Ingeniería Social

Adrián Ramírez
adrian@dolbuck.com
Lecturas recomendadas

El gran juego-Carlos Martín Pérez

The art of deception -Kevin Mitnick
Stealing the Network: How to Own the
Box

Películas: 9 REINAS (Director Bielinsky )

*Zona de descarga de la charla y algunos libros en pdf:
http://www.dolbuck.com
 Introducción

"Usted puede tener la mejor tecnología, firewalls,

sistemas de detección de ataques, dispositivos
biométricos, etc. Lo único que se necesita es un
llamado a un empleado desprevenido e ingresan sin
más. Tienen todo en sus manos." Kevin Mitnick.
¿Qué es la ingeniería social?

Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social

Engineering)

ACCIONES O CONDUCTAS útiles para conseguir información de las personas

cercanas a un sistema.

Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que
esta sé de cuenta de que te esta revelando "información sensible".

Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados
cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la
seguridad de sus sistemas.
Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasión
o el miedo, de esta forma se consigue el objetivo, una acción por parte del usuario.
 ¿Quiénes la usan?
• Hackers

• Espías

• Ladrones o timadores

• Detectives privados
 El factor humano
• En el congreso "Access All Areas" de 1997, un
conferenciante aseguraba:
"Aunque se dice que el único ordenador
seguro es el que está desenchufado,
los amantes de la ingeniería social gustan
responder que siempre se puede convencer a
alguien para que lo enchufe.
El factor humano es el eslabón más débil de la
seguridad informática. Y no hay un sólo ordenador
en el mundo que no dependa de un ser humano, es
una vulnerabilidad universal e independiente de la
plataforma tecnológica".
 Ingeniería social en los 80
• La gente era más inocente

• Las contraseñas más débiles

• Los sistemas más vulnerables

• Las leyes menos rigurosas

 Ingeniería social en nuestros tiempos
• CASO 1: Practicando en casa

CHAT IRCCANALLESBIANAS

Objetivoconseguir videoconferencia con una lesbiana

Materiales: Capturadora de video, Ingeniería social, webcam

 • Caso 2: Seguir jugando:

Nos damos de alta una cuenta en hotmail, con nombre de chica

Creamos un perfil curioso
Entramos a los chats y damos nuestro mail
Somos la típica niña que recién se compró el ordenador y necesita
Ayuda (damos confianza, y aumentamos el ego de la victima
al ponerlo en el papel de nustro salvador, si le añadimos dulces
piropos y besos virtuales, en cuestión de tendremos lo que
buscamos, o estaremos en condiciones de
enviarle un troyano que nos abra de par en par su ordenador, una vez
conocido su sistema.
 • Caso 3: Nos ponemos serios
Cuando se llega a los 30, ya no estamos para chatear o dedicarnos
A robar fotos guarrillas de usuarios de Internet que se hacen a ellos
mismos o a sus parejas.
NO TODO ES SEXO EN LA VIDA

Fijamos un objetivo:
Primer etapa: INFORMACIÓN

Internet Círculos Familiares Basura??

Amistades
• Ética ??
* Recomendado leer “El gran Juego”

Justificaciones:
El espía y el detective>>> es su trabajo.
El gobierno >>>> por la seguridad de la
nación.
El timador >>>> su medio de vida (la pasta)
El hacker >>>> curiosidad?!!!
• Ordenando la información:

Al igual que al preparar un ataque a un sistema informático.

Versión, bug, etc.

Vamos elaborando una lista, sobre nuestro objetivo.

Gustos, vicios, marca de cigarrillos, matrícula del coche, modelo, móvil,

DNI, nombre de los hijos, de la mujer, de la novia, figuras principales
de en su vida, se elabora un perfil psicológico de la persona.

Fuente: Internet, basura, amigos, familiares, buscar siempre las personas

mayores, abuelas, o niños, hijos, hermanos, etc.
 Preparando la estrategia
• Todo objetivo se vale de una estrategia para
lograrlo. Ese es el fin mismo de la
estrategia.

• Antes debemos:
SABER, QUERER Y PODER hacerlo.
 La ingeniería social por excelencia

• Ahora estamos preparados para poner la

trampa. Conocemos todo de nuestra
víctima, y podemos predecir como actuará
frente a determinados estímulos.
• Conocemos sus gustos sus deseos, y es fácil
llevarlo por una conversación telefónica a
donde queremos.
• ¿Hola, Raúl Pérez Padilla?
• Le hablamos del servicio de marketing de TUFONICA,
estamos ofreciendo una promoción especial a nuestros
mejores clientes. Consiste en que las llamadas a un
número fijo nacional de su elección, serán gratis durante
un año sin tener que pagar nada.
• Por favor, para poder hacer esto posible necesitamos que
nos confirme una serie de datos….
• - …….
• Mi experiencia como comercial de
AUNA CABLE o INSTALADOR ADSL

¿Que logramos con esto?

Entrar a una casa, nuestra víctima quizás

EJEMPLO: Llamada a nuestro móvil, nuestro jefe,

necesitamos enviar un dato urgente, no nos dejaría el ordenador
para enviarlo?
• Un ejemplo extraído de una
pagina cita textualmente; …
conocido el ataque que sufrió la
Web de la Guardia Civil 1999
• (http://www.guardiacivil.org/)
dirigiéndola hacia un site gay.
Como ha comentado la benemérita
en varias ocasiones, no se debió a
ningún fallo de su sistema, sino a
que el atacante, envió un correo
como si se tratara del administrador
del dominio guardiacivil.org a
Network Solutions y estos
cambiaron los DNS del registro del
dominio por los que quiso el
atacante, redirigiendo así la Web
de la Guardia Civil a la Web gay.
 IS COMO PIEZA DE UN PUZZLE MORTAL

Mezclar la IS con la tecnología hace que el conjunto en sí, sea

un arma mortal, crear un keylog, o un troyano en VB, o C++,
No requiere un gran esfuerzo, incluso el control total de Pelé,
tardó tiempo en ser reconocido por los principales antivirus.

CD de regalos, archivos adjuntos, echar imaginación.

Quién no compraría el último Cd de nuestro cantante favorito
Por 1€ a un tio que monto una manta en la puerta de nuestra
casa, como caído del cielo. ???
• Pistas:
Si nos hacemos pasar por técnicos, hablar en
lenguaje técnico, la gente suele no entender nada y
decirnos siempre que si.
Encuestas inocentes a los familiares de las victimas,
edades, nombres, etc. (Hacer unas cuantas para
tener soltura).
Oferta increíble enviaremos la ampliación por mail
(ahí introducimos el troyano). Es un mail
esperado, lo abrirá seguro.
 HOTMAIL HACKEABLE?
Tecnológicamente es difícil
tenemos que hackear los
servidores de Micorsoft,
para obtener ¿qué, una
cuenta?. Es caro, lleva
tiempo, y en mi caso es
imposible. Soy realista
• Si analizamos el problema, vemos que lo
que queremos es una cuenta en concreto.
• Si es de nuestra novia/o (esta tirado), un
compañero o amigo, virtual o no (tirado
también), de una persona por encargo.
(Requiere un proceso fino de ingeniera
social, objetivo, un keylog, y acceder 2
veces al ordenador) por ejemplo.

ÉTICA? >>VIOLACIÓN DE LA PRIVACIDAD?>>> ????

Links de formas de hackear hotmail.

http://usuarios.lycos.es/unsafebytes/hackearho
tmail.htm

http://www.comunidadcmx.com/index.php
Conclusiones:
La ingeniería social NUNCA PASARÁ DE
MODA.
Es un arte, el arte que deja la ética de lado
El ingrediente necesario detrás de todo gran ataque.

Tu red tiene firewall?. .

Tiene antivirus???
Tus administradores estan entrenados para hablar
con hackers y detectar sus intentos de ingeniería
social?
Y María la de la limpieza?

¿Ella también está preparada...?

 Contramedidas
La mejor manera de esta protegido pasa por el conocimiento.

• Educar a las personas, en concreto a las personas que trabajan

cerca de las terminales, desde los operarios, hasta personal de
limpieza.
• Analizar con antivirus todo los correos que reciban
• No informar telefónicamente de las características técnicas de la
red, ni nombre de personal a cargo, etc.
• Control de acceso físico al sitio donde se encuentra los
ordenadores.
• Políticas de seguridad a nivel de Sistema Operativo.
Lecturas recomendadas

El gran juego-Carlos Martín Pérez

The art of deception -Kevin Mitnick
Stealing the Network: How to Own the
Box

Películas: 9 REINAS (Director Bielinsky )

*Zona de descarga de la charla y algunos libros en pdf:
http://www.dolbuck.com