Lectura del capitulo 10-ingenieros sociales-(Resumen) - Mauricio axel 20 (1)

Vista previa del material en texto

TECNOLÓGICO NACIONAL DE MÉXICO. 
INSTITUTO TECNOLÓGICO DE ACAPULCO. 
 
Ingeniería en sistemas computacionales. 
Materia: Seguridad en TIC’S. 
Actividad: RESUMEN “LECTURA DEL CAPÍTULO 10 “INGENIEROS 
SOCIALES”. 
Profesor: Dr. Eduardo De La Cruz Gámez 
Alumno: López Anselmo Mauricio Axel 
 
 
No. de control: 18320904 
 
Horario: 13:00pm – 14:00pm 
 
Ciclo escolar: Agosto – Diciembre 2021 
 
 
 
 
 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
LECTURA DEL CAPÍTULO 10 “INGENIEROS SOCIALES”. Fecha de entrega: 07-09-21 
El ingeniero social es diestro en el arte del engaño, y visualiza las cualidades de la naturaleza 
humana y se alimenta de ellas. Son una amenaza para muchos de los ingenieros, ya que aplica 
técnicas que utilizamos a diario, pero de una manera muy poco ética, manipuladora y con efectos 
devastadores. Un ejemplo de esto sucedió en un verano de 2002 con un consultor de seguridad 
con el nombre de “whurley”, contratado para realizar auditorias de seguridad en las vegas. Al 
pasar una semana de investigación fue a las vegas en persona a comenzar el trabajo y terminar 
antes de la fecha final. Como whurley no había pasado tanto tiempo en casinos, esa experiencia 
era demasiada significativa para él. Al hacer su diagnostico se percató que la mayoría de los 
empleados tenían actitudes de blancos fáciles, se quedaban dormidos parados o muy diferentes a 
lo que el trabajo les pedía, contrario a lo que el vio por televisión, donde todos eran de la elite de 
seguridad. Whurley se acerco a los empleados y los empezó a animar para que se pusieran a 
conversar de manera voluntaria y comentara los detalles de su trabajo, se dio cuenta que los 
empleados perdían sus identificaciones y otros compañeros se las prestaban para que pudieran 
recoger la comida gratis que es solo para empleados. Al día siguiente whurley eligió blanco a una 
chica y utilizo uno de sus trucos preferidos cuando aplica la ingeniería social llamado “el arte de la 
lectura en frio” en el cual observaba señales que la chica soltaba para así congeniar. Ella le confeso 
muchos detalles de su trabajo y ahora si era la hora empezar, por lo que tomo una bolsa con cosas 
imprescindibles, con el propósito de entrar a la zona de oficinas del casino, sitios donde no debía 
estar y así poder instalar un punto de acceso inalámbrico en la red y penetrar remotamente en sus 
sistemas para acceder a la información confidencial, entonces ejecuto su plan esperando a que los 
guardias se separaran de la puerta y agarro a uno desprevenido preguntándole la hora y así pudo 
escuchar que le decía chessy de apodo, el guardia se fue y sabiendo eso whurley se dirigió al 
guardia del mostrador contándole una historia de que chessy le debía 20 dólares “y logro que el 
guardia le diera 40 para una cita imaginaria. Whurley había cruzado la entrada de empleados, al 
caminar por el vestíbulo se fijo en las salas de monitores, todas las pantallas estaban enumeradas 
y los empleados se empezaron a acercar a una pantalla en específico, entonces whurley aprovecho 
y se presentó diciendo un nombre de un ejecutivo que escucho en una de sus conversaciones, 
pidió indicaciones de como llegar a la sala de administración y los guardias se la dieron para 
deshacerse de el, al llegar se encontró con una empleada y le hizo conversación y consiguió que le 
diera la contraseña de la computadora de una oficina abierta, la empleada se fue al baño y 
whurley instalo el punto de acceso inalámbrico y reinicio el ordenador. Cuando la empleada 
regreso pidió ir al centro de operaciones de red, y se encontró con Richard(director del 
departamento de informática) y este le pidió identificaciones y lo descubrieron por lo que whurley 
pensó en decirle la verdad y se presento y le informo que saldría bien parado en la auditoria, 
empezó a conversar con el en la hora de la comida y le comento de todo tipo de seguridad interna 
y privilegiada, una vez que terminar whurley recordó el punto de acceso inalámbrico y regreso a 
quitarlo. Cuando whurley regreso Richard tenia que hacer unas llamadas y dejo a whurley solo, de 
este modo pudo comprometer varios sistemas, tanto en máquinas de Windows , como en Linux, a 
causa de la poca gestión de contraseñas, retuvo copias de información de la red. Con el trabajo 
terminado, en la reunión de revisión de la auditoria , el jefe de auditoría interna se quejó, por que 
el no tenia derecho a intentar acceder a los sistemas físicamente por según el así no los iban a 
atacar, a whurley le pagaron la totalidad del trabajo y los clientes odiaron el planteamiento por 
que pensaban que era injusto para la empresa y el trabajador. Por lo que no lo querían ver allí por 
mas tiempo y así el comenta que “Quién sabe si la Comisión de Juego necesita los servicios 
SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel 
LECTURA DEL CAPÍTULO 10 “INGENIEROS SOCIALES”. Fecha de entrega: 07-09-21 
de consultoría de un hacker técnico que ya conozca los entresijos de un casino.” De este 
modo el ingeniero social emplea las técnicas de persuasión que todas las personas utilizar a diario, 
en donde intentan ganar credibilidad, pero utilizan esto de manera engañosa. 
El ingeniero social demuestra algunas características de conducta que intentan complementar con 
un rol, prácticamente en todos los ataques de ingeniería social el atacante utiliza las 
características de actitud, comportamiento y del habla. Al establecer la credibilidad este es el 
primer paso para la mayoría de los ataques en ingeniería social, los ingenieros sociales utilizan tres 
métodos para construir su credibilidad. El primer método el atacante utiliza algo para ir en contra 
del interés personal, el segundo método es cuando el atacante advierte a la victima de algo 
provocado y el tercer método, el atacante confirma que merece credibilidad al ayudar a al victima 
con un problema. El ingeniero social manipula a otras personas para que estas adopten un rol 
alternativo para que esta ayude al atacante, una vez que la persona adopta este rol, le será muy 
difícil negar la ayuda. El impulso de la conformidad para ingeniero social se crea realizando una 
serie de varias peticiones y estos comienzan con las más inofensivas. Otra de las cosas que el 
ingeniero social utiliza es el miedo, en el cual hace cree a su victima que al malo esta punto de 
suceder, pero este problema se puede evitar si la victima sigue las instrucciones del atacante, un 
ejemplo de esto puede ser que el atacante se haga pasar por un directivo y este se dirija a una 
secretaria con la exigencia de que es urgente y pueda ser despedido si no lo hace. 
Para mitigar los ataques de ingeniería social hay una serie de contramedidas, en las cuales se 
incluye lo que es : desarrollar protocolos de seguridad claros, desarrollar planes de formación, 
desarrollar normas que definan que información es confidencial, se debe desarrollar una política 
de clasificación de datos, instruir a los empleados para que sepan oponer resistencia a los ataques 
de ingeniería social. También existen programas para contraatacar la ingeniería social a los cuales 
se le deben aplicar los conceptos más relevantes y una vez puestos en práctica los procedimientos, 
la información debería colocarse en la intranet de la empresas y esta pueda consultarse de manera 
rápida. Además, es importante comprender y trasmitir a los empleados que la información que no 
es confidencial puede resultar útil a un ingeniero social, quienes pueden recopilar fragmentos de 
información y utilizarlos en un ataque. Un programa de ingeniería social de una empresa debe 
tener como uno de sus propósitos la definición de las normas de cortesíaen la empresa, el cual 
incluye aprender el comportamiento adecuado para denegar educadamente peticiones hasta que 
se haya comprobado la identidad de la persona que hace la petición. En estos cursos de formación 
se deben de tratar no solo las técnicas obvias, sino también las sutiles. El proceso de verificación 
en cualquier situación dependerá necesariamente del grado de confidencialidad de la información 
o de la acción solicitada. El autor se refiere a la ingeniería social como el punto débil de la 
seguridad de la información, lo cual ha hecho que empresas implementen tecnologías de 
seguridad para proteger sus recursos informáticos contra la invasión de los hackers técnicos, pero 
se han dado cuenta que no le presta mucha atención a contraatacar las amenazas que suponen los 
ingenieros sociales, por lo que es primordial formar a los empleados contra las amenazas y formas 
en que deben de protegerse de no ser engañados y terminen ayudando a los atacantes. Proteger a 
la empresa para no ser víctima de hackers que utilicen la ingeniería social es la responsabilidad de 
todos los empleados, incluso del personal que no utiliza ordenadores al realizar sus funciones. Se 
ha demostrado que el punto débil de la seguridad informática desde siempre ha sido el factor 
humano.