Академический Документы
Профессиональный Документы
Культура Документы
Para ver un trmino similar en una disciplina diferente vea Ingeniera social (ciencias
polticas).
Ingeniera social es la prctica de obtener informacin confidencial a travs de la
manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas,
tales como investigadores privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacinque les permitan realizar
algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios
son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono
o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn
banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va
Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de
permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las
famosas cadenas, llevando as a revelar informacin sensible, o a violar las polticas de
seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia
natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo
proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de
tener que encontrar agujeros de seguridad en los sistemas informticos.
Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a
pensar que un administrador del sistema est solicitando una contrasea para varios
propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben
mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de
"crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de
ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de
estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores. En
realidad, los administradores de sistemas informticos raramente (o nunca) necesitan
saber la contrasea de los usuarios para llevar a cabo sus tareas. Sin embargo incluso
este tipo de ataque podra no ser necesario en una encuesta realizada por la
empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo
de Londres revel sus contraseas a cambio de un bolgrafo barato.
Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos
adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna persona famosa o
algn programa "gratis" (a menudo aparentemente provenientes de alguna persona
conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima
para enviar cantidades masivas de spam). Ahora, despus de que los primeros e-mails
maliciosos llevaran a los proveedores de software a deshabilitar la ejecucin automtica
de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que
ocurra una accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente
cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener
acceso a los sistemas informticos. Otro ejemplo es el conocimiento sobre la vctima, a
travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su
pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese
la vctima?
La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el
uso de polticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick.
Segn su opinin, la ingeniera social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
Armado con la informacin, estaba listo para atacar. Llam al director general y
se hizo pasar por un recaudador de fondos de una organizacin de caridad del
cncer con la que el CEO haba tratado en el pasado. l le inform que estaban
ofreciendo un sorteo de premios a cambio de donaciones -y los premios incluan
entradas para un partido jugado por su equipo favorito, as como certificados de
regalo de varios restaurantes, incluyendo su lugar favorito.
El CEO mordi el anzuelo, y accedi a que Hadnagy le enviara un PDF con ms
informacin sobre la campaa para recaudar fondos. Incluso logr que el director
general le diga cual era la versin del lector de Adobe que usaba porque, segn le
dijo al director general "Quiero asegurarme de que estoy enviando un archivo
PDF que pueda leer". Poco despus de enviar el archivo PDF, el CEO lo abri,
instalando un programa malicioso que permiti que Hadnagy accediera a su
mquina.
Cuando Hadnagy y su compaero le informaron a la compaa sobre el xito de
la violacin a la computadora del CEO, el director general estaba
comprensiblemente enojado, aade Hadnagy.
"Senta que era injusto que utilizramos algo as, pero as es como funciona el
mundo", indica Hadnagy. "Un hacker malicioso no pensara dos veces acerca de
cmo utilizar esa informacin en su contra".
Deduccin 1: No hay informacin, independientemente de su carcter personal o
emocional, que est fuera de los lmites de un ingeniero social que busca hacer
dao
Deduccin 2: Con frecuencia la persona que piensa que est ms segura es la que
posee la mayor vulnerabilidad. Un consultor de seguridad dijo recientemente a
CSO que los ejecutivos son los blancos ms fciles de ingeniera social.
El escndalo del parque temtico
El objetivo del siguiente caso fue un cliente de un parque temtico que estaba
preocupado por el potencial compromiso de su sistema de venta de entradas. Los
equipos utilizaban patrones de ingreso que tambin contenan enlaces a sus
servidores, informacin de los clientes y registros financieros. El cliente estaba
preocupado de que si una computadora de ingreso estaba comprometida, podra
ocurrir una seria violacin de datos.
Hadnagy comenz su prueba llamando al parque, hacindose pasar por un
vendedor de software. Ofreca un nuevo tipo de software de lectura de PDF, cuya
versin de prueba quera que sea utilizado por el parque. Pregunt cul es la
versin que se utilizaba actualmente, obtuvo la informacin fcilmente, y estaba
listo para el segundo paso.
La siguiente fase requiri de ingeniera social en el lugar, y Hadnagy utiliz a su
familia con el fin de asegurar el xito. Subiendo a una de las taquillas con su
esposa e hijo a cuestas, le pregunt a una de las empleadas si podra utilizar su
computadora para abrir un archivo desde su correo electrnico. El correo
electrnico contena un archivo adjunto en PDF para un cupn que les dara la
admisin de descuento.
"Todo esto podra haber salido mal, si ella hubiera dicho No, lo siento, no puedo
hacer eso'", explica Hadnagy. "Pero vindome como un padre, con un nio
ansioso por entrar en el parque, tire las cuerdas de su corazn".
La empleada accedi, y el sistema del parque se vio afectado rpidamente por
malas noticias de Hadnagy. En cuestin de minutos, el socio de Hadnagy le envi
mensajes de texto para hacerle saber que estaba 'en' y 'recopilando informacin
para su informe".
Hadnagy tambin seala que mientras las polticas de los empleados del parque
decan que no deban abrir archivos adjuntos de fuentes desconocidas (incluso un
cliente que necesitan ayuda), no haba reglas para hacerlas respetar.
"La gente est dispuesta a pasar un gran esfuerzo para ayudar a los dems",
seala Hadnagy.
Conclusin 3: La poltica de seguridad es solo tan buena como lo es su
aplicacin
Conclusin 4: Los delincuentes suelen jugar con la naturaleza buena de un
empleado y el deseo de ser til.
El hacker es hackeado
Hadnagy da un tercer ejemplo que muestra cmo la ingeniera social se utiliza
con fines defensivos. Trabaj con "John," un evaluador de penetracin contratado
para conducir una prueba estndar de penetracin de red para un cliente. Ejecut
un escaneo utilizando Metasploit, lo que puso de manifiesto un servidor VNC
(virtual network computing) abierto, un servidor que permite el control de otras
mquinas en la red.
Document el hallazgo con la sesin VNC abierta cuando, de repente, en el
fondo, un ratn empez a moverse por la pantalla. John saba que esa era una
bandera roja porque la hora en la que estaban sucediendo los acontecimientos,
ningn usuario se conecta a la red por una razn legtima. Sospech que era un
intruso en la red.
Teniendo la oportunidad, John abri el Bloc de notas y comenz a charlar con el
intruso, hacindose pasar por un hacker 'n00b', alguien que es nuevo y no
calificado.
"El pens 'Cmo puedo obtener ms informacin de este tipo y ser ms valioso
para mi cliente?'", seala Hadnagy. "John jug con el ego del hombre al tratar de
fingir que era un novato que quera aprender ms de un hacker maestro".
John le hizo varias preguntas, fingiendo ser una persona ms joven que quera
aprender algunos trucos del comercio de la piratera y que quera mantenerse en
contacto con otro hacker. Cuando la charla termin, tena el e-mail del intruso,
informacin de contacto -e incluso una foto de l. Report la informacin a su
cliente, y el problema de fcil acceso al sistema fue corregido.
Seguridad Informtica: Qu es
Ingenieria Social?
Comentarios (1)
La ingenieria social es el trmino es utilizado para describir
un mtodo de ataque, donde alguien hace uso de la
persuasin, muchas veces abusando de la ingenuidad o confianza
de un usuario, para obtener informacion que pueda ser utilizada
para tener acceso autorizado a la informacin de las
computadoras.
Aunque el nmero de correos electrnicos usados por campaas para este tipo de
ataques haya disminuido, y el nmero de personas especficas elegidas como
objetivo sea tambin menor, la cantidad de este tipo de acciones creci en un 91%
en el 2013, segn el Internet Security Threat Report de Symantec, realizado a
mediados de abril del 2014.
Las campaas fueron unas tres veces ms largas que aquellas realizadas en el
2012, e indican que las tecnologas de proteccin y alerta han llevado a los
atacantes a ajustar y modificar su objetivo, y a aguzar la tcnica de su ingeniera
social. Symantec tambin report que los ingenieros sociales del mundo real
estn comenzando a combinar ataques del mundo real y virtual para aumentar las
posibilidades de xito. Chris Hadnagy, jefe hacker en Social-Engineer.org, ve un
aumento en el uso de esta tctica en los empleados de las empresas. Los grupos
y pandillas estn mandando correos electrnicos con archivos adjuntos
maliciosos, los cuales un empleado cauto normalmente ignora.
Qu es la Ingeniera
social y cmo estar
prevenidos
Por eduardobriceno el 25 de abril de 2012, 07:20
CompartirTwittear32
Qu es la Ingeniera social?
Como lo mencion al principio, la Ingeniera social es una tcnica
que aprovecha los errores humanos para comprometer las
seguridad de los sistemas, pero tambin podramos decir que es un
arte cuyas herramientas principales son el engao y la confusin.
As como existen piratas informticos que irrumpen en sistemas
aprovechando vulnerabilidades en el software, hay quienes se
hacen expertos en engaar y manipular a otras personas, y as, a
Phishing
El Phishing es uno de los mtodos de ataque de Ingeniera social
ms utilizados. La forma ms comn de Phishing es la que emplea
el correo electrnico para cometer fraude.
Vishing
En el Vishing, los mtodos son similares a los descritos en el
Phishing, de hecho su finalidad es exactamente la misma. La
diferencia es que este utilizauna llamada telefnica en lugar de un
correo electrnico o un sitio web falso.
Existen varias formas ataque bajo este mtodo, las ms comunes
son:
Los atacantes que emplean este mtodo suelen tener un gran poder
de convencimiento y ser buenos conversadores, de esta manera
logran mantener por el mayor tiempo posible a la vctima pegada al
telfono.
Ahora que conoces como funcionan, puedes sospechar de todas
las llamadas de este tipo. En el caso de los bancos, estos nunca te
pedirn datos va telefnica (en todo caso te pedirn que te
acerques hasta una de sus agencias). Tampoco Facebook, Google,
Microsoft o cualquier compaa/servicio te llamar para pedirte
informacin sobre tus contraseas o tarjetas de crdito.
Baiting
Este mtodo aprovecha una de las mayores debilidades -o virtudesde los seres humanos: la curiosidad.
En el Baiting, un atacante abandona de forma intencional un
dispositivo o medio de almacenamiento extrable, como por ejemplo,
una memoria USB o un CD/DVD. Dicho dispositivo estar infectado
con software malicioso, que podra ser instalado en el ordenador,
incluso sin que nos demos cuenta.
Contra este mtodo, tener un antivirus actualizado podra ser
efectivo, sin embargo, es necesario tener precaucin a la hora de
insertar dispositivos de dudosa procedencia en nuestros
ordenadores. Tambin es recomendabledesactivar la
Otros mtodos
Adems de los 3 que he mencionado, existen muchos otro mtodos
utilizados dentro de la Ingeniera social, todos ellos, como lo dije al
principio, hacen uso del engao y la confusin para llevarnos a la
trampa, por lo que debemos estar alerta en todo momento, y sobre
todo, hacer uso del sentido comn.
Finalmente, y aunque parezca una recomendacin obvia, procura no
anotar tus contraseas en lugares donde puedan ser fcilmente
visibles o encontradas por otros, sobre todo si trabajas en un lugar
donde entra y sale gente de manera constante. Dejar las tarjetas de
crdito, estados de cuenta, u otro tipo de informacin financiera a la
mano de cualquiera, tampoco es una buena idea.
Ahora que conoces como funciona la tcnica y sabes como prevenir
un fraude, es momento de compartir la informacin con tus
familiares y amigos, de esta manera, ellos tambin podrn evitar
caer en la trampa.
Esa fue la pregunta que el equipo detrs del sitio web social-engineer.org realiz.
Ellos acaban de publicar los resultados de una prolongada encuesta su
realizacin tom meses que present dos escenarios diferentes sobre cmo un
ingeniero social podra intentar obtener informacin de una vctima.
El primero mostraba una conversacin agradable y cmo sta poda ser utilizada
por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social
que intenta que unos extraos se unan a l en una conversacin muy personal,
realizando poco esfuerzo. Vestido en forma muy casual, utiliz un accesorio con el
que pens que atraera a las personas hacia l: un pequeo aviso con un slogan
muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este
accesorio, pudo entablar conversaciones con las personas.
El hecho es que nos gusta tratar con personas que son como nosotros, pero nos
gusta an ms tratar con personas a las que les GUSTAMOS, sostuvo
Christopher Hadnagy, fundador de social-engineer.org y autor de Social
engineering: The art of human hacking.
La conversacin agradable hace que una persona sienta que le gustas y, a su vez,
que t le gustes.
La segunda historia es la de un ingeniero social que emplea el principio de
autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla
con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego
dirigindose a la secretaria, alza la voz y dice me enviaron para revisar su
conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros
25 nodos. Necesito que se identifique en su red con su contrasea mientras veo
para confirmar que se puede conectar.
Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay
mtodos para que un empleado rechace un pedido as sin algn grado de temor,
explica Hadnagy. Otros mtodos, como llevar estas tablillas, parecer ocupado o
tener el control, todos stos le dan a uno un aire de autoridad que pocas personas
cuestionaran.
Los dos escenarios fueron presentados con una tercera opcin que ninguno de
ellos usara.
La conversacin agradable result ser la ganadora entre los encuestados. Fue
escogida por ms de la mitad de los muchos miles que respondieron la encuesta,
indic Hadnagy.
Nosotros pensbamos que la mayora escogera la autoridad, pero, de hecho,
concordamos en que la conversacin agradable funciona en ms casos que la
autoridad, sostuvo Hadnagy en una sinopsis de los resultados. Una simple
palabra o accin que puede hacer que uno sienta que te preocupas por l o ella,
puede ayudar bastante a construir una comunicacin, confianza y relacin que
har que la persona quiera darle la informacin que busca.
Cuando los resultados se desagregan por gnero, la conversacin amigable an
se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se
encontraba muy atrs en el caso de los varones. Muchas ms mujeres que
hombres sealaron que consideraban que la autoridad era una poderosa tcnica
de ingeniera social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepcin de que
los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de
confianza la que ha llevado a muchos a ser vctimas de hacking.
No estamos diciendo que no confiemos en nadie, sino que pensemos en forma
ms crtica, sostuvo Hadnagy. Las solicitudes que se le hacen, las preguntas que
se le hacen, tienen sentido? Es realmente necesario responder a estas
preguntas? El pensamiento crtico puede ayudar. En segundo lugar, obtenga
informacin. Est al tanto de los vectores de ataque que se estn utilizando y
aprenda como son utilizados. Eso lo mantendr alerta.
http://xombra.com/index.php?do/noticias/nota/5816/op/4/t/ingeniera-socialfunciona
Facebook56
Twitter104
160
Concepto
En pocas palabras, la ingeniera social (IS) es un conjunto
de tcnicas psicolgicas y habilidades sociales (como la
influencia, la persuasin y sugestin) implementadas hacia
un usuario directa o indirectamente para lograr que ste
revele informacin sensible o datos tiles sin estar
conscientes de su maliciosa utilizacin eventual. Estas
pueden estar llevadas a cabo mediante el trabajo con
luego de ver un texto bien escrito y con algn emblema, sello o firma
implantando para darle falsa legitimidad.
Las tcnicas presencias no agresivas incluyen seguimiento de
personas, vigilancia de domicilios, inmersin en edificios, acceso a
agendas y Dumpster Diving (buscar informacin como post-it,
boletas, recibos, resmenes de cuenta, etc. en la basura del
investigado)
En los llamados mtodos agresivos, el trabajo de los expertos se
vuelve ms intenso, y es donde surge la suplantacin de
identidad (hacerse pasar por IT, servicios tcnicos, personal de
seguridad, etc.), despersonalizacin y la ms efectiva de las
presiones psicolgicas. Segn los expertos en seguridad, la
combinacin de este ltimo grupo de tcnicas junto a la explotacin
de 3 factores psicolgicos antes comentados sobre el afectado,
pueden ser altamente efectivos en el trabajo cara a cara entre
vctima y victimario.
http://www.neoteo.com/ingenieria-social-el-hacking-psicologico/
https://www.mindmeister.com/es/89436823/ingenier-a-social
https://espanol.totalbank.com/seguridad/todo-lo-que-debe-saber-sobre-la-ingenieria-social-
2380
Hoy en da esta muy de moda obtener informacin de una persona o compaia con el fin de
exponer a las mismas y cometer actos delictivos, esto es lo que se denomina ingenieria social,
obtener informacin por medios de engaos.
La ingeniera social ha ido aumentando a travs de los aos porque los delicuentes informticos se
han dado cuenta de que los usuarios son el eslabn dbil de una compaa, los cuales pueden ser
engaados con facilidad, ya que estos siempre estas dispuestos a cooperar si creen que estan
ayudando a la empresa.
Este proceso de engaar al usuario casi siempre se lleva a cabo via telefnica para una supuesta
actualizacin de datos de x compaia,pero el fin de esa actualizacin es obtener datos e
informaciones que les sirvan para crear una brecha para estos entrar al sistema de dicha
compraia, casi siempre buscan informacin de centrales telefnica porque a estas es que le
sacan mayor provecho. Existen otros metodos de relaizar la ingeniera social como es la internet,
cara a cara, etc.
El phishing es uno de los grandes mtodos que se utilizan para la ingeniera social y uno de los
ms efectivos, la mayoria de personas tiene la costumbre de no leer y hacer clic o de llenar
cualquier formulario sin ver el origen de ese correo, los delicuentes informticos muchas veces
envian correo haciendose pasar por un banco u otra empresa pidiendole que actulize sus datos
con el fin de robarle la informacin de sus targetas de creditos o cuentas bancarias.
El administrador de seguridad de una empresa tiene el gran reto de la ingeniera social, porque no
depende solamente de el convatirla, este tiene la gran tarea de instruir a cada persona que este
vinculada a la empresa para que aprendan a detectar cuando le quieren hacer ingenieria social. El
administrador debe crear polticas de como usar los telefonos y correo de la empresa, el
procediemiento del acceso de una persona a las instalaciones de la empresa, es decir, tiene que
manejar el flujo de la informacin en la empresa.
Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Segn su
opinin, la ingeniera social se basa en estos cuatro principios:
1.
2.
3.
4.
http://www.summamagna.com/tecnologia/internet/ingenieria-social/
https://www.mindmeister.com/es/89436823/ingenier-a-social
1.
Qu es la Ingeniera Social?
2.
Qu es el Spam?
3.
4.
5.
Introduccin
Hace ya algunos aos vengo estudiando el comportamiento de los usuarios de mi red haca el uso
del correo electrnico.
A medida que se han ido incorporando nuevas entidades y nuevos usuarios a la red donde trabajo,
se han incrementado la cantidad de usuarios de correo y se hace necesario brindarles a todos
estos una capacitacin para el uso correcto de este medio que brindamos.
Como dato inicial podemos decir que desde el 1 de enero del 2008 hasta inicios del mes de abril
del presente ao se han procesado ms de 22 296 correos electrnicos y como dato estadstico
podemos afirmar que el 26 % de estos correos han sido correos no deseados, segn hemos
podido comprobar en los lg. obtenidos del servidor de correo; si a estos datos les sumamos los
reportes de los usuarios sobre supuestos Virus que al final no han sido ms que Hoax, nos ha
llamado la atencin por lo que hemos decidido hacer este trabajo para ayudar a nuestros usuarios
en la importancia del uso correcto del correo electrnico.
Para ello debemos conocer qu o quines estn detrs de todas estos ataques recibidos por va
del correo electrnico, debemos saber qu es la Ingeniera Social y quines son las personas que
hacen vulnerables nuestros sistemas.
Qu es la Ingeniera Social?
En el campo de la seguridad informtica, "Ingeniera Social" (IS) es la prctica de
obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Un ingeniero
social usar comnmente el telfono o Internet para engaar a la gente y llevarla a revelar
informacin sensible, o bien a violar las polticas de seguridad tpicas. Con este mtodo, los
ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que
aprovechar agujeros de seguridad en los sistemas informticos. Generalmente se est de acuerdo
en que "los usuarios son el eslabn dbil" en seguridad; ste es el principio por el que se rige la
ingeniera social.
Un ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en el
correo electrnico que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para
enviar cantidades masivas de spam). Ahora, luego de que los primeros correo electrnicos
maliciosos llevaron a los proveedores de software a deshabilitar la ejecucin automtica de
archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explcita para que
ocurra una accin maliciosa. Muchos usuarios, sin embargo, dan clic ciegamente a
cualquier archivo adjunto recibido, concretando de esta forma el ataque.
Quiz el ataque ms simple que an es efectivo sea engaar a un usuario llevndolo a pensar que
una persona es un administrador del sistema y solicitando una contrasea para varios propsitos.
Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o
informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin",
u otra operacin benigna; a este tipo de ataques se los llama Phishing (pesca). Los usuarios de
estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores del sistema. En
realidad, los administradores de redes (nunca) necesitan saber la contrasea de los usuarios para
llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra no ser necesario en
una encuesta realizada por la empresa InfoSecurity, el 90% de los empleados de oficina de la
estacin Waterloo de Londres revel sus contraseas a cambio de un bolgrafo barato.
En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos comunican que
han perdido su cuenta de usuario o que perdieron la informacin almacenada en su backup, o tal
vez que han sido vctimas pues su cuenta de correo electrnico fue blanco de ataques de spam,
suplantacin de identidad o envi de informacin no autorizada por la misma. Cmo yo como
usuario puedo contribuir o ayudar a que un Ingeniero Social me haga dao?
La ingeniera social se concentra en el eslabn ms dbil de cualquier cadena de polticas de
seguridad. Se dice a menudo que la nica computadora segura es aquella que nunca ser
encendida. El hecho es que se ha visto como el password (contrasea) de inicio de sesin en la
red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en
ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina
o en los laboratorios.
Tambin el factor humano es una parte esencial del juego de seguridad. No existe
un sistema informtico que no dependa de algn dato ingresado por un operador humano. Esto
significa que esta debilidad de seguridad es universal, independiente de plataforma,
el software, red o edad de equipo.
Cualquier persona con el acceso a alguna parte del sistema, fsicamente o electrnicamente, es
un riesgo potencial de inseguridad.
Una de las herramientas esenciales usadas para la ingeniera social es una buena recoleccin de
los hbitos de los individuos.
S nos referimos a Ingeniera Social como ya hemos visto es bien amplio todo lo que se refiere a
esta especialidad", pero el inters principal de este trabajo es mostrarle a nuestros usuarios la
necesidad de aprender a usar correctamente el correo electrnico para ello debemos explicar que
son los molestos SPAM, Phishing, y los HOAX, de estos la importancia que tienen pues llegan a
veces a saturar losservidores de correos por el exceso de informacin que suelen trasmitirse
diariamente en la red pues causan a los usuarios que los reciben, alertas, curiosidad,
ingenuidad, pnico y hasta el inters de ayudar en muchos casos sin saber que se estn
perjudicando la privacidad de su informacin.
Qu es el Spam?
Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor.
Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en general es la basada
en el correo electrnico. Otras tecnologas de Internet que han sido objeto de correo basura
incluyen grupos de noticiasusenet, motores de bsqueda, wikis, foros, blogs, tambin a travs de
popups y todo tipo de imgenes y textos en la Web.
El correo basura tambin puede tener como objetivo los telfonos mviles (a travs de mensajes
de texto) y los sistemas de mensajera instantnea como por ejemplo Outlook, Kmail, Webmail, etc.
Tambin se llama spam a los virus sueltos en la red y pginas filtradas (casino, sorteos,
premios, viajes y pornografa), se activa mediante el ingreso a pginas de comunidades o grupos
que acceden a links en diversas pginas.
Ests son algunas de las situaciones que vemos a diario con el uso del correo electrnico, esto
lleva a que al final nuestra computadora en el menor de los casos sea infectada con
cualquier programa maligno (malware), aqu veremos algunos ejemplos ms comunes a diario en
nuestras redes.
Algunos ejemplos que se pueden citar:
La ejecucin de un virus troyano por parte del usuario, adjunto a un correo electrnico
enviado por una direccin que le es familiar o simplemente con un interesante ttulo al destinatario
como "es divertido, prubalo", "mira a Shakira desnuda", etc.
Tambin lo podemos ver con este tpico asunto en que promueve mensajes publicitarios y
cosas del estilo "hgase millonario mientras duerme".
Descarga los ltimos emoticones de este link y disfruta de las nuevas variedades.
Esto son algunos ejemplos, citados simplemente para mostrar algunos conceptos anteriormente
explicados.
si haces clic en el enlace, te llevar a una copia falsa de la Web. Cualquier dato que introduzcas,
como nmeros de cuenta, nmeros PIN o contraseas, pueden ser robados y usados por las
personas que crearon la pgina falsa.
Los Ingenieros Sociales que crean hoax suelen tener alguno de los siguientes objetivos:
Captar direcciones de correo (para mandar spam, virus, mensajes con Phishing o ms
hoax a gran escala)
Cadenas de solidaridad.
Cadenas de la suerte.
Leyendas urbanas.
Otras cadenas.
Algunos detalles sobre los hoaxes.
No tienen firma.
Te hacen pedir deseos y al final del mensaje te dicen que si no lo reenvas no se te cumple
el deseo.
Vienen enviados por alguien de confianza que ya ha cado en el engao.
Algunos indican que por cada reenvo una empresa donar unos cuantos centavos a
alguna persona en problemas.
Cadenas de solidaridad (la nia que si no es operada pierde la vida, personas enfermas y
sino lo reenvas pierden la vida, etc.).
Hola, y gracias por leer esto. Hay un(a) pobre niito(a) en frica, que no tiene piernas, ni brazos, ni
padres. La vida de este nio puede ser salvada porque cada vez que enves este correo
electrnico, un dlar ser donado a la FUNDACIN "Niito de frica sin piernas ni brazos ni
padres."
2
Hola! esta carta lleva en circulacin desde el ao 1876 (imposible porque en esa poca no haba
correo electrnico), As funciona: enva esto a 1,2,3,4,5. personas en 7 minutos o algo horrible te
pasar. Es cierto!!
Historia Verdica: Mara Carla regreso a su casa el sbado. Ella haba ignorado esta carta. Se
tropez con una grieta en la cera, cay en las cloacas, fue absorbida por unas tuberas y muri.
Esto te podra pasar a ti!!
Historia verdica: Oscar, un chico argentino de 18 aos, recibi esta carta y la ignor. Ese mismo
da, fue atropellado por un coche, al igual que su novia ( S, algunos empiezan tan jvenes).
Ambos murieron y fueron enviados al infierno. Esto tambin te podra pasar a ti!! Recuerda, podras
acabar como estos chicos!! Simplemente enva esto a todos tus contactos y todos seguir bien!!
Si recibes una carta que amenaza a tu vida, o que pretende dejarte sin suerte para el resto de tu
vida, BRRALA. Todo eso es mentira.
Un buen primer paso es crear conciencia de la Seguridad Informtica todo el personal que
forme parte del sistema educacional (aunque no tengan acceso a las computadoras) sepa sobre
los aspectos que rigen la seguridad de las redes.
No reenve nunca las cartas en cadena, las peticiones, ni las alertas de virus. stas
pueden ser trucos de los Ingenieros Sociales que envan correos no deseados para recopilar
direcciones.
No responda a los mensajes de spam sospechosos, particularmente los que parecen ser
enviados por bancos. Al responder, usted estar confirmando la existencia de su direccin de
correo electrnico, lo que puede hacer que reciba an ms mensajes de spam.
Nunca permita que los programas de computadora recuerden sus contraseas ni nmeros
de tarjeta de crdito. Adems, cambie sus contraseas con frecuencia y no las comparta con otras
personas.
Deshabilite la "vista previa" de su correo electrnico. Esto evita que el correo no deseado
le informe al remitente que usted lo ha recibido.
Utilice programas para bloquear los correos no deseados. Los navegadores como Internet
Explorer, Mozilla, Opera, Safari etc. incluyen opciones de filtro. Pongase en contacto con los
responsables de Seguridad Informtica para que le instalen en su computadora un Anti Spam o le
den sugerencias para evitar estos molestos correos.
Desconfiar de los mensajes que no contienen ninguna fecha o dato que pueda ubicarlos
temporalmente: el hoax est redactado de forma que pueda ser reenviado indefinidamente (en
ocasiones llega a estar activo durante aos)
Cuando recibamos un mensaje que hable de algo que desconocemos conviene consultar
su veracidad (por ejemplo a partir de buscadores de la www o simplemente informarnos con el
personal de Seguridad Informtica).
Slo si, tras el paso previo, estamos seguros de que lo que dice el mensaje es cierto e
importante de ser conocido por nuestros contactos Al reenviar un mensaje, utilizando la opcin
"Reenviar mensaje o Forward" del programa de correo, se incorporan al mensaje todas las
direcciones incluidas en los campos "Para" y "CC". Para evitar esto, si deseas reenviar a varias
personas el mensaje que recibiste, procede de la siguiente manera: Selecciona la parte del
mensaje que deseas reenviar, evitando las direcciones. Copia y pega en un mensaje nuevo. De
esta manera evitas que circulen todas las direcciones de correo que venan en el mensaje.
Explicarle a nuestros usuarios y amigos cules son las consecuencias de reenviar estas
cadenas y pedirles que no te reenven ms este tipo de informacin
Pero lo ms importante es No reenviar nunca estos mensajes, solo borrarlos con solo
hacer eso usted est contribuyendo a ir eliminando el juego de los Ingenieros Sociales.
Existen muchas ms medidas para evitar los molestos Spam, Phishing y Hoax, pero la mejor
medida para eliminarlos es borrarlos, si usted contribuye con solo ese granito de arena y solo con
esto ayuda a eliminar poco a poco a estos mal llamados Ingenieros Sociales.