¡Hola chicos! Hoy os voy a hablar sobre la ingeniería social.
La Ingeniería social: Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicional mente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
·         La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la Internet, para poder ver la información que ellos quieren.
·         Se hace para obtener acceso a sistemas o información útil.
·         Los objetivos de la ingeniería social son fraude, intrusión de una red.
·         El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche. Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra.
·         En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.
·         Quid pro quo significa "algo por algo". El atacante llama a números aleatorios en una empresa, alegando estar llamando de nuevo desde el soporte técnico. Esta persona informará a alguien de un problema legítimo y se ofrecerá a ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un malware. En una encuesta de seguridad de la información de 2003, el 90% de los trabajadores de una oficina dieron a los atacantes lo que ellos afirmaban ser su contraseña en respuesta a una pregunta de la encuesta a cambio de una pluma. Estudios similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas.

La ingeniería social inversa: A diferencia de la ingeniería social donde el individuo se muestra más activo, poniéndose en contacto con las personas que pueden suministrarle la información necesaria para atacar o introducirse en un sistema, la ingeniería social inversa es pasiva, ya que en ella se pone la trampa y se espera cautelosamente a que alguien caiga en ella (la trampa puede estar dirigida a un colectivo concreto o bien a una generalidad de usuarios).
¿En qué consiste? En este caso el usuario es el que se pone en contacto (utilizando cualquiera de los medios que se suelen utilizar en la ingeniería social: de persona a persona, teléfono, sitio web, correo electrónico, red social, etc…), sin saberlo con la persona que desea obtener información de él y una vez establecido el contacto ésta obtiene la información necesaria para realizar el ataque o la intrusión. ¿Cuál es la trampa? Pues consiste en ponerle al usuario las miguitas de pan para llegar a él.
¿Algunos ejemplos?
– Descubro un sitio web en el que dicen que son expertos en arreglar determinados problemas relacionados con el ordenador. Una vez que me pongo en contacto con ellos a través de uno de los medios indicados anteriormente, obtienen la información que necesitan para un futuro posible ataque.
– Me llega al buzón de correos un anuncio o una tarjeta de una persona que arregla ordenadores. Lo conservo y pasado un tiempo el ordenador se estropea, me pongo en contacto con dicha persona y obtiene la información que precisa.
– (Uno más cinematográfico :-))Voy a un congreso de seguridad y una persona tiene en la solapa una acreditación de la marca del servidor de aplicaciones de mi organización, me acerco a él para hacerle algunas preguntas y termina siendo él, el que obtiene información que puede resultar relevante para un posible ataque.
En la ingeniería social inversa no tiene por qué actuar siempre una persona para obtener información, ya que también se considera este tipo de prácticas al acceso a un sitio web y descarga de un determinado software que se encuentra infectado por un virus (en cualquiera de sus variantes: gusano, troyano, etc…) el cual puede servir para provocar vulnerabilidades en el sistema a través de las cuales realizar ataque. En este caso el reclamo ha sido un determinado software que podría resultar nos 

Comentarios

Publicar un comentario

Entradas populares de este blog

Imagen
¡Hola chicos!  Hoy paso por aquí para dejaros un vídeo introductorio a lo que realmente son las "TIC" o Tecnologías de la información y las comunicaciones. Las tecnologías de la información y de la comunicación agrupan los elementos y las técnicas utilizadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, Internet y telecomunicaciones. ¡Espero que lo disfrutéis! ¡Espero que lo disfrutéis!
Leer más
¡Hola chicos! Hoy vengo a daros un poco de información acerca de las amenazas que acechan a nuestros dispositivos y la información que estos contienen y almacenan. ¿Qué amenazas hay? à   AMENAZAS HUMANAS : Personas que pueden dañar. * Ataques pasivos: obtienen información sin alterarla. Ejemplos: usuarios con conocimientos básicos (leer el correo a un compañero que deja la sesión abierta), hackers (expertos que normalmente no causan daños) * Ataques activos: dañan o manipulan la información para obtener beneficios. Ejemplos: antiguos empleados de una organización (aprovechan las debilidades que conocen del sistema para atacarlo), crackers y otros atacantes (expertos que burlan sistemas de seguridad para realizar una actividad ilícita) à   AMENAZAS LÓGICAS : Software que puede dañar. * Software malicioso: programas con fines no éticos. Ejemplos: virus, gusanos, troyanos, espías. * Vulnerabilidades del software: cualquier error de programación en ...
Leer más
Imagen
¡Hola chicos! En esta práctica vamos a aprender cómo podemos actuar en función de eventos que se produzcan en nuestro teclado. Para saber si una tecla fue presionada podemos utilizar la variable booleana keyPressed , que devuelve el valor true si alguna tecla fue pulsada y false si no se pulsó ninguna. Por otro lado, tenemos la variable de estado key, que nos devuelve el valor de la última tecla pulsada. La variable key se suele utilizar cuando utilizamos teclas de letras y números, mientras que keyCode se utiliza cuando utilizamos teclas de símbolos y caracteres especiales (SHIFT, CTRL, UP, DOWN, etc). También es posible implementar las funciones keyPressed() y keyReleased() que serán invocadas cada vez que se presione o suelte una tecla respectivamente. En el ejemplo que os voy a enseñar ahora, he decidido usar el comando para que si yo pulsaba la letra 'r' el circulo se rellenaría de color azul.   Estos comandos dan la oportunidad de jugar con ellos de forma m...
Leer más