140
XX
Anexo 3: Encuesta desde google forms .......................................... 142
Anexo 4: Tabulación de datos ......................................................... 145
Anexo 5: Encuesta de capacitación ................................................. 147
Anexo 6: Solicitudes de levantamiento de información .................... 148
Anexo 7: Solicitud para la charla de capacitación y colocación de poster x-banner ............................................................................... 151
Anexo 8: Coordinación con departamento de bienestar estudiantil . 152
Anexo 9: Solicitud de enfoque de video ........................................... 153
Anexo 10: Base de datos de los estudiantes ................................... 154
Anexo 11: Capacitaciones impartidas en los cursos ........................ 155
Anexo 12: Poster x-banner colocado en la FCMF ........................... 157
Anexo 13: Entrega del video al departamento de relaciones públicas de la Universidad de Guayaquil ....................................................... 158
XXI
ABREVIATURAS
UG Universidad de Guayaquil Ing. Ingeniería FCMF Facultad de Ciencias Matemáticas y Físicas ISP Proveedor de Servicio de Internet DNS Sistemas de nombres de dominios MITM. Hombre en el Medio URL Localizador de Fuente Uniforme SET The Social-Engineer Toolkit HTML Lenguaje de Marca de salida de Hyper Texto HTTP Protocolo de transferencia de Hyper Texto HTTPS Protocolo de transferencia de hipertexto Seguro
XXII
SIMBOLOGÍA
S Desviación estándar e Error E Espacio muestral E(Y) Esperanza matemática de la v.a. y s Estimador de la desviación estándar e Exponencial
XXIII
ÍNDICE DE CUADROS
Cuadro N.1 Causas y consecuencias del problema ..................................7
Cuadro N.2 Población de estudio ............................................................53
Cuadro N.3 Matriz de operacionalización de variables ............................55
Cuadro N.4 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................58
Cuadro N.5 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................59
Cuadro N.6 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................61
Cuadro N.7 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................62
Cuadro N.8 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil - FCMF .......................................................................64
Cuadro N.9 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ......................................................................65
Cuadro N.10 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil - FCMF ...........................................................66
Cuadro N.11 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................68
Cuadro N.12 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................69
Cuadro N.13 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................70
Cuadro N.14 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................71
Cuadro N.15 Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF ..........................................................73
Cuadro N.16 Análisis de las causas y consecuencias ........................... 117
Cuadro N.17 Impactos generales .......................................................... 119
Cuadro N.18 Seguimiento a los objetivos ............................................. 120
Cuadro N.19 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil - FCMF ........................... 131
Cuadro N.20 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil - FCMF ........................... 132
Cuadro N.21 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil - FCMF ........................... 133
XXIV
Cuadro N.22 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil - FCMF ........................... 134
Cuadro N.23 Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería civil – FCMF .......................... 135
Cuadro N.24 Presupuesto ..................................................................... 139
XXV
ÍNDICE DE GRÁFICOS
Gráfico 1: Denuncias de delitos informáticos ............................................5
Gráfico 2: Delitos informáticos ..................................................................6
Gráfico 3: Dualismo de la seguridad informática .....................................17
Gráfico 4: Dualismo de la inseguridad informática ..................................18
Gráfico 5: Pilares de la seguridad de la información ..............................19
Gráfico 6: Fase de un ataque informático ..............................................20
Gráfico 7: Ataque de un AP falso ............................................................23
Gráfico 8: Ataque de un Spoofing ...........................................................23
Gráfico 9: Ataque DDoS .........................................................................24
Gráfico 10: Ataque Sniffing .....................................................................24
Gráfico 11: Proceso de la Ingeniería social .............................................26
Gráfico 12: Característica de un correo spam .........................................27
Gráfico 13: Campañas de extorsión ........................................................28
Gráfico 14: Proceso de ataque Phishing .................................................29
Gráfico 15: Evolución del Phishing .........................................................30
Gráfico 16: Plataformas más usadas por los ciberdelincuentes ..............32
Gráfico 17: Tipos de malware .................................................................33
Gráfico 18: Sistema operativo Kali Linux ................................................36
Gráfico 19: Funcionamiento de SET .......................................................37
Gráfico 20: Funcionamiento de Matelgo .................................................38
Gráfico 21: Funcionamiento de Matelgo .................................................39
Gráfico 22: Arquitectura y librerías de Metasploit ....................................40
Gráfico 23: Interfaz de Shellphish ...........................................................41
Gráfico 24: Interfaz de Gophish ..............................................................42
Gráfico 25: Clonación de sitio web ..........................................................43
Gráfico 26: Control de campañas mediante gráficos estadísticos ...........43
Gráfico 27: Interfaz de sAINT .................................................................44
Gráfico 28: Interfaz de DroidJack ............................................................45
Gráfico 29: Conocimiento de Ingeniería social ........................................58
Gráfico 30: Conectividad a redes públicas ..............................................60
Gráfico 31: Actividad en la red ................................................................61
Gráfico 32: Descarga de programa .........................................................63
Gráfico 33: Notificaciones de dudosa procedencia .................................64
XXVI
Gráfico 34: Redes sociales más utilizada ...............................................65
Gráfico 35: Propósito de utilizar redes sociales ......................................67
Gráfico 36: Medios solicitados para campañas publicitarias ...................68
Gráfico 37: Edad de los encuestados .....................................................69
Gráfico 38: Proporción de información a campañas publicitarias ............70
Gráfico 39: Conocimiento de Phishing ....................................................71
Gráfico 40: Identificación una página web ..............................................72
Gráfico 41: Uso continuo de las contraseñas ..........................................73
Gráfico 42: Estructura de un escenario ...................................................75
Gráfico 43: Ataque simulado por vía correo electrónico ..........................76
Gráfico 44: Técnica de suplantación de identidad por vía correo electrónico ..............................................................................................77
Gráfico 45: Anzuelo para poder obtener los números telefónicos ...........78
Gráfico 46: Código de template de la página web falsa ..........................79
Gráfico 47: Template de Outlook ...........................................................80
Gráfico 48: Cuenta falsa ........................................................................81
Gráfico 49: Ejecución de phishing a través de la herramienta Shellphish ...............................................................................................................81
Gráfico 50: Ejecución de Ngrok .............................................................82
Gráfico 51: Interfaz de Shellphish ..........................................................83
Gráfico 52: Notificaciones de entrada del correo electrónico .................84
Gráfico 53: Robo de credenciales Outlook .............................................85
Gráfico 54: Robo de credenciales Outlook .............................................86
Gráfico 55: Instalación de repositorios de sAINT ...................................87
Gráfico 56: Interfaz de sAINT ................................................................87
Gráfico 57: Validación de datos en sAINT ..............................................88
Gráfico 58: Permisos de aplicación en Gmail.........................................89
Gráfico 59: Archivos ejecutable .............................................................89
Gráfico 60: Enlace directo de los archivos ejecutable ............................90
Gráfico 61: Mecanismo de Ingeniería social a través de correo electrónico ..............................................................................................91
Gráfico 62: Descarga del Spyware ........................................................91
Gráfico 63: Notificaciones de la víctima .................................................92
Gráfico 64: Espionaje de datos de la víctima .........................................92
Gráfico 65: Espionaje de credenciales ...................................................93
XXVII
Gráfico 66: Verificación de dos pasos ....................................................95
Gráfico 67: Volante escenario 3 ............................................................ 100
Gráfico 68: Test de ciberseguridad ....................................................... 100
Gráfico 69: Obtener datos a través de test ........................................... 101
Gráfico 70: Resultados de las personas que accedieron al test ............ 101
Gráfico 71: Preparación del ataque ...................................................... 102
Gráfico 72: Aplicación en Android generada ......................................... 103
Gráfico 73: Serie de ataque basada en Ingeniería social ...................... 104
Gráfico 74: Ejecución de un generador de código Qr ............................ 105
Gráfico 75: Apk infectada por supuesto juego de Android .................... 105
Gráfico 76: Ataque por apk infectado .................................................... 106
Gráfico 77: Ataque por apk infectado .................................................... 106
Gráfico 78: Aplicativos maliciosos Qr en Android .................................. 108
Gráfico 79: Esquema de ataque MITM ................................................. 110
Gráfico 80: Uso de Ettercap .................................................................. 111
Gráfico 81: Uso de Ettercap .................................................................. 111
Gráfico 82: Uso de Ettercap .................................................................. 112
Gráfico 83: Uso de Ettercap .................................................................. 112
Gráfico 84: Uso de Ettercap .................................................................. 113
Gráfico 85: Uso de Ettercap .................................................................. 114
Gráfico 86: Uso de Ettercap .................................................................. 114
Gráfico 87: Factores clave de la investigación ...................................... 127
Gráfico 88: Elementos de la capacitación ............................................. 128
Gráfico 89: Témplate de Netflix............................................................. 129
Gráfico 90: Correo Phishing .................................................................. 129
Gráfico 91: Campaña de phishing ......................................................... 130
Gráfico 92: Acceso mediante enlaces ................................................... 131
Gráfico 93: Ingreso de datos mediante sorteo ...................................... 132
Gráfico 94: Descarga de programas ..................................................... 133
Gráfico 95: Ingreso de información mediante WI-FI Pública ................. 134
Gráfico 96: Efectividad de la capacitación ............................................ 135
Gráfico 97: Diseño de poster ................................................................ 136
Gráfico 98: Video explicativo ................................................................ 137
XXVIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“Análisis de las incidencias e impacto de ataques de Ingeniería social o
ciberdelitos en la Carrera de Ingeniería Civil de la Facultad de Ciencias
Matemáticas y Físicas”
RESUMEN
El presente proyecto investigativo tiene como finalidad analizar las incidencias de
los ataques informáticos basado en Ingeniería social en los estudiantes de la
Carrera de Ingeniería Civil de la Facultad de Ciencias Matemáticas y Físicas, a
través de la recopilación de datos, casos de estudios y simulaciones en un
ambiente controlado como instrumentos necesarios para dar a conocer el impacto
que estos ataques pueden ocasionar en los estudiantes por la falta de
conocimientos a estos ciberdelitos. Se hablará a detalle de los mecanismos,
técnicas y herramientas que los atacantes utilizan. Debido a la importancia de
este tema en la sociedad, se recomiendan estrategias de prevención a los
estudiantes de la Carrera de Ingeniería Civil ante estos posibles ataques
informáticos, dando a conocer la efectividad de esta logística mediante datos
estadísticos.
Palabras clave: Ataques Informáticos, Ingeniería Social, Ciberdelitos,
Ciberdelincuente.
Autor: Bermúdez Rezabala Ronny - Moreira Vera Kevin Tutor: Carrera Manosalvas Ivette Kembely
XXIX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“Analysis of the incidences and impact of social engineering attacks or
cybercrimes in the Civil Engineering Career of the Faculty of Mathematical
and Physical Sciences"
ABSTRACT
This research project aims to analyze the incidence of computer attacks based on
social engineering in students of the Civil Engineering Career in the Faculty of
Mathematics and Physics, through the collection of data, case studies and
simulations in a controlled environment as necessary tools to publicize the impact
that these attacks can cause in students due to lack of knowledge of these
cybercrimes. The mechanisms, techniques and tools used by the attackers will be
discussed in detail. Due to the importance of this topic in society, prevention
strategies are recommended to students of the Civil Engineering career in front of
these possible computer attacks, making known the effectiveness of this logistics
through statistical data
Keywords: Computer Attacks, Social Engineering, Cybercrime, Cyber criminal
Autor: Bermúdez Rezabala Ronny - Moreira Vera Kevin Tutor: Carrera Manosalvas Ivette Kembely
1
INTRODUCCIÓN
Actualmente, se vive pleno desarrollo tecnológico en el campo de las
comunicaciones y otras áreas permitiendo ampliar los mecanismos de
comunicación donde el ser humano juega un papel importante. Este desarrollo ha
provocado cambios sociológicos en las personas creando la necesidad de querer
siempre estar modernizado y conectados a internet.
El internet es una de las herramientas principales que se ha vuelto una
necesidad para el uso diario en cualquier comunidad del mundo a tal grado de:
almacenar e intercambiar información, comunicarnos por redes sociales y otras
multiplicidades de usos a conveniencia de cada persona etc.
Las redes sociales forman parte de la vida cotidiana de los seres humanos
gracias al libre acceso al internet ya que cualquier persona puede crear una cuenta
y modificar a su gusto su perfil sea real o ficticio, pudiendo hacer uso de la
comunicación brindada por esta herramienta para diversas actividades como la
interacción con su familia, amigos, compañeros de trabajo, además de un sin
números de personas que se encuentren registradas dentro de la misma u otra
plataforma.
El diario nacional EXTRA mencionó que el uso del internet y las redes sociales
poseen una gran acogida a nivel del país, existiendo el 79% de usuarios
registrados en el 2019. Sin embargo, el aumento de usuarios en las diferentes
plataformas que provee el internet los convierten en un blanco fácil a delitos
informáticos.
Sin embargo, en internet no todo es seguro ya que existen factores que pueden
amenazar la identidad y seguridad de los datos. Los usuario “siendo el eslabón
más debil” desconocen los tipos de ataques de IngenierÍa social más comunes
2
así como también los artículos de la Ley que integran el Código Penal del Ecuador,
publicado el 10 de agosto del año 2014, donde se tipifican delitos informáticos.
La Ley que integra el Código Penal donde no se ajusta abiertamente los delitos
incurrido a través de las redes sociales pero sí hacen referencia a los delitos
relacionados por medios de la red como son el: el phishing, robo de identidad,
las injurias, las calumnias, la extorción, el acoso, la publicación de pornografía,
la pedofilia, el grooming, difusión de malware, trata de blancas, sicariato, happy
slapping, la estafa (Obregón, Gomez, & López, 2017).
Tomando en cuenta la realidad, los ataques informáticos como Ingeniería
social siguen surgiendo en tiempos actuales con nuevos métodos y técnicas que
las personas desconocen por lo tanto como propuesta de trabajo en esta
investigación, se realizará un análisis de estos acontecimientos en los estudiantes
de la Facultad de Ciencias Matemáticas y Físicas en la Carrera de Ingeniería civil
para determinar los niveles de incidencias e impacto de estos ataques informáticos
estableciendo los conocimientos que esta población posee sobre estas amenazas.
3
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
La Ingeniería social es el arte del engaño con el propósito de interactuar con el
usuario para robar o sacar información personal muy cercana a un sistema, ya sea
una organización o institución. En otras palabras se define “Como una acción o
conducta social destinada a conseguir información de las personas cercanas a un
sistema” (Borghello, 2009, p.2).
Por lo tanto, la Ingeniería social sigue siendo un arma muy sigilosa y peligrosa
por lo que origina unas series de delitos informáticos utilizando señuelos, que a
simple descuido utilizan cualquier medio de comunicación para obtener la
información del usuario.
El desarrollo constante de nuevas tecnologías ha permitido que la cantidad de
información brindada a través de internet sea innumerable. Gracias a la necesidad
de estar interconectados con el mundo se han abierto nuevas brechas para
diferentes tipos de ataques, ya sea por redes sociales, correos u otras técnicas,
con el afán de conseguir la información y poder hacer uso lucrativo de los datos
extraídos del usuario atacado. Avogadro (2009) define los ciberdelitos: “Como las
actividades ilegales en las que intervienen medios electrónicos y nuevas
tecnologías” (p.1).
4
Jiménez (1996) indica que las redes sociales: “Son un portal web, que es un
espacio que ofrece acceso a una serie de recursos y servicios, éste puede incluir
enlaces, buscadores, foros, etc. para facilitar el acceso a la información” (p.17).
El internet posee huecos muy profundos en ámbitos de legislación, con un sin
números de desventajas, por lo que no se sabe ¿Cómo? ¿Cuándo? y ¿Dónde?
se estará expuestos a un ataque siendo beneficiados los delincuentes que cada
día buscan nuevos modus operandi para sobrepasar la seguridad informática.
Situación Conflicto Nudos Críticos
En la actualidad, los ciberdelitos se han realizado con mayor frecuencia dando
inicio a una nueva forma de delinquir desarrollando varios tipos de ataques en los
que se manipula a los usuarios para beneficio personal.
La Ingeniería social tiene como finalidad ganar la confianza del usuario para fines
maliciosos, ya sea por redes sociales, spam (correos no deseados) u otra técnica
infalible, con el afán de conseguir información y poder hacer uso lucrativo de los
datos extraído del usuario atacado.
En Ecuador, gran parte de la población tiene conectividad a internet según el
diario Extra redactó: El uso de Internet alcanzó una penetración del 79 % para
inicios del presente año, esto se traduce en que somos un promedio de 13.4
millones de usuarios de este servicio. ¿Y para qué lo usamos? Como era de
suponerse, para redes sociales: 12 millones de personas navegaron en alguna
red social y el dispositivo preferido fue el móvil, con un total de 11 millones de
usuarios (EXTRA, 2019).
Estas redes sociales son consideradas medios de comunicación siendo de gran
utilidad para fines personales, financieros, educativos entre otros. Las redes
sociales mas utilizadas son Facebook, Instagram, Twitter, Linkedin según el diario
Primicias, el cual menciona el índice de usuarios de las respectivas redes sociales
más usadas: Facebook posee 12 millones de usuarios, siendo la red social con
más perfiles creados en el país, superando a Twitter e Instagram con alrededor
5
de 8 millones en donde más del 50% de los usuarios son hombres. Twitter tiene 4
millones de usuarios registrados en donde el 67% de las cuentas pertenecen a
hombres entre 25 a 49 años. Instagram tiene 3,9 millones de perfiles en el país y
la mayoría de usuarios están entre los 18 y 34 años, la cual es una red social muy
gráfica, una especie de ‘álbum de fotos digital’. Linkedin cuenta con más de 2
millones de cuentas en el país., la cual es una red de tipo profesional, una especie
de hoja de vida digital (Rodríguez, 2019).
Según la información que provee el diario El telégrafo en el lapso de enero a
agosto del 2015: De los 1026 casos de delitos informáticos, 646 (más del 50%) se
realizaron utilizando el mecanismo de apropiación fraudulenta de correo.
Gráfico 1: Denuncias de delitos informáticos
Elaborado por: El Telégrafo, 2015 Fuente: https://www.eltelegrafo.com.ec/noticias/judicial/12/la-fiscalia-
creara-unidad-especial-para-combatir-ciberdelitos
Por otra parte, el diario El Telégrafo dio a conocer estadísticas sobre el
incremento de los ciberdelitos en el año 2016. (TELÉGRAFO, 2016) informó: Un
estudio elaborado por la Policía Nacional, Interpol, el centro de respuesta a
Incidentes Informáticos de Ecuador (Ecucert), con el soporte de organismos
similares de América Latina, indica que el 85% de los ataques a los sistemas
informáticos son causados por errores de los consumidores, quienes no toman
6
precauciones al acceder a las redes sociales, utilizar el correo electrónico, y en el
uso de usuario y contraseña. (p.2)
Gráfico 2: Delitos informáticos
Elaborado por: El Telégrafo, 2016 Fuente: https://www.eltelegrafo.com.ec/noticias/judicial/12/en-ecuador-el-
85-de-los-delitos-informaticos-ocurre-por-descuido-del-usuario
7
Cuadro N.1
Causas y consecuencias del problema
CAUSA CONSECUENCIA
Falta de conocimiento sobre
ciberdelitos
Usuarios propensos a ataques
informáticos mediante técnicas de
manipulación o engaño.
Personas con baja autoestima
frente al uso de redes sociales
Ser blanco fácil al momento de ser
persuadidos o manipulados por sus
emociones.
Confiar en otras personas con
facilidad
Exponer información personal para un
uso malicioso
Pensar que el uso de las redes
sociales y el internet es muy seguro
Al momento de usar cualquiera de
estas plataformas inconscientemente
ingresar a links o páginas maliciosas
Desarrollo de nuevas tecnologías La aparición de nuevos mecanismos
de ataques a las medidas de seguridad
Descargas de dudosa procedencia
que contengan malware
Robo de información o afectación a un
sistema en el funcionamiento de los
procesos
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Delimitación del problema
Campo: Informática
Área: Seguridad informática; Delitos informáticos
Aspecto: Incidencias e impactos de Ataques de Ingeniería social
Tema: Análisis de las incidencias e impactos de ataques de Ingeniería social
o ciberdelitos en la Carrera de Ingeniería Civil de la Facultad de Ciencias
Matemáticas y Físicas.
8
Formulación del problema
¿Cómo afecta el desconocimiento sobre ataques informáticos como la
Ingeniería social a los estudiantes de Ingeniería Civil?
Evaluación del problema
Delimitado: Esta investigación es limitada a un área específica, este proyecto de
titulación se centra en realizar un análisis sobre las incidencias e impactos de
ataques de Ingeniería social a los estudiantes de la Carrera de Ingeniería Civil de
la Facultad de Ciencias Matemáticas y Físicas.
Claro: Conocer el impacto de las incidencias de ataques de Ingeniería social en
los estudiantes de la Carrera de Ingeniería Civil.
Evidente: El resultado de las encuestas realizadas en la población permitirá
observar la situación actual, del tema a analizar.
Concreto: Se simulará mecanismos de ataques de Ingeniería social a los
estudiantes y se evaluará los resultados establecidos.
Relevante: Este análisis es relevante ya que dará a conocer los riesgos que
corren los estudiantes de Ingeniería Civil al no conocer sobre los ciberdelitos
Factible: El proyecto es viable ya que la situación planteada no requiere de mayor
inversión ya que se basa en la revisión bibliográfica y experimental para poder
determinar el impacto de los incidentes simulados.
9
OBJETIVOS
OBJETIVO GENERAL
Analizar las incidencias de los ataques de Ingeniería social con el fin de dar a
conocer el impacto que estos ataques pueden causar en los estudiantes de la
Carrera de Ingeniería Civil en la Facultad de Ciencias Matemáticas y Físicas.
OBJETIVOS ESPECÍFICOS
Identificar las diferentes técnicas de ataques, para conocer los mecanismos y
herramientas más empleadas en los ciberdelitos.
Determinar el nivel de conocimiento sobre Ingeniería social en los estudiantes
de la Carrera de Ingeniería Civil de la Facultad de Ciencia Matemáticas y
Físicas para analizar la incidencia ante estos ataques.
Simular mecanismos de Ingeniería social en un ambiente controlado para
determinar el impacto de estos ataques en la muestra establecida.
Analizar el impacto de los ataques realizados para socializar los riesgos a los
cuales están expuestos por el uso inadecuado del Internet.
ALCANCES DEL PROBLEMA
La realización de esta investigación se presenta como un análisis para identificar
el actual problema situado, donde se va a determinar, procesar y levantar la
información con encuestas a los estudiantes de la Carrera de Ingeniería Civil de
la Facultad de Ciencias Matemáticas y Físicas en una población determinada,
donde se llegará a conocer el nivel de conocimiento sobre estos ataques y se
identificarán las incidencias que presentan. Además, se simulará mecanismos de
Ingeniería social para dar a conocer los posibles escenarios de ataque en un
ambiente controlado a los estudiantes de la Carrera de Ingeniería civil sin llegar a
afectar los tipos de datos expuestos por el estudiante.
10
Se dará a conocer el impacto de los ataques a través de revisión documental
especificando cómo llegan a influir estos ataques informáticos en los estudiantes
de la carrera Ingeniería Civil.
Además, se darán a conocer estrategias de seguridad frente a estos tipos de
amenazas informáticas con el fin de evitar cualquier riesgo y amenazas en los
estudiantes.
JUSTIFICACIÓN E IMPORTANCIA
A medida que pasa el tiempo los ataques informáticos, en su constante evolución
son muy utilizados por ciberdelincuentes, mediante su conocimiento y práctica,
usan de manera indebida el internet, con el fin de afectar, vulnerar y extorsionar a
personas mediante los diferentes mecanismos de Ingeniería social que corrompen
su información personal sin su consentimiento. Por ejemplo: Persuasión del
atacante informático hacia la víctima para ganar su confianza, suplantación de
identidad, clonación de sitios web en estos casos plataformas de redes sociales o
páginas bancarias, e instalar algún tipo de malware en su ordenador o dispositivo.
El uso diario del Internet genera un mayor índice de ataques informáticos, lo cual
origina pérdidas a nivel social y económico.
Se presume que los alumnos de la carrera de Ingeniería Civil de la Facultad
Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, al no ser una
Carrera tecnológica y no poseer en el pensum académico materias acerca de las
TICs, desconocen los mecanismos para llevar a cabo delitos informáticos como
por ejemplo Ingeniería social. El uso del Internet como parte del diario vivir,
convierte a los estudiantes en potenciales víctimas a estos ataques al no tomarse
las debidas precauciones cuando se hace uso del Internet en las distintas
actividades
Es importante destacar que este proyecto investigativo será de gran aporte a
la Universidad de Guayaquil, por lo cual los resultados obtenidos en la Carrera de
Ingeniería Civil, servirán de referencia para otras facultades donde seguramente
11
existe la misma problemática. Este proyecto de titulación servirá como referencia
para futuros trabajos investigativos y permitirá exponer la importancia de conocer
sobre los ciberdelitos para que se tomen acciones preventivas y permitirá
entender de mejor manera los ataques informáticos existentes.
METODOLOGÍA DEL PROYECTO
La metodología usada en este proyecto investigativo está compuesta por las
siguientes fases:
Fase 1
Levantamiento de información
Se procederá levantar información en el desarrollo de la problemática para obtener
constancia con todos los permisos necesarios.
Fase 2
Exploración de información
En esta fase se procederá a identificar los conceptos que abarca a la seguridad
informática con respecto a los ciberdelitos. Además de conocer sobre las
características y funcionamiento de las herramientas de ataques que utilizan los
Ciberdelincuentes.
Fase 3
Análisis de las incidencias e impactos
En esta fase se procederá analizar mediante encuestas las incidencias y
desconocimiento sobre ingeniería social en los estudiantes de Ingeniería Civil.
Mediante escenarios, se analizará el impacto de las causas que ocasión los
ciberdelitos.
12
Fase 4
Análisis de los resultados
Dentro de los resultados de esta investigación, se procederá a elaborar de manera
detallada un análisis en general sobre los factores que transcienden en este
proyecto de investigación.
Mediante el impacto que puede ocasionar estos ciberdelitos se realizará
estrategias preventivas ante los ataques de Ingeniería social. Este plan de
seguridad, permitirá disminuir el desconocimiento ante estos tipos de ataques en
los estudiantes.
Las medidas a establecerse en la actual problemática serán desarrolladas
mediante lo siguiente:
Capacitación y simulación en tiempo real sobre los ataques informáticos.
Elaboración de un poster x-banner sobre los ataques y medidas
preventivas de ingeniería social que estará establecido en las entradas de
la FCMF en la carrera de Ingeniería civil.
Desarrollo de un video explicativo en animación 2D, para que sea enfocado
en el Tótem de la plazoleta de la Universidad de Guayaquil.
13
CAPÍTULO II
MARCO TEÓRICO
El presente capitulo consta de los fundamentos y conceptos teóricos que ayudaran
a la comprensión del lector sobre la relevancia de este tema. Se
identificaran las diferentes técnicas de ingeniería social, conociendo los
mecanismos y herramientas más empleadas en este tipo de ciberdelitos.
La ingeniería social como tal es el arte de engañar personas para evadir el
sistema de seguridad. El ser humano tiene mucho en juego, al tener el poder total
de sus datos personales, siendo en algunas ocasiones negligente e irresponsable
con su propia privacidad. Cabe recalcar que el Internet permite a los seres
humanos interactuar con otras personas de manera inmediata, donde los
atacantes informáticos buscan aprovecharse de esta necesidad valiéndose de
huecos de seguridad para para extraer, modificar o destruir los datos del usuario.
Además, se mencionan las normas y acciones legales destacadas en contra
los delitos informáticos que conciernen a estos riesgos por el inadecuado uso de
las tecnologías de la información y comunicación.
ANTECEDENTES DEL ESTUDIO
En las últimas décadas, el crecimiento tecnológico en el Ecuador se ha
desarrollado a gran escala. El uso intensivo del internet facilita la búsqueda diaria
de información de manera superficial o profunda por lo que han surgido nuevos
mecanismos delictivos a sistemas informáticos con el principal objetivo de engañar
o manipular a las personas para obtener información confidencial e incluso activos
informáticos mediante una acción maliciosa.
14
Al principio no se consideraba de mucha relevancia este tipo de amenazas
informáticas, pero con los años se han desarrollado muchas técnicas
malintencionadas que sobrepasan las barreras de seguridad informática que
puedan estar implementadas ya sean de hardware como de software.
A medida que pasa el tiempo se descubren nuevas zonas débiles y, por lo
general, son pocos los responsables de TI que comprenden en su justa medida la
importancia que tiene la seguridad y cómo pueden abordar el grave problema que
existe detrás de vulnerabilidades que permiten a un atacante, violar la seguridad
de un entorno y cometer delitos en función de los datos robados. (Mieres, 2009,
p.3)
Los datos que comúnmente utilizamos ya sea contraseñas, número de cuentas
bancarias, etc., estén siendo vigilados, sin darnos cuenta por algún atacante
esperando el más mínimo descuido para realizar su objetivo. “La información
sobre nuestra vida personal se está volviendo un bien muy cotizado por las
compañías del mercado actual” (Acurio Del Pino, 2016, p.4).
Santillan Arenas (2009) nos define el concepto de Ingeniería social: “Cuyo
principal objetivo es manipular a una entidad, en este caso a las personas, para
que directa o indirectamente realicen acciones que llevarán a conseguir un fin
específico para quien las aplica”(p.6).
Como tal las personas no toman las debidas precauciones al momento de usar
una red social o al estar navegando en internet. Por lo que hay una variedad y
formas de ataques que solo el atacante puede saber. En general, los ataques de
Ingeniería Social actúan en dos niveles: el físico y el psicosocial” (Sandoval
Castellanos, 2011, p.24). Siendo así que el primer nivel significa el medio y los
materiales por el cual se acciona el ataque y el segundo nivel describe las
habilidades sociales que sirven para engañar a la víctima.
15
La mente humana es susceptible a cualquier tipo de engaño que pueda
exponer información confidencial de una persona. El ciberdelincuente busca todas
las maneras posibles de interactuar y ganar la confianza de la víctima para lograr
su objetivo malicioso, incluso se han dado casos en que los mismos profesionales
de la seguridad informática caen ante estos sucesos.
FUNDAMENTACIÓN TEÓRICA
Las nuevas formas de comunicación gracias a la tecnología han permitido que la
diferencia entre la máquina con el ser humano sea cada vez menor. Los
complicados algoritmos de comunicación han evolucionado, haciendo que el
usuario tenga la capacidad de estar interconectado con el mundo de una manera
fácil, rápida y sencilla.
Siendo así que las empresas públicas o privadas, incluyendo a las personas,
estén ligadas de alguna forma a la tecnología de la información como un elemento
importante para fines comerciales o actividades personales en el día a día. De
hecho, “Las sociedades avanzadas tienen una dependencia cada mayor de los
sistemas informáticos para el control de muchos procesos y actividades
cotidianas: control de fluido eléctrico, de la red de abastecimientos de aguas, de
las centrales de conmutación telefónicas, del tráfico aéreo, de las redes de
señalización semafórica, de los sistemas financieros, etcétera” (Vieites).
Paulatinamente, los riesgos informáticos están muy presentes y constituidos
por dos elementos: amenaza y vulnerabilidad. Ambos elementos están ligados
uno del otro, por tanto, no habrá consecuencia sin la presencia de algunos de
ellos.
Los sistemas de seguridad por más robustos que sean, tanto a nivel de
hardware como software, tendrían una mínima brecha que podría romper los
esquemas de seguridad informática. Además de los componentes informáticos,
las personas son la pieza clave para mantener la seguridad de una organización.
Camacho Losa (1987) afirma: “En todas las facetas de la actividad humana existen
el engaño, las manipulaciones, la codicia, el ansia de venganza, el fraude, en
definitiva, el delito”.
16
Los atacantes informáticos siguen una serie de pasos para atacar al usuario y
obtener su información. Tal vez, algunos ataques requieran de más tiempo,
trabajo, dinero y conocimiento, mientras que otros pueden ser más fáciles de
realizar dependiendo del nivel de seguridad implementado en el objetivo. “Los
atacantes sea estos éticos y no éticos siempre seguirán esta secuencia, pero
puede variar las técnicas y herramientas que utilicen” (Guamán Sinchi, 2015,
p.22).
Entre los ataques más usados y que sigue en constante crecimiento se
encuentra la Ingeniería social, basados en los tipos de engaño, siendo el más
efectivo; solo que son pocas las personas que pueden explotar y controlar la
mente humana. Moyano Morales (2015) define: Es el juego mental de una persona
por medio de actitudes, estos, entonaciones de voz, comportamientos, a tal punto
de llegar a familiarizarse con la víctima o pasar desapercibido burlando los
sistemas de seguridad y lograr con esto a obtención de resultados. (p.1)
Seguridad informática
Es la protección de un sistema informático que implica la seguridad lógica y física
dentro de una infraestructura computacional. Por otra parte, es el proceso que
comprende la detección y prevención de los datos informáticos, minimizando el
riesgo de la información.
“La seguridad informática intenta proteger el almacenamiento, procesamiento
y transmisión de información digital” (Buendía, 2013, p.8).
Urbina (2016) define: La seguridad informática es la disciplina que, con base
en políticas y normas internas y externas de la empresa, se encargan de proteger
la integridad y privacidad de la información que se encuentra almacenada en un
sistema informático, contra cualquier tipo de amenazas, minimizando los riesgos
tanto físicos como lógicos, a los que está expuesta. (p.12)
17
Dualismo de la seguridad informática
Existen técnicas comunes empleadas hoy en día como: SPAM, dispositivos de
almacenamientos USB infectados por virus, malware, troyano, manipulación, etc.,
que al no existir las debidas precauciones causarían impactos negativos en la
víctima. Estas situaciones tienen una causa y efecto que se denominan dualismo
de la seguridad informática
En seguridad informática es el desarrollo que toma como base los conceptos
tecnológicos a una perspectiva dual dentro de un sistema ya sea seguro o
inseguro. Se aplica técnicas de seguridad informática para contrarrestar los
riesgos e implementar controles, ante las nuevas vulnerabilidades que nos hacen
propenso a los ataques informático para así tomar medidas preventivas (Cano,
2004).
Gráfico 3: Dualismo de la seguridad informática
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Dualismo de la inseguridad informática
Es la contraparte de la seguridad informática que establece situaciones no viables
en la protección de eventualidades maliciosas que sucedan en una organización.
Cano (2004) comenta: “En este sentido, comprender la inseguridad informática
como el dual de la seguridad informática, en el contexto organizacional,
representada esta última en sus participantes, sus procesos y tecnología”. ( p.43)
18
Gráfico 4: Dualismo de la inseguridad informática
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Seguridad de la información
Es el conjunto de técnicas o medidas que permiten el control de los datos que
conforman una organización o sistemas tecnológicos con el afán de asegurar o
resguardar la información de manera confidencial.
“La seguridad de la información también abarca los procedimientos que deben
seguir los empleados y la dirección de una compañía para garantizar la protección
de los datos confidenciales y de los sistemas de información frente a las amenazas
actuales” (Soriano, 2014, p.7).
Pilares de la seguridad de la información
Confidencialidad: Garantizar que la información no sea revelada o publicada
a usuarios o sistemas no autorizados.
Integridad: Garantiza la protección de información sin que haya sido
manipulada por algún personal no autorizado, siendo un sistema limpio y sin
modificaciones.
Disponibilidad: Característica que permite que la información se encuentre
accesible y disponible al personal autorizado cuando sea necesario.
19
Gráfico 5: Pilares de la seguridad de la información
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Ataque informático
Un ataque informático consiste en toda actividad mal intencionada cuyo objetivo
es eliminar, extraer o desestabilizar los datos de un sistema informático. Un ataque
informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el
software, en el hardware, e incluso, en las personas que forman parte de un
ambiente informático; a fin de obtener un beneficio, por lo general de índole
económico, causando un efecto negativo en la seguridad del sistema, que luego
repercute directamente en los activos de la organización. (Mieres, 2009, p.4)
Fase de un ataque informático
Reconocimiento: Es el inicio de todo el proceso donde el atacante debe
recoger o recolectar la mayor información de la víctima. Esto permitirá
establecer qué clase de estrategia se utilizará para romper la seguridad
que el usuario disponga.
Exploración: Consiste en el uso de la información obtenida del usuario,
donde se llevará a cabo el sondeo de lo que hace, ve y oye. En pocas
SEGURIDAD DE LA
INFORMACIÓN
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
20
palabras es el escaneo o filtrado de los posibles puntos abierto que tenga
dentro de su sistema.
Obtener acceso: Es la fase donde se comienza a hacer el ataque a través
de la explotación de brechas abiertas que tenga en su sistema donde se
comienza con ataques de fuerza bruta, denegación de servicios entre
otros.
Mantener el acceso: Consiste en mantener habilitado el sistema para su
acceso cada vez que el atacante lo desee para lo cual buscará el
mecanismo de dejar la puerta abierta al sistema.
Borrar huellas: Una vez accedido y mantenido el sistema, se eliminará u
ocultará cualquier rastro de visita que se haya creado durante el ataque
para no ser detectado y seguir accediendo al sistema cada vez que sea
necesario.
Gráfico 6: Fase de un ataque informático
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Reconocimiento
Exploración
Obtención de acceso
Mantener el acceso
Borrado de rastros
21
Tipos de atacantes
Hackers
Son individuos expertos en las ramas de la informática que buscan hallar todo tipo
de vulnerabilidad de un sistema, para estudiar y corregir cualquier fallo.
Cracker
Conocidos como Black Hat hacker, son aquellos que violan y rompen toda política
de seguridad de un sistema para fines de lucro maliciosos y económicos. También
son creadores de todo programas y herramientas maliciosos como los malware,
exploits, etc.
Phreaker
Son hackers que se encargan de investigar y espiar la información que se
encuentra en las redes telefónicas.
Ciberdelincuente
EL Ciberdelincuente o cibercriminal son aquellos que realizan acciones ilegales o
ilícitas a través de internet, aprovechándose de las herramientas informáticas y de
los nuevos cambios tecnológicos.
Script kiddie
Son personas no sofisticadas o aficionadas que utilizan programas de
desarrolladores para poder atacar a sistemas informáticos.
Sniffers
Conocedores por excelencia de los protocolos de red capaces del capturar el
tráfico de red y encontrar información útil.
22
Lamer
Personas novatas en el mundo del hacking que carecen de conocimientos
avanzados.
Vectores de ataques
Es la estrategia o ruta a seguir de un atacante para acceder a una computadora y
tener como objetivo sus datos informáticos.
De manera lógica cada atacante usa sus propias ideas o estrategias para llevar
a cabo un objetivo establecido en este caso, la información. El uso cotidiano de
este tipo de entorno, donde la trasferencia de datos en un sistema informático es
muy normal, se ha tornado muy hostil ya que a diario los hackers intentan extraer
los recursos de manera malintencionada.
Vectores de ataques en redes
Las redes son blanco fácil para los atacantes informáticos porque les permitirá
extraer o tomar sin permiso los datos de un sistema en la red para poder venderlo
al mejor postor o también ocasionar la ralentización del tráfico de la red. Los
vectores de ataques en redes se clasifican en dos tipos: activos y pasivos.
Los ataques activos se logran cuando el atacante inserta un código malicioso
saboteando el buen funcionamiento de la red. En cambio, los ataques pasivos
sufren una alteración en los movimientos de los datos cuando el atacante se
encuentra dentro de la red.
Activo
AP falso
Es un punto de acceso no autorizado manejado o manipulado por alguien que no
está registrado dentro de la empresa, permitiendo que al conectarse a dicha AP
falsa estén expuesto a robo de información como número de cuenta bancarias,
contraseñas, etc.
23
Gráfico 7: Ataque de un AP falso
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Spoofing
Es un tipo de engaño que es utilizado para la suplantación de identidad de un
usuario para fines maliciosos.
Busca suplantar la identidad en la red; en la mayoría de ocasiones con fines
maliciosos (Espitia Garzón, 2014).
Gráfico 8: Ataque de un Spoofing
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
24
DDoS
Consiste en dejar fuera de servicio un sitio web, imposibilitando a los usuarios de
acceder al sitio denegado o colapsado.
Gráfico 9: Ataque DDoS
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Pasivo
Sniffing
Técnica que permite escuchar todo lo que se transmite dentro del tráfico de la red
entre el emisor y receptor.
Gráfico 10: Ataque Sniffing
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
25
Vectores de ataques host
Estos ataques van dirigido directamente a las computadora o hosts.
Ingeniería social
Borghello (2009) define: “Como una acción o conducta social destinada a
conseguir información de las personas cercanas a un sistema” (p.2).
Se generaliza el concepto de ingeniería social como “el arte de hackear al
individuo ; “es decir, que ya no solo se hackean equipos de cómputo, redes y
empresas, sino que también se hackean personas” (Camacho Nieto, 2016, p.3)
Sandoval Castellanos (2011) define: “La ingeniería social es el acto de
manipular a una persona a través de técnicas psicológicas y habilidades sociales
para cumplir metas específicas” (p.23).
Según Kevin Mitnick, renombrado hacker a nivel mundial y conocedor de la
ingeniería social plantea sietes principios básicos de cómo el atacante informático
debe ser frente a sus víctimas (Mitnick & Simon, 2007).
Buscar el rol en particular
Todos queremos ayudar
El primer movimiento es siempre de confianza hacia el otro
Dar credibilidad de la situación que se plantea y ganar simpatía
No nos gusta decir NO
A todos nos gusta que nos alaben
Inculcar miedo
El desconocimiento de esta amenaza trae consigo vulnerabilidades a las que
pueden estar expuestos con frecuencia los usuarios conectados a internet. Esta
amenaza como tal tiene una serie de pasos y procesos que se llevan a cabo para
ejecutar los diferentes tipos de ataques basados en Ingeniería Social.
26
Gráfico 11: Proceso de la Ingeniería social
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Técnicas de ingeniería social
Engaño Humano
Interacción directa con el objetivo o quien tiene acceso a este. Es aquí donde las
dotes de manipulación sobresalen y el ataque se da a nivel psicológico.(Camacho
Nieto, 2016)
Hunting
Ataque bajo perfil, no se tiene interacción completa con el objetivo y esta se limita
a un par de veces nada más (Camacho Nieto, 2016).
Pharming
Es una técnica que trata de engañar a la víctima redireccionando a un sitio web
falso atacando al servidor Dns, con el afán de obtener información mediante la
introducción de credenciales.
Dumpster Diving
Recolección de información que se encuentra en la basura o todo archivo que se
puede recuperar para un fin malicioso.
Recolección de
información
Desarrollo de la
información
Explotación de relación
Ejecución para lograr el
objetivo
27
Vishing
Es un tipo de fraude muy parecido al phishing, pero a través del uso de la línea
telefónica o VoIP con el fin de engañar a las personas y obtener información para
la suplantación de identidad o robo de credenciales.
Pretexting
Es la suplantación de identidad de un cliente falso donde trata de convencer a las
empresas ya sea de telefonía o bancarias de divulgar información que debe ser
privada.
Correo Spam
Correos con anuncios publicitarios, información falsa, accesos a sitios de citas y
demás que luego de dar clic a un link, se descarga una aplicación que permite
acceso al atacante(Camacho Nieto, 2016).
Estos tipos de correo son muy molestos y a su vez peligrosos porque pueden
contener scripts maliciosos que ejecuten una determinada acción acorde a lo que
el atacante desee obtener en la víctima como por ejemplo clonar datos de acceso
y contraseñas.
Gráfico 12: Característica de un correo spam
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
1
•Dirección del mensaje desconocido y sin remitente
2•No tiene dirección Reply
3•Presenta un asunto llamativo
4 •Contenido publicitario
28
Campañas de Extorsión
Consiste en tratar de transmitir miedo a través de la extorsión por medio de
mensajes muy directos como “su cuenta ha sido hackeada”, tratando de manipular
las emociones de la víctima y hacerlos caer en su trampa. En las empresas es
muy recurrente este tipo de ataques que buscan perjudicar al usuario.
Los delincuentes informáticos utilizan las campañas de extorsión como modo de
operación, donde buscan engañar a las personas a cambio de un pago por lo que
es conveniente hacer caso omiso de este tipo de mensajes y aplicar las buenas
prácticas en el uso del correo electrónico junto a otras recomendaciones, como
cambiar las contraseñas de manera regular, utilizar soluciones de seguridad en
los equipos, así como habilitar las opciones de doble autenticación disponibles en
los diferentes servicios de Internet (Cecilia Pastorino, 2018).
Gráfico 13: Campañas de extorsión
Elaborado por: Cecilia Pastorino, 2018 Fuente: https://www.welivesecurity.com/la-es/2018/09/21/campana-
extorsion-activa-correo-simula-ser-desde-cuenta-victima/
Phishing
Es un ataque simple pero efectivo busca engañar al usuario para que piense que
el administrador del sistema solicita clave con fines legítimos.
“Por eso las personas que navegan en internet frecuentemente reciben
mensajes que solicitan contraseñas o información de su tarjeta de crédito con el
29
motivo de crear una cuenta reactivar una configuración o realizar otra operación
aparentemente inofensiva” (Espitia Garzón, 2014, p.3)
Gráfico 14: Proceso de ataque Phishing
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
El Phishing intenta recopilar contraseñas de los usuarios de internet. Según
Leguizamón (2015) define el phishing: “el proceso por el cual una persona es
contactada por email o por teléfono por alguien que simula ser una institución
legítima para obtener datos privados, tales como datos bancarios, contraseñas,
datos personales” (p.12).
Dentro de su clasificación se encuentra el phishing bancario y el phishing de
redes sociales siendo una de las técnicas más usadas para fraudes comerciales
con mayor crecimiento en los últimos años.
Phisher aloja el paquete fraudulento
en un zombi
Usuario accede a página falsa y
deposita los datos
Phisher recolecta la información confidencial
Phisher comercializa los
datos
Phiser obtiene ganancia
30
Gráfico 15: Evolución del Phishing
Elaborado por: Leguizamón, 2015 Fuente:
http://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%c3%b3n_Mayra.pdf?sequence=1&isAllowed=y/
El gráfico 15, muestra que esta técnica ha cobrado mucha fuerza en los últimos
años. Por otra parte, a medida que el phishing y sus técnicas van avanzando, las
medidas para combatirlo también van aumentando. Una de las últimas
evoluciones del phishing, consiste en el envío de mensajes más personales y por
ende más creíbles para el usuario.
Campañas de Phishing
Se divulga una nueva herramienta para pruebas de penetración con fines
educativos para suplantar servicios con doble factor de autenticación (Juan
Manuel Harán, 2019).
Modlishka es una herramienta que permite llevar a otro nivel las campañas de
phishing, pero con un mínimo esfuerzo. Esta herramienta puede ser utilizadas en
sitios web conocidos. Su propósito en sí, es utilizarlo con fines educativos y
pruebas de penetración legítima.
Al usar esta herramienta se ubica entre el usuario y la página web que se eligió.
Al recibir dicha dirección ingresada en la cuenta, la víctima en realidad está siendo
31
registrada primero por la herramienta Modlishka y el componente de proxy inverso
hace una solicitud al sitio suplantando la cuenta del usuario.
El atacante solo necesita un nombre de dominio para el phishing que alojará
en el servidor de Modlishka y un certificado TLS válido para que el usuario no sea
alertado por la falta de una conexión HTTPS. (Juan Manuel Harán, 2019)
Por otro lado, existen muchas campañas de phishing que buscan la manera de
infiltrarse por medio de correos dirigidos en que el atacante suplanta la identidad
de una cuenta de correo de una empresa reconocida con el objetivo de hacerse
pasar por un remitente conocido.
Según el reporte al respecto de la empresa Barracuda, este tipo de ataques
son veinte veces más efectivos que los phishing convencionales y han generado
pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años. (Luis
Lubeck, 2019)
Las redes sociales pueden ser un arma de doble filo, tanto así que aportan en
la vida cotidiana, pero a su vez sirven de mecanismo para que los atacantes
encuentren la manera de flagelar la seguridad de sus usuarios.
32
Gráfico 16: Plataformas más usadas por los ciberdelincuentes
Elaborado por: Luis Lubeck, 2019/ Fuente: https://www.welivesecurity.com/la-es/2019/12/26/mensajes-
asuntos-correo-mas-utilizados-cibercriminales/
Fases del Phishing
El Phishing posee diferente etapas o procedimientos para llevar a cabo el delito
sistemático. Si se percatan de estas etapas se pueden evitar y prevenir estos
ataques por lo que es importante conocer que se puede variar la estrategia o
dificultad dependiendo del atacante y de cómo lo vaya a emplear. Sus etapas son:
Identificar a la víctima: Es el objetivo que se plantea el atacante, sea
persona u organización por lo que se estima una gran probabilidad de éxito
en su ataque.
Reconocimiento: Consiste en la búsqueda de información de manera
detallada y precisa (redes sociales, guías telefónicas, etc.) luego de
establecer el objetivo de ataque.
Crear el escenario: Es el lugar o la posición donde se procederá el ataque,
simulando una emergencia, una conversación o un tipo de bullicio tratando
33
de crear el escenario único para engañar y manipular a las personas que
conforman parte de la empresa o una organización.
Realizar el ataque: Teniendo el lugar y la víctima con la total confianza, se
pone en práctica las habilidades o técnicas de ingeniería social, sea el
engaño basado humano o basado en máquina.
Obtener la información: Dominio total de la situación, de la red o de la
máquina donde realice el ataque ya sea por medio de malware, virus,
troyano u otras técnicas para obtener la información necesaria.
Salir: Cumplida la misión y una vez terminado el ataque, atacante
abandona el lugar sin dejar huellas ni sospechas.
Malware
Software malicioso que contiene errores dañinos. Entre su composición están: los
gusanos, troyanos, virus, etc.
Se cataloga como un código malicioso compuesto por gusanos, spyware,
troyanos, virus o script malintencionados que tiene como propósito infiltrarse y
dañar un computador o sistema de información sin el consentimiento de los
propietarios (Cañon Parada, 2015).
Gráfico 17: Tipos de malware
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
MALWARETroyano
Virus
Adware
Dialers Gusanos
Spywares
Backdoors
Keyloggers
34
Troyano
Es un malware que se camufla como un software ejecutable aparentemente
confiable creado para controlar un sistema de cómputo de forma remota.
Virus Informático
Son programas maliciosos que alteran el funcionamiento del computador,
infectando los archivos del sistema, derrochando recursos, modificando y
destruyendo datos.
Gusanos
Son programas maliciosos que se propagan por sí solos aprovechándose de una
vulnerabilidad e infectan de forma muy rápida a diferentes equipos en la red.
Backdoors (puertas traseras)
Son sistemas infectados que permiten al atacante tener el control total del equipo
donde podrá eliminar, modificar, enviar y recibir archivos.
Keyloggers
Malware empleado para llevar un registro de pulsación de teclas que el atacante
usa mediante software o hardware que permitirá conocer de forma remota sus
contraseñas, números de tarjeta de crédito, etc.
Spyware
Un Spyware es un tipo de malware que permita espiar y capturar toda información
introducida a través de teclado.
Ransomware
Permite el bloqueo de archivos o del dispositivo donde el atacante busca una
recompensa económica para luego restaurar el dispositivo.
Inyección SQL
Es una vulnerabilidad en la capa de base de datos donde el atacante inyecta
instrucciones SQL de manera maliciosa con el fin de manipular cadenas de base
de datos (Cañon Parada, 2015).
35
Este tipo de ataque es muy común en las organizaciones o empresa que
manejan negocios electrónicos con una gran cantidad de base de datos donde el
atacante podrá extraer datos valiosos.
Caso de estudio de Ingeniería social
A medida que avanza la tecnología, aparecen nuevos ataques informáticos que
perjudican y atentan al bienestar de las personas. Por lo tanto, estamos expuestos
a cualquier ataque suficientemente fuerte para vulnerar la seguridad y acceder a
la información personal por medio de las diferentes técnicas de ingeniería social.
Es muy concurrente tener en el entorno algún dispositivo móvil o Smartphone que
contenga datos personales, imágenes, credenciales, entre otros, que por más
cuidado que se tenga el atacante siempre estará al asecho y buscará la forma de
enviar algún correo electrónico malicioso, hacerse pasar por un empleado
reconocido dentro de la empresa o llegar a clonar páginas web falsas que le
permita obtener información confidencial.
El noticiero BBC comparte este suceso. “El email de mi jefe parecía tener
sentido. Decía que un nuevo proveedor necesitaba un pago urgente de
US$60.000 para asegurar un contrato importante. Y quería efectuarlo lo antes
posible porque estaba de vacaciones y no quería preocuparse más sobre asuntos
de trabajo. Al director financiero también le pareció que era verdad porque su jefe
ya había publicado una foto en Instagram de sus vacaciones en Grecia. Su
dirección de email también parecía la auténtica. Pero, por supuesto, no era el jefe”
(Wall, 2017). En este caso en particular donde se aplica ingeniería social, se
suplanta la identidad de una persona importante de una empresa con tan solo la
manipulación del personal enviando un correo de suplantación de identidad, el
cual consiste en que el atacante o estafador se hace pasar por el jefe y envía un
correo electrónico a la secretaria diciendo que necesitaba pagar cierta suma de
dinero a un proveedor X para poder acentuar el contrato. Como se puede
observar, el atacante fue muy hábil al manejar la situación al ser un buen
manipulador psicológico, tan solo interactuó con las personas a través de un email
y el resultado fue satisfactorio; por tal motivo es necesario analizar los posibles
36
escenarios que se pueden emplear en este tipo de ataque para evitar ser
atacados.
Herramientas de ataques
En este punto de la investigación se revisarán las herramientas que vienen
instalada de manera predeterminada en Kali Linux y otras herramientas que se
encuentran en la plataforma de GitHub, que son utilizadas bajo el uso responsable
del usuario.
Kali Linux
Kali Linux es una distribución derivada de Debían, considerada por su calidad
y estabilidad, la cual permite ejecutar distintas pruebas de auditorías y penetración
de seguridad. Kali posee un centenar de herramientas dedicadas a los diversos
elementos que corresponde a la seguridad de la información.
Las distintas herramientas que proporciona Kali es fundamental para un
atacante, ya que brinda los recursos necesarios de ataques esenciales para
obtener un mejor proceso al ejecutar un escenario de manipulación hacia las
victima(s).
Gráfico 18: Sistema operativo Kali Linux
Fuente: Proyecto de investigación Elaborado por: Ronny Bermúdez – Kevin Moreira
37
A continuación, se mencionará sobre las herramientas de Kali Linux que son
esenciales para el uso de ataques de Ingeniería social.
SET
Matelgo
Metasploit framework
The social- engineer toolkit (SET)
Set es un kit de herramientas de código abierto basado en Python especialmente
diseñadas para pruebas de penetración y exclusivo para técnicas de ataques de
ingeniería social.
Como se muestra en el gráfico 19, proporciona una serie de ataque basada en
ingeniería social, como (phishing), malware, payloads, generadores de códigos
Qr, envío de SMS (mensajes de textos) falsos y en otras técnicas. Por lo tanto,
este kit herramienta facilita al atacante realizar de una manera más rápida la
elaboración y ejecución de ataques contra la víctima.
Gráfico 19: Funcionamiento de SET
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Matelgo
Matelgo es una herramienta de múltiples ediciones para el análisis de información.
Tiene una interfaz gráfica interactiva para el analizador, al punto de recolectar
información a su gusto ya sea en una infraestructura, organización, dominio,
persona etc., mostrando segmentos de información de manera visual en gráficos
de nodos.
38
Esta herramienta con respecto a Ingeniería social es de gran utilidad porque
permite en un mejor plano al atacante conocer toda información relevante de la
víctima situadas en distintas fuentes en internet.
Este tipo de herramienta envía petición a los servidores en formato XML a
través de HTTPS y los resultados se devuelven al cliente dentro de Matelgo,
permitiendo analizar y recolectar información necesaria con tan solo obtener un
dato de la víctima, sea por el nombre, su e-mail, teléfono o de una red social.
Tomando como ejemplo un sencillo funcionamiento de Matelgo en el gráfico
18, al seleccionar y arrastrar la opción de personal hacia el panel se escribe el
nombre de la víctima de la que se quiere conocer y recolectar información, esta
permitirá transformar y arrojar información que esté relacionada con la persona
que se halla insertado.
Gráfico 20: Funcionamiento de Matelgo
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
En la siguiente gráfica, se puede observar cómo Matelgo ayuda a obtener la
recolección de información de esa persona.
39
Gráfico 21: Funcionamiento de Matelgo
Elaborado por: Ignacio Pérez, 2014 Fuente: https://www.welivesecurity.com/la-es/2014/02/19/maltego-
herramienta-muestra-tan-expuesto-estas-internet/
Metasploit
Metasploit es un framework que proporciona un conjunto de herramientas de
distintos multiusos desarrollada para la ejecución de exploits dentro de una
vulnerabilidad de un sistema informático o de información, la cual es utilizada
ampliamente por profesionales de seguridad de la información.
Arquitectura y librerías de Metasploit
La arquitectura de Metasploit usan distintas bibliotecas para la funcionalidad del
sistema, donde estas bibliotecas corresponde a una colección de tareas
predefinidas, que pueden ser utilizadas por los distintos módulos del sistema.
40
Gráfico 22: Arquitectura y librerías de Metasploit
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Por lo tanto, Metasploit permite a un atacante de alto conocimiento crear más
formas de generar y ejecutar ataques informáticos, vulnerar los datos de las
personas mediante técnicas de Ingeniería social, por ejemplo: atacar dispositivos
móviles basados en Android, generar SMS spoofing de manera anónima, ejecutar
payloads para controlar de manera absoluta la máquina víctima, etc.
Herramientas en la plataforma de GitHub
GitHub es un sitio web y una plataforma en la nube, que permite a los
desarrolladores compartir y almacenar sus proyectos dentro del repositorio de Git.
A continuación, se mencionará las herramientas encontradas en el repositorio
de GitHub para realizar ataques basados en Ingeniería social.
Shellphish
Gophish
SAINT
41
Shellphish
Shellphish es una herramienta de código abierto para realizar ataques de phishing.
Esta herramienta proporciona 19 plantillas pre configuradas, que facilitan la
clonación de sitios como redes sociales y otros servicios de Internet.
Características
Proporciona una URL mediante la herramienta ngrok para realizar el
ataque fuera de la red local.
Permite reconocer el host de la víctima, además del ISP, DNS, y su IP
Pública.
Toda la información proporcionada por la víctima es mostrada en su
consola.
Gráfico 23: Interfaz de Shellphish
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Gophish
Gophish es una herramienta multiplataforma de código abierto basada en lenguaje
de GO, la cual está diseñada para realizar pruebas de penetración en ataques de
phishing.
42
Características
Su interfaz gráfica interactiva y su sencillo funcionamiento la convierte en
una herramienta especial para realizar varias campañas de phishing a los
usuarios.
Permite tener un escenario preparado, demostrando en tiempo real
ataques de phishing por correos electrónicos dentro la red local y fuera de
ella.
Permite clonar la mayor parte de sitios web de internet solamente
introduciendo la URL.
Permite enviar la campaña a más de 100 usuarios por correos electrónicos.
Permite personalizar template para los distintos tipos de campaña.
Mediante gráficos estadísticos permite llevar el control de las campañas
generadas.
Gráfico 24: Interfaz de Gophish
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
43
Gráfico 25: Clonación de sitio web
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Gráfico 26: Control de campañas mediante gráficos estadísticos
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
44
sAINT
Esta herramienta permite crear un malware tipo Spyware, que se generan en los
sistemas operativos basados en Windows mediante programas ejecutables exe o
jar.
Características
EL ejecutable jar, es indetectable al antivirus defender de Windows y a
otros antivirus.
Tiene la función de un Keylogeer.
Permite encender la webcam del equipo.
Toda acción realizada mediante pulsos de teclado, es notificada al correo
mediante Screenshot.
Gráfico 27: Interfaz de sAINT
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Herramienta DroidJack, ataques en dispositivo móviles
DroidJack permite infectar mediante un troyano los sistemas basados en Android,
permitiendo acceder de manera remota a la mayor parte de información de un
usuario.
45
Características de DroidJack
El apk instalado permite ocultarse dentro del dispositivo.
Control de dispositivo de manera remota.
Generan errores en la cámara del dispositivo.
Permite Obtener información del dispositivo.
Requisitos de DroidJack
Para que pueda ejecutarse DroidJack, se necesita tener instalado java en
el sistema operativo de Windows.
Se debe deshabilitar toda la protección de seguridad en el sistema
operativo incluido el firewall de Windows, para que la aplicación se cree de
manera correcta.
Gráfico 28: Interfaz de DroidJack
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
46
FUNDAMENTACIÓN LEGAL
El presente análisis, marco legal se apoya en las leyes de los artículos del
(C.O.I.P) Código Orgánico Integral Penal del Ecuador, dichos artículos integran y
sancionan todas las infracciones delictivas de algún tipo de delito, justificando que
todo fraude o divulgación de información son delictivas dentro de estas leyes.
A continuación, se detallarán los artículos más específicos a correspondencia de
este análisis.
Artículo 178.- Violación a la intimidad. - La persona que, sin contar con el
consentimiento o la autorización legal, acceda, intercepte, examine, retenga,
grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz,
audio y vídeo, objetos postales, información contenida en soportes informáticos,
comunicaciones privadas o reservadas de otra persona por cualquier medio, será
sancionada con pena privativa de libertad de uno a tres años(Penal, 2014).
Artículo 179.- Revelación de secreto. - La persona que, teniendo conocimiento
por razón de su estado u oficio, empleo, profesión o arte, de un secreto cuya
divulgación pueda causar daño a otra persona y lo revele, será sancionada con
pena privativa de libertad de seis meses a un año(Penal, 2014).
Artículo 186.- Estafa. - La persona que, para obtener un beneficio patrimonial
para sí misma o para una tercera persona, mediante la simulación de hechos
falsos o la deformación u ocultamiento de hechos verdaderos, induzca a error a
otra, con el fin de que realice un acto que perjudique su patrimonio o el de una
tercera, será sancionada con pena privativa de libertad de cinco a siete años.
La pena máxima se aplicará a la persona que:
1. Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando
ella sea alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo
consentimiento de su propietario(Penal, 2014).
Artículo 190.- Apropiación fraudulenta por medios electrónicos. -
La persona que utilice fraudulentamente un sistema informático o redes
electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno
47
o que procure la transferencia no consentida de bienes, valores o derechos en
perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando,
manipulando o modificando el funcionamiento de redes electrónicas, programas,
sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones,
será sancionada con pena privativa de libertad de uno a tres años. La misma
sanción se impondrá si la infracción se comete con inutilización de sistemas de
alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas,
utilización de tarjetas magnéticas o perforadas, utilización de controles o
instrumentos de apertura a distancia, o violación de seguridades electrónicas,
informáticas u otras semejantes(Penal, 2014).
Artículo 212.- Suplantación de identidad. - La persona que de cualquier forma
suplante la identidad de otra para obtener un beneficio para sí o para un tercero,
en perjuicio de una persona, será sancionada con pena privativa de libertad de
uno a tres años(Penal, 2014).
Artículo 229.- Revelación ilegal de base de datos. - La persona que, en
provecho propio o de un tercero, revele información registrada, contenida en
ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un
sistema electrónico, informático, telemático o de telecomunicaciones;
materializando voluntaria e intencionalmente la violación del secreto, la intimidad
y la privacidad de las personas, será sancionada con pena privativa de libertad de
uno a tres años(Penal, 2014).
Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena
privativa de libertad de tres a cinco años:
1. La persona que, sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato
informático en su origen, destino o en el interior de un sistema informático, una
señal o una transmisión de datos o señales con la finalidad de obtener información
registrada o disponible.
2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,
certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes
o modifique el sistema de resolución de nombres de 66 Código Orgánico Integral
48
Penal/ www.derechoecuador.com dominio de un servicio financiero o pago
electrónico u otro sitio personal o de confianza, de tal manera que induzca a una
persona a ingresar a una dirección o sitio de internet diferente a la que quiere
acceder(Penal, 2014).
Artículo 232.- Ataque a la integridad de sistemas informáticos
La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause
mal funcionamiento, comportamiento no deseado o suprima datos informáticos,
mensajes de correo electrónico, de sistemas de tratamiento de información,
telemático o de telecomunicaciones a todo o partes de sus componentes lógicos
que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o
distribuya de cualquier manera, dispositivos o programas informáticos
maliciosos o programas destinados a causar los efectos señalados en el
primer inciso de este artículo(Penal, 2014).
HIPÓTESIS
El desconocimiento sobre ataques de Ingeniería social aumenta el
porcentaje de incidencia de estos ataques en los alumnos de la carrera de
Ingeniería Civil.
VARIABLES DE LA INVESTIGACIÓN
Variable dependiente
Incidencia de los ataques informáticos en los estudiantes de Ingeniería Civil.
Variable independiente
Falta de conocimiento de ataques de ingeniería social en los estudiantes de Ingeniería Civil.
49
DEFINICIONES CONCEPTUALES
Ciberdelitos: Los ciberdelitos son aquellos ataques que se producen a través de
cualquier medio informático, donde su principal objetivo es realizar algún deterioro
o interrupción a un sistema informático.
Seguridad Informática: Es el proceso que comprende la detección y prevención
de los datos informáticos, minimizando el riesgo de la información.
Riesgo: Es la probabilidad de que ocurra un incidente dentro del contexto
informático son todas las amenazas que pueden afectar a los activos de
información de la organización.
Datos/información: Los datos e información es el núcleo que permite a una
organización prestar sus servicios.
Impacto: Es toda consecuencia o resultado que se logra tener dentro en un
contexto, al ser un conjunto de cambios que se producen dentro de una sociedad.
Analizar: Consiste en una serie de procesos donde se va identificar e interpretar
un evento o situación, para entender su funcionamiento y características.
Amenaza: Se la puede definir como todo evento que pone en peligro a una
situación y puede provocar un daño.
Incidente: Es un evento en el que ocurre o puede haber ocurrido un efecto.
Dentro del contexto de la seguridad informática, consiste en una serie de eventos
imprevistos que intentan afectar los pilares de la seguridad de la información:
integridad, confidencialidad e integridad.
Vulnerabilidad: Es una situación existente que presenta una debilidad en un
elemento, permitiendo que una amenaza se pueda presentar.
50
Ataque informático: Un ataque informático consiste en la explotación de una
vulnerabilidad o fallo en el sistema ya sea por software o hardware, inclusive en
las personas a fin de conseguir un beneficio.
Exploit: Son códigos diseñados para aprovecharse de algún tipo de vulnerabilidad
o brechas de seguridad en un sistema.
Payloads: Payloads o carga útil son códigos que se ejecutan dentro de un agujero
de seguridad.
51
CAPÍTULO III
METODOLOGÍA DE LA INVESTIGACIÓN
Modalidad de la Investigación
Para la realización de este trabajo se aplica la modalidad síntesis bibliográfica,
donde la información fue adquirida de varias fuentes relacionadas al tema; se
seleccionó artículos científicos, informes, páginas webs, libros electrónicos, que
son necesarios y fundamentales para cumplir con los objetivos y explicar la
propuesta del tema.
Otra modalidad aplicada en este trabajo es la de campo, ya que se centra en
el uso de métodos, técnicas, e instrumentos que permitirán observar con más
precisión la actual problemática.
Tipo de investigación
El tipo de investigación que se realizará será: Descriptivo, explicativo
Descriptiva
Es el estudio que busca especificar las propiedades importantes de personas,
grupos, comunidades o cualquier otro fenómeno que sea sometido a un análisis
(Hernández Sampieri, Fernández Collado, & Baptista Lucio, 2010).
Es decir, la investigación descriptiva permite determinar o medir un fenómeno
de dicha investigación, donde esta permite implicar al grupo que se va medir en el
estudio. En este tipo de investigación se busca conocer los riesgos a los que
puede estar expuesto el estudiante debido al desconocimiento de ataques como
52
Ingeniería social, donde mediante el análisis de datos obtenidos mediante
encuestas se determinará el nivel de desconocimiento en la muestra.
Explicativa
Los diseños explicativos están dirigidos a responder a las causas de los eventos
físicos o sociales. Como su nombre lo indica, su interés se centra en explicar por
qué ocurre un fenómeno y en qué condiciones se da éste, o por qué dos o más
variables están relacionadas(Hernández Sampieri et al., 2010).
Se realiza el uso de este tipo de investigación ya que se explicará el impacto
de la ocurrencia de este tipo de incidentes a través de la revisión bibliográfica
basada en fundamentos teóricos, casos reales, métodos, técnicas y la aplicación
de escenarios virtuales.
POBLACIÓN Y MUESTRA
Población
La población de estudio estará conformada por los estudiantes de la Facultad de
Ciencias Matemáticas y Físicas de la carrera de Ingeniería Civil, tanto la modalidad
semestral como continua del ciclo 2019 – 2020 como se observa en el cuadro.
AS C
53
Cuadro N.2
Población de estudio
CARRERAS
Elaborado: Secretaría de la información-FCMF-ING-CIVIL Fuente: Datos de la Población
PERIODOS FACULTADES CARRERAS NIVELES # ESTUDIANTES
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
2 24
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
3 66
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
4 176
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
5 272
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
6 186
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
7 184
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
8 247
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL (SEMESTRAL)
9 106
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL-2018
1 205
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL-2018
2 168
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL-2018
3 124
2019 - 2020 CII
CIENCIAS MATEMÁTICAS Y FÍSICAS
INGENIERÍA CIVIL-2018
4 59
TOTAL CARRERA 1817
54
Muestra
Para la recolección de datos se procede a determinar la muestra correspondiente
a la población de 1817 estudiantes. Como se observa en el cuadro, serán
considerados los alumnos de 5to a 9no semestre de la modalidad semestral y
continua de 1ro a 4to nivel del ciclo 2019 – 2020. La muestra se la determinará
con la siguiente fórmula.
𝑛 = 𝑚
𝑒2(𝑚 − 1) + 1
Donde: n=tamaño de la muestra m=tamaño de la población (1817)
e= error de estimación (0.08) EL TAMAÑO DE LA MUESTRA
𝑛 = 1817
0.082(1817 − 1) + 1
𝑛 = 𝑚
𝑒2(𝑚 − 1) + 1
𝑛 = 1817
11.6224 + 1
𝑛 = 1817
12.6224
𝑛 = 144
55
OPERACIONALIZACIÓN DE VARIABLES
Cuadro N.3
Matriz de operacionalización de variables
Fuente: Datos de la encuesta
Elaborado por: Ronny Bermúdez – Kevin Moreira
Variables Dimensiones Indicadores Técnicas y/o Instrumentos
Variable independiente Falta de conocimiento de ataques de Ingeniería social en los estudiantes de Ingeniería civil
Medios y procedimientos
Nivel de conocimiento sobre ataques de Ingeniería Social
Redes Sociales utilizadas en la vida cotidiana por los alumnos
Cuestionarios, Encuestas, Análisis de encuestas Observaciones
Variable dependiente Incidencia de los ataques informáticos en los estudiantes de Ingeniería civil
Recolección de Información Análisis de escenarios
Mecanismos utilizados para la ejecución de ataques de Ingeniería Social
Información sensible de los alumnos expuesta por ataques de Ingeniería Social
Cuestionarios, Encuestas, Análisis de encuestas Observaciones, Bibliografía especializada, consulta a expertos.
56
Instrumentos de recolección de datos
La técnica
Para que este trabajo investigativo resulte factible se necesitan técnicas que
faciliten la combinación de información y análisis de datos, por lo tanto, la técnica
que se utilizaran será documental y de campo.
Documental
La técnica documental en este trabajo investigativo permitirá describir, analizar,
explicar y confrontar el tema de estudio, con partes de los resultados de esta
investigación.
Lectura científica
En este trabajo investigativo a través de la lectura científica nos permitirá obtener
la capacidad de comprender y profundizar el tema a investigar, obteniendo
información más confiable desde principales fuentes primarias y secundarias.
Campo
Para este trabajo investigativo se procedió a emplear la técnica de campo. Para
la recolección de datos se realizó una encuesta, la misma que permitirá identificar
el nivel de conocimiento sobre ataques informáticos especialmente de Ingeniería
Social. Así mismo, se podrá obtener información de referencia para los escenarios
de simulación sobre los posibles ataques de ingeniería social para realizar el
análisis del impacto de dichos ataques.
Instrumentos de la investigación
Encuesta
La encuesta es una técnica que permite la recolección de información. El objetivo
de la encuesta aplicada en la presente investigación es determinar el nivel de
conocimiento de los estudiantes de Ingeniería Civil sobre ataques informáticos a
los que se encuentran expuestos para determinar la incidencia de los mismos y
su posible impacto.
57
Cuestionario
El cuestionario es una serie de preguntas estructuradas con el objetivo de obtener
información de los encuestados.
Se desarrollará un cuestionario de 12 preguntas de selección y opción múltiple
diseñadas desde Google Forms.
Herramienta Google Drive
Para la elaboración del cuestionario se hace uso de la plataforma google drive, la
misma que permitirá crear preguntas y almacenar los datos ingresados por los
encuestados. Además, proporciona de manera automática la tabulación de la
encuesta y los resultados estadísticos obtenidos.
La encuesta será enviada a los correos electrónicos proporcionados por la
Secretaria de la carrera de ingeniería civil de manera aleatoria.
Recolección de la información
Para la aplicación de la encuesta se realizó una Solicitud de levantamiento de
información al Decano de la Facultad de Ciencias Matemáticas y Físicas, para
obtener la base de datos de los correos electrónicos de los estudiantes de
Ingeniería Civil de todos los niveles matriculados en el ciclo II 2019-2020.
Elaboración y formulación de cuestionario.
Aprobación de tutora sobre las preguntas formuladas y el script del correo electrónico a enviar a la muestra
Proceso de envió de correos
Recolección y análisis de los datos del cuestionario respondido por los estudiantes
58
Procesamiento y análisis
Realizada todas las tareas de recolección y recopilación de información se
procede a realizar el respectivo análisis y tabulación de los datos relevantes en la
investigación.
PREGUNTA 1 ¿CONOCE USTED SOBRE EL TÉRMINO DE INGENIERÍA SOCIAL?
Cuadro N.4
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
SELECCIÓN
TOTAL DE RESULTADOS POR
MUESTRA
PORCENTAJE
SI 36 25.2 %
NO 107 74.8%
TOTAL 143 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Gráfico 29: Conocimiento de Ingeniería social
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
59
Análisis: En el gráfico 29, se puede observar que de los 144 encuestados el
74.8% de la muestra no conoce el término Ingeniería social, mientras que el 25.2%
indica que si conocen el término de Ingeniería social.
Como se observa, la mayor parte de los encuestados no conocen el
término de ingeniería social lo que demuestra que el nivel de conocimiento
sobre este tipo de ataque es muy bajo pudiéndose inferir que el
conocimiento sobre otros tipos de ataques informático también será bajo.
PREGUNTA 2 ¿SE CONECTA USTED A REDES WI-FI PÚBLICAS EN CUALQUIER LUGAR?
Cuadro N.5
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
TIPO DE OPCIÓN
TOTAL DE E RESULTADOS POR
MUESTRA
PORCENTAJE
SIEMPRE 37 25.9%
NUNCA 7 4.9%
A VECES 99 69.2%
TOTAL 143 100 %
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
60
Gráfico 30: Conectividad a redes públicas
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 30, se puede observar que de los 144 encuestados, el
25.9% de la muestra siempre se conectan a cualquier WIFI pública, el 4.9% indica
que nunca se conectan a WIFI públicas, mientras el 69.2 % indican que solo a
veces se conectan a redes inalámbricas públicas.
Como se observa, existe un porcentaje alto de la muestra que se conectan
a redes inalámbricas públicas pudiéndose inferir que no conocen los niveles
de riesgo y amenazas que existen al conectarse a cualquier red WIFI pública.
PREGUNTA 3 ¿CON RESPECTO A LA PREGUNTA ANTERIOR, QUÉ ACTIVIDADES REALIZA USTED EN LA RED? (SELECCIONE TODAS LAS QUE APLIQUE)
61
Cuadro N.6
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Gráfico 31: Actividad en la red
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Analisis : En el gráfico 31, se puede observar que de los 144 encuestados, como
parte de las actividades que realizan al conectarse a una red WIFI pública
indicaron, el 16.4% realizan transacciones bancarias, el 60 % revisan sus correos
electrónicos, el 87.9% revisan sus redes sociales, el 56.4% visitan páginas
informativas, mientras el 4.2 % lo utilizan para otra actividad.
SELECCIÓN MULTIPLE
NÚMEROS DE RESULTADO POR
SELECCIÓN
PORCENTAJE
TRANSACCIONES BANCARIAS
23 16.4 %
REVISAR CORREOS ELECTRÓNICOS
84 60%
REVISAR REDES SOCIALES
127 87.9%
VISITAR PAGINAS INFORMATIVAS
79 56.4%
OTRA 6 4.2%
62
Se puede observar que gran parte de la muestra realiza actividades de
alto riesgo dentro de una red WIFI pública al posible grado de exponer su
informacion personal.
PREGUNTA 4 ¿AL MOMENTO DE NECESITAR UN PROGRAMA PARA USO PERSONAL USTED?
Cuadro N.7
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF
TIPO
DE OPCIÓN
TOTAL DE E RESULTADOS POR
MUESTRA
PORCENTAJE
DESCARGA LA VERSIÓN PAGADA DESDE LA PAGINA
OFICIAL
15 10.6%
DESCARGA EL PROGRAMA
GRATUITO DESDE CUALQUIER PAGINA
111 78.2%
DESCARGA UN GENERADOR DE CLAVE PARA LA
VERSIÓN PAGADA
16 11.2%
TOTAL 142 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
63
Gráfico 32: Descarga de programa
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Análisis: En el gráfico 32, se puede observar que de los 144 encuestados, el
10.6% de la muestra indica que siempre descargan la versión pagada desde la
página oficial, el 78.2% descarga el programa gratuito desde cualquier página,
mientras el 11.2% descargan un generador de claves.
En el gráfico se observa, que la mayor parte de los encuestados
descargan programas desde cualquier sitio no oficial de internet; lo que
representa un alto porcentaje de la muestra vulnerable hacia cualquier
amenaza informática, ya que este tipo de descargas no siempre son seguras
porque pueden implicar la descarga de algún malware.
Pregunta 5 ¿ACCEDE USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?
64
Cuadro N.8
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 33: Notificaciones de dudosa procedencia
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Análisis: En el gráfico 33, se puede observar que de los 144 encuestados, el 6.3%
indicó que casi siempre acceden a las notificaciones de correos de dudosa
procedencia, el 62.9% nunca acceden, mientras el 30.1% indican que a veces
acceden a correos de dudosa procedencia.
Según la gráfica, el 37% de la muestra total indican que acceden a correos
de dudosa procedencia, por lo que se puede inferir que gran parte de los
estudiantes son blanco fácil a ataques por medio de correos electrónicos.
TIPO DE OPCIÓN
TOTAL DE E RESULTADOS POR
MUESTRA
PORCENTAJE
SIEMPRE 1 0,7%
CASI SIEMPRE 9 6,3%
NUNCA 92 62,9%
A VECES 43 30,1%
TOTAL 143 100 %
65
PREGUNTA 6 ¿QUÉ RED SOCIAL UTILIZA CON MÁS FRECUENCIA? (SELECCIONE TODAS LAS QUE APLIQUE)
Cuadro N.9
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
SELECCIÓN MÚLTIPLE
CANTIDAD DE RESPUESTA POR
SELECCIÓN
PORCENTAJE
FACEBOOK 95 66%
WHATSAPP 131 91%
INSTAGRAM 64 44.4%
TWITTER 16 11.1%
OTRO 6 4.2%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Gráfico 34: Redes sociales más utilizada
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 34, se puede observar que de los 144 encuestados, el 66%
indica que la red social que utilizan con más frecuencia es Facebook, el 91%
WhatsApp, el 44.4% Instagram, el 11.1% Twitter, mientras un 4.2% indicaron otro
tipo de red social.
66
Como se puede observar en esta pregunta, todos los encuestados utilizan
alguna red social ya que son utilizadas a diario para diferentes fines, siendo
las redes sociales las campañas más utilizadas para desplegar ataques de
Ingeniería social como el phishing.
PREGUNTA 7 ¿PARA QUE PROPÓSITO UTILIZA LAS REDES SOCIALES? (SELECCIONE TODAS LAS QUE APLIQUE)
Cuadro N.10
Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
SELECCIÓN MÚLTIPLE
CANTIDAD DE RESULTADOS
PORCENTAJE
PARA CONOCER NUEVAS PERSONAS
29 20,1%
PUBLICAR FOTOS 42 29,2%
PARA ESTAR AL DÍA CON NOTICIAS U OTRO EVENTO
131 91%
OTRO 17 11,9%
67
Gráfico 35: Propósito de utilizar redes sociales
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 35, se puede observar que de los 144 encuestados, el
20.1% utilizan las redes sociales para conocer nuevas personas, el 29.2% para
publicar fotos, el 91% para estar al día con noticias u otro evento mientras el total
de un 11.9 % la utilizan para otros propósitos.
Como se observa en el gráfico 35, existen porcentajes divididos sobre el
uso de las redes sociales, donde se refleja que la mayor parte de la muestra
utilizan las redes sociales para estar el día con noticias y otros eventos.
Como se mencionó anteriormente, gran parte de los ciberdelitos se
despliegan a través de las redes sociales ya que sus usuarios no conocen
los ataques a los que pueden estar expuestos al utilizarlas.
Pregunta 8 ¿SE LE HA SOLICITADO INFORMACIÓN PERSONAL PARA CAMPAÑAS PUBLICITARIAS A TRAVÉS DE ALGUNO DE ESTOS MEDIOS? (SELECCIONE TODAS LAS QUE APLIQUE)
68
Cuadro N.11
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF
SELECCIÓN MÚLTIPLE
NUMERO DE RESULTADOS POR
MUESTRA
PORCENTAJE
Llamadas telefónicas 31 22.1%
Redes sociales 52 37.1%
Encuestas 79 56.4%
Otro 7 4.2%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Gráfico 36: Medios solicitados para campañas publicitarias
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 36, se puede observar que de los 144 encuestados, el
56,4% de la muestra proveen información personal por medio de encuestas, el
37.1% por medio de redes sociales, el 22.1% por llamadas telefónicas y el 4.2%
no lo hacen por ningún medio o no dan información.
Un alto porcentaje de la muestra proporciona información a través de los
mecanismos mencionados anteriormente, los mismos que pueden ser
utilizados por atacantes para obtener información más detallada del usuario
encuestado como nombre, apellido, cédula, edad y correo electrónico,
69
siendo una información muy verídica que llevaría al inicio de un ataque
informático sin que el individuo se dé cuenta, como se muestra en el gráfico
36, la mayor parte de la muestra revelaron su edad.
Gráfico 37: Edad de los encuestados
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Pregunta 9 ¿CON RESPECTO A LA PREGUNTA ANTERIOR, USTED HA PROPORCIONADO LA INFORMACIÓN SOLICITADA?
Cuadro N.12
Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
OPCIÓN
TOTAL DE E RESULTADOS POR MUESTRA
PORCENTAJE
Sí 42 29.6%
No 100 70.4%
TOTAL 115 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
70
Gráfico 38: Proporción de información a campañas publicitarias
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Análisis: En el gráfico 38, se puede observar que de los 144 encuestados el
29,6% de los estudiantes sí provee la información a los medios mencionados y
que el 70,4% no provee información personal.
Las personas al no saber para qué será de utilidad sus datos personales
brindan fácilmente su información a estos tipos de medios, exponiendo su
privacidad y confidencialidad antes posibles ataques informáticos.
Pregunta 10 ¿CONOCE USTED EL TÉRMINO DE PHISHING?
Cuadro N.13
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería civil – FCMF
SELECCIÓN
TOTAL DE E RESULTADOS POR
MUESTRA
PORCENTAJE
Sí 17 11.8%
No 127 88.2%
TOTAL 116 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
71
Gráfico 39: Conocimiento de Phishing
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 39, se puede observar que de los 144 encuestados el
88.2% desconocen esta técnica de Ingeniería social y el 11.8% si lo conocen.
Considerando que el Phishing es un tipo de engaño que bien puede
hacerse pasar por una persona o empresa conocida con el afán de obtener
la información por medio de correo electrónico o mensajería maliciosa. Es
muy alarmante que los estudiantes desconozcan este tipo de técnicas de
ingeniería social, volviéndose vulnerables a este popular ataque.
Pregunta 11
¿SABE USTED IDENTIFICAR SI UNA PÁGINA WEB ES SEGURA?
Cuadro N.14
Encuesta sobre ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
SELECCIÓN
TOTAL DE RESULTADOS POR MUESTRA
PORCENTAJE
Sí 68 47.9%
No 74 52.1%
TOTAL 115 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
72
Gráfico 40: Identificación una página web
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 40, se puede observar que de los 144 encuestados, el
52,1% desconocen si una página web es segura y el 47.9% dicen saber identificar
si una página web es segura.
Al momento de conectarse a internet son muchas las páginas disponibles
para las necesidades del usuario, pero por cuestiones de seguridad es
indispensable conocer si la página es o no segura, ya que existen ataques
como la clonación de páginas web o ataques de suplantación de identidad
que buscan engañar al usuario para obtener información confidencial como
usuarios y contraseñas.
Pregunta 12 ¿USTED UTILIZA LAS MISMAS CONTRASEÑAS PARA TODAS SUS CUENTAS PERSONALES?
73
Cuadro N.15
Encuesta sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
SELECCIÓN
TOTAL DE RESULTADOS POR
MUESTRA
PORCENTAJE
SIEMPRE 7 4.9%
NUNCA 65 45.1%
A VECES 72 50%
TOTAL 144 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Gráfico 41: Uso continuo de las contraseñas
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta Análisis: En el gráfico 41, se puede observar que de los 143 encuestados el
51.7% usan “a veces” las mismas contraseñas, el 45.1% “nunca” usan las mismas
contraseñas, el 4.9 % “siempre” usan las mismas contraseñas para las cuentas
personales.
El uso de contraseñas es un método de autenticación personal que se
utiliza para proteger un bien común de manera confidencial. A media que
pasa el tiempo, los usuarios tienen la necesidad de utilizar varias
plataformas ya sean personales, sociales, educativas o científicas donde
son los mismos usuarios los creadores de su propia privacidad, esto genera
que, al usar las mismas contraseñas en todas las plataformas, facilitan al
atacante de acceder a la mayor parte de las cuentas para lucros maliciosos.
74
Validación de análisis de datos
Después de realizar el análisis de la muestra, se pudo verificar que
aproximadamente el 75% de los encuestados desconocen sobre el término
Ingeniería social, y un total del 88% desconocen sobre técnicas de phishing, esto
demuestra un alto porcentaje ante el desconocimiento de las técnicas de
Ingeniería social y mecanismos de ataques que el ciberdelincuente puede usar.
Como dato a considerar del total de los alumnos encuestados, un aproximado
del 70%, proporcionaron sus números telefónicos mediante la encuesta, en la cual
se puso a prueba a los estudiantes y ver la cantidad que estos caían además de
proceder a la incidencia. Esto demuestra que un porcentaje alto de los alumnos
proporcionan datos en la encuesta y son vulnerable ante otros mecanismos para
obtener información.
Por lo tanto, mediante la interpretación de datos en general, se puede
determinar que el porcentaje de incidencia de los ataques informáticos es
inversamente proporcional al desconocimiento de los alumnos.
De acuerdo a los resultados evidenciados, existe la necesidad de demostrar
mediante escenarios, los mecanismos de ataques que utilizan los
ciberdelincuentes para analizar el impacto que estos ciberataques pueden causar.
Mecanismos de ataques
Los mecanismos de ataques tienen como objetivo demostrar los principales
ataques informáticos que se podrían emplear para atacar a la muestra y por medio
de un análisis de los distintos escenarios se determinará el impacto que pueden
causar en los usuarios.
Cabe aclarar que dentro de estas simulaciones no se busca realizar ataques
en la que se pueda afectar a los implicados sino más bien se buscará la forma de
demostrar a los estudiantes que pueden estar expuestos a estos tipos de ataques
informáticos.
75
Desarrollo de escenarios
Los escenarios están estructurados de la siguiente forma:
Gráfico 42: Estructura de un escenario
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Escenario 1
En este escenario, se considerará una simulación de ataque usando la técnica de
phishing mediante el envío de correos electrónicos a los alumnos de Ingeniería
Civil; cabe destacar que el objetivo no es lanzar un ataque real sino más bien
demostrar como el atacante informático procedería a un ataque programado por
medio de esta técnica.
Preparación y ejecución del escenario 1 (CASO REAL)
El tipo de anzuelo que se procedió a usar fue un enlace que los enviaba a una
encuesta, donde los estudiantes de la Carrera de Ingeniería Civil procedieron a
responder temas que miden sus conocimientos sobre ataques de seguridad como
ingeniería social, en la cual se pudo:
Recopilación de infomación
Prepararar escenario
Ejecución del escenario
Obtener información
76
Determinar la cantidad de estudiantes que abrieron el enlace a través de
correo y explicar el posible ataque ante el envío de correo electrónico.
Obtener números de WhatsApp de los estudiantes mediante técnica de
manipulación psicológica a través de la encuesta.
Gráfico 43: Ataque simulado por vía correo electrónico
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Como se observa en el gráfico 43, a partir de la muestra de los estudiantes que
se recopilo en la carrera de Ingeniería Civil se procedió a enviar por medio de
correo el enlace de la encuesta.
Los Ciberdelincuente siempre buscan la manera de encontrar nuevos métodos
de manipulación a las víctimas para alcanzar su objetivo, unos de los principales
métodos es generar confianza y seguridad en las víctimas para que estos puedan
ser manipulados y no sospechen de un presunto ataque.
Utilizando la técnica de phishing se buscó generar confianza y credibilidad a
los estudiantes mediante un mensaje de presentación a través de los correos
electrónicos, en donde se les da a conocer que el correo proviene de estudiantes
de la universidad y se les solicita acceder al enlace.
77
Gráfico 44: Técnica de suplantación de identidad por vía correo electrónico
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Además, mediante este mismo escenario se puede demostrar como los
estudiantes proporcionan información por medio de un engaño psicológico a
través de la encuesta, suficiente para llevar a cabo un ataque más sofisticado.
78
Gráfico 45: Anzuelo para poder obtener los números telefónicos
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Como se observa en el gráfico 45, dentro del encuesta se formuló una pregunta
opcional, en la cual se obtuvo un total de 93 números telefónicos de distintos
estudiantes.
Por lo tanto, a través de esta técnica se comprueba que más del 60% de los
estudiantes proporcionaron información personal al hacerles creer que podían
ganar algo, demostrándose la facilidad con la que un atacante podría obtener su
información personal a través del uso de Ingeniería social.
A partir de esta información de los números telefónicos se puede llegar a
ejecutar otras técnicas de Ingeniería social como es el VISHING o técnicas de
PRETEXTING formando parte del escenario 2.
79
Variaciones de este escenario
Simulación de phishing a través correo electrónico
Con esta variación, se demostrará lo que podría realizar un atacante en un
ambiente real utilizando la misma técnica: phishing por correo electrónico. Cabe
aclarar que, dentro de esta simulación, el ataque está dirigido a los estudiantes
Ronny Eduardo Bermúdez Rezabala y Kevin Andrés Moreira Vera, quienes son
los encargados de realizar la tesis.
Diseño y elaboración del Phishing
El ataque basado en engaño será un mensaje de alerta de seguridad de Microsoft
Outlook para lo cual se realizó un template basado en HTML y CSS, ya que se
busca generar la táctica de urgencia en el correo, esto permitiría aumentar la
probabilidad de enganchar a las víctimas para alcanzar su objetivo.
Gráfico 46: Código de template de la página web falsa
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
En el gráfico 47, se muestra un tipo de alerta muy comprometedor haciendo creer
que en verdad se trata de un mensaje de alerta del mismo Outlook, por lo que a
través de este engaño se podría lograr que los estudiantes con desconocimiento
de estas técnicas caigan en el anzuelo y sean redireccionados al sitio falso para
obtener las credenciales de su cuenta de Outlook.
80
Gráfico 47: Template de Outlook
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Para mayor credibilidad del ataque se puede crear una cuenta falsa de correo muy
similar a la cuenta de soporte de Outlook, lo cual generará más confianza en la
víctima haciéndolos más propensos a caer en el engaño.
81
Gráfico 48: Cuenta falsa
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Ejecución de phishing a través de la herramienta Shellphish y Ngrok
Como primer esquema, se descarga la paquetería de Shellphish desde el servicio
de GitHub.
Gráfico 49: Ejecución de phishing a través de la herramienta Shellphish
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
82
Para realizar ataque fuera de la red local, Shellphish está vinculada con la
herramienta de ngrok. Esta herramienta genera enlaces de tipo https para acceder
al servidor local.
Para ejecutar ngrok se debe remendar el comando proporcionado por la página
de ngrok, en las carpetas de instalación Shellphish.
Gráfico 50: Ejecución de Ngrok
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Datos de la encuesta
Realizado lo anterior, con el comando bash shellphish.sh se muestra la interfaz
de Shellphish con sus 19 plantillas preconfiguradas.
En este caso, se desea realizar una prueba a través de la plantilla de Microsoft
para obtener esa credencial, se observa como ngrok genera un enlace que
permite llevar al sitio proporcionado por la herramienta.
83
Gráfico 51: Interfaz de Shellphish
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Resultados de ejecución
Como se observa en el gráfico 52, en las notificaciones de entrada del correo
electrónico, el template con enlace camuflado Outlook no lo detecta como un
phishing ni mensaje spam.
84
Gráfico 52: Notificaciones de entrada del correo electrónico
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Cuando se da clic en el enlace camuflado, la herramienta ngrok redirecciona a
la víctima al servidor del atacante pudiendo así obtener las credenciales del
objetivo. En el momento en que la víctima introduce sus credenciales es
redireccionado al sitio original de Microsoft haciéndolo creer que sus credenciales
fueron ingresadas de manera errónea y siendo imperceptible el robo de las
mismas.
85
Gráfico 53: Robo de credenciales Outlook
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Como se demuestra en el gráfico 54, con este ataque se puede llegar a obtener
información confidencial como IP, DNS, ciudad, proveedor de internet y sobre todo
las credenciales de un usuario. Por temas de seguridad se cubre información del
ataque simulado.
86
Gráfico 54: Robo de credenciales Outlook
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Simulación 2 - Generador spyware–keylogger
El objetivo de esta simulación es demostrar como los estudiantes de Ingeniería
Civil, pudieron haber sido afectados por este spyware con solo acceder al enlace
y ejecutar el archivo.
Spyware a través de la herramienta sAINT
A través del repositorio GitHub se clona toda la paquetería de Saint en la terminal
de Kali Linux para proceder con la instalación.
87
Gráfico 55: Instalación de repositorios de sAINT
Elaborado por: Github, 2017
Fuente: https://github.com/tiagorlampert/sAINT
Realizada la instalación de toda la paquetería de (s)AINT, se arranca el
software con el comando Java –jar Saint.jar en la carpeta de instalación, y se
acepta los requisitos del software bajo la responsabilidad del usuario.
Gráfico 56: Interfaz de sAINT
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
88
Antes de la creación del archivo ejecutable o malware, el software indica una serie
de procesos de validación de datos y que característica contendrá el archivo
ejecutable.
Agregar usuario y contraseña del correo Gmail, donde llegará la
información cuando la víctima ejecute el malware, (de sugerencia es crear
una cuenta Gmail para realizar estos tipos de ataques).
Realizado el proceso anterior, se indica que el archivo ejecutable tenga la
siguiente característica: encender la webcam, realizar screenshot,
persistencia y cuando la víctima teclea 15 caracteres llegue información al
correo indicado.
Finalmente se valida los datos ingresados de manera correcta, para que
proceda a crear el archivo ejecutable en jar.
Gráfico 57: Validación de datos en sAINT
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
89
Una vez creado los archivos ejecutables, la herramienta despliega un enlace
hacia al correo indicado, para activar el acceso de este software al correo.
Gráfico 58: Permisos de aplicación en Gmail
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Para verificar que los ejecutable jar y exe estén creados, se debe acceder a
Carpeta personal/Saint/ target.
Gráfico 59: Archivos ejecutable
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
90
Ejecución de ataque
Para la ejecución del ataque hacia la víctima, se sube el archivo ejecutable a un
servidor de almacenamiento para compartir el archivo a través del enlace por
correo electrónico. Dentro de esta simulación se utiliza el archivo jar ya que a
diferencia del exe, el jar no es detectado por todos los antivirus y el navegador no
impide su descarga.
Gráfico 60: Enlace directo de los archivos ejecutable
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Para que el ataque tenga un mayor éxito se utilizan técnicas de Ingeniería social
en el script, como el método de pedir “ayuda” y despertar “curiosidad”, mostrado
en el gráfico 60, para persuadir a la víctima de abrir el enlace y los enganche a
realizar el proceso de ejecución del malware.
91
Gráfico 61: Mecanismo de Ingeniería social a través de correo electrónico
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Al dar clic en el enlace, los archivos se descargan de manera automática y
cuando la víctima ejecute la aplicación maliciosa, automáticamente entra en el
proceso de ser víctima del Spyware.
Gráfico 62: Descarga del Spyware
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
92
Resultado del ataque
Como se observa en el gráfico 63, en la bandeja de entrada del correo electrónico
de Gmail, sAINT notifica y entrega información cada vez que la víctima teclee 15
caracteres.
Gráfico 63: Notificaciones de la víctima
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación Al entrar en una de las notificaciones que envía sAINT, se muestra lo que está
realizando por medio de imágenes.
Gráfico 64: Espionaje de datos de la víctima
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
93
Finalmente, al entrar a los archivos notificados, se puede observar como la victima
entrega sus credenciales de una cuenta bancaria sin sospechar que es víctima de
un ataque informático.
Gráfico 65: Espionaje de credenciales
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Análisis del impacto
Dentro de la simulación se utilizó la técnica más empleada por los atacantes
informáticos que es el phishing en donde se utilizaron dos esquemas para poder
lanzar ataques. En el primer esquema, mediante un correo electrónico de alerta
de Outlook se induce a la víctima a dar clic en un enlace camuflado que lo
redirecciona a un sitio web de Microsoft donde el usuario supone que su cuenta
está en alerta de seguridad y necesita ingresar sus credenciales dándole sus
claves de acceso al atacante, permitiéndole hacer lo que quisiera con la cuenta
de la víctima.
En el segundo esquema, bajo la misma técnica de phishing se busca introducir
un spyware en el equipo de la víctima. Dentro de la simulación a través del
spyware se puede demostrar otro tipo de campaña de Ingeniera social donde por
medio de un correo electrónico se induce a la víctima a descargar una aplicación
94
maliciosa, la cual con solo dar clic se descargará de manera automática al
computador que podría espiar y ver lo movimientos de escritura que realice la
víctima en el computador exponiendo la integridad y seguridad de los datos del
usuario.
Los escenarios simulados son un panorama de los sucesos que pueden
ocurrirle a los estudiantes en el día a día. Los datos estadísticos de la pregunta
#1, que consiste en el nivel de desconocimiento de Ingeniería social, corroboran
el desconocimiento de este tema en los alumnos donde el 74.8% desconoce sobre
el tema, lo cual aumenta la probabilidad de incidencia ante estos tipos de ataques.
La ignorancia sobre este tema, la falta de prevención y precaución ocasionan que
las personas sean muy vulnerables a diferentes tipos de ataques durante el
manejo de sus datos personales. Las redes sociales e internet, son elementos
prodigiosos para los atacantes informáticos que al usar mecanismos similares a
los escenarios detallados previamente pueden provocar inestabilidad emocional a
las personas induciendo a la persona a instalar malware sin saber que está
provocando la infección de los registros del sistema e incluso está cediendo el
control total del equipo.
Estos mecanismos permiten la sustracción de información personal como
cuentas de créditos o cuentas bancarias mediante la clonación de páginas
institucionales como la de un banco o de una compañía de comercio electrónico
donde la victima sin saber que es falsa, el usuario ingresa sus credenciales y el
atacante se apodera de sus recursos financieros causando pérdidas económicas
a la víctima.
Infección: Control total del equipo, daños a los registros del sistema.
Robo de información: Acceso a datos personales, pérdida de claves de
acceso.
Fraude: Transacciones bancarias, pérdida de dinero.
Imagen: El atacante puede usar la información obtenida para dañar la
imagen de la víctima causando un impacto social sobre la persona.
95
Escenario 2
En este escenario se va a tomar en cuenta los diferentes sucesos o ataques que
pueden ocurrir con solo obtener los números telefónicos de los usuarios o en este
caso de los estudiantes, con el fin de obtener información de su Smartphone
donde pueden ocurrir una serie de daños colectivos ya sea en el sistema y en los
archivos.
Verificación de dos pasos
Es una medida de seguridad que permite confirmar la identidad, por medio del
número telefónico.
La recolección exhaustiva de información es la primera fase de cualquier
ataque siendo este el modus operandi para dar inicio al proceso de Ingeniería
social. En muchas plataformas digitales, como por ejemplo Facebook, se tiene la
opción “Olvidé la contraseña” la cual le permite a un usuario recuperar su
contraseña en caso de que se le olvide. Esta opción utiliza la verificación de dos
pasos con la ayuda del número telefónico sincronizado a dicha plataforma
permitiéndole al usuario ingresar nuevamente a su cuenta de manera sencilla. De
la misma forma trabaja el atacante informático con solo obtener el número
telefónico de la víctima aprovecha la verificación de dos pasos, que funciona a
través de mensaje de texto y envían códigos como se muestra en el gráfico 66
para que supuestamente puedan asegurar más la cuenta.
Gráfico 66: Verificación de dos pasos
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
96
Ataque de virus y malware
Otro escenario que es muy común son las infecciones por medio de la descarga
de malware, independiente de cualquier sistema operativo que se esté utilizando
en el Smartphone. Sin embargo, Android es el sistema operativo más propenso
en cuanto a intrusiones en comparación con IOS, al ser un sistema de código
abierto que provoca que los usuarios estén mucho más expuesto a ataques
malintencionados.
Dentro de lo que puede ocurrir en un dispositivo móvil infectado se las mencionara
a continuación:
Publicidad masiva es muy molestoso para los usuarios el tener ventanas
emergentes en el navegador que son muy complicadas de cerrar. (Pueden
aparecer ventanas clonadas que pueden sustraer datos personales,
contraseñas, cuentas bancarias y contactos telefónicos).
Por medio de un enlace enviado por redes sociales se encuentre un
malware que sin levantar sospechas infecte el dispositivo, abriendo una
puerta para el envío de información del usuario afectado.
Al momento de descargar una aplicación no se verifique la procedencia de
origen de ese paquete, más bien se lo descarga e instala sin saber el daño
que puede ocasionar como por ejemplo bloquear el dispositivo por el cual
el atacante pide un pago de dinero como rescate para devolver el control
del dispositivo. Suele ocurrir que se paga lo acordado y el atacante
informático no cumple con lo acordado y no desbloquea el dispositivo.
Caso de estudio: Espionaje a usuarios de WhatsApp
WhatsApp es una aplicación de mensajería instantánea y propiedad de Facebook,
la misma que anunció una alerta de ataques informáticos y flujo de información
para los usuarios que usan esta plataforma. La compañía reconoció que dejó una
brecha muy vulnerable en sus sistemas donde los atacantes informáticos
aprovecharon e hicieron uso de un software espía para que pudieran acceder a
los datos que contenían dichos dispositivos.
97
La compañía confirmó en un comunicado la información que unas horas antes
había publicado en exclusiva el Financial Times e instó a los 1.500 millones de
usuarios que tiene en todo el mundo “actualizar la aplicación a su última versión”
y a mantener al día su sistema operativo como medida de “protección”("WhatsApp
alerta de un nuevo ataque y robo selectivo de datos," 2019).
Aún no se precisa la cantidad exacta de personas afectadas por este tipo de
ataque de espionaje, se efectuó de manera selectiva a las víctimas asumiendo
que no fue un ataque de gran escala.
El “spyware” o software espía que se instalaba en los teléfonos “se asemeja” a
la tecnología desarrollada por la empresa de ciberseguridad israelí NSO Group, lo
que llevó a WhatsApp a situarla como principal sospechosa detrás del programa
de espionaje("WhatsApp alerta de un nuevo ataque y robo selectivo de datos,"
2019).
Esta vulnerabilidad en el sistema, hizo que la compañía lanzara una
actualización o parche de seguridad para evitar más actividad de espionaje.
Análisis del impacto
Los números telefónicos juegan un papel importante en las cuentas de redes
sociales como en Facebook, WhatsApp, correos electrónicos entre otros para
poder autenticarse y sincronizarse de manera automática permitiendo acceder a
la información que se tenga tanto en la nube como dentro del dispositivo.
Cabe recalcar que el Smartphone se convierte en un botín llamativo para los
atacantes informáticos, que buscan la manera de vulnerar el sistema para tener
acceso completo al dispositivo o manipular a las personas por medio de llamadas
intimidantes (VISHING) para obtener datos bancarios, información muy delicada,
credenciales del trabajo, etc.
Los atacantes informáticos pueden fácilmente hacerse pasar por el usuario
afectado tratando de convencer a los servicios de atención al cliente o peor aún a
entidades bancarias de realizar cualquier trámite que ellos quisieran.
98
En la pregunta #6, se puede apreciar a través del gráfico 34, que la red social
más utilizada por los estudiantes de la carrera de Ingeniería Civil es WhatsApp
con una taza del 91%. Siendo WhatsApp la red social más usada por los
estudiantes en el uso diario, existe una probabilidad alta de que sea usada para
lanzar ataques de Ingeniería social.
Al desconocer las distintas técnicas de ataque informáticos, los estudiantes son
vulnerables a engaños y extorsión por llamadas telefónicas o mensajes. Al obtener
el número telefónico de las personas, el atacante suplanta la identidad de una
persona de soporte técnico de cualquier empresa reconocida logrando engañar
por más tiempo y obtener más información privilegiada de la víctima.
El número telefónico puede ser usado por el atacante para envío de enlaces o
cadenas de mensajes malicioso que pueden provocar la descargar de un
Spyware. Este malware es muy conocido ya que su objetivo es espiar en tiempo
real los movimientos que realiza la víctima en su dispositivo para extraer
información, obtener registros de llamadas, credenciales de otras plataformas
sociales, credenciales bancarias. Los estudiantes pueden estar expuestos a estos
delitos informáticos como sucedió en el caso basado en el espionaje de los
usuarios de WhatsApp, siendo una plataforma que se usa a diario para la
comunicación de diversos factores sea familiar o profesional donde se maneja un
gran flujo de información que se almacenan dentro de nuestro dispositivo. De
manera que el atacante informático aprovecha las vulnerabilidades de dicha
plataforma que comienzan a usar Spyware que les permite observar lo que
realizaban con sus contactos y ver los mensajes con quienes mantienen
comunicación. Esto causa gran revuelo y angustia en las víctimas por el impacto
económico y social que puede ocasionar el ataque informático.
Los efectos que pueden producir estos tipos de ataques son los siguientes:
Robo de información: Datos personales y documentos.
Control del sistema: Manipulación del dispositivo para provocar sobornos
y chantaje, espionaje.
Credenciales: Acceso de clave de redes sociales, acceso bancario.
99
Escenario 3
El desarrollo de las aplicaciones maliciosas ha desatado una cadena de ataques
que colocan al usuario como principal blanco por parte de los atacantes
informáticos. Este escenario tiene como objetivo ataques por medio de códigos
QR que serán un factor importante en la vulnerabilidad de los programas y
herramientas de seguridad en los sistemas.
Preparación y ejecución del escenario 3 (CASO REAL)
En el proceso de preparación del escenario se procedió con el diseño de un
volante que solicitaba el acceso mediante un código QR para llenar una trivia
sobre ataques informáticos y entre los participantes se sortearía un premio:
memoria de almacenamiento USB de 64GB. Dichos volantes, fueron colocados
en pizarras publicitarias de la FCMF carrera Ingeniería Civil durante una semana.
Con estos anuncios se buscaba captar la atención de los estudiantes e incitarlos
a participar en este escenario. Por cuestiones de seguridad para preservar los
derechos de los estudiantes, el código QR no contenía ningún tipo de ataque
informático, solo los redirigía a un test donde el estudiante debía contestar 6
preguntas de ciberseguridad.
100
Gráfico 67: Volante escenario 3
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Gráfico 68: Test de ciberseguridad
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
101
Gráfico 69: Obtener datos a través de test
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Mediante este escenario se pudo comprobar que los estudiantes de Ingeniería
Civil son vulnerables a técnicas de Ingeniería Social con solo acceder al Código
QR. En el gráfico 70, se puede observar que en tan sólo una semana 24 personas
accedieron al código QR, el mismo que pudo ser usado con fines maliciosos
combinados con otras técnicas de manipulación para que los estudiantes
concedan información personal como se observa en el gráfico 69.
Gráfico 70: Resultados de las personas que accedieron al test
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
102
Variaciones del escenario
Simulación Ataque en dispositivos móviles, mediante generadores de codigo Qr
El objetivo de este escenario es infectar un dispositivo basado en Android
mediante técnicas de Ingeniería social, para acceder a los datos de la víctima.
Esta simulación se la realiza en un ambiente controlado dentro de la red local,
permitiendo demostrar vectores de ataques que utilizan los Ciberdelicuente para
aprovecharse de los eslabones más débiles. Además, permite demostrar la
amenaza de la cual pudieran haber sido víctima los estudiantes de Ingeniería Civil
con tan sólo acceder al generador de código Qr.
Se utilizará la herramienta DroidJack y SET para la simulación de este ataque.
Gráfico 71: Preparación del ataque
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Como se observa en el gráfico 71, DroidJack es una herramienta interactiva con
una interfaz muy sencilla usar. Para la creación de una apk maliciosa se debe
realizar lo siguiente:
103
Como primer punto se debe colocar el nombre de la aplicación a crear, en
este caso se le dio como nombre Juego-DeGENIOS, este nombre varía de
acuerdo al tipo de escenario que se vaya a realizar y de acuerdo al objetivo.
En este ejemplo está referenciando a los volantes colocados en la FCMF-
ING-CIVIL, este nombre permitiría que los involucrados tengan mayor
“interés” y “curiosidad” en descargar la aplicación maliciosa en su
dispositivo móvil.
En Dynamic Dns, se coloca un nombre de dominio en caso de realizar la
prueba fuera de la red local. En esta simulación el ataque se lo realizó
dentro de la misma red y se colocó la dirección IP del ordenador y un
Puerto de preferencia.
La casilla Stealh Mode permite ocultar la aplicación cuando un implicado
la instale.
Finalmente, se da clic en la opción generar para que se cree la aplicación.
Gráfico 72: Aplicación en Android generada
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Ejecución de ataque
Se procedió a subir la apk en un servidor de almacenamiento, para generar un
enlace url.
104
Para ejecutar este ataque se utiliza la herramienta SET, para camuflar el
troyano dentro de un código QR como método de ataque de Ingeniería social.
Gráfico 73: Serie de ataque basada en Ingeniería social
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
En el gráfico 74, se puede observar cómo la herramienta facilita la ejecución
del ataque de manera sencilla, utilizando la opción de generador de código QR
mediante la URL que se ingrese.
105
Gráfico 74: Ejecución de un generador de código Qr
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Resultados
Como se observa en el gráfico 75, cuando la víctima escanea el código QR en su
dispositivo, automáticamente lo lleva al servidor de descarga.
Gráfico 75: Apk infectada por supuesto juego de Android
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Finalmente, cuando la víctima instale el apk, automáticamente el atacante
accede de manera remota al dispositivo, dejando su dispositivo e información bajo
las amenazas de un atacante, como se observa en los gráficos 76 y 77.
106
Gráfico 76: Ataque por apk infectado
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
Gráfico 77: Ataque por apk infectado
O
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
107
Ataque de Phishing por medio de código QR
Los ataques de phishing son muy concurrentes en la vida cotidiana donde los
atacantes informáticos buscan nuevas estrategias para vulnerar cualquier
sistema. Los atacantes emplean los códigos QR con el objetivo de redireccionar
a la víctima a una página clonada buscando que ingrese sus datos sin saber que
no es una página legítima para apoderarse de sus credenciales y convertirse en
dueños de las cuentas.
Descarga de Malware por medio de código QR
Las descargas de datos y aplicaciones son muy comunes, en el cual no se
diferencia si el archivo que se descarga contiene código malicioso o no. Los
atacantes tratan de mejorar sus dotes para así evitar las medidas de seguridad,
dando origen a un nuevo método que con solo usar una imagen QR se redirige al
link de descarga de una aplicación o imagen. Este mecanismo busca engañar a
sus víctimas para que descarguen un software malicioso que afecté a su
dispositivo. Cabe recalcar que dentro del código QR se haya un malware de
cualquier tipo que podría afectar o peor aún robar la información privada del
usuario.
Caso de estudio: malware en aplicaciones Android
La empresa Google ha manejado con éxito las diversas medidas de seguridad
para mantener distante los malware en las aplicaciones de Play Store. Los
atacantes informáticos han desarrollado nuevas formas para evadir la seguridad.
Prueba de esto es que SophosLabs recientemente descubrió un malware
llamado Andr/HiddnAd-AJ que se ocultaba dentro de siete aplicaciones
aparentemente inofensivas como lectores de códigos QR y una brújula (vía
ZDNet)(Flores, 2018).
108
Gráfico 78: Aplicativos maliciosos Qr en Android
Elaborado por: Flores, 2018 Fuente: https://www.fayerwayer.com/2018/03/malware-android-500000-
descargas/
Si bien ocultar malware en este tipo de aplicaciones no es algo nuevo, estos
cibercriminales lograron burlar la seguridad con algunos trucos ingeniosos como
colocar el código hostil de forma que pareciera una biblioteca de programación
regular de Android y con una activación que arranca seis horas después de
haberse realizado la instalación (Flores, 2018).
Análisis del impacto
Un código QR según (Huidobro, 2009) se define como: “Es un sistema de
almacenamiento de información en una matriz de puntos o un código de barras
bidimensional”. Por ello, existen un sin números de herramientas posible que dan
la posibilidad de obtener un código QR que se puede personalizar de manera
profesional y creativa para el uso de campañas de marketing y redes sociales.
El acceso a este tipo de herramientas también tiene su desventaja para los
usuarios que tratan de ingresar a páginas sin saber la procedencia que estas
tengan ya que los códigos QR pueden ser utilizados de forma maliciosa. Castro
(2012) afirma: “Un atacante, por ejemplo, podría direccionar usuarios a páginas
que alojen sitios de phishing, descarga de malware y demás amenazas”.
109
En este escenario se generan estos códigos QR para ser usados con la técnica
de phishing. Esta herramienta crea una nueva manera de realizar ataques
informáticos donde estos códigos sirven para almacenar y obtener información
que los ciberdelincuentes utilizan para realizar sus fechorías con el propósito de
adquirir información de la víctima. En el gráfico 39, consiste en el nivel de
conocimiento del phishing, se puede constatar que los estudiantes de la carrera
de Ingeniería Civil muestran una taza del 88.2% de desconocimiento sobre
phishing. Los estudiantes pueden ser blanco fácil bajo este tipo de escenario
donde el atacante incita a la víctima a acceder a estos códigos con la intención de
vulnerar y perder su información, registro de claves de otras redes sociales, control
de su dispositivo y estafas por clonación de sitios web al ingresar credenciales.
Además, los códigos QR también pueden empezar la descargar de algún tipo de
archivo que contenga un malware como en el caso de las apk maliciosas en
Android. En el gráfico 78, se puede apreciar que el nivel de seguridad que posee
google fue evadido e hizo posible que se filtrarán estas apk en el Play Store que
contenían alguna clase de malware donde quienes hayan descargado estas apk
sufrieron algún tipo de robo de información o espionaje dentro de su dispositivo
móvil.
Registros de claves
Control del dispositivo móvil (cámara, escuchar conversaciones, etc.)
Estafas por medio de tiendas online falsas y sitios web de pago (dinero)
Escenario 4
Ataques por redes inalámbricas
En este escenario se dará a conocer uno de los ataques por redes inalámbricas a
través de un Man in The Middle (MITM u Hombre en el Medio). Este ataque puede
afectar a los estudiantes al no conocer los riesgos de estar conectado a una red
pública. El MITM busca la manera de husmear en el tráfico de la red, por ejemplo:
una conversación de dos personas donde el atacante les hace creer que es una
conexión directa y segura, pero en realidad la conversación está siendo
manipulada por el atacante.
110
Simulación de ataque Mitm - capturar credenciales vía http
Gráfico 79: Esquema de ataque MITM
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
La simulación a demostrar en este escenario es capturar las credenciales vía
http a través de ataque MIMT empleando la técnica de ARP SPOOFING.
Proceso y ejecución Mitm a través de la herramienta ettercap v-0.8.3
Ettercap es una herramienta multiusos para filtrado de la red, permite implantar el
filtrado y conexiones de la red a través de inyección de datos. Esta herramienta
es usada como método de ataque por los Ciberdelicuente en las redes
inalámbricas, ya que permite obstruir en conexiones vía HTTP o HTTPS.
Paso 1: Como primer proceso para la ejecución del MIMT, se escoge la interfaz
que se utilizará para husmear la red: eth0.
111
Gráfico 80: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 2: Dentro del menú de ettercap, se seleccionas la opción Scan for host para
escanear todos los dispositivos que se encuentre conectado a la red en ese
momento.
Gráfico 81: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 3: Seleccionado el escaneo de host, la herramienta muestra el número de
hosts que se encuentra conectados en esa red.
112
Gráfico 82: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 4: IP víctima.
Gráfico 83: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 5: Cuando se despliega la lista de hosts, ettercap manifiesta las direcciones
IPv4, IPv6, Mac Address, etc. A través de estas direcciones IP, se selecciona la
subred de la víctima y la puerta de enlace que brinda el router para acudir a realizar
un envenenamiento ARP o ARP Poisoning. A partir de ese envenamiento,
113
automáticamente ettercap comenzará a realizar el Snnifer para el filtrado de datos
en la víctima.
Gráfico 84: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 6: Para realizar la prueba de filtrado de datos a partir del envenenamiento
ARP, se selecciona una página con protocolo http, para que la víctima ingrese sus
credenciales en la página.
114
Gráfico 85: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Paso 7: Cuando la víctima introduce sus credenciales en la página, el atacante
recibe las credenciales, logrando conseguir el objetivo.
Gráfico 86: Uso de Ettercap
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
115
Análisis del impacto
Las redes públicas son el epicentro de los ataques de hombre en el medio, siendo
los usuarios un blanco fácil al conectarse a una red no segura. Al conectarse a
una red pública existe la posibilidad de que un atacante este escuchando todo lo
que transita en la red en busca de información sensible de la víctima por lo que, si
no se toman las debidas precauciones al momento de realizar una transacción
bancaria, navegar o ingresar a las redes sociales puede quedar expuesta toda la
información del usuario.
Por otra parte, existen otros métodos que los atacantes usan para poder saltar
la seguridad de las webs seguras SSL (https), donde con tan solo un script se
puede convertir una página HTTPS en simple HTTP para poder realizar el Sniffing
con el afán de obtener credenciales y contraseñas de las víctimas.
Además, existen mecanismos muy sencillos que resultan ser más fructíferos al
momento de realizar un ataque como es el caso de los AP falsos. Los atacantes
crean AP falsos con redes inalámbricas no autorizadas en una red como un
anzuelo para que las personas accedan y poder husmear toda la información que
transita en su canal.
Dentro de este escenario simulado se hizo un escaneo exhaustivo que permitía
husmear el tráfico de datos de las personas que estaban conectadas a la red WI-
FI. En el gráfico de la pregunta #2, que consiste en la conectividad de redes WI-
FI públicas, se puede constatar que el 95.1% de los estudiantes de la Carrera de
Ingeniería Civil se conectan a redes WI-FI públicas, ya que estas redes permiten
navegar y facilitar un sin número de ocupaciones sin saber el riesgo al que se está
expuesto durante su uso. Cabe destacar que estas redes WI-FI públicas, son el
nicho de los Mitm (hombre en el medio) que al usar herramientas sofisticadas
pueden capturar, interpretar y almacenar los paquetes de datos que están en la
red. Por lo que esto hace posible el robo de información, correos electrónicos y
credenciales bancarias. Los efectos que puede causar este ataque, al conectarse
en cualquier red pública son:
Captura de credenciales y contraseñas.
Secuestro de sesiones y espionaje en la red.
116
CAPÍTULO IV
RESULTADOS, CONCLUSIONES Y RECOMENDACIONES
En este último capítulo se va a detallar de manera general las observaciones,
experiencias y logros que han venido transcendiendo en la labor investigativa
correspondiente al tema de titulación, incluyendo los resultados de las encuestas
que abarca la estadística de la población. Además, de impartir estrategias y
medidas preventivas con el objetivo de dar a conocer los riesgos y amenazas
frente a estos ataques en los estudiantes de la Carrera de Ingeniera Civil.
RESULTADOS
Dado el compromiso del hallar los resultados de la problemática del tema de
titulación “Analizar las incidencias e impactos de los ataques de ingeniería social
con el fin de reducir el desconocimiento sobre ese tipo de amenazas informáticas
en los estudiantes de la Carrera de Ingeniería Civil en la Facultad de Ciencias
Matemáticas y Físicas”, se pudo determinar los siguientes factores que son muy
comunes en este tipo de casos.
117
Cuadro N.16
Análisis de las causas y consecuencias
CAUSA TIPO DE EVALUACIÓN CONSECUENCIA
Falta de conocimiento
de los ciberdelitos y
técnicas de ingeniería
social.
Ejecución de la encuesta
referente al tema de
ingeniería social.
Capítulo 3:
Pregunta 1.- ¿CONOCE
USTED SOBRE EL TERMINO DE INGENIERÍA
SOCIAL?
El 75% de las personas
encuestadas
desconocen este
término y están
propenso a ataques
informáticos mediante
técnicas de
manipulación.
Pensar que el uso de
redes sociales y el
internet es muy seguro
Mediante la encuesta se
pudo observar el uso que
le dan los estudiantes al
internet de manera muy
frecuente sin saber la
procedencia de red a la
que están conectados.
Capítulo 3:
Pregunta 2.- ¿SE
CONECTA USTED A REDES WI-FI PÚBLICAS EN CUALQUIER LUGAR? Pregunta 3.- ¿CON RESPECTO A LA PREGUNTA ANTERIOR, QUÉ ACTIVIDADES REALIZA USTED EN LA RED? Pregunta 5.- ¿ACCEDE
USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?
Pregunta 6.- ¿QUÉ RED
SOCIAL UTILIZA CON MÁS FRECUENCIA?
Al momento de utilizar
estas plataformas o
páginas de dudosa
procedencia
inconscientemente se
pueden encontrar links
maliciosos con el afán de
extraer datos
confidenciales.
Con respecto a la
pregunta 3, el 16.4% de
las personas se
conectan a la red para
realizar transacciones
bancarias, el 87.9% para
revisar las redes
sociales. Cabe recalcar
que el atacante
informático al realizar un
Snnifer de red puede ver
118
Pregunta 7.- ¿PARA QUÉ
PROPÓSITO UTILIZA LAS REDES SOCIALES? Pregunta 11.- ¿SABE USTED IDENTIFICAR SI UNA PÁGINA WEB ES SEGURA?
Pregunta 12.- ¿USTED UTILIZA LAS MISMAS CONTRASEÑAS PARA TODAS SUS CUENTAS PERSONALES?
las credenciales y
contraseñas haciendo
uso propio de ellas.
Descargas de dudosa
procedencia que
contengan malware.
Capítulo 3:
Pregunta 4.- ¿AL MOMENTO DE NECESITAR UN PROGRAMA PARA USO PERSONAL USTED? Pregunta 5.- ¿ACCEDE
USTED A LAS NOTIFICACIONES DE ALGÚN CORREO DE DUDOSA PROCEDENCIA?
Robo de información o
afectación a un sistema
en el funcionamiento de
los procesos. Al
momento de descargar
algún archivo o
aplicación se desconoce
si tendrá un malware que
puede dañar los
registros del sistema,
espionaje de información
(spyware), control de
sistema de manera
remota (troyano), etc.
El 11.2% de las
personas encuestadas,
descargan generadores
de clave para los
programas de versión
pagad sin saber que
estos generadores de
clave (Keygen) son
software malicioso que
ofrecen de manera ilegal
el contenido completo
119
del programa por
desarrolladores sin
renombre. Generando
que estos Keygen
instalados en el
computador puedan
propiciar a la larga
extracción de
información
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Cuadro N.17
Impactos generales
IMPACTO SOCIAL IMPACTO ECONÓMICO
Robo y manipulación de cuentas
de redes sociales.
Pérdida económica de la víctima por
parte del atacante que piden
recompensa para restablecer el
dispositivo controlado.
Llamadas intimidantes que piden
recompensa para no hacer público
su información privada.
Robo o extracción de datos bancario
por parte del atacante.
Espionaje en tiempo real por parte
de Ciberdelicuente.
Control del dispositivo y daños a los
registros del sistema por infección de
algún malware.
Hurto de información personal
muy privada y confidencial.
Estafas por medio de tiendas online
falsas y sitios web
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
120
Cuadro N.18
Seguimiento a los objetivos
Identificar las diferentes
técnicas de ingeniería social,
para conocer los
mecanismos y herramientas
más empleadas en este tipo
de ciberdelitos.
CAPÍTULO II
Vectores de ataques
Técnicas de ingeniería social
Herramientas para realizar
ataques de Ingeniería social
Analizar datos mediante
encuestas sobre ingeniería
social para determinar las
incidencias y nivel de
desconocimiento de los
estudiantes de la Carrera de
Ingeniería civil de la Facultad
de Ciencia Matemáticas y
Físicas sobre este tipo de
delito.
CAPÍTULO III
Instrumentos de recolección
de datos
Simular mecanismos de
ingeniería social en un
ambiente controlado para
determinar las posibles
consecuencias provocadas
de estos ataques en los
alumnos o en la muestra
establecida de la carrera.
CAPÍTULO III
Simulación de phishing a
través correo electrónico.
Simulación de generador
spyware –keylogger.
Simulación de Ataque por
Dispositivos móviles basados
en Android
Ataques por redes
inalámbricas .
Analizar el impacto de los
ataques realizados para
socializar los riesgos a los
CAPÍTULO III, CAPÍTULO IV
121
cuales están expuestos por
el uso inadecuado del
Internet
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Resumiendo, los factores de esta investigación se procederán a realizar
estrategias y medidas de prevención ante los ataques informáticos con el fin de
darle a conocer al estudiante sobre los riesgos y amenazas frente a estos
ciberdelitos que serán debidamente mencionados en los anexos.
CONCLUSIONES
Gracias al cumplimiento de todos los objetivos y el alcance de este proyecto
investigativo se determinaron las siguientes conclusiones:
La Ingeniería social es el mecanismo más empleado por los delincuentes
informáticos. Ingeniería social es el arte o la ciencia de engañar a las
personas dentro de cualquier ámbito que se encuentren, permitiendo
incrustarse en la psicología de las personas para llevarlos a un acto
fraudulento. La principal técnica para llevar a cabo estos ataques busca
generar confianza en la víctima para lograr su objetivo. Este mecanismo
permitió que los estudiantes accedan al enlace de la encuesta e ingresaran
sus números telefónicos, logrando evidenciarse que los estudiantes son
vulnerables ante estos incidentes. Además, esta investigación permitió
identificar diversas herramientas de ataques informáticos que, en
combinación con los mecanismos de Ingeniería Social, facilitan al
ciberdelincuente la ejecución de ataques obteniendo información
confidencial de la víctima.
Mediante las encuestas realizadas para encontrar las incidencias de estos
ataques en los estudiantes se pudo verificar que el 88% de los
encuestados desconocen sobre los ataques de phishing y el 75%
122
desconoce sobre Ingeniería social, por lo que se deduce que la
probabilidad de incidencia ante estos ataques es alta.
Mediante el análisis del impacto dentro de los escenarios, se demuestra
con casos de estudios reales y simulaciones, como los mecanismos de
Ingeniería social podrían afectar a los estudiantes de Ingeniería Civil
pudiendo convertirse en víctimas frente a estos ataques, llevándolos a
cualquier extorsión que el atacante quisiera recurrir.
Dentro de este análisis se describió todo lo referente a los ciberdelitos,
permitiendo enfocarse en si a los ataques basados en Ingeniería Social,
por lo cual mediante esta investigación se pudo analizar, mediante
métodos y mecanismos propios, las incidencias e impacto de estos
ataques, logrando cumplir con los objetivos de este proyecto investigativo.
Los elementos utilizados en la capacitación fueron factores claves para
que los estudiantes creen conciencia de manera instantánea ante estos
ciberdelitos, lo cual fue verificado mediante datos estadístico donde se
obtuvieron porcentajes favorables sobre el nivel de conocimiento de las
posibles amenazas a las cuales están expuestos los estudiantes, en
comparación con la primera encuesta realizada al inicio del proyecto donde
los estudiantes demostraron un porcentaje inversamente proporcional ante
estos incidentes, permitiendo concluir que esta investigación es de
relevancia para cualquier institución educativa.
123
RECOMENDACIONES
Determinada las conclusiones de este proyecto investigativo es considerable
tomar las siguientes recomendaciones:
La Revelación de información personal convierte a los estudiantes en un
punto frágil en la existencia de los mecanismos de Ingeniería social.
Tomando en cuenta, que los delincuentes informáticos seguirán en
constante desarrollo de nuevas técnicas y herramientas de ataques en
base a Ingeniería social, para infringir el nivel seguridad de cualquier
persona.
Es de suma importancia que los estudiantes a través de las estrategias
establecidas, reduzcan el desconocimiento y riesgos de incidencias ante
estos ataques informáticos que se basan en Ingeniería social y sepan que
no todo lo que se encuentra en la red es seguro.
La conciencia da señales de advertencia en cuanto estamos expuesto a
un ataque. Es importante que los estudiantes y personas no enfatizada a
las Tics estén siempre al día con las tendencias de estos ataques, ya que
los impactos analizados generan amenazas bastantes fuertes, tanto a nivel
social y económico.
Se debe dar a conocer en todas las carreras de la Universidad de
Guayaquil, tomando como guía los resultados de esta investigación, el
impacto que ocasionan los ataques informáticos basados en Ingeniería
social realizando capacitaciones con simulaciones en tiempo real, ya que
este tipo de capacitación permiten asimilar con un 95% de efectividad los
riesgos a los que están expuestos los estudiantes y personal en general.
124
BIBLIOGRAFÍA
Acurio Del Pino, S. (2016). Delitos informáticos: generalidades.
Avogadro, M. (2009). Comunicación, redes sociales y ciberdelitos. Revista Razón
y Palabra, marzo, 12.
Borghello, C. (2009). El arma infalible: la Ingeniería Social. ESET Latinoamérica.
Buendía, J. F. R. (2013). Seguridad informática: McGraw-Hill España.
Camacho Losa, L. (1987). El delito informático. Madrid: Gráficas Cóndor.
Camacho Nieto, N. A. (2016). Una breve mirada a la ingeniería social.
Universidad Piloto de Colombia.
Cano, J. J. (2004). Inseguridad informática: un concepto dual en seguridad
informática. Revista de Ingeniería(19), 40-44.
Cañon Parada, L. J. (2015). Ataques informáticos, Ethical Hacking y conciencia de
seguridad informática en niños. Universidad Piloto de Colombia.
Castro, R. L. (Producer). (2012, Enero 2). welivesecurity. welivesecurity. Retrieved
from https://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-
malware/
Espitia Garzón, A. M. (2014). Ingeniería social amenaza latente para la seguridad
informática. Universidad Piloto de Colombia.
Flores, J. (2018, Marzo 26). Encuentran malware en aplicaciones Android con
500.000 descargas. fayerwayer.
Gonzato, M., & Godino, J. D. (2010). Aspectos históricos, sociales y educativos de
la orientación espacial. Revista Iberoamericana de Educación Matemática,
23, 45-58.
Guamán Sinchi, B. V. (2015). Anatomía de un ataque Informático. Universidad del
Azuay.
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2010).
Metodología de la investigación: México: McGraw-Hill.
Huidobro, J. M. (2009). Código QR. Bit, dic.-ene, 172, 47-49.
Jiménez, C. (1996). Los delitos en las redes sociales: aproximación a su estudio y
clasificación.
Leguizamón, M. S. M. (2015). El phishing.
Mieres, J. (2009). Ataques informáticos. Debilidades de seguridad comúnmente
explotadas). Recuperado http://proton. ucting. udg.
mx/tutorial/hackers/hacking. pdf.
Mitnick, K. D., & Simon, W. L. (2007). El arte de la intrusion: la verdadera
historia de las hazanas de hackers, intrusos e impostores. 2: Alfaomega.
Moyano Morales, S. A. (2015). La manipulación de la mente humana como arma
blanca en la ingeniería social. Universidad Piloto de Colombia.
Obregón, L. J., Gomez, E. F., & López, G. R. (2017). Delitos a través redes sociales
en el Ecuador: una aproximación a su estudio. I+ D Tecnológico, 13(2),
111-122.
Penal, C. O. I. (2014). Código Orgánico Integral Penal. Quito: Corporación de
Estudios y Publicaciones, Legislación Conexa. Versión Profesional.
Sandoval Castellanos, E. J. (2011). Ingeniería Social: Corrompiendo la mente
humana.
125
Santillan Arenas, J. U. (2009). Ingeniería Social, Técnica de Ataque Eficaz en
Contra de la Seguridad Informática.
Soriano, M. (2014). Seguridad en redes y seguridad de la información. Obtenido de
http://improvet. cvut.
cz/project/download/C2ES/Seguridad_de_Red_e_Informacion. pdf.
Urbina, G. B. (2016). Introducción a la seguridad informática: Grupo editorial
PATRIA.
Vieites, A. G. La lucha contra el ciberterrorismo y los ataques informáticos:
Recuperado el.
WhatsApp alerta de un nuevo ataque y robo selectivo de datos. (2019, Mayo 14).
La Vanguardia.
Castro, R. L. (2012, Enero 2). welivesecurity. Retrieved from welivesecurity:
https://www.welivesecurity.com/la-es/2012/01/02/codigos-qr-malware/
Cecilia Pastorino. (2018, Septiembre 21). https://www.welivesecurity.com/.
Retrieved from https://www.welivesecurity.com/:
https://www.welivesecurity.com/la-es/2018/09/21/campana-extorsion-
activa-correo-simula-ser-desde-cuenta-victima/
EXTRA, R. D. (2019, Marzo 27). INTERNET. Internet en Ecuador: ¿Qué tan
conectados estamos? Guayaquil, Guayas, Ecuador. Retrieved from
https://www.extra.ec/actualidad/internet-redessociales-ecuador-datos-
tecnologia-FY2717412
fiscalia.gob.ec. (2015, Junio). Retrieved from fiscalia.gob.ec:
https://www.fiscalia.gob.ec/los-delitos-informaticos-van-desde-el-fraude-
hasta-el-espionaje/
Flores, J. (2018, Marzo 26). Encuentran malware en aplicaciones Android con
500.000 descargas. fayerwayer. Retrieved from
https://www.fayerwayer.com/2018/03/malware-android-500000-
descargas/
Juan Manuel Harán. (2019, Junio 11). welivesecurity.com. Retrieved from
welivesecurity.com: https://www.welivesecurity.com/la-
es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-
evadir-doble-factor-autenticacion/
Luis Lubeck. (2019, Diciembre 26). https://www.welivesecurity.com/. Retrieved
from https://www.welivesecurity.com/:
https://www.welivesecurity.com/la-es/2019/12/26/mensajes-asuntos-
correo-mas-utilizados-cibercriminales/
M. en C. Roberto Hernández Sampieri, D. C. (n.d.). METODOLOGÍA DE LA
INVESTIGACION. MÉXICO • BUENOS AIRES • CARACAS •
GUATEMALA • LISBOA • MADRID • NUEVA YORK.
Rodríguez, V. (2019, Julio 23). TECNOLOGIA. Guayaquil, Guayas, Ecuador.
Retrieved from https://www.primicias.ec/noticias/tecnologia/ecuatorianos-
redes-sociales-12-millones/
126
SAN FRANCISCO. (2019, Mayo 14). WhatsApp alerta de un nuevo ataque y
robo selectivo de datos. La Vanguardia. Retrieved from
https://www.lavanguardia.com/tecnologia/aplicaciones/20190514/4622388
13651/whatsapp-ataque-robo-datos-hackers.html
TELEGRAFO, E. (2016, Agosto 16). Redacción Justicia. En Ecuador, el 85% de
los delitos informáticos ocurre por descuido del usuario. Guayaquil,
Guayas, Ecuador. Retrieved from eltelegrafo:
https://www.eltelegrafo.com.ec/noticias/judicial/1/en-ecuador-el-85-de-
los-delitos-informaticos-ocurre-por-descuido-del-usuario
Wall, M. (2017, 03 31). res que se hacen pasar por tu jefe: qué son los fraudes
BEC y cómo puedes protegerte. BBC. Retrieved from
https://www.bbc.com/mundo/noticias-39454968
127
ANEXOS
Anexo 1: Estrategias para contrarrestar los ciberdelitos basados en Ingeniería social
Gráfico 87: Factores clave de la investigación
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Se llevaron a cabo tres planificaciones para darle a conocer el impacto de estos
ataques informáticos en los estudiantes. Las fases aplicadas de esta investigación
fueron:
Capacitación
Poster x-banner
Video explicativo
Capacitación
Mediante la capacitación impartida en los cursos, tiene como objetivo darle a
conocer los factores claves de esta investigación en la cual se menciona en el
gráfico 88, con el fin de evaluar a los estudiantes mediante encuestas de los
posibles y futuros ataques de ingeniería social.
Se utilizó tres elementos de planificación para impartir esta capacitación.
Escenarios
Análisis del impacto
Análisis de las
Incidencias
128
Gráfico 88: Elementos de la capacitación
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Conceptualización
Dentro de la conceptualización, se dio a conocer el motivo de la capacitación, por
el cual se les mencionó que el 75% de los estudiantes de Ingeniería Civil
desconocen sobre el término de Ingeniería Social.
Estas definiciones fueron impartidas mediante diapositivas en base a los
fundamentos conceptuales y simulando escenarios de esta investigación, para
que los espectadores pudieran considerar y entender en un mejor plano el tema.
Simulación
Se realizó una pequeña simulación referente a un ataque informático, para que
los estudiantes puedan observar cómo se generan estos mecanismos de ataques
mediante phishing por correo electrónico, por lo cual las víctimas eran los propios
instructores de la capacitación.
Se utilizó la herramienta Gophish como práctica de simulación para este
ataque, donde se diseñó un template de netflix personalizado como se muestra
en el gráfico 89, esta simulación consiste en explicar al estudiante como los
atacantes obtienen las credenciales de un usuario mediante un sitio web clonado.
• Introducción
• Técnicas y Métodos
• Mecanismos de ataques
• Impacto de estos ataques
• Medidas Preventivas
Conceptualización
• Template personalizado de netflix
• Phishing mediante la herramienta gophish
• Demostración de un Spyware
• Reacción emocional
Simulación
• Encuesta online
• Conocimiento actual ante estos
ciberataques
• Sastifacción de la capacitación
Evaluación
129
Gráfico 89: Témplate de Netflix
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Gráfico 90: Correo Phishing
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
130
Gráfico 91: Campaña de phishing
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
Además de esta simulación, se pudo demostrar como los malware tipo Spyware
afectan a los usuarios.
Esta instrucción impartida provocó fuertes reacciones tanto a los estudiantes
como en los docentes, de simular en tiempo real como estos ataques informáticos
pueden afectar a los usuarios.
Evaluación
Concluida la instrucción sobre los ataques informáticos basados en Ingeniería
social, se procedió a evaluar al estudiante con la finalidad de conocer su
conocimiento de estos posibles y futuros ataques de ingeniería social, dando a
conocer mediante datos estadísticos la efectividad de esta capacitación.
Los instrumentos y herramienta en esta recolección de datos fueron realizada
de la siguiente forma:
Se realizó un cuestionario de 5 preguntas diseñados desde google Forms.
La encuesta se realizó a los cursos donde se impartió la capacitación.
Se les mencionó a los estudiantes que ingresaran a la encuesta mediante
un a cortador de enlace.
Para esta encuesta se tomó el tamaño de la muestra correspondiente del
capítulo 3.
131
Pregunta 1
Por ejemplo, si usted recibe un correo electrónico aparentemente de
En dónde se le pide dar clic en un enlace. ¿Usted daría clic en el enlace
para ver el comentario?
Cuadro N.19
Encuesta de capacitación sobre Ingeniería social a estudiantes de la Carrera de Ingeniería Civil - FCMF
SELECCIÓN
TOTAL DE
RESULTADOS POR
MUESTRA
PORCENTAJE
Sí 34 23.6%
No 110 76.4%
TOTAL 144 100
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 92: Acceso mediante enlaces
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Interpretación: En el gráfico 92, se puede observar que de los 144 encuestados
solo el 23.6% darían clic en un comentario enviado por correo electrónico
aparentemente de Facebook mientras el 76.4% indican qué no darían clic ante
alguna notificación aparentemente de Facebook por correo electrónico.
132
Pregunta 2
Por ejemplo, si le envían un correo de un sorteo o premiación de algún
contenido de origen desconocido. ¿Usted daría sus datos personales para
iniciar el dudoso sorteo?
Cuadro N.20
Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF
SELECCIÓN
TOTAL DE
RESULTADOS POR
MUESTRA
PORCENTAJE
Sí 12 8.4%
No 131 91.6%
TOTAL 143 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 93: Ingreso de datos mediante sorteo
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Interpretación: En el gráfico 93, se puede observar que de los 144 encuestados
solo el 8.4% daría sus datos personales para iniciar un dudoso sorteo, mientras
un alto porcentaje del 91.6% no daría sus datos personales ante un dudoso sorteo
de cualquier origen desconocido.
133
Pregunta 3
¿Usted descargaría programas de páginas de dudosa procedencia por solo
ahorrarse la activación o costo del aplicativo?
Cuadro N.21
Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de ingeniería Civil - FCMF
SELECCIÓN
TOTAL DE
RESULTADOS POR
MUESTRA
PORCENTAJE
Sí 62 43.1%
No 82 56.9%
TOTAL 144 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 94: Descarga de programas
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Interpretación: En el gráfico 94, se puede observar que de los 144 encuestados
solo el 43.1% descargarían programas de páginas de dudosa procedencia solo
por ahorrarse el costo del aplicativo, mientras el 56.9 % no descargaría programas
de cualquier página de dudosa procedencia. Esta pregunta a comparación al
gráfico 32, disminuye el porcentaje a los que descargan programas desde
cualquier página.
134
Pregunta 4
Por ejemplo, si usted se encuentra conectado en cualquier red WI-FI
pública ¿Ingresaría sus datos confidenciales en esa red?
Cuadro N.22
Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil - FCMF
SELECCIÓN
TOTAL DE
RESULTADOS POR
MUESTRA
PORCENTAJE
Sí 35 24.3%
No 109 75.75
TOTAL 144 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 95: Ingreso de información mediante WI-FI Pública
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Interpretación: En el gráfico 95, se puede observar que de los 144 encuestados
solo el 24.3% ingresarían sus datos confidenciales en cualquier red WI-FI,
mientras el 75.7% indican que no ingresarían sus datos confidenciales en
cualquier WI-FI público que se encuentren conectado.
135
Pregunta 5
¿Crees que esta capacitación, te permitió entender sobre las amenazas y
técnicas basadas en Ingeniería social?
Cuadro N.23
Encuesta de capacitación sobre Ingeniería social a estudiantes de la carrera de Ingeniería Civil – FCMF
SELECCIÓN
TOTAL DE RESULTADOS
POR MUESTRA
PORCENTAJE
Sí 137 95.1%
No 7 4,9%
TOTAL 144 100%
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Gráfico 96: Efectividad de la capacitación
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Datos de la encuesta
Interpretación: En el gráfico 96, se puede observar que de los 144 encuestados
solo a un 4.9% no les permitió entender las instrucciones de esta capacitación,
mientras el 95,1% de la muestra sí les permitió entender sobre los las amenazas
y técnicas basadas en Ingeniería social, lo que permite concluir que este tipo de
capacitación ayudan a tener un nivel de efectividad muy alta en la prevención de
futuros ataques.
136
Poster x- banners
Gráfico 97: Diseño de poster
Elaborado por: Ronny Bermúdez – Kevin Moreira Fuente: Proyecto de investigación
137
Como otra estrategia de prevención ante los ataques de Ingeniería social, se
realizó un poster x-banner. Como se observa en el gráfico 97, este poster se
colocó mediante permisos necesarios a las entradas de las FCMF de la ciudadela
Universitaria, en la cual tiene como objetivo que los estudiantes y otras
autoridades de la Facultad puedan visualizar las amenazas de estos ataques.
Video explicativo
El objetivo del video es darle conocer al estudiante de la Universidad de Guayaquil,
el estudio realizado, sobre en qué consiste Ingeniería Social y cuáles son las
medidas preventivas, que deben tener ante estos tipos de ataques en la cual se
observa en el gráfico 98.
EL video fue proporcionado al Departamento de Relaciones Públicas de la
Universidad de Guayaquil, para que sea enfocado en el tótem de la Ciudadela
Universitaria. El enfoque del video, tendrá como finalidad que los estudiantes de
Ingeniería Civil y estudiantes de otras Facultades que realizan sus actividades en
la plazoleta central, se informen sobre la presencia de estos ciberdelitos.
Gráfico 98: Video explicativo
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: https://www.youtube.com/watch?v=bcnLnqGcEdI&feature=youtu.be
138
Medidas de prevención ante los ciberdelitos basados en ingeniería social.
Dentro del desarrollo de esta investigación se han sugerido las medidas de
prevención más considerable en contra de estos ataques informáticos por lo cual
se recomienda que todos los estudiantes y usuario general tengan en cuenta las
siguientes recomendaciones:
No hables con personas desconocidas en la WEB, habrá muchos riesgos
en la que puedes estar expuestos.
Navega en páginas seguras (https).
No descargues archivos o aplicaciones de dudosa procedencia si
desconoces su origen.
No dar clic a enlaces de páginas que te envíen por correo o cualquier otro
medio de comunicación.
Si por correo electrónico te piden verificar alguna cuenta, revisa de donde
proviene el remitente del mensaje.
No ingreses tus credenciales ante cualquier dudosa notificación de alerta
por correo electrónico, de preferencia abre una nueva pestaña en el
navegador.
No confíes en mensajes de correo diciéndote que tiene la posibilidad de
ganar dinero muy fácilmente o dejar tus datos para participar en un sorteo.
No compartas ni accedas a cadenas que contenga algún link con una
noticia o evento importante mediante mensajes.
No digitalices Códigos Qr mediante cualquier anuncio.
No expongas tu número telefónico, datos personales o correo mediante
encuestas.
Si hará una transacción bancaria confirma que sea la URL o página de la
institución bancaria correcta y segura.
No utilices las mismas contraseñas para todas tus cuentas
139
Presupuestos y finanzas
Dentro del presupuesto de esta investigación no se requirió realizar inversiones
de alto costo, ya que este proyecto se enfocó a un estudio investigativo.
Se mencionará cuáles fueron los recursos necesarios para realizar esta
investigación.
Cuadro N.24
Presupuesto
Requerimiento
Costo
Volantes $5
Banner X $35
Video explicativo $40
Total $80
Elaborado por: Ronny Bermúdez – Kevin Moreira
Fuente: Proyecto de investigación
140
Anexo 2: Cronograma del proyecto de titulación
141
142
Anexo 3: Encuesta desde google forms
143
144
145
Anexo 4: Tabulación de datos
146
147
Anexo 5: Encuesta de capacitación
148
Anexo 6: Solicitudes de levantamiento de información
149
150
151
Anexo 7: Solicitud para la charla de capacitación y colocación de poster x-banner
152
Anexo 8: Coordinación con departamento de bienestar estudiantil
153
Anexo 9: Solicitud de enfoque de video
154
Anexo 10: Base de datos de los estudiantes
155
Anexo 11: Capacitaciones impartidas en los cursos
156
157
Anexo 12: Poster x-banner colocado en la FCMF
158
Anexo 13: Entrega del video al departamento de relaciones públicas de la Universidad de Guayaquil