1. INGENIERIA SOCIAL
PRESENTADO A: INGENIERO ALVARO ANDRES REYES JARA
PRESENTADO POR: CARLOS ANDRES FRANCO ROLDAN
ASIGNATURA: SISTEMAS DISTRIBUIDOS
SEMESTRE: IX INGENIERIA DE SISTEMAS
FUNDACION UNIVERSITARIA SAN MARTIN
VILLAVICENCIO-META
2013
2. INTRODUCCION
La tecnología cada vez permite la facilidad de adquirir la información de las
fuentes objetivos, por tal motivo la seguridad técnica es indispensable para
minimizar que intrusos se lleven la información sin autorización, sin embargo
muchos de los datos “robados” no son por esta vía, es allí donde se ejecuta la
ingeniería social un campo donde busca el objetivo que es el talento humano de la
organización catalogándolo como débil por múltiples características.
3. LA INGENIERIA SOCIAL
Es una técnica que pueden usar ciertas personas, para obtener información,
acceso o privilegios en sistemas de información que les permitan realizar algún
acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos. Es el acto de influir en una persona para llevar a cabo los objetivos que
pueden o no estar en el mejor interés del "objetivo". Esto puede incluir la obtención
de información, el acceso, o conseguir el objetivo de tomar ciertas medidas.
El objetivo es para engañar a la gente, fingiendo ser, por ejemplo, un empleado de
algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un
cliente donde permita por medio de técnicas o herramientas obtener la información
necesaria
La psicología como herramienta principal
Utilizando características psicológicas humanas como la curiosidad (lo que nos
mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor,
buscamos ayuda de cualquier manera o caemos más fáciles en las trampas
porque no podemos razonar con tranquilidad), la confianza (nos sentimos seguros
ante la menor muestra de autoridad), la ingeniería social es el arte del
aprovechamiento de circunstancias intencionales, pero mucho también de las
azarosas. Por eso es que los expertos estarán atentos a cualquier error que
cometas sin que te des cuenta. Aquí reside parte de la efectividad de la ingeniería
social, pues lo que dices frente a cualquier persona con la que te encuentres
podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el
nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de
acceso a tu correo, y de ahí al resto de tus servicios
4. Técnicas de ingeniería social
Existen tres tipos de técnicas según el nivel de interacción del ingeniero social
Técnicas pasivas
Observación
Técnicas no presenciales
Recuperar la contraseña
IRC u otros chats
Teléfonos
Carta y fax
Técnicas presenciales no agresivas
Buscando en la basura.
Mirando por encima del hombro.
Seguimiento de personas y vehículos.
Vigilancia de Edificios.
Inducción.
Entrada en Hospitales.
Acreditaciones.
Agendas y teléfonos móviles.
Desinformación.
5. DEFENSA CONTRA LA INGENIERIA SOCIAL
La principal defensa contra la Ingeniería Social es educar y entrenar a los usuarios
en la aplicación de políticas de seguridad y asegurarse de que éstas sean
seguidas.
Educar a las personas, en concreto a las personas que trabajan cerca de las
terminales, desde los operarios, hasta personal de limpieza.
Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente
actualizado, ya que cualquier mensaje de correo electrónico puede contener
códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.
Nunca ejecutar un programa de procedencia desconocida, aun cuando
previamente sea verificado que no contiene virus. Dicho programa puede contener
un troyano o un sniffer que reenvíe nuestra clave de acceso.
No informar telefónicamente de las características técnicas de la red, ni nombre de
personal a cargo, etc. En su lugar lo propio es remitirlos directamente al
responsable del sistema.
Asegurar un control de acceso físico al sitio donde se encuentra los ordenadores.
Establecer políticas de seguridad a nivel de Sistema Operativo.
Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos
son necesarios para su trabajo habitual, por ello puede ser conveniente por parte
del administrador bloquear la entrada de ficheros con extensiones “.exe”,”.vbs”,
etc.
Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.
No revelar información personal por correo electrónico ni en línea a menos que
sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además
de que se encuentra en un entorno seguro: es esencial para ayudarle a evitar
cualquier tipo de ataque.
Verificar previamente la veracidad de la fuente que solicite cualquier información
sobre la red, su localización en tiempo y espacio y las personas que se encuentran
al frente de la misma.
En caso de existir, instalar los parches de actualización de software que publican
las compañías para solucionar vulnerabilidades. De esta manera se puede hacer
6. frente a los efectos que puede provocar la ejecución de archivos con códigos
maliciosos.
No colocar datos personales completos, ni profusión de imágenes en los portales
de las Redes Sociales
Restringir la privacidad de los perfiles en las Redes Sociales, para sólo puedan ser
vistos por los amigos
Antes de aceptar un amigo en una Red Social, confirmar que es real, que es
conocido, y que es de fiar.
Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios,
nombres de los hijos(as) o de las mascotas, nombres de los cónyuges,
Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir
archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque
generalmente están desprotegidos de troyanos y virus en general y éstos se
expanden utilizándolas libremente para alcanzar a nuevos usuarios a los que
infectar de forma especialmente sencilla.