INGENIERA SOCIAL

Ingeniera social (seguridad informtica)

Para ver un trmino similar en una disciplina diferente vea Ingeniera social (ciencias
polticas).
La Ingeniera social es la prctica de obtener informacin confidencial a travs de la
manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas,
tales como investigadores privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacin que les permitan realizar
algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios
son el eslabn dbil".

ndice
[ocultar]

1Tcnicas y trminos
2Pretextos
3Redes Sociales
4Phishing
5Vishing
6Baiting
7Quid pro quo
8Ingenieros sociales notables
o 8.1Kevin Mitnick
o 8.2Christopher Hadnagy
o 8.3Mike Ridpath
o 8.4David Pacios
o 8.5Badir Brothers
9Vase tambin
10Bibliografa
11Enlaces externos

Tcnicas y trminos[editar]
En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a
la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra empresa,
un compaero de trabajo, un tcnico o un cliente. Va Internet se usa, adicionalmente, el
envo de solicitudes de renovacin de permisos de acceso a pginas web o correos
electrnicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando as a
revelar informacin sensible o a violar las polticas de seguridad tpicas.
Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a
reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando
detalles financieros a un aparente funcionario de un banco en lugar de tener que
encontrar agujeros de seguridad en los sistemas informticos.
 La ingeniera Social est definida como un ataque basado en engaar a un usuario o
administrador de un sitio en la internet, para poder ver la informacin que ellos
quieren.
Se hace para obtener acceso a sistemas o informacin til.
Los objetivos de la ingeniera social son fraude, intrusin de una red, espionaje
industrial, etc.

Pretextos[editar]
El pretexto es la creacin de un escenario inventado para llevar a la vctima a revelar
informacin personal o a actuar de una forma que sera poco comn en circunstancias
normales. Una mentira elaborada implica a menudo una investigacin previa de la vctima
para conseguir la informacin necesaria, y as llevar a cabo la suplantacin (por ejemplo,
la fecha de nacimiento, el nmero de la Seguridad Social, datos bancarios, etc.) y hacerle
creer que es legtimo.
Esta tcnica puede ser utilizada por investigadores privados para engaar a una empresa
para que revele informacin personal de los clientes, y obtener as los registros
telefnicos, registros bancarios y otros datos.
El pretexto tambin se puede utilizar para suplantar a compaeros de trabajo, a la polica,
al banco, a autoridades fiscales o cualquier otra persona que podra haber percibido el
derecho a la informacin en la mente de la vctima. El "pretexter" simplemente debe
preparar respuestas a preguntas que se puede plantear la vctima. En algunos casos, todo
lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de
improvisar para crear un escenario pretextual.

Redes Sociales[editar]
Uno de los factores ms peligrosos, es la creciente tendencia por parte de los usuarios,
principalmente los ms jvenes, a colocar informacin personal y sensible en forma
constante. Desde imgenes de toda su familia, los lugares que frecuentan, gustos
personales, estados de nimo y relaciones amorosas. Las redes sociales proveen de
mucha informacin a un delincuente para que realice un ataque, como para robar tu
identidad o en el menor de los casos ser convincente para tener empata.

Phishing[editar]
Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a
pensar que un administrador del sistema est solicitando una contrasea para varios
propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben
mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de
"crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de
ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de
estos sistemas deberan ser advertidos temprana y frecuentemente para que no divulguen
contraseas u otra informacin sensible a personas que dicen ser administradores.
Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos
adjuntos en correos electrnicos, ofreciendo, por ejemplo, fotos "ntimas" de alguna
persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de
alguna persona conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la
mquina de la vctima para enviar cantidades masivas de spam). Ahora, despus de que
los primeros correos electrnicos maliciosos llevaran a los proveedores de software a
deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos
archivos de forma explcita para que ocurra una accin maliciosa. Muchos usuarios, sin
embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta
forma el ataque.
La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener
acceso a los sistemas informticos. Otro ejemplo es el conocimiento sobre la vctima, a
travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su
pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese
la vctima?
La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el
uso de polticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick.
Segn su opinin, la ingeniera social se basa en estos cuatro principios:

1. Todos queremos ayudar.

2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Vishing[editar]
El vishing consiste en realizar llamadas telefnicas encubiertas bajo encuestas con las
que tambin se podra sacar informacin personal de forma que la vctima no sospeche.
Por este motivo debemos tener cuidado y no proporcionar informacin personal aunque se
trate de nuestra compaa de mvil, electricidad o agua (entre otras), ya que podra ser un
hacker que haya elegido casualmente la nuestra.

Baiting[editar]
En este caso se utiliza un dispositivo de almacenamiento extrable (CD, DVD, USB)
infectado con un software malicioso, dejndolo en un lugar en el cual sea fcil de
encontrar (por ejemplo, baos pblicos, ascensores, aceras, etc.). Cuando la vctima
encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalar y
permitir que el hacker obtenga todos los datos personales del usuario.

Quid pro quo[editar]

Quid pro quo significa "algo por algo". El atacante llama a nmeros aleatorios en una
empresa, alegando estar llamando de nuevo desde el soporte tcnico. Esta persona
informar a alguien de un problema legtimo y se ofrecer a ayudarle, durante el proceso
conseguir los datos de acceso y lanzar un malware.
En una encuesta de seguridad de la informacin de 2003, el 90% de los trabajadores de
una oficina dieron a los investigadores lo que ellos afirmaban ser su contrasea en
respuesta a una pregunta de la encuesta a cambio de una pluma. Estudios similares en
aos posteriores obtuvieron resultados similares utilizando chocolates y otros seuelos
baratos, aunque no intentaron validar las contraseas.

Ingenieros sociales notables[editar]

Kevin Mitnick[editar]
El delincuente informtico reformado y posteriormente asesor de seguridad, Kevin Mitnick,
seala que es mucho ms fcil engaar a alguien para que facilite la contrasea de
acceso a un sistema que esforzarse en intentar entrar en dicho sistema.
Christopher Hadnagy[editar]
Es el profesional de seguridad que escribi el primer marco que define los principios
fsicos y psicolgicos de la ingeniera social. Es ms conocido por sus libros, podcast y por
ser el creador de la DEF CON Social Engineer Capture the Flag y del Social Engineer CTF
for Kids.
Mike Ridpath[editar]
Consultor de seguridad, autor y orador. Enfatiza tcnicas y tcticas para la ingeniera
social de "llamadas en fro" (cold calling). Se hizo notable despus de dar charlas donde
reproduca llamadas registradas y demostraba en vivo lo que haca para conseguir
contraseas.
David Pacios[editar]
Creador del concepto Ingeniera Social Aplicada para distinguir casos de estafa digital y
estudio del Hacking Social. Autor del libro Ingeniera Social Aplicada: Primera lnea de
defensa se hizo conocido por sus charlas y conferencias sobre hacking humano y
comercio en Deep Web.
Badir Brothers[editar]
Los hermanos Ramy, Muzher, y Shadde Badir todos ellos ciegos de nacimiento
lograron establecer un extenso esquema de fraudes telefnicos e informticos en Israel en
los aos 90 utilizando ingeniera social, personificacin de la voz y computadoras con
pantalla Braille.

Vase tambin[editar]