Ingeniera social (seguridad informtica)

Ingeniera social es la prctica de obtener informacin confidencial a travs de la

manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales
como investigadores privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacin que les permitan realizar
algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios
son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o
Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o
alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la
web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a
pginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas,
llevando as a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con
este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a
reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando
detalles financieros a un aparente funcionario de un banco en lugar de tener que encontrar
agujeros de seguridad en los sistemas informticos.
Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario llevndolo a pensar
que un administrador del sistema est solicitando una contrasea para varios propsitos
legtimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que
solicitan contraseas o informacin de tarjeta de crdito, con el motivo de "crear una
cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de ataques se
los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas
deberan ser advertidos temprana y frecuentemente para que no divulguen contraseas u
otra informacin sensible a personas que dicen ser administradores. En realidad, los
administradores de sistemas informticos raramente (o nunca) necesitan saber la contrasea
de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podra
no ser necesario en una encuesta realizada por la empresa Boixnet, el 90 % de los
empleados de oficina de la estacin Waterloo de Londres revel sus contraseas a cambio
de un bolgrafo barato.1
Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos
adjuntos en correos electrnicos, ofreciendo, por ejemplo, fotos "ntimas" de alguna
persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de
alguna persona conocida) pero que ejecutan cdigo malicioso (por ejemplo, usar la
mquina de la vctima para enviar cantidades masivas de spam). Ahora, despus de que los
primeros correos electrnicos maliciosos llevaran a los proveedores de software a
deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos
archivos de forma explcita para que ocurra una accin maliciosa. Muchos usuarios, sin
embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta
forma el ataque.
La ingeniera social tambin se aplica al acto de manipulacin cara a cara para obtener
acceso a los sistemas informticos. Otro ejemplo es el conocimiento sobre la vctima, a
travs de la introduccin de contraseas habituales, lgicas tpicas o conociendo su pasado
y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese la vctima?

La principal defensa contra la ingeniera social es educar y entrenar a los usuarios en el uso
de polticas de seguridad y asegurarse de que estas sean seguidas.
Seguridad Informtica: Qu es Ingenieria Social?
La ingenieria social es el trmino es utilizado para describir un mtodo de ataque, donde
alguien hace uso de la persuasin, muchas veces abusando de la ingenuidad o confianza de
un usuario, para obtener informacion que pueda ser utilizada para tener acceso autorizado a
la informacin de las computadoras.
Que ejemplos pueden ser citados sobre este mtodo de ataque?
Los dos primeros ejemplos presentan casos donde fueron utilizados mensajes de e-mail . El
ltimo ejemplo presenta un ataque realizado por telfono.
Ingenieria Social
Ejemplo 1: Recibes un mensaje por e-mail, donde el remitente es el gerente o alguien en
nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de
Internet Banking est presentando algn problema y que tal problema puede ser corregido
si ejecutas la aplicacion que est adjunto al mensaje. La ejecucin de esta aplicacin
presenta una pantalla anloga a la que usted utiliza para tener acceso a la cuenta bancaria,
esperando que usted teclee su contrasea. En verdad, esta aplicacion est preparada para
robar tu contrasea de acceso a la cuenta bancaria y enviarla al atacante.
Ejemplo 2: Recibes un mensaje de e-mail , diciendo que tu computadora est infectada por
un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de
Internet para eliminar el virus de tu computadora. La funcin real de esta herramienta no es
eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los
datos almacenados.
Ejemplo 3: Un desconocido llama a tu casa y dice ser del soporte tcnico de tu proveedor
de internet. En esta comunicacion te dice que tu conexin con internet est presentando
algn problema y, entonces, te pide tu contrasea para corregirlo. Si le entregas tu
contrasea, este supuesto tcnico podr realizar una infinidad de actividades maliciosas,
utilizando tu cuenta de acceso internet y, por lo tanto, relacionando tales actividades con tu
nombre.
Estos casos muestran ataques tpicos de ingeniera social, pues los discursos presentados en
los ejemplos buscan inducir el usuario arealizar alguna tarea y el xito del ataque depende
nica y exclusivamente de la decisin del usuario en suministrar

Ingenieria social informatica

Muy pocos la calificaran como mtodo de hacking, pero realmente es una tcnia que da
resultados por si sola y que puede apoyar a otras muchas para lograr un objetivo. En el
mundo hacking no hay programa o mtodologa estndar para conseguir hacer una
intrusin, existen un conjunto de tcnicas, mtodos y herramientas que bien utilizadas
pueden dar con mayor o menor posibilidades el xito en una intrusin. El uso de esta
tcnica est al alcance de cualquiera ya que no se necesitan conocimientos previos para
poder llevarla a cabo. Ahora bien si la est utilizando un hacker experto podr obtener
informacin relevante para poder lanzar sus ataques con una mayor efectivadad.
Qu es la ingenieria social? Definicin
La definicin de ingeniera social es el arte de sacar informacin a alguien sin que la
persona que est siendo "atacada" se de cuenta. Este sera el resumen corto, y en un sentido
mas mplio se utiliza tambin para inducir al usuario a realizar acciones que o bien le
pondrn en una posicin de baja seguridad o bien nos ayudar a crear una situacin en la
que nosotros como atacantes estamos en posicn ventajosa para lograr el objetivo que
estamos persiguiendo. Esto no es algo que se aplique exclusivamente en el mbito
informtico, es una tcnica basada en el engao y la confianza por parte de la vctima.
Podemos ver ejemplos de aplicacin de esta tcnica en los trileros por ejemplo. Para los que
desconocis qu son los trileros son personas que se dedican a sacar dinero a los
transeuntes mediante un sencillo "juego". El juego consiste en que ponen una bolita en la
mesa y 3 cubiletes pequeos. Tapan la bolita con un cubilte y los mueven entre si varias
veces a gran velocidad. Tu como jugador debes adivinar cual de los 3 cubiletes tiene la
bola, pero no lo vas a lograr ya que aunque aciertes el trilero al levantar el cubilete ocultar
la bola y perders. Claro, si la persona se pone en la calle a esperar que alguien venga y
apueste dinero porque s entonces el "negocio" no le va muy bien. Cmo lo mejora?
aplicando un truco de ingenera social que consiste en tener un gancho que apuesta varias
veces delante de la gente y "gana", en realidad no gana, el trilero le deja ganar, la gente al
ver lo fcil que es ganar dinero empieza a jugar tambin y aqu es donde el trilero le saca
los cuartos. Esta sera la esencia de este tipo de "hacking", que aunque pueda parecer un
tanto bsico a veces puede dar mejor resultado que la tcnica mas avanzada que tengas en
tu repertorio.
Si eres padre de un menor de edad que est empezando a coquetar en internet deberas
poder ser capaz de ver con quien se est relaccionando, ya que por desgracia para todos
sabemos que puede convertirse en el objetivo de algn adulto con malas intenciones. Al
igual que a todos nos han dicho alguna vez "no hables con desconocidos" en la red ocurre
lo mismo. Solo que en la red es mas dificil detectar para el cro saber si realmente est
hablando con otro chaval o con alguien que se est haciendo pasar por un nio. Esta gente
suele ganarse la confianza de tus hijos hacindoloes creer que son tambin menores y poco
a poco se los van llevando a su terreno hasta que tu hijo har exactamente lo que el adulto
pretenda desde el principio. La nica forma de que puedas proteger a tu hijo de estos

individuos es tener la capacidad de ver qu esta ocurriendo en el ordenador cuando tu no

ests delante. Y este es uno de los objetivos de este curso sobre seguridad informtica y
hacking.