Beruflich Dokumente
Kultur Dokumente
AUTÓNOMOS Y
MICROEMPRESAS
Unidad 5
Ingeniería social
Parte teórica
índice
2
Objetivos
3
1. DEFINICIÓN DE INGENIERÍA SOCIAL
1. DEFINICIÓN DE INGENIERÍA SOCIAL
Definición
Los autores de este hecho (criminales, terceros malintencionados, timadores, falsos técnicos, etc.) engañan
a sus victimas para que hagan algo por ellos (enviar correo, hacer clic, comprar algo…) o les den
información confidencial o sensible como:
5
1. DEFINICIÓN DE INGENIERÍA SOCIAL
No creo que haya mucha gente que se deje engañar por este tipo de prácticas.
En realidad son engaños sutiles pues los diseñan de manera que parecen
proceder de un sitio o una persona de confianza. En algunos casos utilizan
información que nos resulta familiar o relacionada con nosotros para que
bajemos la guardia y no sospechemos. Luego veremos algunos ejemplos.
Las tácticas de ingeniería social son más eficaces y menos costosas, en relación al tiempo y
esfuerzo que requieren, que los ataques informáticos complejos necesarios para obtener el mismo
resultado.
Es decir, es más fácil convencer a alguien para que te de sus contraseñas que intentar romper la
contraseña por medios informáticos (a menos que la contraseña sea muy débil).
6
1. DEFINICIÓN DE INGENIERÍA SOCIAL
7
1. DEFINICIÓN DE INGENIERÍA SOCIAL
8
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN
INTERNET?
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
¿Alguna vez te has parado a pensar por qué las redes sociales, los
servicios de correo electrónico u otros servicios ofrecidos a través de
Internet, son gratuitos? ¿Cómo ganan dinero? [2]
La información de los usuarios es «el oro de Internet» por los ingresos que se
generan en publicidad aprovechando que conocen qué buscamos, qué
compramos, etc. Cada vez que un usuario accede a algún tipo de información,
haciendo clic en un link o un anuncio, está revelando información sobre sus
preferencias, intereses y gustos.
10
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
Por otra parte, a través de Internet también hay quien trafica con información
obtenida ilegalmente y podemos encontrar información (páginas web, mensajes,
etc.) relacionada con actividades o acciones ilícitas.
11
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
Los ciberdelincuentes tienen formas de hacer negocio con la información que roban.
Utilizan la ingeniería social para engañarnos y robarnos información para venderla o
pedirnos un rescate, suplantarnos, realizar acciones ilícitas en nuestro nombre o
infectarnos para aprovechar nuestros recursos para su propio interés.
Además del fraude y del robo de información, otras actividades ilegales también tienen su
base en la red aunque no sean evidentes. Esto es porque utilizan los bajos fondos de
internet, la Darknet, a la que sólo se accede con software específico que permite el
anonimato y la confidencialidad. Es dónde se encuentran los mercados negros de Internet.
La Darknet es el sitio ideal para todo tipo de actividades maliciosas y delictivas. También la
usan activistas y periodistas de regímenes con limitada libertad de expresión.
La Darknet es una parte de la Internet profunda o Deep Web, la que no indexan los
buscadores. No debemos confundirlas pues en la Deep Web no todo es delictivo
también existen blogs, revistas académicas o bases de datos no indexados, es decir
que no se accede con los navegadores de uso común.
12
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
13
2. ¿QUÉ VALOR TIENE NUESTRA INFORMACIÓN EN INTERNET?
Como ya hemos mencionado, los ataques de ingeniería social también pueden terminar
con la infección de ordenadores que luego serán utilizados sin el consentimiento de sus
propietarios para realizar actividades ilícitas.
Las botnets son redes de ordenadores infectados sin que los usuarios legítimos lo sepan. Actúan de forma
sincronizada bajo las órdenes de un C&C (ordenador de mando y control) – controlado por la persona u
organización que infectó esos ordenadores.
Los ciberdelincuentes o las organizaciones criminales que están detrás de estos botnets se lucran con ello pues
utilizan nuestros recursos para actividades por las que obtienen dinero: distribuir malware, enviar spam, alojar
páginas fraudulentas, lanzar denegaciones de servicio, etc.
14
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
A BASADOS EN B
BASADOS EN
COMPONENTE HUMANO SOFTWARE MALICIOSO
Engañar y conseguir la confianza del usuario Engañar al usuario para que instale
para conseguir: en su ordenador software malicioso
que:
que revelemos datos confidenciales
que compremos productos/servicios • extraerá datos confidenciales
fraudulentos (falsos antivirus, del usuario
adware,…) que contribuyan a sus • le hará pertenecer a una
objetivos de distribuir malware, botnet para enviar spam,
redireccionar tráfico,… distribuir malware,…
ingresos directos a través del engaño:
fraude pago por clic, suscripción a
servicios Premium,…
secuestrar datos y pedir un rescate
16
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
17
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
Para entender mejor en qué consisten este tipo de ataques, a continuación veremos un
caso de suplantación de la identidad de nuestra entidad bancaria pidiendo nuestros
datos a través de una llamada telefónica…
Si nos ocurre esto, debemos sospechar. En este caso lo más prudente es no dar ningún
dato y llamar a nuestro banco para confirmar la veracidad de la llamada recibida.
18
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
VISHING
Este tipo de suplantación se parece bastante al ejemplo anterior, sólo que en este
caso, a la persona que contesta, se le pide comunicarse con un número específico
de su entidad bancaria donde una locución le pedirá datos (tarjeta bancaria,
credenciales generalmente); o simplemente se le solicita verificar algunos datos
personales llamando a un número telefónico específico.
SMISHING
En este caso, la estafa se realiza mediante mensajes SMS, en los que se solicitan
datos, se pide que se llame a un número o se pide que se acceda a una web.
19
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
VENTANAS POP-UP
Ventanas emergentes que piden instalar software o complementos en el
ordenador para que puedan verse videos o programas, pero que
realmente esconden software malicioso.
PHISHING
Un correo electrónico o web falsa que se hace pasar por una persona o
empresa de confianza (banco, Hacienda, etc.) en una aparente
comunicación oficial electrónica. Al seguir las instrucciones que esta
comunicación proporciona acabamos siendo infectados o enviándoles
nuestras credenciales de acceso al servicio.
WEBS ENGAÑOSAS
Ofrecen una publicidad engañosa sobre un servicio gratis o un premio de un concurso en el que para solicitar el
servicio es necesario registrarse. Muy a menudo utilizamos las mismas contraseñas para registrarnos en varios
servicios, por lo que probablemente estemos aportando sin darnos cuenta las credenciales de acceso a nuestro
banco o nuestra red social.
20
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
POP-UP
21
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
A través de las opciones de configuración podemos saber cómo bloquear las ventanas emergentes
en los distintos navegadores de Internet. [6]
22
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
PHISHING
¿Y qué pasa con los casos en los que En estos casos hay que
recibes emails de empresas que observar el mail en detalle
conoces y que a simple vista para detectar cualquier
Errores ortográficos.
23
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
¿SABES IDENTIFICAR LOS 10 PHISING MÁS UTILIZADOS POR LOS CIBERDELINCUENTES? [7]
24
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
WEB MALICIOSA
SPAM
¡¡Sí!! He visto algunos de los ejemplos de spam más típicos: los de Rolex, Viagra,
Omega, o la transferencia millonaria desde un país extranjero entre otros.
26
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
SPAM
Por otra parte si vamos a realizar un envío de correos masivo como una campaña de marketing, ante todo
debemos cumplir la ley (LSSI) en cuanto a comunicaciones comerciales. Si bombardeamos a nuestros clientes
con mensajes, sus equipos pueden considerarnos como spammers y nuestro correo terminará en el buzón de
spam.
Consulta la web LSSI para ampliar información sobre la ley y sobre cómo enviar comunicaciones
comerciales a tus clientes de manera segura. [9]
27
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
Lotería
A la persona le llega un correo haciéndole saber que ha ganado un premio de
Lotería, aún cuando no haya participado en sorteo alguno.
Un tío en América
En este caso, el correo indica que eres el único descendiente de una fortuna y
para adelantar la gestión de esa herencia, te solicita dinero por adelantado.
El nuevo amor
Es una de las más comunes. Consiste en que una supuesta mujer,
generalmente extranjera, envía un correo electrónico con una solicitud de
amistad y fotografías personales. Al final te pedirán dinero.
Nuevo trabajo
Te ofrecen un trabajo con un sueldo muy elevado, pero requieren que
adelantes dinero para gestiones.
28
3. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL
¿SABÍAS QUÉ?
Los virus que afectan a las memorias flash del tipo USB se propagan por
medio de un archivo autoejecutable, que como su propio nombre indica,
se ejecuta automáticamente cada vez que la memoria comienza a funcionar
al conectarse a nuestro PC.
Este tipo de ataques pueden llegar a bloquear los equipos pidiendo a través
de un mensaje una cantidad de dinero para proceder a desbloquearlo.
29
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
Recuerda las dos premisas que hemos mencionado al comienzo de esta unidad:
REFUERZO DE LA SEGURIDAD
Desarrollo de políticas y
Concienciación de Formación en materia
documentos internos
los empleados de seguridad
de seguridad
31
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
¿Y cómo puedo aprender a identificar las amenazas y los incidentes realizados a través
de técnicas de ingeniería social?
RECOMENDACIONES IMPORTANTES
32
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
Pero…hay casos en los que es difícil reconocer que la página web es falsa y que
se trata de un engaño, ¿no?
Comprobar el contenido de la web y si resulta sospechoso, no acceder a ningún enlace de dicha web.
Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.
Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas
web.
33
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
Comprobar que la dirección de los correos es legítima, y en caso contrario no leerlos ni acceder a sus
enlaces.
Desconfiar de los enlaces en color azul que indican una dirección y al acceder a ellos abren una web con
una URL distinta.
34
4. CONCIENCIACIÓN Y MECANISMOS DE DEFENSA
35
CONCLUSIONES
Actualmente la ingeniería social es uno de los vectores de ataque más peligrosos y que
más se está utilizando para acceder a las redes de las empresas, aprovechándose de la
ingenuidad o buena disposición de los empleados no concienciados.
FIREFOX - https://support.mozilla.org/es/kb/configuracion-excepciones-y-solucion-
de-problemas-
EXPLORER - http://windows.microsoft.com/es-es/internet-explorer/ie-security-
privacy-settings
Referencias