seguridad, un servicio que genera valor para su empresa guillermo santos calderón...
TRANSCRIPT
![Page 1: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/1.jpg)
INGENIERÍA SOCIAL – OTRA FORMA DE
HACKEAR
“Seguridad, un servicio que genera valor para su empresa”
Guillermo Santos Calderó[email protected]
![Page 2: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/2.jpg)
“Se puede gastar una fortuna adquiriendo tecnología y servicios...y su infraestructura de IT puede seguir siendo vulnerable a manipulaciones tradicionales.”
-Kevin Mitnick
![Page 3: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/3.jpg)
“No hay ningún parche o actualización para la ingenuidad o estupidez del ser humano.”
![Page 4: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/4.jpg)
“Es el arte y la ciencia de hacer que las personas cumplan con sus deseos”
4
“Una forma de hackear basada en la influencia, decepción y/o manipulación sicológica para convencer a una persona a cumplir con una solicitud”
¿Que es Ingeniería Social?
![Page 5: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/5.jpg)
¿Porque los Hackers usanIngeniería Social?
Los computadores, redes y aplicaciones se han endurecido -“hardened”-
El ser humano se ha convertido en el eslabón más débil en la cadena de seguridad informática
Más fácil que hackear un sistemaNo los detienen los sistemas para detección
de intrusiónMuy poco riesgo para el hacker
5
![Page 6: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/6.jpg)
Muy poco riesgo para el hackerFunciona en todas las plataformas de S/OSin bitácoras que puedan ser auditadasEfectividad de casi el 100%Poca gente tiene conciencia de este tipo de
ataques
6
¿Porque los Hackers usanIngeniería Social?
![Page 7: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/7.jpg)
Los Ingenieros Sociales se apoyan en la confianza, ganas de ayudar, educación, conocimiento de procesos y de información confidencial, suplantación de autoridades y tecnología
Frecuentemente realizan ataques pequeños para obtener información que les permita hackear una red o un sistema
Se apoya en seis características del ser humano que lo hacen vulnerable a ataques de Ingeniería Social
¿Cómo funciona laIngeniería Social?
![Page 8: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/8.jpg)
Seis tendencias del Ser Humanoque lo Hacen Vulnerable
La AutoridadHacer algo porque alguien con autoridad lo
solicitaLa Empatía
Realizar algo solicitado por alguien con quien se tiene muy buena empatía
La ReciprocidadRealizar algo por obtener un producto o un
beneficio a cambio
8
![Page 9: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/9.jpg)
El CompromisoHacer algo después de que se pactó un
compromiso para realizarloLa Validación social
Hacer algo que está de moda, que es muy popular y bien recibido por la sociedad
La EscasezRealizar algo para obtener un producto o
beneficio que está escaso o disponible por poco tiempo
9
Seis tendencias del Ser Humanoque lo Hacen Vulnerable
![Page 10: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/10.jpg)
El Firewall Humano
La ilusión de la invulnerabilidad (“eso nunca me va a pasar a mi”)
La tendencia frecuente de confiar en terceros (“el beneficio de la duda”)
La pereza de aplicar los protocolos de seguridad
La subestimación del valor de la información
La naturaleza de ayudar a los demás No entender cuales son las consecuencias
de algunas acciones
10
![Page 11: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/11.jpg)
Recolección de Inteligencia
Algunas técnicas importantes:Uso de InternetInformación libreBarrido de basuras
11
Pequeñas piezas de información cuando se juntan se pueden convertir en información muy valiosa
![Page 12: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/12.jpg)
Reconocimiento de Empresas
Sitio Web de la empresaNombres de empleados/Organigrama y
estructuraBoletines de la empresaDirectorio telefónico de la empresaLenguaje interno, terminología y nombres
de los servidores
12
![Page 13: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/13.jpg)
Reconocimiento de Empresas
Vacantes, candidatos a empleos/nuevos empleados
Empleados/terceros que utilizan recursos de la empresa en forma remota
13
![Page 14: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/14.jpg)
Reconocimiento del Personal
Teléfonos y correos electrónicoTítulo y cargo en la empresa Responsabilidades/deberes (a que tiene
acceso) Aficiones o intereses especiales Educación y colegios
14
![Page 15: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/15.jpg)
Reconocimiento del Personal
Páginas web personales/blogs/Biografías/Hojas de vida/publicaciones
Cédula y otras identificaciones personalesProgramación de
licencias/vacaciones/viajes
15
![Page 16: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/16.jpg)
Algunas Técnicas
PretextoSe inventa un escenario y se usa el teléfono
para obtener acceso a informaciónEl pretexto es el escenario que sea crea con
poca información para obtener más Cédula, nombre de los padres, ciudad de
nacimiento
16
![Page 17: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/17.jpg)
Phishing
Por email o por teléfonoAparenta ser de un negocio legal (banco,
etc.) que el atacado esté usandoSiempre dan sensación de urgenciaAmenazan la seguridad personal o de sus
recursosSolicitan reconfirmar datos personales
![Page 18: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/18.jpg)
Otro Phishing
Correos o llamadas de alto nivelSimulan ser de alguien conocido
Jefe de un departamentoUn compañero de trabajoEl centro de ayuda o soporte
Esta es otra forma de hacer phishing
![Page 19: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/19.jpg)
Phishing IVR/Teléfono
Usted es convencido de llamar a un teléfonoEl IVR aparece ser legítimo
El IVR solicita ingreso de datos personalesPIN, clave, cédula
Puede terminar hablando con un “agente”, parte de la trampa
![Page 20: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/20.jpg)
Trojanos
Utiliza la curiosidad o las ganas de las personas para hacer que baje (download) un “malware”
Simula ser algo gratisAnexo a un mail
Screen Saver, antivirus, fotos, enlaces
Abrirlo baja un troyanoExpone lo que se teclea, agendas de
direcciones, datos financieros
![Page 21: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/21.jpg)
Shoulder surfing
Se usa en aviones, aeropuertos, cafeterías, areas con Wi-Fi público y otros sitios públicos
Se observa la entrada de usuarios y claves y hasta se pueden grabar
Se descubren tarjetas de crédito y otra información confidencial
![Page 22: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/22.jpg)
Sumergirse en Basura
Es sumergirse en la basura de alguien¿Que se busca?
Información confidencial, bancos, tarjetas de crédito, estrategias, nombres de proyectos, correspondencia
Nombres de empleados, correos electrónicos, directorios telefónicos, manuales, servidores y aplicaciones, agendas, papel empresarial, memorandos, apuntes, usuarios y palabras claves
Discos duros eliminados
![Page 23: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/23.jpg)
Manzanas Bajitas
Se basa en medios físicosCD, DVD, floppy, USB Flash Drive
Rotuladas para llamar la atención“Aumento salarios”“Reducción Personal”“Estrategias confidenciales”
Una vez se instala en el PC, el “autorun” baja un troyano, virus o keylogger
![Page 24: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/24.jpg)
Quid pro quo
La trampa del “algo por algo”Dos ejemplos:
Suplantación de soporte o help deskRegalos a cambio de información
Encuestas demuestran que la gente cambia información privada por datos confidenciales
![Page 25: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/25.jpg)
Encuesta
Siete de diez (70%) trabajadores dieron la palabra clave de su computador de la oficina a cambio de un chocolate.
Esto sucedió en la Estación Waterloo en Londres.
El año anterior el resultado había sido del 90%
Tomado del Libro “El Arte de la Decepción” de Kevin Mitnick (2005)
25
![Page 26: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/26.jpg)
Como reconocer ataques deIngeniería Social
Sentirse incómodo es un síntoma al que hay que ponerle atención
Negación para dar información de contactos o personal
Solicitudes extrañas o inusualesDemasiadas muestras de hacerse pasar
como una persona confiable o para ganar amistad o confianza
26
![Page 27: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/27.jpg)
Uso de posiciones autoritariasGeneralmente estas carácterísticas no son
fáciles de reconocer. Lo clave es entrenar a la gente para seguir protocolos de seguridad en lugar de convertirlos en “detectores de mentiras”
27
Como reconocer ataques deIngeniería Social
![Page 28: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/28.jpg)
Barreras anti-Ingeniería SocialMUY IMPORTANTE el apoyo de la alta
directiva de la empresaDemostrar vulnerabilidades personales
(Juegos de roles orientados por expertos y sicólogos). Sugerir métodos para contrarrestar/proteger estas vulnerabilidades
Hacer que las personas puedan sentir lo que se siente cuando se es manipulado
28
![Page 29: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/29.jpg)
Barreras anti-Ingeniería SocialMotivar el uso de los protocolos de
seguridad explicándolos y diciendo como protegen a la emporesa
Desarrollar reglas simples para definir que es información sensible y confidencial
Enseñar que está bien DECIR QUE NO!
29
![Page 30: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/30.jpg)
Defensas contra la Ingeniería SocialPolíticas/procedimientos/procesos de
seguridadClasificación de los datos/manejo de
información sensibleEl Método del Beso – respuesta fácil sin
mucho que pensarEducar a los empleados y reforzar la
conciencia de la seguridad informática
30
![Page 31: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/31.jpg)
Realizar pruebas de ingeniería socialBúsquedas periódicas en las basuras de la
empresaEntrenamiento frecuente de seguridad
informáticaIncorporar ingeniería social en el plan de
respuesta a incidentes
31
Defensas contra la Ingeniería Social
![Page 32: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/32.jpg)
La Ingeniería Social es la amenaza mássencilla y más efectiva para la seguridad informática
Para mitigar esta amenaza se requiere de una vigilancia permanente
Las medidas anti-Ingeniería Social más efectivas son las políticas, procedimientos y procesos de seguridad, el entrenamiento para evitarla y las pruebas frecuentes
Conclusiones
![Page 33: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/33.jpg)
Ejemplos
Ejemplo 1 (tinyurl.com/3gluswy):Hadnagy, Auditor de SE, fue contratado para
hackear los servidores de una compañíaEncontró dirección de servidores,
direcciones IP, correos, teléfonos, servidores de correo, nombres de empleados y sus cargos
33
![Page 34: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/34.jpg)
Ejemplo 1:Supo que el CEO tenía un familiar que tuvo
cáncer y sobrevivióEl CEO estaba interesado en recolección de
recursos para investigaciones para combatir el cáncer
Encontró información adicional sobre el CEO como restaurantes favoritos, equipos favoritos, etc, en Facebook
34
Ejemplos
![Page 35: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/35.jpg)
Ejemplo 1:Hadnagy se hizo pasar por un miembro de
una entidad recaudadora de fondos para combatir el cáncer y le ofreció al CEO boletas para partidos de su equipo favorito y bonos para sus restaurantes favoritos
El CEO le pidió más información que le envío en un archivo PDF
35
Ejemplos
![Page 36: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/36.jpg)
Ejemplo 1:Inclusive el CEO dijo que versión de PDF
tenía para que pudiera leer el PDFAl abrir el PDF, se instaló un programa
(shell) que le abrió su computador a HadnagyHecho esto el sistema pudo haber sido
hackeado el sistema
36
Ejemplos
![Page 37: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/37.jpg)
Ejemplo 2Caso del hacker de un banco
Ejemplos
![Page 38: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/38.jpg)
Ejemplo 3Convencer a un amigo que se le puede
arreglar y actualizar su computadorSe le arreglan problemas menores en el
computador y se le instala un troyanoSe tiene acceso total al computador de
la persona que confío en el favor que se le iba a hacer
Ejemplos
![Page 39: Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón guillermo.santos@enter.co](https://reader038.vdocuments.site/reader038/viewer/2022110302/54b5689a49795948098b6ccc/html5/thumbnails/39.jpg)
The Art of Deception by Kevin D. Mitnick
The Art of Intrusion by Kevin D. Mitnick
Influence by Robert B. Cialdini Confidential by John Nolan The Human Firewall Council www.humanfirewall.org Dr. Kelton Rhoads www.workingpsychology.com
Recursos de Información