Ingeniera social (seguridad informtica)

Para ver un trmino similar en una disciplina diferente vea Ingeniera social (ciencias
polticas).
Ingeniera social es la prctica de obtener informacin confidencial a travs de la
manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas,
tales como investigadores privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacinque les permitan realizar
algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios
son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono
o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn
banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va
Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de
permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las
famosas cadenas, llevando as a revelar informacin sensible, o a violar las polticas de
seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia
natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo
proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de
tener que encontrar agujeros de seguridad en los sistemas informticos.
Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a
pensar que un administrador del sistema est solicitando una contrasea para varios
propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben
mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de
"crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de
ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de
estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores. En
realidad, los administradores de sistemas informticos raramente (o nunca) necesitan
saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin embargo incluso
este tipo de ataque podra no ser necesario en una encuesta realizada por la
empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo
de Londres revel sus contraseas a cambio de un bolgrafo barato.
Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos
adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna persona famosa o
algn programa "gratis" (a menudo aparentemente provenientes de alguna persona
conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima
para enviar cantidades masivas de spam). Ahora, despus de que los primeros e-mails
maliciosos llevaran a los proveedores de software a deshabilitar la ejecucin automtica
de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que
ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente
cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener
acceso a los sistemas informticos. Otro ejemplo es el conocimiento sobre la vctima, a
travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su
pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese
la vctima?
La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el
uso de polticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick.
Segn su opinin, la ingeniera social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Ingeniera social: Tres ejemplos

de hacking humano
[14/02/2011] A Chris Hadnagy se le paga por engaar a la gente, y lo ha hecho
muy bien a lo largo de los aos. Co-fundador de social-engineering.org y autor de
la Ingeniera Social: El arte del hacking humano, Hadnagy ha estado usando
tcticas de manipulacin durante ms de una dcada para mostrar a sus clientes
cmo los criminales obtienen informacin privilegiada.
Hadnagy describe tres historias memorables de los ensayos de ingeniera social
que ha incluido en su nuevo libro (tambin se puede leer un breve fragmento), y
seala lo que las organizaciones pueden aprender de estos resultados.
El CIO demasiado confiado
En un estudio de caso, Hadnagy describe cmo fue contratado como auditor para
acceder a los servidores de una compaa de impresin que tena algunos
procesos propios y vendedores sobre los que la competencia estaba detrs. En
una reunin telefnica con el socio de negocios de Hadnagy, el director general le
inform de que "hackearlo le sera casi imposible" porque "cuidaba sus secretos
con su vida".
"Era el tipo que nunca iba a caer en esto", seala Hadnagy. "Pensaba que alguien
probablemente lo iba a llamar a preguntarle por su contrasea y estaba listo para
una tctica enfoque de ese tipo".
Despus de cierta recopilacin de informacin, Hadnagy encontr la localizacin
de los servidores, direcciones IP, direcciones de correo electrnico, nmeros de
telfono, direcciones fsicas, servidores de correo, nombres de los empleados,
cargos, y mucho ms. Pero el premio mayor se produjo cuando Hadnagy
descubri que el CEO tena un miembro de su familia que haba luchado contra
el cncer, y estaba vivo. Como resultado, l estaba interesado e involucrado en la
recaudacin de fondos e investigacin del cncer. A travs de Facebook, tambin
fue capaz de obtener otros detalles personales sobre el presidente, como su
restaurante favorito y equipo deportivo.

Armado con la informacin, estaba listo para atacar. Llam al director general y
se hizo pasar por un recaudador de fondos de una organizacin de caridad del
cncer con la que el CEO haba tratado en el pasado. l le inform que estaban
ofreciendo un sorteo de premios a cambio de donaciones -y los premios incluan
entradas para un partido jugado por su equipo favorito, as como certificados de
regalo de varios restaurantes, incluyendo su lugar favorito.
El CEO mordi el anzuelo, y accedi a que Hadnagy le enviara un PDF con ms
informacin sobre la campaa para recaudar fondos. Incluso logr que el director
general le diga cual era la versin del lector de Adobe que usaba porque, segn le
dijo al director general "Quiero asegurarme de que estoy enviando un archivo
PDF que pueda leer". Poco despus de enviar el archivo PDF, el CEO lo abri,
instalando un programa malicioso que permiti que Hadnagy accediera a su
mquina.
Cuando Hadnagy y su compaero le informaron a la compaa sobre el xito de
la violacin a la computadora del CEO, el director general estaba
comprensiblemente enojado, aade Hadnagy.
"Senta que era injusto que utilizramos algo as, pero as es como funciona el
mundo", indica Hadnagy. "Un hacker malicioso no pensara dos veces acerca de
cmo utilizar esa informacin en su contra".
Deduccin 1: No hay informacin, independientemente de su carcter personal o
emocional, que est fuera de los lmites de un ingeniero social que busca hacer
dao
Deduccin 2: Con frecuencia la persona que piensa que est ms segura es la que
posee la mayor vulnerabilidad. Un consultor de seguridad dijo recientemente a
CSO que los ejecutivos son los blancos ms fciles de ingeniera social.
El escndalo del parque temtico
El objetivo del siguiente caso fue un cliente de un parque temtico que estaba
preocupado por el potencial compromiso de su sistema de venta de entradas. Los
equipos utilizaban patrones de ingreso que tambin contenan enlaces a sus
servidores, informacin de los clientes y registros financieros. El cliente estaba
preocupado de que si una computadora de ingreso estaba comprometida, podra
ocurrir una seria violacin de datos.
Hadnagy comenz su prueba llamando al parque, hacindose pasar por un
vendedor de software. Ofreca un nuevo tipo de software de lectura de PDF, cuya
versin de prueba quera que sea utilizado por el parque. Pregunt cul es la
versin que se utilizaba actualmente, obtuvo la informacin fcilmente, y estaba
listo para el segundo paso.
La siguiente fase requiri de ingeniera social en el lugar, y Hadnagy utiliz a su
familia con el fin de asegurar el xito. Subiendo a una de las taquillas con su
esposa e hijo a cuestas, le pregunt a una de las empleadas si podra utilizar su
computadora para abrir un archivo desde su correo electrnico. El correo

electrnico contena un archivo adjunto en PDF para un cupn que les dara la
admisin de descuento.
"Todo esto podra haber salido mal, si ella hubiera dicho No, lo siento, no puedo
hacer eso'", explica Hadnagy. "Pero vindome como un padre, con un nio
ansioso por entrar en el parque, tire las cuerdas de su corazn".
La empleada accedi, y el sistema del parque se vio afectado rpidamente por
malas noticias de Hadnagy. En cuestin de minutos, el socio de Hadnagy le envi
mensajes de texto para hacerle saber que estaba 'en' y 'recopilando informacin
para su informe".
Hadnagy tambin seala que mientras las polticas de los empleados del parque
decan que no deban abrir archivos adjuntos de fuentes desconocidas (incluso un
cliente que necesitan ayuda), no haba reglas para hacerlas respetar.
"La gente est dispuesta a pasar un gran esfuerzo para ayudar a los dems",
seala Hadnagy.
Conclusin 3: La poltica de seguridad es solo tan buena como lo es su
aplicacin
Conclusin 4: Los delincuentes suelen jugar con la naturaleza buena de un
empleado y el deseo de ser til.
El hacker es hackeado
Hadnagy da un tercer ejemplo que muestra cmo la ingeniera social se utiliza
con fines defensivos. Trabaj con "John," un evaluador de penetracin contratado
para conducir una prueba estndar de penetracin de red para un cliente. Ejecut
un escaneo utilizando Metasploit, lo que puso de manifiesto un servidor VNC
(virtual network computing) abierto, un servidor que permite el control de otras
mquinas en la red.
Document el hallazgo con la sesin VNC abierta cuando, de repente, en el
fondo, un ratn empez a moverse por la pantalla. John saba que esa era una
bandera roja porque la hora en la que estaban sucediendo los acontecimientos,
ningn usuario se conecta a la red por una razn legtima. Sospech que era un
intruso en la red.
Teniendo la oportunidad, John abri el Bloc de notas y comenz a charlar con el
intruso, hacindose pasar por un hacker 'n00b', alguien que es nuevo y no
calificado.
"El pens 'Cmo puedo obtener ms informacin de este tipo y ser ms valioso
para mi cliente?'", seala Hadnagy. "John jug con el ego del hombre al tratar de
fingir que era un novato que quera aprender ms de un hacker maestro".
John le hizo varias preguntas, fingiendo ser una persona ms joven que quera
aprender algunos trucos del comercio de la piratera y que quera mantenerse en
contacto con otro hacker. Cuando la charla termin, tena el e-mail del intruso,
informacin de contacto -e incluso una foto de l. Report la informacin a su
cliente, y el problema de fcil acceso al sistema fue corregido.

Hadnagy tambin seala que John aprendi, a travs de su conversacin con el

pirata, que el hacker no tena como objetivo la compaa que haba hackeado,
que haba estado buscando algo fcil de comprometer y encontr ese sistema
abierto con bastante facilidad.
Deduccin 5: La ingeniera social puede ser parte de la estrategia de defensa de
una organizacin
Deduccin 6: Los delincuentes suelen ir a la fruta madura. Cualquiera puede ser
un objetivo si la seguridad es baja
Joan Goodchild, OSC (US)

Seguridad Informtica: Qu es
Ingenieria Social?
Comentarios (1)
La ingenieria social es el trmino es utilizado para describir
un mtodo de ataque, donde alguien hace uso de la
persuasin, muchas veces abusando de la ingenuidad o confianza
de un usuario, para obtener informacion que pueda ser utilizada
para tener acceso autorizado a la informacin de las
computadoras.

Que ejemplos pueden ser citados sobre este

mtodo de ataque?
Los dos primeros ejemplos presentan casos donde fueron
utilizados mensajes de e-mail . El ltimo ejemplo presenta
un ataque realizado por telfono.

Ejemplo 1: Recibes un mensaje por e-mail, donde el

remitente es el gerente o alguien en nombre del
departamento de soporte de tu banco. En el mensaje dice
que el servicio de Internet Banking est presentando algn
problema y que tal problema puede ser corregido si
ejecutas la aplicacion que est adjunto al mensaje. La
ejecucin de esta aplicacin presenta una pantalla anloga a la que
usted utiliza para tener acceso a la cuenta bancaria, esperando que
usted teclee su contrasea. En verdad, esta aplicacion est
preparada para robar tu contrasea de acceso a la cuenta bancaria
y enviarla al atacante.

Ejemplo 2: Recibes un mensaje de e-mail , diciendo que tu

computadora est infectada por un virus. El mensaje
sugiere que instales una herramienta disponible en un sitio
web de Internet para eliminar el virus de tu computadora.
La funcin real de esta herramienta no es eliminar un virus, sino
permitir que alguien tenga acceso a tu computadora y a todos los
datos almacenados.

Ejemplo 3: Un desconocido llama a tu casa y dice ser del

soporte tcnico de tu proveedor de internet. En esta
comunicacion te dice que tu conexin con internet est
presentando algn problema y, entonces, te pide tu
contrasea para corregirlo. Si le entregas tu contrasea, este
supuesto tcnico podr realizar una infinidad de actividades
maliciosas, utilizando tu cuenta de acceso internet y, por lo tanto,
relacionando tales actividades con tu nombre.

Estos casos muestran ataques tpicos de ingeniera

social, pues los discursos presentados en los ejemplos buscan
inducir el usuario arealizar alguna tarea y el xito del
ataque depende nica y exclusivamente de la decisin del
usuario en suministrar informacion o ejecutar programas.

La evolucin de la Ingeniera Social

Publicado junio 11, 2014 en Seguridad

Hablar de Ingeniera social en Seguridad Informtica es una forma sofisticada de

decir que se engaa a la gente por medio de argumentos tontos, por lo que no es
necesario saber de alta tecnologa para realizar estafas a travs de computadoras.
Este problema existe desde que las computadoras se popularizaron, pero hoy
tiene nuevos formatos.
La novedad en el entorno de los ataques de Ingeniera Social es la utilizacin de la
Web 2.0 para amenazar a los usuarios con su prdida de la privacidad, robarles e
incluso matarlos.
La primera de las nuevas formas de ataque consiste en robar los archivos de una
computadora y solicitar un rescate para devolverlos. La segunda es un simple
vaciado de cuentas bancarias. Y en la tercera, anuncian que un amigo ha muerto y
haciendo un click de mouse en el link a la pgina principal del sitio web para
obtener ms informacin sobre su funeral, se puede producir una infeccin o un
robo de datos.
Los que explotan la Ingeniera Social se aprovechan del comportamiento humano
para obtener acceso a datos o infiltrarse en los negocios, fueron quienes alguna
vez engaaban a la gente con ofertas gratuitas o videos graciosos antes de
estafarlos. Hoy en da, estos delincuentes se han inclinado hacia tcticas y
tcnicas mucho ms duras y crueles, como amenazas, crueldad emocional y
horribles ultimtums.

Aunque el nmero de correos electrnicos usados por campaas para este tipo de
ataques haya disminuido, y el nmero de personas especficas elegidas como
objetivo sea tambin menor, la cantidad de este tipo de acciones creci en un 91%
en el 2013, segn el Internet Security Threat Report de Symantec, realizado a
mediados de abril del 2014.
Las campaas fueron unas tres veces ms largas que aquellas realizadas en el
2012, e indican que las tecnologas de proteccin y alerta han llevado a los
atacantes a ajustar y modificar su objetivo, y a aguzar la tcnica de su ingeniera
social. Symantec tambin report que los ingenieros sociales del mundo real
estn comenzando a combinar ataques del mundo real y virtual para aumentar las
posibilidades de xito. Chris Hadnagy, jefe hacker en Social-Engineer.org, ve un
aumento en el uso de esta tctica en los empleados de las empresas. Los grupos
y pandillas estn mandando correos electrnicos con archivos adjuntos
maliciosos, los cuales un empleado cauto normalmente ignora.

Qu es la Ingeniera
social y cmo estar
prevenidos
Por eduardobriceno el 25 de abril de 2012, 07:20
CompartirTwittear32

Cuando hablamos de seguridad en Internet solo podemos tener la

certeza de que nada -ni nadie- est a salvo. No importa si tenemos

el mejor antivirus, un firewall bien configurado y utilizamos

contraseas fuertes en nuestras cuentas; como usuarios
representamos el eslabn ms dbil en la cadena de seguridad, ya
que en nuestra condicin de humanos no estamos libres de cometer
errores.
Con el objeto de aprovechar los errores humanos para vulnerar
sistemas, existe una tcnica denominada Ingeniera social, que a
su vez cuenta con una serie de mtodos cada vez ms populares
que pueden poner en riesgo tanto nuestra seguridad y privacidad
como la integridad de nuestros datos.
Contra la Ingeniera social, las armas ms efectivas son la
prevencin y el conocimiento, por lo que esta nueva edicin de la
gua de la semana est enfocada en dar a conocer los mtodos ms
utilizados, de forma tal que estemos prevenidos y podamos
reaccionar ante un posible ataque.

Qu es la Ingeniera social?
Como lo mencion al principio, la Ingeniera social es una tcnica
que aprovecha los errores humanos para comprometer las
seguridad de los sistemas, pero tambin podramos decir que es un
arte cuyas herramientas principales son el engao y la confusin.
As como existen piratas informticos que irrumpen en sistemas
aprovechando vulnerabilidades en el software, hay quienes se
hacen expertos en engaar y manipular a otras personas, y as, a

travs de estas, conseguir los datos necesarios para acceder no

solo a sistemas, sino tambin a nuestras cuentas personales en
redes sociales, correo electrnico, nmeros de tarjetas de crdito y
en general a cualquier informacin personal de carcter privado.
Aunque el trmino Ingeniera social comenz a escucharse con
ms frecuencia en tiempos recientes, la tcnica existe desde que las
personas decidieron que engaar a otros es una forma aceptable de
ganarse la vida.
Un pirata informtico que utiliza la Ingeniera social como tcnica de
ataque, no necesita estar frente a frente con su vctima, de
hecho, en la mayora de los casos aprovecha herramientas que
usamos a diario, como por ejemplo, el correo electrnico, la
mensajera instantnea y el telfono.
Si quieren conocer como funciona la Ingeniera social en su mxima
expresin, les recomiendo ver la pelcula Takedown. En esta historia
basada en hechos reales se muestra la forma en que Kevin
Mitnick, uno de los Hackers ms famosos de la historia, aplica de
manera sorprendente varios de los mtodos que describir a
continuacin.

Phishing
El Phishing es uno de los mtodos de ataque de Ingeniera social
ms utilizados. La forma ms comn de Phishing es la que emplea
el correo electrnico para cometer fraude.

Un atacante que utiliza este mtodo por lo general tiene en su poder

un dominio de Internet que puede ser fcilmente confundido con la
URL de un servicio legtimo y lo utiliza para tratar de convencer al
usuario de ingresar sus datos con el fin de verificar su cuenta
bancaria, Paypal e incluso una red social o servicio de mensajera
instantnea, bajo la amenaza de suspenderla en caso de no
suministrar los datos requeridos. Si un usuario ingresa sus
credenciales, obviamente le est entregando su informacin al
atacante, quin la utilizar para robar informacin e incluso dinero.
Por fortuna, el Phishing tambin es uno de los mtodos ms fciles
de detectar, en gran parte, gracias a los servicios de correo
electrnico que filtran de forma rigurosa todos los mensajes que
atraviesan sus servidores e identifican y marcan como sospechosos
aquellos que provengan de fuentes no confiables.
Debemos tener presente que ningn servicio de Internet,
incluyendo a los propios bancos, nos solicitar informacin
financiera, contraseas o nmeros de tarjeta de crdito para verificar
nuestra identidad o validar nuestra cuenta a travs de correo
electrnico.
Cada vez que necesites ingresar a los servicios de banca en lnea,
asegrate de introducir manualmente la direccin en el navegador,
es decir, evita utilizar enlaces que encuentres en otros sitios, incluso
si se trata de un buscador. La mayora de los bancos tienen
servicios de atencin telefnica para reportar el fraude, por lo que si
sospechas que ests siendo vctima de uno de estos ataques, no
dudes en llamar de forma inmediata para solicitar asistencia.

Vishing
En el Vishing, los mtodos son similares a los descritos en el
Phishing, de hecho su finalidad es exactamente la misma. La
diferencia es que este utilizauna llamada telefnica en lugar de un
correo electrnico o un sitio web falso.
Existen varias formas ataque bajo este mtodo, las ms comunes
son:

Una llamada a la victima utilizando un sistema automatizado,

en la cual se solicita al usuario que siga una serie de pasos
para reactivar su cuenta ya que su tarjeta de crdito ha sido
robada y se requiere de una accin inmediata.

Un correo electrnico con instrucciones para activar su

cuenta donde se incluye un nmero de telfono al que se debe
llamar para completar el falso proceso de activacin.

Empleando la imitacin de llamadas telefnicas interactivas del

tipo marque 1 para o introduzca su nmero de tarjeta de
crdito despus de la seal.

Adems de stas, he conocido casos a travs de familiares y

amigos, en los cuales, mediante una llamada telefnica se realiza
una encuesta o se ofrece algn paquete turstico. A lo largo de la
conversacin, el atacante va realizando una serie de preguntas
cuyas respuestas implican datos privados.

Los atacantes que emplean este mtodo suelen tener un gran poder
de convencimiento y ser buenos conversadores, de esta manera
logran mantener por el mayor tiempo posible a la vctima pegada al
telfono.
Ahora que conoces como funcionan, puedes sospechar de todas
las llamadas de este tipo. En el caso de los bancos, estos nunca te
pedirn datos va telefnica (en todo caso te pedirn que te
acerques hasta una de sus agencias). Tampoco Facebook, Google,
Microsoft o cualquier compaa/servicio te llamar para pedirte
informacin sobre tus contraseas o tarjetas de crdito.

Baiting
Este mtodo aprovecha una de las mayores debilidades -o virtudesde los seres humanos: la curiosidad.
En el Baiting, un atacante abandona de forma intencional un
dispositivo o medio de almacenamiento extrable, como por ejemplo,
una memoria USB o un CD/DVD. Dicho dispositivo estar infectado
con software malicioso, que podra ser instalado en el ordenador,
incluso sin que nos demos cuenta.
Contra este mtodo, tener un antivirus actualizado podra ser
efectivo, sin embargo, es necesario tener precaucin a la hora de
insertar dispositivos de dudosa procedencia en nuestros
ordenadores. Tambin es recomendabledesactivar la

funcin Autorun y no abrir archivos si no estamos seguros de su

contenido.

Otros mtodos
Adems de los 3 que he mencionado, existen muchos otro mtodos
utilizados dentro de la Ingeniera social, todos ellos, como lo dije al
principio, hacen uso del engao y la confusin para llevarnos a la
trampa, por lo que debemos estar alerta en todo momento, y sobre
todo, hacer uso del sentido comn.
Finalmente, y aunque parezca una recomendacin obvia, procura no
anotar tus contraseas en lugares donde puedan ser fcilmente
visibles o encontradas por otros, sobre todo si trabajas en un lugar
donde entra y sale gente de manera constante. Dejar las tarjetas de
crdito, estados de cuenta, u otro tipo de informacin financiera a la
mano de cualquiera, tampoco es una buena idea.
Ahora que conoces como funciona la tcnica y sabes como prevenir
un fraude, es momento de compartir la informacin con tus
familiares y amigos, de esta manera, ellos tambin podrn evitar
caer en la trampa.

Ingeniera Social: Como

funciona? - xombra.com
abr4xas 21/10/2011 358052

Qu tctica es la que mejor funciona para un ingeniero social del engao?

Actuar como una figura de autoridad y pedir a la vctima que responda a algunas
preguntas y revele informacin confidencial? O actuar como una persona
simptica y confiable que comienza una conversacin amigable, y simplemente
necesita que la vctima le diga algunas cosas para ayudarla?

Esa fue la pregunta que el equipo detrs del sitio web social-engineer.org realiz.
Ellos acaban de publicar los resultados de una prolongada encuesta su
realizacin tom meses que present dos escenarios diferentes sobre cmo un
ingeniero social podra intentar obtener informacin de una vctima.
El primero mostraba una conversacin agradable y cmo sta poda ser utilizada
por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social
que intenta que unos extraos se unan a l en una conversacin muy personal,
realizando poco esfuerzo. Vestido en forma muy casual, utiliz un accesorio con el
que pens que atraera a las personas hacia l: un pequeo aviso con un slogan
muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este
accesorio, pudo entablar conversaciones con las personas.
El hecho es que nos gusta tratar con personas que son como nosotros, pero nos
gusta an ms tratar con personas a las que les GUSTAMOS, sostuvo
Christopher Hadnagy, fundador de social-engineer.org y autor de Social
engineering: The art of human hacking.
La conversacin agradable hace que una persona sienta que le gustas y, a su vez,
que t le gustes.
La segunda historia es la de un ingeniero social que emplea el principio de
autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla
con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego
dirigindose a la secretaria, alza la voz y dice me enviaron para revisar su
conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros
25 nodos. Necesito que se identifique en su red con su contrasea mientras veo
para confirmar que se puede conectar.
Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay

mtodos para que un empleado rechace un pedido as sin algn grado de temor,
explica Hadnagy. Otros mtodos, como llevar estas tablillas, parecer ocupado o
tener el control, todos stos le dan a uno un aire de autoridad que pocas personas
cuestionaran.
Los dos escenarios fueron presentados con una tercera opcin que ninguno de
ellos usara.
La conversacin agradable result ser la ganadora entre los encuestados. Fue
escogida por ms de la mitad de los muchos miles que respondieron la encuesta,
indic Hadnagy.
Nosotros pensbamos que la mayora escogera la autoridad, pero, de hecho,
concordamos en que la conversacin agradable funciona en ms casos que la
autoridad, sostuvo Hadnagy en una sinopsis de los resultados. Una simple
palabra o accin que puede hacer que uno sienta que te preocupas por l o ella,
puede ayudar bastante a construir una comunicacin, confianza y relacin que
har que la persona quiera darle la informacin que busca.
Cuando los resultados se desagregan por gnero, la conversacin amigable an
se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se
encontraba muy atrs en el caso de los varones. Muchas ms mujeres que
hombres sealaron que consideraban que la autoridad era una poderosa tcnica
de ingeniera social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepcin de que
los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de
confianza la que ha llevado a muchos a ser vctimas de hacking.
No estamos diciendo que no confiemos en nadie, sino que pensemos en forma
ms crtica, sostuvo Hadnagy. Las solicitudes que se le hacen, las preguntas que
se le hacen, tienen sentido? Es realmente necesario responder a estas
preguntas? El pensamiento crtico puede ayudar. En segundo lugar, obtenga
informacin. Est al tanto de los vectores de ataque que se estn utilizando y
aprenda como son utilizados. Eso lo mantendr alerta.

http://xombra.com/index.php?do/noticias/nota/5816/op/4/t/ingeniera-socialfunciona

ngeniera Social: El hacking

Psicolgico

Facebook56
Twitter104
160

Hemos repetido hasta el cansancio que las personas, los

usuarios, somos el escaln ms dbil en la cadena de
seguridad que puede separar a cualquier de nuestros datos
privados. La ingeniera social se basa en este axioma de la
seguridad informtica para, de una manera artesanal y
prcticamente indetectable, ir sacndonos informacin til
para sus proyectos sin que nos demos por sabidos. En este
artculo le damos un repaso al concepto deingeniera
social como herramienta cracker, sus caractersticas, el
porqu de su efectividad y algunas precauciones a tomar
para no ser engaados por estos artesanos del espionaje y
del hacking psicolgico.

Un espa en traje de gala

En la noche, aprovechando el tumultuoso ambiente de una
fiesta donde la elite se rene a compartir lujos y secretos, l

se escabulle entre la rigurosa seguridad de la gala y habla

con los asistentes como uno ms de ellos. El porte, el tono
de voz, la seguridad sobre lo que dice, la excesiva
solidaridad que demuestra a resolver problemas ajenos, las
preguntas adecuadas y el momento correcto para hacerlas
lo tornan alguien a quien, tal vez jocosamente, hasta se le
pueda confiar algn secretillo; misin cumplida. Eso lo
vemos en todas las pelculas de espas, donde la llamada
ingeniera social se revela contra lo que las personas
conscientemente resguardan e inconscientemente pueden
llegar a revelar. Una palabra, un dato que para quien lo
menciona puede no tener importancia alguna, para un
experto en ingeniera social puede ser la llave que abra la
caja de Pandora de la seguridad personal y del resguardo de
la informacin sensible. Un rapto auto infligido a nuestra
privacidad basado bsicamente en nuestra ignorancia e
impericia para las relaciones sociales y en la capacidad del
ingeniero social para aprovecharlas. Pero, qu es y cmo
funciona la ingeniera social?

Ingeniera Social: El hacking Psicolgico

Concepto
En pocas palabras, la ingeniera social (IS) es un conjunto
de tcnicas psicolgicas y habilidades sociales (como la
influencia, la persuasin y sugestin) implementadas hacia
un usuario directa o indirectamente para lograr que ste
revele informacin sensible o datos tiles sin estar
conscientes de su maliciosa utilizacin eventual. Estas
pueden estar llevadas a cabo mediante el trabajo con

tecnologa y ordenadores o directamente a travs del trato

personal. El objetivo es evadir o hacer ms fcil el acceso a
los sistemas de seguridad tradicionales al acceder a la
informacin desde la fuente ms confiable pero ms
vulnerable, el propio protegido.

Dos modos de ingeniera social y un

debate interno
A modo de separacin, se ha hablado muchas veces de dos
tipos de ingeniera social. Una llamada IS basada en
computadoras que se trata de utilizar los descuidos que
cometen los usuarios al caer en trampas como las cadenas
de correos, los hoaxes, el spam, las ventanas pop-up y los
correos con infecciones. Este tipo de denominacin,
personalmente (aunque a la mayora de la comunidad de IS
tampoco gusta), no resulta representativa de la Ingeniera
Social de concepto, la clsica; la que est basada en los
recursos humanos y en el tratamiento, generalmente
directo,(aun con ordenador mediante) con los datos del
afectado. Esto es una cuestin de purismo en cuanto a lo
artesanal del trabajo y una repulsin de lo automatizado de
los modos basados en computadora (recopilacin masiva y
en serie de datos provistos por spyware, troyanos, etc),
pero cada tcnica tiene sus debates internos y este es uno
de ellos con mi posicin sobre el mismo.

Dicho esto, la Ingeniera social que vamos a tratamos

aqu es la basada en Humanos, que por sus propiedades e
independencias tecnolgicas de gran escala puede
utilizarse como deca un profesor de IS-, tanto para hacerle
confesar algunas pistas sobre las preguntas de los
exmenes como para obtener la clave de acceso a la red
informtica de una financiera privada.

La psicologa como herramienta principal

Utilizando caractersticas psicolgicas humanas como la
curiosidad (lo que nos mueve a mirar, a responder y a tocar donde
no debemos), el miedo (ante el temor, buscamos ayuda de cualquier
manera o caemos ms fciles en las trampas porque no podemos
razonar con tranquilidad), la confianza (nos sentimos seguros ante
la menor muestra de autoridad), la ingeniera social es el arte del
aprovechamiento de circunstancias intencionales, pero mucho
tambin de las azarosas. Por eso es que los expertos estarn
atentos a cualquier error que cometas sin que te des cuenta. Aqu
reside parte de la efectividad de la ingeniera social, pues lo que
dices frente a cualquier persona con la que te encuentres podra no
tener relevancia alguna, pero ante un cracker que utiliza este
mtodo, el nombre de tu prima o a qu secundaria asististe puede
convertirse en la clave de acceso a tu correo, y de ah al resto de
tus servicios financieros, por citar un ejemplo.

Mtodos y tcnicas de la ingeniera social:

Las tcnicas de Ingeniera Social, a nivel mtodo de accin sobre
los usuarios, estn dividas en categoras que se caracterizan por el
grado de interaccin que se tiene con la persona duea de la
informacin a conseguir.
Estas pueden ser las Tcnicas Pasivas, que se basan simplemente
(lo que no implica que sea fcil) en la Observacin de las acciones
de esa persona. Lo principal en IS es que cada caso es diferente, y
por lo tanto cada desenvolvimiento del experto est supeditado al
ambiente, naturaleza y contexto en el que la informacin a
conseguir se mueva. Es decir, que tendr que adaptarse. Para esto
el primer paso es la observacin, y esto incluye una formacin de un
perfil psicolgico tentativo de alguien a quien se va a abordar,
conocer sus conductas informticas, obtener datos simples como
cumpleaos, nombres de familiares, etc. Cualquier cosa sirve y lo
vers cuando comentemos un caso ms adelante.
Otras tcnicas son las No presenciales, donde a travs de medios
de comunicacin como Carta, IRC, Correo electrnico, telfono y
otros se intenta obtener informacin til segn el caso. Estos son los
ms comunes y los que ms casos de xito (para los crackers,
claro) muestran porque las personas tienden a sobreconfiar datos

luego de ver un texto bien escrito y con algn emblema, sello o firma
implantando para darle falsa legitimidad.
Las tcnicas presencias no agresivas incluyen seguimiento de
personas, vigilancia de domicilios, inmersin en edificios, acceso a
agendas y Dumpster Diving (buscar informacin como post-it,
boletas, recibos, resmenes de cuenta, etc. en la basura del
investigado)
En los llamados mtodos agresivos, el trabajo de los expertos se
vuelve ms intenso, y es donde surge la suplantacin de
identidad (hacerse pasar por IT, servicios tcnicos, personal de
seguridad, etc.), despersonalizacin y la ms efectiva de las
presiones psicolgicas. Segn los expertos en seguridad, la
combinacin de este ltimo grupo de tcnicas junto a la explotacin
de 3 factores psicolgicos antes comentados sobre el afectado,
pueden ser altamente efectivos en el trabajo cara a cara entre
vctima y victimario.

Un caso de ingeniera social en fases

La primera fase, al realizar un trabajo de ingeniera social
artesanal, implica un acercamiento para generar confianza del
usuario. Esto lo logran a travs de correos hacindose pasar por
representantes tcnicos de algn servicio o incluso a travs de una
presentacin formal en una charla coloquial, mostrndose emptico

y sacndonos de una eventual situacin de alerta ante el extrao

(aunque bien podra ser un compaero de trabajo, un amigo de un
conocido, etc.) La atencin que ponen en esta etapa es fundamental
para captar cualquier informacin que digamos y tomarla como
valorable.
Lo que sigue a esa recopilacin de datos bsicos es la generacin
de una preocupacin, inters o necesidad en la otra persona. En
base a su curiosidad o deseo, sta estar predispuesta consciente e
inconscientemente a brindar informacin. La idea del experto ser
observar nuestra reaccin y actuar en consecuencia con alguna
tcnica un poco ms agresiva si el dato a conseguir tiene un nivel
alto de preservacin. Lo dems ser prueba y error segn el caso al
que nos estemos refiriendo.
Por ejemplo, si un investigador simplemente quiere encontrar una
forma de acceder a tu correo electrnico, podra bastarle con
saber que tienes un blog en el que escribes cosas personales, sacar
nombres de parientes, instituciones y hechos importantes de tu vida
e ir corriendo a tu inicio de sesin de correo electrnico y pedir que
se le recuerde el password porque lo ha olvidado. Si por casualidad
en la pregunta de seguridad pusiste Cul es mi mejor amigo de la
infancia, probablemente el experto est matndose de la risa y ya
haya entrado a tu correo con informacin que t mismo le diste. Si
no lo consigue de esa manera, su trabajo no ha terminado y buscar
tcnicas ms agresivas o repetir el proceso para conseguir nueva

informacin. Todo esto, repito, est supeditado al caso en el que nos

refiramos. Si el cracker est intentando tirar abajo el sistema
informtico de un Estado, obviamente no ir a revisar los blogs
personales de los encargados de limpieza del lugar.

Efectividad de la ingeniera social

Como dice el famoso phreaker y cracker Kevin Mitnick, la ingeniera
socialtiene 4 principios por los cuales su efectividad
como herramienta crackerresulta inmensurable. El primero es
que ante alguien que inspira el mnimo respeto o incluso
lstima, Todos queremos ayudar, por lo que nos mostramos
dispuestos siempre a dar un poco ms de lo que se nos pide. Esto
lleva al segundo principio, El primer movimiento es siempre de
confianza hacia el otro, que se explica por s solo. El tercer
principio explotado por los expertos en IS es que No nos gusta
decir NO, esto lleva a mostrarnos menos reacios a ocultar
informacin y a cuestionarnos si no estaremos siendo muy
paranoicos al negar todo y en cmo afectar esto en la idea del otro
sobre nosotros. El ltimo punto es indiscutible: A todos nos gusta
que nos alaben.Si alguien conoce a Dale Carnegie y a su best
seller Cmo ganar amigos e influir sobre las personas sabr a lo
que se refiere. Con estos principios socilogicos aplicados
juntamente a las tcnicas de IS mencionadas sobre un individuo que
muestre vulnerabilidad por su ignorancia, despreocupacin o
impericia, el trabajo de los Ingenieros sociales se vuelve no slo

efectivo, sino tambin indetectable, ya no que generalmente no se

dejan trazas tiles para investigaciones.

Conocer cmo trabaja es saber defenderte de ella

Por sus caractersticas y porque su principal herramienta es la
adaptacin a diferentes escenarios y personalidades, la ingeniera
social es de las tcnicas ms complejas de evitar y es indetectable o
cuestionable dado que maneja aspectos de psicologa que no
podran ser puestos en evidencia fcticamente. Lo que s se puede
hacer es justamente esto que has hecho, leer sobre cmo funciona
y estar atento a diferentes intenciones sin volverte paranoico ni nada
similar. En general la gente es buena y tiene buenas intenciones, o
por lo menos yo quiero morirme creyendo eso. Pero que esto no te
obnubile en cuanto a tomar precauciones como que no haya gente
cerca cuando vas a introducir un password, ser ms inteligente
con tus contraseas y sobre todo con la forma que tienes para
recuperarlas al perderlas, no anotar contraseas ni accesos ni
informacin sensible en papeles que sean propensos a ser
desechados intencional o accidentalmente. Confa en quien tienes
que confiar y estate alerta a las intenciones que tienen quienes
intentan ayudarte por vas peligrosas. Recuerda tambin que y
esto est estudiado- siempre es mejor dos o tres argumentos
slidos que quince. No abras correos de desconocido y no, nunca
pero nunca te vas a ganar un coche slo por tener un mvil y

enviar tu identificacin personal por el mismo. Adems recuerda que

muchas veces una bsqueda en cualquier motor de bsquedas
puede llevarte a conocer la peligrosidad o no de un correo, una
oferta o una sugerencia tcnica.

http://www.neoteo.com/ingenieria-social-el-hacking-psicologico/
https://www.mindmeister.com/es/89436823/ingenier-a-social

Todo lo que debe saber sobre la

"Ingeniera Social"
La ingeniera social consiste en obtener informacin confidencial a travs de la
manipulacin de usuarios legtimos. En otras palabras: La ingeniera social se define como
la tcnica de explotar debilidades humanas con el fin de obtener informacin que permita
burlar las medidas de seguridad sin que la vctima pueda darse cuenta de ello.
Cmo funciona la ingeniera social
Por lo general, los ingenieros sociales utilizan el telfono, Internet, tcnicas de persuasin
psicolgica o Dumpster Diving para convencer a otras personas de que divulguen
informacin confidencial o hagan algo que vaya contra sus prcticas habituales. De esta
forma, explotan la tendencia natural de una persona a confiar en lo que le dicen, en lugar de
explotar vulnerabilidades en sus computadoras. Lo que hace posible la ingeniera social es
el principio, generalmente admitido, de que los usuarios son el eslabn ms dbil en la
seguridad.
Ingeniera social por telfono
La forma ms habitual de ingeniera social es la que se realiza por telfono. El atacante
llama y se hace pasar por una persona importante para la empresa o por un consultor
externo que trabaja para la empresa. Con frecuencia sigue distintos guiones que ha
ensayado previamente (lo que se conoce como llamadas fraudulentas). El atacante se gana
la confianza de los clientes para conseguir de ellos informacin importante. Si el cliente no
tiene claro qu informacin puede divulgar, el atacante puede aprovechar este
desconocimiento para obtener ms informacin.

Ingeniera social por Internet

La ingeniera social en Internet puede adoptar formas muy variadas. Es frecuente que el
atacante enve directamente al cliente un correo electrnico en el que le solicita su
contrasea. Tambin puede enviarle un archivo adjunto con un troyano que registra las
teclas que pulsa el cliente y las enva automticamente al atacante por correo electrnico.
En otras ocasiones, el archivo adjunto instala una ventana emergente que imita la ventana
en la que el cliente tiene que escribir su nombre de usuario y su contrasea, lo que permite
al hacker hacerse con esta informacin.
Ingeniera social por Dumpster Diving
Una forma menos glamorosa de ingeniera social recibe el nombre de Dumpster Diving o
bsqueda en la basura. En este caso, el atacante obtiene informacin sobre el cliente o la
empresa buscando en la basura que stos han tirado. La basura de un cliente o empresa
puede ser una autntica mina de oro en la que el atacante encuentra la informacin
necesaria para iniciar otra forma de ataque, como la ingeniera social por telfono.
Ingeniera social por persuasin psicolgica
La persuasin psicolgica se puede combinar con cualquiera de las formas de ingeniera
social anteriormente descritas. Es frecuente que el atacante recurra a la persuasin para
ganarse la confianza del cliente, algo que resulta especialmente til en las llamadas
fraudulentas.
La autoproteccin es la mejor defensa
Mantngase siempre alerta ante cualquier pregunta o actitud que pueda resultar sospechosa.

https://espanol.totalbank.com/seguridad/todo-lo-que-debe-saber-sobre-la-ingenieria-social-

Cmo funciona la ingeniera social?

15 diciembre, 2014
Por: Toms Franquelis Ramrez Prez
CATEGORA INTERNET

2380

Hoy en da esta muy de moda obtener informacin de una persona o compaia con el fin de
exponer a las mismas y cometer actos delictivos, esto es lo que se denomina ingenieria social,
obtener informacin por medios de engaos.
La ingeniera social ha ido aumentando a travs de los aos porque los delicuentes informticos se
han dado cuenta de que los usuarios son el eslabn dbil de una compaa, los cuales pueden ser
engaados con facilidad, ya que estos siempre estas dispuestos a cooperar si creen que estan
ayudando a la empresa.
Este proceso de engaar al usuario casi siempre se lleva a cabo via telefnica para una supuesta
actualizacin de datos de x compaia,pero el fin de esa actualizacin es obtener datos e
informaciones que les sirvan para crear una brecha para estos entrar al sistema de dicha
compraia, casi siempre buscan informacin de centrales telefnica porque a estas es que le
sacan mayor provecho. Existen otros metodos de relaizar la ingeniera social como es la internet,
cara a cara, etc.
El phishing es uno de los grandes mtodos que se utilizan para la ingeniera social y uno de los
ms efectivos, la mayoria de personas tiene la costumbre de no leer y hacer clic o de llenar
cualquier formulario sin ver el origen de ese correo, los delicuentes informticos muchas veces
envian correo haciendose pasar por un banco u otra empresa pidiendole que actulize sus datos
con el fin de robarle la informacin de sus targetas de creditos o cuentas bancarias.
El administrador de seguridad de una empresa tiene el gran reto de la ingeniera social, porque no
depende solamente de el convatirla, este tiene la gran tarea de instruir a cada persona que este
vinculada a la empresa para que aprendan a detectar cuando le quieren hacer ingenieria social. El
administrador debe crear polticas de como usar los telefonos y correo de la empresa, el
procediemiento del acceso de una persona a las instalaciones de la empresa, es decir, tiene que
manejar el flujo de la informacin en la empresa.
Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Segn su
opinin, la ingeniera social se basa en estos cuatro principios:
1.

Todos queremos ayudar.

2.

El primer movimiento es siempre de confianza hacia el otro.

3.

No nos gusta decir No.

4.

A todos nos gusta que nos alaben

http://www.summamagna.com/tecnologia/internet/ingenieria-social/

https://www.mindmeister.com/es/89436823/ingenier-a-social

1.
Qu es la Ingeniera Social?
2.

Qu es el Spam?

3.

Qu son los Phishing?

4.

Qu son los HOAX?

5.

Cmo podemos contribuir a la educacin a nuestros usuarios para que no sean

vctima de los Ingenieros Sociales?

Introduccin
Hace ya algunos aos vengo estudiando el comportamiento de los usuarios de mi red haca el uso
del correo electrnico.
A medida que se han ido incorporando nuevas entidades y nuevos usuarios a la red donde trabajo,
se han incrementado la cantidad de usuarios de correo y se hace necesario brindarles a todos
estos una capacitacin para el uso correcto de este medio que brindamos.
Como dato inicial podemos decir que desde el 1 de enero del 2008 hasta inicios del mes de abril
del presente ao se han procesado ms de 22 296 correos electrnicos y como dato estadstico
podemos afirmar que el 26 % de estos correos han sido correos no deseados, segn hemos
podido comprobar en los lg. obtenidos del servidor de correo; si a estos datos les sumamos los
reportes de los usuarios sobre supuestos Virus que al final no han sido ms que Hoax, nos ha
llamado la atencin por lo que hemos decidido hacer este trabajo para ayudar a nuestros usuarios
en la importancia del uso correcto del correo electrnico.
Para ello debemos conocer qu o quines estn detrs de todas estos ataques recibidos por va
del correo electrnico, debemos saber qu es la Ingeniera Social y quines son las personas que
hacen vulnerables nuestros sistemas.

Qu es la Ingeniera Social?
En el campo de la seguridad informtica, "Ingeniera Social" (IS) es la prctica de
obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Un ingeniero
social usar comnmente el telfono o Internet para engaar a la gente y llevarla a revelar
informacin sensible, o bien a violar las polticas de seguridad tpicas. Con este mtodo, los
ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que
aprovechar agujeros de seguridad en los sistemas informticos. Generalmente se est de acuerdo
en que "los usuarios son el eslabn dbil" en seguridad; ste es el principio por el que se rige la
ingeniera social.
Un ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en el
correo electrnico que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para
enviar cantidades masivas de spam). Ahora, luego de que los primeros correo electrnicos
maliciosos llevaron a los proveedores de software a deshabilitar la ejecucin automtica de
archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explcita para que
ocurra una accin maliciosa. Muchos usuarios, sin embargo, dan clic ciegamente a
cualquier archivo adjunto recibido, concretando de esta forma el ataque.
Quiz el ataque ms simple que an es efectivo sea engaar a un usuario llevndolo a pensar que
una persona es un administrador del sistema y solicitando una contrasea para varios propsitos.

Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o
informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin",
u otra operacin benigna; a este tipo de ataques se los llama Phishing (pesca). Los usuarios de
estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores del sistema. En
realidad, los administradores de redes (nunca) necesitan saber la contrasea de los usuarios para
llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra no ser necesario en
una encuesta realizada por la empresa InfoSecurity, el 90% de los empleados de oficina de la
estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo barato.
En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos comunican que
han perdido su cuenta de usuario o que perdieron la informacin almacenada en su backup, o tal
vez que han sido vctimas pues su cuenta de correo electrnico fue blanco de ataques de spam,
suplantacin de identidad o envi de informacin no autorizada por la misma. Cmo yo como
usuario puedo contribuir o ayudar a que un Ingeniero Social me haga dao?
La ingeniera social se concentra en el eslabn ms dbil de cualquier cadena de polticas de
seguridad. Se dice a menudo que la nica computadora segura es aquella que nunca ser
encendida. El hecho es que se ha visto como el password (contrasea) de inicio de sesin en la
red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en
ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina
o en los laboratorios.

Leer ms: http://www.monografias.com/trabajos60/ingenieria-social-spam/ingenieria-socialspam.shtml#ixzz3k7sgQK48

Tambin el factor humano es una parte esencial del juego de seguridad. No existe
un sistema informtico que no dependa de algn dato ingresado por un operador humano. Esto
significa que esta debilidad de seguridad es universal, independiente de plataforma,
el software, red o edad de equipo.
Cualquier persona con el acceso a alguna parte del sistema, fsicamente o electrnicamente, es
un riesgo potencial de inseguridad.
Una de las herramientas esenciales usadas para la ingeniera social es una buena recoleccin de
los hbitos de los individuos.
S nos referimos a Ingeniera Social como ya hemos visto es bien amplio todo lo que se refiere a
esta especialidad", pero el inters principal de este trabajo es mostrarle a nuestros usuarios la
necesidad de aprender a usar correctamente el correo electrnico para ello debemos explicar que
son los molestos SPAM, Phishing, y los HOAX, de estos la importancia que tienen pues llegan a
veces a saturar losservidores de correos por el exceso de informacin que suelen trasmitirse
diariamente en la red pues causan a los usuarios que los reciben, alertas, curiosidad,

ingenuidad, pnico y hasta el inters de ayudar en muchos casos sin saber que se estn
perjudicando la privacidad de su informacin.

Qu es el Spam?
Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor.
Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en general es la basada
en el correo electrnico. Otras tecnologas de Internet que han sido objeto de correo basura
incluyen grupos de noticiasusenet, motores de bsqueda, wikis, foros, blogs, tambin a travs de
popups y todo tipo de imgenes y textos en la Web.
El correo basura tambin puede tener como objetivo los telfonos mviles (a travs de mensajes
de texto) y los sistemas de mensajera instantnea como por ejemplo Outlook, Kmail, Webmail, etc.
Tambin se llama spam a los virus sueltos en la red y pginas filtradas (casino, sorteos,
premios, viajes y pornografa), se activa mediante el ingreso a pginas de comunidades o grupos
que acceden a links en diversas pginas.
Ests son algunas de las situaciones que vemos a diario con el uso del correo electrnico, esto
lleva a que al final nuestra computadora en el menor de los casos sea infectada con
cualquier programa maligno (malware), aqu veremos algunos ejemplos ms comunes a diario en
nuestras redes.
Algunos ejemplos que se pueden citar:

La ejecucin de un virus troyano por parte del usuario, adjunto a un correo electrnico
enviado por una direccin que le es familiar o simplemente con un interesante ttulo al destinatario
como "es divertido, prubalo", "mira a Shakira desnuda", etc.

Tambin lo podemos ver con este tpico asunto en que promueve mensajes publicitarios y
cosas del estilo "hgase millonario mientras duerme".

Descarga los ltimos emoticones de este link y disfruta de las nuevas variedades.
Esto son algunos ejemplos, citados simplemente para mostrar algunos conceptos anteriormente
explicados.

Qu son los Phishing?

Phishing o pesca de informacin es el uso de mensajes y pginas Web falsas para engaarte y
hacerte enviar informacin confidencial o personal.
En general, recibes un correo que parece proceder de una organizacin acreditada, como
un banco. El correo incluye lo que parece ser un enlace a la Web de la organizacin. Sin embargo,

si haces clic en el enlace, te llevar a una copia falsa de la Web. Cualquier dato que introduzcas,
como nmeros de cuenta, nmeros PIN o contraseas, pueden ser robados y usados por las
personas que crearon la pgina falsa.

Qu son los HOAX?

Un hoax (engao, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso
es real.
A diferencia del fraude el cual tiene normalmente una o varias vctimas y es cometido con
propsitos delictivos y de lucro ilcito, el hoax tiene como objetivo el ser divulgado de manera
masiva haciendo uso de los medios de comunicacin, siendo el ms popular de ellos en la
actualidad Internet y no suelen tener fines lucrativos o no son su fin primario.
Es un mensaje de correo electrnico con contenido falso o engaoso. Normalmente es distribuido
en cadena por sus sucesivos receptores debido a su contenido impactante que parece provenir de
una fuente seria y fiable o porque el mismo mensaje pide ser reenviado.
El Primer hoax surgi en diciembre de 1994, y casi al mismo tiempo de creacin del spam, se
enva el primer hoax masivo, que tena como asunto Good Times.
El contenido de este correo es:
""Cuidado! Si llega un mensaje titulado 'Good Times', simplemente leyndolo, el virus malicioso
acta y puede borrar todos los contenidos del disco duro"".
Los usuarios de nuestra red nos preguntan, Por que recibimos spam en nuestros buzones
de correo, cmo saben nuestra direccin electrnica?
Tanto los Spam como los Hoax, usan las tcnicas similares los primeros con el fin de promover
algn producto o simplemente recuperar direcciones electrnicas con el fin de venderlas y/o
intercambiarlas , o simplemente hacerse de una gran cantidad de direcciones electrnicas para
posteriormente distribuir por esa va cualquier programa maligno (malware), los Hoax por su parte
en el mayor de los casos buscan mover la opinin pblica, engaar y fomentar falsas expectativas
acerca de un tema especifico, pero siempre con el fin de recopilar la mayor cantidad de direcciones
electrnicas para usarlas con el mismo fin que los creadores de los Spam.
En muchas ocasiones los usuarios de correo electrnico rechazan a un spam o simplemente no lo
ven pues existen en los servidores de correo los Anti spam, pero si aceptan los Hoax o cartas en
cadenas pues se sienten motivados por el asunto, es entonces que se convierten en vctimas de
los Spam y los Hoax pues sus direcciones electrnicas pasan hacer propiedad de los Ingenieros
Sociales que promueven esta informacin.
Veamos las tcnicas ms comunes utilizadas por los Ingenieros Sociales para atraer a sus
victimas.

Los Ingenieros Sociales que crean hoax suelen tener alguno de los siguientes objetivos:

Captar direcciones de correo (para mandar spam, virus, mensajes con Phishing o ms
hoax a gran escala)

Intentar engaar al destinatario para que revele su contrasea o acepte un archivo de

malware.

Confundir a la opinin pblica

Bsicamente, podemos dividir los hoaxes en las siguientes categoras:

Alertas sobre virus incurables.

Mensajes de temtica religiosa.

Cadenas de solidaridad.

Cadenas de la suerte.

Leyendas urbanas.

Mtodos para hacerse millonario.

Regalos de grandes compaas.

Otras cadenas.
Algunos detalles sobre los hoaxes.

No tienen firma.

Algunos invocan los nombres de grandes compaas.

Piden al receptor que lo enve a todos sus contactos.

Te amenazan con grandes desgracias si no lo reenvas.

En algunos casos son bastante convincentes.

Te hacen pedir deseos y al final del mensaje te dicen que si no lo reenvas no se te cumple
el deseo.
Vienen enviados por alguien de confianza que ya ha cado en el engao.
Algunos indican que por cada reenvo una empresa donar unos cuantos centavos a
alguna persona en problemas.

Algunos contienen numerosas faltas de ortografa.

Suelen estar escritos en mayscula.

A continuacin mostramos algunos HOAX que ms hemos detectado en nuestro nodo provincial
desde el comienzo del curso escolar hasta la fecha.

Cadenas religiosas o de la suerte.

Peligros para la seguridad (Irak, robo de rganos humanos).

Peligros para la salud (Sustancias que producen cncer, intoxicaciones).

Cadenas de solidaridad (la nia que si no es operada pierde la vida, personas enfermas y
sino lo reenvas pierden la vida, etc.).

Regalos increbles (Bill Gates reparte su fortuna, Nokia regala celulares).

Alertas informticas (Virus, Hotmail cierra, la vida es bella etc.).

Denuncias ambientalistas (Glaciares, Amazonas, recalentamiento terrestre).

Denuncias sobre derechos humanos (Violacin de nias en frica, Sitios de pornografa

infantil, etc.).

Scams o estafas (Estafa a la nigeriana, estafa piramidal, etc.)

Tambin hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como
tales:
- Poemas y mensajes de amor y esperanza (stos suelen venir en un archivo de Power Point).
- Mensajes para unirte a pginas de amigos y de relaciones de parejas.
- Chistes y fotos que circulan en cadena (ejemplo: la foto de Motumbo, fotos de Britney Spears o
ltimos chismes de farndula).
Segn hemos conocidos por nuestros usuarios en algunas ocasiones estos hoax o cartas en
cadenas suelen venir de direcciones y lugares del mismo territorio nacional o de personas
conocidas, como ya hemos planteado anteriormente estas personas que en algunos casos suelen
enviar esta informacin fueron engaados y se hacen participe de que lo que estn enviando es
una realidad.
Exponemos algunos tipos de cartas en cadenas, los ms conocidos por nuestros usuarios.
1

Hola, y gracias por leer esto. Hay un(a) pobre niito(a) en frica, que no tiene piernas, ni brazos, ni
padres. La vida de este nio puede ser salvada porque cada vez que enves este correo
electrnico, un dlar ser donado a la FUNDACIN "Niito de frica sin piernas ni brazos ni
padres."
2
Hola! esta carta lleva en circulacin desde el ao 1876 (imposible porque en esa poca no haba
correo electrnico), As funciona: enva esto a 1,2,3,4,5. personas en 7 minutos o algo horrible te
pasar. Es cierto!!
Historia Verdica: Mara Carla regreso a su casa el sbado. Ella haba ignorado esta carta. Se
tropez con una grieta en la cera, cay en las cloacas, fue absorbida por unas tuberas y muri.
Esto te podra pasar a ti!!
Historia verdica: Oscar, un chico argentino de 18 aos, recibi esta carta y la ignor. Ese mismo
da, fue atropellado por un coche, al igual que su novia ( S, algunos empiezan tan jvenes).
Ambos murieron y fueron enviados al infierno. Esto tambin te podra pasar a ti!! Recuerda, podras
acabar como estos chicos!! Simplemente enva esto a todos tus contactos y todos seguir bien!!
Si recibes una carta que amenaza a tu vida, o que pretende dejarte sin suerte para el resto de tu
vida, BRRALA. Todo eso es mentira.

Cmo podemos contribuir a la educacin a

nuestros usuarios para que no sean vctima de
los Ingenieros Sociales?
Educar a nuestros usuarios es lo ms importante, es el objetivo de este trabajo, hemos visto que
existen innumerable vas y formas para recibir los molestos Spam, Phishing y Hoax a continuacin
les proponemos una serie de medidas para evitar seguirle el juego a estos Ingenieros Sociales que
tanto molestan en nuestras redes.

Un buen primer paso es crear conciencia de la Seguridad Informtica todo el personal que
forme parte del sistema educacional (aunque no tengan acceso a las computadoras) sepa sobre
los aspectos que rigen la seguridad de las redes.

No ingrese su direccin electrnica en un sitio Web sin antes verificar la poltica de

privacidad del mismo.

No haga clic en el enlace "cancelar suscripcin" de un correo electrnico, a menos que

usted confe en el remitente. Estas acciones le permiten al remitente verificar su existencia.

No reenve nunca las cartas en cadena, las peticiones, ni las alertas de virus. stas
pueden ser trucos de los Ingenieros Sociales que envan correos no deseados para recopilar
direcciones.

No responda a los mensajes de spam sospechosos, particularmente los que parecen ser
enviados por bancos. Al responder, usted estar confirmando la existencia de su direccin de
correo electrnico, lo que puede hacer que reciba an ms mensajes de spam.

Nunca permita que los programas de computadora recuerden sus contraseas ni nmeros
de tarjeta de crdito. Adems, cambie sus contraseas con frecuencia y no las comparta con otras
personas.

Deshabilite la "vista previa" de su correo electrnico. Esto evita que el correo no deseado
le informe al remitente que usted lo ha recibido.

S esta recibiendo constantemente estos molestos correos informe a los administradores

de red para que revisen el filtrado de los Anti Spam, puede que no est filtrndolos correctamente.

Utilice programas para bloquear los correos no deseados. Los navegadores como Internet
Explorer, Mozilla, Opera, Safari etc. incluyen opciones de filtro. Pongase en contacto con los
responsables de Seguridad Informtica para que le instalen en su computadora un Anti Spam o le
den sugerencias para evitar estos molestos correos.

Desconfiar de los mensajes que no contienen ninguna fecha o dato que pueda ubicarlos
temporalmente: el hoax est redactado de forma que pueda ser reenviado indefinidamente (en
ocasiones llega a estar activo durante aos)

Cuando recibamos un mensaje que hable de algo que desconocemos conviene consultar
su veracidad (por ejemplo a partir de buscadores de la www o simplemente informarnos con el
personal de Seguridad Informtica).

Slo si, tras el paso previo, estamos seguros de que lo que dice el mensaje es cierto e
importante de ser conocido por nuestros contactos Al reenviar un mensaje, utilizando la opcin
"Reenviar mensaje o Forward" del programa de correo, se incorporan al mensaje todas las
direcciones incluidas en los campos "Para" y "CC". Para evitar esto, si deseas reenviar a varias
personas el mensaje que recibiste, procede de la siguiente manera: Selecciona la parte del
mensaje que deseas reenviar, evitando las direcciones. Copia y pega en un mensaje nuevo. De
esta manera evitas que circulen todas las direcciones de correo que venan en el mensaje.

Explicarle a nuestros usuarios y amigos cules son las consecuencias de reenviar estas
cadenas y pedirles que no te reenven ms este tipo de informacin

Pero lo ms importante es No reenviar nunca estos mensajes, solo borrarlos con solo
hacer eso usted est contribuyendo a ir eliminando el juego de los Ingenieros Sociales.

Existen muchas ms medidas para evitar los molestos Spam, Phishing y Hoax, pero la mejor
medida para eliminarlos es borrarlos, si usted contribuye con solo ese granito de arena y solo con
esto ayuda a eliminar poco a poco a estos mal llamados Ingenieros Sociales.

Leer ms: http://www.monografias.com/trabajos60/ingenieria-social-spam/ingenieria-socialspam2.shtml#ixzz3k7slR279

Autor:
Lic. Alian Manuel Arteaga Garca
Instituto Superior Pedaggico
Capitn Silverio Blanco Nez
Sancti Spritus
Nodo Provincial de Educacin
2008

Leer ms: http://www.monografias.com/trabajos60/ingenieria-social-spam/ingenieria-socialspam2.shtml#ixzz3k7soxb67