Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TECNOLÓGICO NACIONAL DE MÉXICO. INSTITUTO TECNOLÓGICO DE ACAPULCO. Ingeniería en sistemas computacionales. Materia: Seguridad en TIC’S. Actividad: RESUMEN “LECTURA DEL CAPÍTULO 10 “INGENIEROS SOCIALES”. Profesor: Dr. Eduardo De La Cruz Gámez Alumno: López Anselmo Mauricio Axel No. de control: 18320904 Horario: 13:00pm – 14:00pm Ciclo escolar: Agosto – Diciembre 2021 SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel LECTURA DEL CAPÍTULO 10 “INGENIEROS SOCIALES”. Fecha de entrega: 07-09-21 El ingeniero social es diestro en el arte del engaño, y visualiza las cualidades de la naturaleza humana y se alimenta de ellas. Son una amenaza para muchos de los ingenieros, ya que aplica técnicas que utilizamos a diario, pero de una manera muy poco ética, manipuladora y con efectos devastadores. Un ejemplo de esto sucedió en un verano de 2002 con un consultor de seguridad con el nombre de “whurley”, contratado para realizar auditorias de seguridad en las vegas. Al pasar una semana de investigación fue a las vegas en persona a comenzar el trabajo y terminar antes de la fecha final. Como whurley no había pasado tanto tiempo en casinos, esa experiencia era demasiada significativa para él. Al hacer su diagnostico se percató que la mayoría de los empleados tenían actitudes de blancos fáciles, se quedaban dormidos parados o muy diferentes a lo que el trabajo les pedía, contrario a lo que el vio por televisión, donde todos eran de la elite de seguridad. Whurley se acerco a los empleados y los empezó a animar para que se pusieran a conversar de manera voluntaria y comentara los detalles de su trabajo, se dio cuenta que los empleados perdían sus identificaciones y otros compañeros se las prestaban para que pudieran recoger la comida gratis que es solo para empleados. Al día siguiente whurley eligió blanco a una chica y utilizo uno de sus trucos preferidos cuando aplica la ingeniería social llamado “el arte de la lectura en frio” en el cual observaba señales que la chica soltaba para así congeniar. Ella le confeso muchos detalles de su trabajo y ahora si era la hora empezar, por lo que tomo una bolsa con cosas imprescindibles, con el propósito de entrar a la zona de oficinas del casino, sitios donde no debía estar y así poder instalar un punto de acceso inalámbrico en la red y penetrar remotamente en sus sistemas para acceder a la información confidencial, entonces ejecuto su plan esperando a que los guardias se separaran de la puerta y agarro a uno desprevenido preguntándole la hora y así pudo escuchar que le decía chessy de apodo, el guardia se fue y sabiendo eso whurley se dirigió al guardia del mostrador contándole una historia de que chessy le debía 20 dólares “y logro que el guardia le diera 40 para una cita imaginaria. Whurley había cruzado la entrada de empleados, al caminar por el vestíbulo se fijo en las salas de monitores, todas las pantallas estaban enumeradas y los empleados se empezaron a acercar a una pantalla en específico, entonces whurley aprovecho y se presentó diciendo un nombre de un ejecutivo que escucho en una de sus conversaciones, pidió indicaciones de como llegar a la sala de administración y los guardias se la dieron para deshacerse de el, al llegar se encontró con una empleada y le hizo conversación y consiguió que le diera la contraseña de la computadora de una oficina abierta, la empleada se fue al baño y whurley instalo el punto de acceso inalámbrico y reinicio el ordenador. Cuando la empleada regreso pidió ir al centro de operaciones de red, y se encontró con Richard(director del departamento de informática) y este le pidió identificaciones y lo descubrieron por lo que whurley pensó en decirle la verdad y se presento y le informo que saldría bien parado en la auditoria, empezó a conversar con el en la hora de la comida y le comento de todo tipo de seguridad interna y privilegiada, una vez que terminar whurley recordó el punto de acceso inalámbrico y regreso a quitarlo. Cuando whurley regreso Richard tenia que hacer unas llamadas y dejo a whurley solo, de este modo pudo comprometer varios sistemas, tanto en máquinas de Windows , como en Linux, a causa de la poca gestión de contraseñas, retuvo copias de información de la red. Con el trabajo terminado, en la reunión de revisión de la auditoria , el jefe de auditoría interna se quejó, por que el no tenia derecho a intentar acceder a los sistemas físicamente por según el así no los iban a atacar, a whurley le pagaron la totalidad del trabajo y los clientes odiaron el planteamiento por que pensaban que era injusto para la empresa y el trabajador. Por lo que no lo querían ver allí por mas tiempo y así el comenta que “Quién sabe si la Comisión de Juego necesita los servicios SEGURIDAD EN TIC’S Lopez Anselmo Mauricio Axel LECTURA DEL CAPÍTULO 10 “INGENIEROS SOCIALES”. Fecha de entrega: 07-09-21 de consultoría de un hacker técnico que ya conozca los entresijos de un casino.” De este modo el ingeniero social emplea las técnicas de persuasión que todas las personas utilizar a diario, en donde intentan ganar credibilidad, pero utilizan esto de manera engañosa. El ingeniero social demuestra algunas características de conducta que intentan complementar con un rol, prácticamente en todos los ataques de ingeniería social el atacante utiliza las características de actitud, comportamiento y del habla. Al establecer la credibilidad este es el primer paso para la mayoría de los ataques en ingeniería social, los ingenieros sociales utilizan tres métodos para construir su credibilidad. El primer método el atacante utiliza algo para ir en contra del interés personal, el segundo método es cuando el atacante advierte a la victima de algo provocado y el tercer método, el atacante confirma que merece credibilidad al ayudar a al victima con un problema. El ingeniero social manipula a otras personas para que estas adopten un rol alternativo para que esta ayude al atacante, una vez que la persona adopta este rol, le será muy difícil negar la ayuda. El impulso de la conformidad para ingeniero social se crea realizando una serie de varias peticiones y estos comienzan con las más inofensivas. Otra de las cosas que el ingeniero social utiliza es el miedo, en el cual hace cree a su victima que al malo esta punto de suceder, pero este problema se puede evitar si la victima sigue las instrucciones del atacante, un ejemplo de esto puede ser que el atacante se haga pasar por un directivo y este se dirija a una secretaria con la exigencia de que es urgente y pueda ser despedido si no lo hace. Para mitigar los ataques de ingeniería social hay una serie de contramedidas, en las cuales se incluye lo que es : desarrollar protocolos de seguridad claros, desarrollar planes de formación, desarrollar normas que definan que información es confidencial, se debe desarrollar una política de clasificación de datos, instruir a los empleados para que sepan oponer resistencia a los ataques de ingeniería social. También existen programas para contraatacar la ingeniería social a los cuales se le deben aplicar los conceptos más relevantes y una vez puestos en práctica los procedimientos, la información debería colocarse en la intranet de la empresas y esta pueda consultarse de manera rápida. Además, es importante comprender y trasmitir a los empleados que la información que no es confidencial puede resultar útil a un ingeniero social, quienes pueden recopilar fragmentos de información y utilizarlos en un ataque. Un programa de ingeniería social de una empresa debe tener como uno de sus propósitos la definición de las normas de cortesíaen la empresa, el cual incluye aprender el comportamiento adecuado para denegar educadamente peticiones hasta que se haya comprobado la identidad de la persona que hace la petición. En estos cursos de formación se deben de tratar no solo las técnicas obvias, sino también las sutiles. El proceso de verificación en cualquier situación dependerá necesariamente del grado de confidencialidad de la información o de la acción solicitada. El autor se refiere a la ingeniería social como el punto débil de la seguridad de la información, lo cual ha hecho que empresas implementen tecnologías de seguridad para proteger sus recursos informáticos contra la invasión de los hackers técnicos, pero se han dado cuenta que no le presta mucha atención a contraatacar las amenazas que suponen los ingenieros sociales, por lo que es primordial formar a los empleados contra las amenazas y formas en que deben de protegerse de no ser engañados y terminen ayudando a los atacantes. Proteger a la empresa para no ser víctima de hackers que utilicen la ingeniería social es la responsabilidad de todos los empleados, incluso del personal que no utiliza ordenadores al realizar sus funciones. Se ha demostrado que el punto débil de la seguridad informática desde siempre ha sido el factor humano.
Compartir