Es una práctica para obtener información confidencial a través de la explotación de las debilidades humanas. Es una técnica de uso diario y que inconscientemente la practicamos sin darnos cuenta. Básicamente es una manera de obtener la información deseada de manera sutil, rápida y segura.
En pocas palabras, es la técnica utilizada para obtener información confidencial de un usuario sin que esta se de cuenta de que esta revelando información sensible. Segun Kevin Mitnick, considerado el padre de la ingeniería social, los principios en los cuales radica esta técnica son :
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
“El factor humano es el eslabón mas débil de la seguridad informática. Y no existe un solo equipo informático en el mundo que no dependa de uno, esta es una vulnerabilidad universal independiente de la plataforma tecnológica”
Técnicas de Ingeniería Social
- Pasivas : Se vigila a la victima desde un segundo plano, estudiando su comportamiento, NO hay interacción real con el.
- NO presenciales : Se contacta a la victima a través de medios no formales para obtener información. (teléfono, mail)
- Activas : Se lleva a la victima a la realidad, con el fin de causar daños y perjuicios. Se obtiene información invadiendo la privacidad del usuario.
Tácticas de Ingeniería Social
- Tailgating : Cuando una persona ingresa a un acceso restringido, fingiendo ser parte de la empresa, esto se realiza normalmente burlando las secciones de seguridad, guardias, torniquetes, etc.
- Eavesdropping : Intercepcion de conversaciones ajenas
- Shoulder surfing : Consiste en espiar la actividad de un usuario a sus espaldas, espiar su comportamiento y costumbres.
- Third-party autorization : Solicita información en nombre de alguna persona de alto cargo
- Piggybacking : Ingreso utilizando excusas de emergencia
Tácticas computacionales de Ingeniería Social
- Phishing : Correo electrónico falso que solicita información confidencial
- Spear Phising : Phishing dirigido a los usuarios de una organización
- Aplicaciones Móviles : Se instalan en los sitios de los fabricantes con logo corporativo
- SMS : Se envían mensajes de texto pidiendo información o solicitando alguna conexión
- Redes sociales : Invitación a conectarse de parte de usuarios desconocidos
Realizaremos una serie de laboratorios para comprender mejor algunos tipos de ataques, trataremos de subirlos diariamente hasta completarlos todos. Se utilizaran dos maquinas virtuales. Windows 7 y Kali Linux, ambas configuradas en modo puente para no interferir el trafico de la red.
0 Comentarios