UNIVERSIDAD CIENTFICA DEL SUR

FACULTAD DE INGENIERIA DE GESTIN Y DE SISTEMAS

EMPRESARIALES
Programa para EJECUTIVO C.P.E

Curso:

Tema a exponer:

Ethical Hacking

INGENIERA SOCIAL

Profesor:

Alumnos:

Ing. Manuel Antonio Pereyra

Kenneth Zevallos Saravia

Vitton A. Nez Carrasco
Robert Bello Tacilla

UCSUR - 2014

INTRODUCCIN
Regalos
Sorpresa
Engao y
Persuasin
Ejemplo

Conseguir
aquello que
buscan

Mtodo
Apela

INGENIER
A
SOCIAL

Utilizado

Apunta
Lograr

Explota el
Factor
Humano

Victima realice
un determinado
acto

Informacin
Significativa

Mensaje
instantne
o
Lograr que nosotros
hagamos click en
determinado link. Con
este fin, intenta
hacernos creer que son
fotos de amigos y as
logra infectarnos, entre
otras acciones.

Trampa
Nos dejen en nuestra
oficina un CD con
programas ejecutables
infectados o un
link que al dar clic en l
nos robe la cookie de
sesin que est en
nuestra PC para
luego hacernos un robo
de sesin.

Phishing

Casos
tpicos de
I.S.

Servicios
hosting
E. engao al administrador del
hosting en el que el intruso pide
que se le d un espacio para probar
o comprar el servicio donde luego
sube un script-shell en PHP o ASP y,
acto seguido, puede ver los cdigos
fuente de otras pginas en ese
mismo servidor
o proveedor, hacerse pasar por el
dueo del sitio para que haga el
favor de reemplazar el email de
registro y reenviar la clave ftp o del

Supuesto e-mail de
nuestro banco para que
coloquemos nuestros
datos personales o login
en determinado formulario
online. De esa manera, el
delincuente los graba para
finalmente extraer dinero
de nuestra cuenta o
vender los datos al mejor
postor.

Postal
electrnica
enviadas por email
que, al abrirlas, nos
requieren que
coloquemos
nuevamente el login
de nuestro correo
electrnico

La Ingeniera
Social puede
estar dirigida
a:

Una organizacin
objetivo.
Una organizacin al
azar
Determinado
empleado.
Un grupo de
empleados.
Un usuario

Prestadora de servicios
Conocido, amigo o pariente de
alguien
Autoridad
Colega de otro sector o sucursal
Annimo
Impersonalizado

La Ingeniera
Social es
realizada
supuestamente
por:

Movie. En Duro de matar 4.0, hay una escena de ingeniera

social (minuto 57) llevada a cabo para robar un auto. Luego de
activar los airbargs a golpes para que la central del sistema
OnStar se comunicara, Justin Long, interpretando a un hacker,
convence a la operadora de encender el auto con la excusa de ir
a un hospital luego de colisionar. En www.onstar.com/us_spanish/
jsp/explore/onstar_basics/technology.jsp, encontramos el
funcionamiento del sistema.

MEDIDAS CONTRA EL ENGAO

En las organizaciones serias que utilizan recursos y recaudos en cuanto a
seguridad de la informacin, la ingeniera social es tomada como una
potencial amenaza a su activo: la informacin.
A travs del hacking tico, un profesional de seguridad intentar emular en la
organizacin estos ataques a fin de lograr lo mismo que podra alcanzar esta
vez un ingeniero social o intruso (ya sea un empleado descontento o ex
empleado, hacker, espa industrial, competencia). El propsito de esto es
descubrir cules son los errores que se cometen en el trato con las personas
en cuanto a divulgacin de informacin supuestamente inofensiva y agentes
externos a travs de los medios de comunicacin o en persona, es decir,
desde el momento en que se le recibe en la empresa.

Algunas medidas para mejorar este aspecto

Entrenar a la gente mediante charlas (especialmente a las recepcionistas
que trabajan en mesa de entrada, a las telefonistas, al personal de
seguridad, a las secretarias y a los ejecutivos) acerca de esta fuga de
informacin.
Desarrollar polticas para el manejo interno de la informacin y su
clasificacin.
Llevar a cabo testeos ticos de seguridad (que no tendrn impacto en la
organizacin, sino que darn una nocin de cmo est resguardada ante
este tipo de amenaza).
Realizar pruebas como la de los pendrives-trampa y otros mtodos ms
intrusivos.

Todos los integrantes de todo el sistema deben tener presente lo siguiente:

Concientizacin institucional acerca de la ingeniera social.
Polticas internas que contemplen la descentralizacin de datos y el
resguardo de la informacin.
Polticas acerca del buen uso de recursos de comunicacin e informticos, por
parte de todos los empleados.
Lucidez mental.
Lo ms importante dentro de la organizacin es integrar a la gente que se
desempea en el sistema como parte del planeamiento estratgico de
seguridad de la informacin y concientizarla peridicamente a partir del
mismo reclutamiento.

Tcticas comnmente utilizadas

rea de riesgo

Tctica intrusiva

Estrategia

Telfono
(recepcionista)

Impersonalizacin y persuasin

Entrene a sus empleados para que no den

informacin confidencial ni passwords

Entrada de edificio

Acceso fsico no autorizado

Personal de seguridad

Oficina

Bsqueda de puertas abiertas

Invitados y visitantes escoltados

Intranet e internet

Plantar sniffers

Continuo revisiones de los cambios en la red

y uso de los passwords

Cestos de basura

Extraer basura

Monitoree, borre de modo seguro y destruya

lo descartado.

General Psicolgico

Impersonalizacin y
persuasin

Entrene al personal peridicamente.