Contenido

• Ingeniería Social en Perspectiva:

> Definiciones.
> Objetivos.
• Técnicas y Herramientas de Ingeniería Social:
> Invasivas o Directas o Físicas.
> Seductivas y/o Inadvertidas.
• Como Defenderse:
> Tips Simples para Defenderse.
> Como Identificar al “Hacker Social”.
> Estrategias de Combate.
• Recursos para saber más.
Una buena manera de esconder algo
es mostrarlo.

Anónimo.

Si necesitas algo, solo pídelo. El

secreto del éxito en obtenerlo está en
la manera de pedirlo.

Anónimo.
Definiciones
• La ingeniería social consiste en la manipulación de las
personas para que voluntariamente realicen actos que
normalmente no harían.

• Término usado entre crackers y samurais para referirse a las

técnicas de violación que se sustentan en las debilidades de
las personas mas que en el software. El objetivo es engañar a
la gente para que revele contraseñas u otra información que
comprometa la seguridad del sistema objetivo.
Contenido
• Ingeniería Social en Perspectiva:
> Definiciones.
> Objetivos.
• Técnicas y Herramientas de Ingeniería Social:
> Invasivas o Directas o Físicas.
> Seductivas y/o Inadvertidas.
• Como Defenderse:
> Tips Simples para Defenderse.
> Como Identificar al “Hacker Social”.
> Estrategias de Combate.
• Recursos para saber más.
Objetivos (¿Qúe Quieren Hacer?)*
• Los objetivos básicos de la Ingeniería Social son los mismos
del “hacking” o “cracking” (dependiendo de quien lo haga) en
general: ganar acceso no autorizado a los sistemas, redes o a
la información para...
>Cometer Fraude,
>Entrometerse en las Redes,
>Espionaje Industrial,
>Robo de Identidad (de moda),
>Irrumpir en los Sistemas o Redes.
Objetivos (¿A Quien Van
Dirigidos?)*
• Las víctimas típicas incluyen
> Empresas Telefónicas
> Servicios de Helpdesk y CRM
> Corporaciones Renombradas
> Agencias e Instituciones Gubernamentales y Militares
> Instituciones Financieras
> Hospitales.
• El boom de la internet tuvo su parte de culpa en la proliferación
de ataques a pequeños “start-up´s”, pero en general, los
ataques se centran en grandes compañias.
Técnicas y Herramientas de
Ingeniería Social
Invasivas o Directas o Físicas
Técnicas de Ingeniería Social
(Invasivas o Directas o Físicas)

• El Teléfono
• El Sitio de Trabajo
• La Basura
• La Internet-Intranet
• El Acceso Wireless
• Fuera de la Oficina
El Teléfono
• Personificación Falsa y Persuación
> Tretas Engañosas: Amenazas, Confusiones Falsas.
> Falsos Reportes de Problemas.
• Personificación Falsa en llamadas a HelpDesks y
Sistemas CRM
> Completando los Datos Personales
• Robo de Contraseñas o Claves de Acceso
Telefónico:
> Consulta de buzones de voz.
> Uso fraudulento de líneas telefónicas.
> Uso de Sistemas Internacionales de Voz sobre IP.
El Sitio de Trabajo
• Entrada a los sitios de trabajo
> Acceso Físico no Autorizado
> Tailgating
• Oficina
> “Shoulder Surfing” (ver por encima del hombro), Leer al revés.
> Robar, fotografiar o copiar documentos sensibles.
> Pasearse por los pasillos buscando oficinas abiertas
> Intentos de ganar acceso al cuarto de PBX y/o servidores para:
> Conseguir acceso a los sistemas,
> Instalar analizadores de protocolo escondidos, sniffers o,
> Remover o robar pequeños equipos con o sin datos.
La Basura
• “Dumpster Diving” o ¿Qué hay en nuestra basura?:
> Listados Telefónicos.
> Organigramas.
> Memorandos Internos.
> Manuales de Políticas de la Compañia.
> Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
> Manuales de Sistemas.
> Impresiones de Datos Sensibles y Confidenciales.
> “Logins”, “Logons” y a veces... contraseñas.
> Listados de Programas (código fuente).
> Disquettes y Cintas.
> Papel Membretado y Formatos Varios.
> Hardware Obsoleto.
La Internet-Intranet
• Si en algo es consistente un usuario es en repetir
passwords.
• “Password Guessing”
> Placa del Carro.
> Nombre de la HIJA + 2005.
> Fecha de nacimiento.
• Encuestas, Concursos, Falsas Actualizaciones de Datos
(Phising).
• Anexos con Troyanos, Exploits, Spyware, Software de
Navegación remota y Screen Rendering.
Phising...(extraido de Wikipedia)
• ...engañar a un usuario llevándolo a pensar que uno es un
administrador del sistema y solicitando una contraseña para varios
propósitos.
> "crear una cuenta",
> "reactivar una configuración",
> Actualización de datos;
• Los usuarios de estos sistemas deberían ser advertidos temprana y
frecuentemente para que no divulguen contraseñas u otra
información sensible a personas que dicen ser administradores.
• Los administradores de sistemas informáticos raramente (o nunca)
necesitan saber la contraseña de los usuarios.
• En una encuesta realizada por la empresa InfoSecurity, el 90% de los
empleados de oficina de la estación Waterloo de Londres reveló sus
contraseñas a cambio de un bolígrafo barato.
Los “USB Memory Dongles”
• Excelente para invadir o
inyectar virus, keygrabbers,
etc.
• Excelente para robar
información.
• Fácil de introducir en entornos
empresariales.
• Fácil de sacar, casi
indetectable.
Todos los dias sale uno a la calle...
El Acceso Wireless
• Extensión de la Oficina (hasta 93
Metros alrededor).
• War-Driving.
• De nada sirve tener la red protegida si
la gente no es consciente de la
privacidad de la clave.
• Una red abierta es puerta a delitos
informáticos.
• El punto de partida a “hacking”
tradicional.
War Driving
Fuera de la Oficina
• Almuerzos “De Negocios” de Viernes, que terminan en
volada de oficina y “Happy Hours”, con potenciales
consecuencias desastrosas:
> Sesiones de confesión de contraseñas, extensiones, direcciones
de correo electrónico. Al otro dia, la víctima no se acuerda.

• Conexiones “de oficina a Oficina”:

> ¿Puedo leer mi e-mail desde aqui?
> Eso está en la Intranet de la Empresa, pero (en tono jactancioso)
yo puedo entrar desde aqui.
> Lo que no sabe la victima es de la existencia de “KeyGrabbers”
> Solución: One Time Passwords.
Técnicas y Herramientas de
Ingeniería Social
Seductivas y/o Inadvertidas.
Técnicas de Ingeniería Social
(Seductivas y/o Inadvertidas.)

• Autoridad
• Carisma
• Reciprocidad
• Consistencia
• Validación Social
• Ingeniería Social Reversa
Autoridad
• Pretender estar con la gente de TI o con
un alto ejecutivo en la Empresa o
Institución.
• Puede usar un tono de voz:
> Intimidante
> Amenazante
> Urgente
 Carisma

• Se usan modales amistosos,

agradables.
• Se conversa sobre intereses comunes.
• Puede usar la adulación para ganar
información del contexto sbre una
persona, grupo o producto.
Reciprocidad

• Se ofrece o promete ayuda,

información u objetos que no
necesariamente han sido requeridos.
• Esto construye confianza, dá la
sensación de autenticidad y
confiabilidad.
 Consistencia
• Se usa el contacto repetido durante
un cierto período de tiempo para
establecer familiaridad con la
“identidad” del atacante y probar su
confiabilidad.
Validación Social
• Acecha el comportamiento normal de
tratar de satisfacer un requerimiento.
• Se puede tomar ventaja de esta
tendencia al actuar como un
compañero de trabajo necesitando
información, contraseñas o
documentos para su trabajo.
• La victima usualmente es una
persona con cierto potencial de ser
segregada dentro de su grupo, o que
necesita “ser tomada en cuenta”.
Ingeniería Social Reversa
• Ocurre cuando el Hacker crea una
persona que parece estar en una
posición de autoridad de tal modo
que le pedirán información a él, en
vez de que él la requiera.
• Las tres fases de los ataques de ISR:
> Sabotaje.
> Promoción.
> Asistencia.
 Ingeniería Social Reversa
• ¿Como opera?
> El Hacker sabotea una red o sistema,
ocasionando un problema.
> Este Hacker entonces promueve que él
es el contacto apropiado par solucionar
el problema, y entonces, cuando
comienza a dar asistencia en el arreglo
el problema, requiere pedacitos de
información de los empleados y de esa
manera obtiene lo que realmente quería
cuando llegó.
> Los empleados nunca supieron que él
era un hacker, porque su problema se
desvaneció, él lo arreglo y todo el
mundo está contento.
Tips Simples
para
Defenderse
Tips Simples para Defenderse
• Mantenga una actitud cautelosa y revise
constantemente sus tendencias de
ayudar a personas que no conoce. Ojo:
No tiene que volverse una persona
huraña y paranóica.

• Verifique con quien habla,

especialmente si le estan preguntando
por contraseñas, datos de empleado u
otra información sensitiva.
Tips Simples para Defenderse
• Al teléfono, obtenga nombres e
identidades (Nro. De Empleado, por
ejemplo). Corrobórelos y llámelos a su
pretendida extensión.
• No se deje intimidar o adular para
terminar ofreciendo información.
• No le permita a una persona
desconocida “descrestarlo” con su
aparente conocimiento.
> Ejemplo: Aquellos que conocen detalles
técnicos o usan acrónimos o la jerga propia
de la empresa o industria.
 Tips Simples para Defenderse
• Muchos pueden sonar como parte de
“la-cosa-real”, pero pueden ser parte de
la conspiración.
• Sea cauteloso (de nuevo, no paranóico)
en las encuestas, concursos y ofertas
especiales via internet, teléfono y correo
electrónico y convencional.
• Estas son formas comunes de cosechar
direcciones de correo electrónico,
contraseñas y otros datos personales.
...y...

¡Por Favor...!!!
¡¡¡NO
RESPONDA
MENSAJES
EN
CADENA...!!!
En un solo mensaje en cadena...
Como Identificar al “Hacker Social”.
• Trata (y lo logra...) de ser creíble, luce como
un profesional.
• Permanece en calma. Actúa como si
perteneciera a la empresa.
• Conoce a sus víctimas y como
reaccionarán.
• Reconoce al personaje alerta y lo evita.
• Sabe retirarse discretamente si algo
comienza a fallar.
Como Identificar al “Hacker Social”.
• En los ataques telefónicos, se aprovechan del hecho de la
mayor credibilidad de la mujer.
• Utilizan “marcas de agua” cuando usan correo
convencional falso.
• Usan tarjetas de negocio y nombres (ambos) falsos.
Verifíquelos antes de involucrarse.
• Tratan de manipular a las personas menos afortunadas,
segregadas, a las menos agraciadas y en general a todos
los que buscan validación social.
• Si el desafío es muy grande, trabajan en equipo.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
> La Internet-Intranet > Refuerzo contínuo del
conocimiento de los
• Tácticas del Hacker cambios a los sistemas y
redes.
> “Password Guessing”
> Entrenamiento en el uso
> Encuestas, Concursos, de contraseñas
Falsas Actualizaciones de
Datos. > Inducción en la creación
de contraseñas “fuertes”
> Anexos con Troyanos,
Exploits, Spyware,
Software de Navegación
remota y Screen
Rendering.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
> Acceso Wireless > Esconder SID
> Usar Mecanismos de
encripción:
• Tácticas del Hacker > WEP
> War Driving > WPA, WPA2
> “Password Cracking” > RADIUS
> “Screen Cloning” > Cambiar la clave con
frecuencia.
> Exploits, Spyware, > Usar listas autorizadas de
Software de Navegación MAC-ADRESSES.
remota y Screen > No chicanear con su nuevo
Rendering. router wireless.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
> Teléfono (PBX) > Entrenar a los empleados
y helpdesk en el sentido de
• Tácticas del Hacker nunca dar passwords u
• Personificación Falsa otra información
confidencial por teléfono
y Persuación
> Todos los empleados
• Personificación Falsa deben tener un PIN
en llamadas a específico al HelpDesk
HelpDesks y CRM´s. > Controlar llamadas larga
distancia, seguir llamadas,
• Robo de Contraseñas rehusarse a transferencias
o Claves de Acceso sospechosas
Telefónico:
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
> Entrenamiento en uso del carnet
> Sitio de Trabajo de acceso. Presencia de
Vigilantes.
• Tácticas del Hacker > No escriba contraseñas con
> Acceso Físico no alguien viendo
Autorizado > Restrinja uso de fotocopiadoras,
> Tailgating escaners, cámaras digitales.
> “Shoulder Surfing”, Leer > Requiera que las visitas sean
escoltadas
al revés.
> Cierre y monitorée la oficina de
> Robar, fotografiar o copiar correspondencia, cuartos de
documentos sensibles. servidores y PBX.
> Pasearse por los pasillos > Marque la información confidencial
> Intentos de ganar acceso y manéjela apropiadamente
al cuarto de PBX y/o
servidores
 Estratégias de Combate:
• Estratégia de Combate
• Area de Riesgo > Mantenga toda la basura en
> La Basura áreas aseguradas y
monitoreadas.
> Destruya datos sensibles en
papel,
• Tácticas del Hacker > Borre y destruya medios
> “Dumpster Diving” o magnéticos (diskettes y cintas) y
“nadar en la basura” raye los médios ópticos (CD-
ROMS, DVD´s).
> Borre los discos de equipos
obsoletos.
Estratégias de Combate:
• Area de Riesgo • Estratégia de Combate
> Fuera de la Oficina > Mantenga a los
empleados alerta a
través de entrenamientos
• Tácticas del Hacker contínuos de
conocimiento y
> Reuniones fuera de la
reforzamiento de políticas
oficina con uso de de seguridad, tácticas y
bebidas alcoholicas. tretas de los Hackers
> Conexiones “de sociales.
oficina a Oficina”
Ingeniería Social pura y dura.
• El coronel Martínez Inglés logró colarse en La
Almudena con un arma escondida justo antes de la
entrada del cortejo nupcial.
• Llegó a atravesar hasta seis controles con un revolver
bajo la chaqueta sin presentar la identificación
electrónica que llevaban todos los invitados. No tuvo
que pasar bajo ningún arco detector de metales.
• El dispositivo de seguridad incluía
> 20.000 agentes,200 contra-francotiradores, sellado de
alcantarillas, corte de todo el centro de la ciudad durante
dos días (calles, metro, autobuses), vigilancia casa-por-
casa de todo el recorrido durante meses, cierre del
espacio aéreo sobre Madrid y restricciones en 50 millas,
al menos dos cazas F-18 en vuelo durante la boda y
otros dos aviones AWACS prestados por la OTAN.
> Coste total de la seguridad: entre 6 y 8 millones de
euros. Fuente: http://www.microsiervos.com/archivo/seguridad/ingenieria-social-vs-awacs.html
Recursos para saber más.
• (Oficinistas revelan contraseñas por un bolígrafo) (en
inglés). The Register.
> http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

• Kevin D. Mitnick, William L. Simon, Steve Wozniak.

> The Art of Deception: Controlling the Human Element of
Security.
> John Wiley & Sons, 2002. ISBN 0471237124.
• SirRoss, 19 de enero, 2005.
> A Guide to Social Engineering,
> Volume 1,
> Volume 2
Recursos para saber más.
• The human side of computer security.
− Carole Fennelly.
− SunWorld, Julio 1999.
− Tambien se consigue en:
http://sunsite.uakom.sk/sunworldonline/swol-07-
1999/swol-07-security.html

• El Hacker Social mas famoso: Kevin Mitnick

− http://www.kevinmitnick.com/
− http://www.perantivirus.com/sosvirus/hackers/kevin.htm

• Varios escritos famosos sobre Ingeniería

Social.
− http://packetstorm.linuxsecurity.com/docs/social-
engineering/