INGENIERÍA

8. Redes sociales: los perfiles sociales revelan

una gran cantidad de información de la víctima desde
direcciones de correo, números de teléfono, hasta
aspectos personales y profesionales que no sabes,
están al alcance de todos. SOCIAL
Ejemplo: Quienes utilizan como contraseñas a
partir de fechas de nacimiento, aniversario, lugares
favoritos o preferencias, dan información
importante desde la cual existe una alta posibilidad
de éxito para el atacante.

En la mayoría de los casos, el uso de técnicas de

Ingeniería Social solamente representa el
principio del ataque en sí. Recordemos que lo que
se busca, es vulnerar la seguridad de la
infraestructura informática y una vez alcanzado el
objetivo, la posibilidad de ataques a realizar
puede volverse hasta infinita y con distintas Grupo Actividad No. 5
variantes. Algunos virus y malware que los
atacantes utilizan una vez cumplido el objetivo de Rafael Arteta Padilla
la Ingeniería Social son los siguientes: Bombas Jasyari Cotes Hans
lógicas, Backdoors, Troyanos, Botnets, Lisset González Suarez
Ransomware. Marinella Olivo García
Claudia Ortiz Suarez
MEDIDAS PARA NO SER Franklin Ortega Soto “El arte de la manipulación
VICTIMAS Darwing Rodríguez Osorio psicológica del ser humano”
Iván Segrera Sandoval

Como a nivel de empresa y personal podemos

tomar MEDIDAS PARA NO SER VÍCTIMAS DE UNA
AUDITORIA DE SISTEMAS I
INGENIERIA SOCIAL:

- Sea cuidadoso con la información personal. UNIVERSIDAD DEL ATLANTICO

- No entregue información sensible a nadie. FACULTAD DE CIENCIAS ECONOMICAS
- No ser tan confiado. PROGRAMA DE CONTADURIA PÚBLICA
- No revelar daros personales o financieros a
través de correo electrónico. Barranquilla, 2018-2
- No revelar daros a una empresa sino esta 100%
seguro.
- Cuidado con la información que brinda por
teléfono.
- No confiar en archivos adjuntos en emails.
- Evite reenviar email (cadenas).
- No prestar su celular a un desconocido.
- No prestar su computadora a un desconocido.

AUDITORIA DE SISTEMAS I
AUDITORIA DE SISTEMAS I

GENERALIDADES
La ingeniería social es la técnica de hackeo utilizada
para sustraer información a otras personas teniendo
como base la interacción social de tal manera que la
persona vulnerada no se dará cuenta cómo y cuándo
uno toma los datos necesarios para terminar siendo
la víctima de un ataque informático.
En esta práctica se recurre principalmente a la
manipulación de la psicología humana mediante el
engaño, el delincuente actuaba a partir de la premisa
de que en la cadena de la seguridad de la
información, el ser humano es el eslabón más débil.
El termino Ingeniería social hace referencia al arte de
manipular personas para eludir los sistemas de
seguridad y consiste en obtener la información de los
usuarios mediante el teléfono, correo electrónico,
correo tradicional y contacto directo. Los atacantes
de la ingeniería social usa la fuerza persuasiva y se
aprovechan de la ignorancia del usuario haciéndose
pasar por un compañero de trabajo, un técnico o un
administrador. Este tipo de método suele usarse por
los hackers, espías, ladrones, timadores o detectives
privados.
MÉTODOS
En general LOS MÉTODOS DE LA INGENIERÍA SOCIAL
están organizados de la siguiente manera:
- La primera fase es la de ACERCAMIENTO,
en esta tenemos la confianza del usuario haciéndose
pasar por un integrante de la administración de la
compañía o del círculo un cliente o el mismo
proveedor.
- La segunda fase es la ALERTA, en esta
desestabilizas al usuario y observa la velocidad de sus
respuestas, por ejemplo podría ser un pretexto de
seguridad o una situación de emergencia. Y por
último,
- La fase de la DISTRACCIÓN, tranquilizas al
usuario y evitas que se concentre la alerta, este
podría ser un agradecimiento que indique que todo
ha vuelto a la normalidad, una fase hecha en el caso
AUDITORIA DE SISTEMAS I
que sea mediante un correo electrónico o la
redirección de la página web de la compañía.
TÉCNICAS MAS USADAS
Sabías que los expertos calculan que el 97 por ciento
de los ataques informáticos no aprovechan una falla
en el software sino que utilizan técnicas de ingeniería
social para conseguir las credenciales, tus
credenciales necesarias para vulnerar la seguridad de
tu información.
La ingeniería social es la práctica de manipular
psicológicamente a las personas para que compartan
información confidencial o así hagan acciones
inseguras. Conoce en este breve folleto cuáles son
las 8 técnicas más usadas y cómo combatirlas:
1. Pretexting: en este caso un atacante crea
un escenario creíble para lograr que su víctima le
brinde acceso a su ordenador o también a su espacio
de trabajo con el fin de robar su información o
instalarle un malware.
Ejemplo: Bajo la excusa “se me agoto la batería de mi
equipo y no traje cargador” el atacante puede solicitar
un computador para revisar su correo electrónico, y
descargar malware sobre el equipo.
2. Tailgaiting: aprovechando la solidaridad o
inconsciencia de un empleado un atacante puede
evadir controles de acceso físico como puertas
electrónicas e ingresar a una organización sin
autorización.
Ejemplo: Es muy común que al ingresar un empleado,
no esté atento al cierre de la puerta a su ingreso y sea
aprovechado para que el atacante sobrepase el control
de acceso “colándose” al sujetar la puerta antes de su
cierre.
3. Dumpster diving: muchas organizaciones
desechan documentos con información sensible de
manera insegura, esta información podría ser
encontrada por atacantes que buscan en sus
desechos.
Ejemplo: Es muy común arrojar documentos a la
papelera sin validar el tipo de información que estos
AUDITORIA DE SISTEMAS I
puedan contener, incluyendo en algunos casos
anotaciones.
4. Shoulder surfing: literalmente cuando
miran por encima del hombro a un usuario
descuidado mientras ingresa el patrón de
desbloqueo, pin o alguna otra contraseña en sus
dispositivos.
Ejemplo: Al no concientizar a los usuarios sobre la
importancia y riesgos relacionados con el cuidado de
las credenciales de acceso, el digitar contraseñas frente
a alguien, es la manera más sencilla de darla a conocer
a un tercero bastando solo con que esté al lado o que
su campo visual cubra la pantalla y teclado.
5. Baiting: técnica que consiste en colocar
memorias externas con malware instalado en lugares
donde personas escogidas específicamente puedan
encontrarlo y al insertarlo infectar sus ordenadores.
Ejemplo: Consecuencia de no concientizar a los
funcionarios sobre los riesgos que podrían
materializarse al introducir una memoria USB en un
equipo de cómputo. Una USB arrojada a la entrada de
las instalaciones o el parqueadero a la hora de ingreso.
6. Phishing: consiste en engañar a un grupo
masivo de personas mediante correos electrónicos,
páginas web, perfiles sociales o mensajes de textos
falsos, con el fin de robar información confidencial.
Ejemplo: Basta con averiguar en qué banco se paga la
nómina de una empresa y luego enviar un correo a los
funcionarios indicando que se “ha realizado una
transacción exitosa de transferencia de dinero”, que
haga “click aquí”, lo que lo llevara a una página falsa
donde capturaran sus datos de acceso.
7. Vishing: llamadas telefónicas mediante las
que se busca engañar a la víctima suplantando a
compañías de servicios, de gobierno u otra entidad
para que usted revele su información privada.
Ejemplo: Campañas de reducción de la tasa de interés
de la tarjeta de crédito. Si se arrojan los extractos de las
tarjetas créditos a la basura, el atacante ya conocerá
información como tipo de tarjeta de crédito, numero,
entidad bancaria, nombre o dirección. Esta
información será suministrada en una llamada,
convenciéndolo de que quien llama es del banco, lo que
facilitara la obtención de la información faltante para
cometer el fraude.
AUDITORIA DE SISTEMAS I