Universidad Tecnolgica de Mxico

Nombre:
Nmero de cuenta:
Antonio Hernndez Salomn
17808600
Nombre del curso:
Nombre del profesor:
Seguridad de TI
Carlos Arcadio Rivas Infante
Mdulo:
Actividad:
Ingeniera Social y Seguridad Fsica.
Conceptos fundamentales
Fecha:
Equipo:
23 de septiembre 2016
No Aplica
Bibliografa:
Hadnagy, C (2001). Social Engineering (The art of Human Hacking). Published by
Wiley Publishing, Inc. USA.

Ingeniera social.
Ingeniera social, el arte e incluso ciencia de engaar a una persona para
que mediante mltiples tcnicas se obtenga informacin o acciones que
de manera normal no seran posibles sin la ingeniera social as mismo
es la forma ms primitiva de realizar ataques informticos sin necesidad
te tener altos conocimientos tcnicos de informtica ya que se ataca a
las personas y no a los equipos como servidores, redes, pginas web,
bases de datos etc.
Hoy en da la cultura de la seguridad y los virus informticos son cosa de
todos los das y aunque en Mxico esta cultura aun no alcanza niveles
muy altos, por lo menos la gran mayora de los usuarios han escuchado
cosas simples pero eficientes ante ataques informticos como la
contrasea de ms de 6 dgitos con nmeros, una mayscula y el
carcter especial o incluso un antivirus. Sin embargo, se pueden tener
los programas ms sofisticados de antivirus, firewalls, ids etc., pero esto
si se ataca a el eslabn ms dbil todas las medidas de seguridad son
intiles ante estos ataques, es por ello que se debe concientizar a
empleados y a usuarios en general sobre los peligros de compartir ante
cualquier persona informacin confidencial.

Universidad Tecnolgica de Mxico

Estafa 419

Robo de empleados
Tecnicas

Ingeniera Social

Phishing

Spoofing

Hackers
Tipos de
ingenieros
sociales

Probadores de
penetracion
Espias

Nombre:
Antonio Hernndez Salomn

Es un fraude o timo consiste en ilusionar a la vctima con una fortuna

inexistente y persuadirla para que pague una suma de dinero por
adelantado con la promesa de que posteriormente recibirn parte de la
misma.
El robo de empleados es un factor de riesgos incalculables dentro de
una empresa, ya que los ataques pueden vender la informacin o peor
aun eliminarla.
Este tipo de ataque es simple pero efectivo, ya que se enva una
notificacin al usuario solicitndole verifique sus datos, como accesos o
nmeros de cuenta, identificndose como administradores de bancos o
compaas de servicios.
Las tcnicas de suplantacin de identidad generalmente utilizan medios
como redes sociales con perfiles falsos o cuentas de correo falsas, para
atraer a victimas y al tener informacin critica utilizan el chantaje o
engao.
Es una persona con altos niveles de conocimientos en informtica,
programacin, redes y en general con el mundo de las computadas,
existen 3 tipos, los de sombrero Negro, los de sombreo blanco y los de
sombrero gris.
Son personas que se especializan en realizar ataques a empresas desde
su red interna como desde el exterior con el consentimiento de la
misma o no, con el fin de encontrar fallos de seguridad y corregirlos.
Son personas que utilizan por lo general programas informticos que
recopilan informacin de las computadoras donde logran instalarlo sin
conocimiento del usuario victima y son muy difciles de detectar incluso
con antivirus.

Nmero de cuenta:
17808600
2

Universidad Tecnolgica de Mxico

Nombre del curso:
Nombre del profesor:
Seguridad de TI
Carlos Arcadio Rivas Infante
Mdulo:
Actividad:
Ingeniera Social y Seguridad Fsica.
Vectores de ataque por ingeniera social
Fecha:
Equipo:
23 de septiembre 2016
No Aplica
Bibliografa:
Hadnagy, C (2001). Social Engineering (The art of Human Hacking). Published by
Wiley Publishing, Inc. USA.

Ingeniera Social
Recopilar Informacin
Se dice que en el mundo de la informtica que no hay informacin irrelevante, sin embargo, existen
mltiples casos por ejemplo cuando subes un comentario en un portal y te registras con el correo de la
empresa en la que laboras un buen ingeniero social podra utilizar esta informacin para enviarte un correo
con lo que buscaba en dicho blog y las catstrofes pueden ocurrir con tan solo hacer clic en una URL
infectada.

Pensando como un Ingeniero social.

En una ocasin arrend un auto para hacer un viaje de negocios. Mi acompaante y yo cargamos nuestro
equipaje en el maletero; cuando entramos en el auto reparamos en una pequea bolsa de basura que
haba atrs. La persona que iba conmigo dijo: Este servicio va de mal en peor. Se supone que por lo que
pagamos podran al menos limpiar el coche. Es cierto, sera lgico, pero antes de que tirara la bolsa al
basurero ms cercano, dije: Djame echar un vistazo rpido. Cuando abr la bolsa y apart los envoltorios
lo que encontr all, me pareci a simple vista impactante: era la mitad de un cheque partido.
Inmediatamente volqu el contenido de la bolsa y encontr un recibo del banco y la otra mitad del cheque.

Universidad Tecnolgica de Mxico

Una vez pegado con cinta, el cheque revelaba el nombre de la persona, la empresa, su nmero de
telfono, nmero de cuenta bancaria y el cdigo de identificacin bancaria. Por suerte para el propietario
de estos datos, no soy una mala persona porque slo se necesitan un par de pasos ms para cometer un
robo de identidad. Esta historia personifica la relacin que tiene la gente con su informacin valiosa. Esta
persona que arrend el auto antes que yo y despus, al tirar el cheque, estaba convencido de que lo que
haba hecho desaparecer de forma segura. (Christopher, 2011)

Fuentes de Recopilacin de Informacin

Actualmente se utilizan mltiples fuentes que se pueden catalogar en dos, la primera son los medios
cibernticos, tecnolgicos o digitales y el segundo son los medios personales o presenciales.
Los medios digitales, es la primera brecha donde un buen ingeniero social realiza las bsquedas, como
redes sociales, blogs, portales, sitos web etc., para evaluar sus preferencias y gustos con el fin de poder
convencer y realizar un ataque dirigido a una persona, ejemplo el uso de metadatos para triangular su
posicin.
Las segundas son de manera directa haciendo contacto directo con la victima hacindose pasar por un
empleado de una empresa con el fin de obtener informacin misma que ser de utilidad para obtener lo
que se busca principalmente dinero.
No hay algn ataque que sea eficiente para todos los mbitos de las empresas o personas,
Se debe investigar hasta conocer a la vctima para saber que ataque resultara ms eficiente,
aprovechando estados de nimo, egos, necesidades, gustos, preferencias etc.
Como se narra en un principio no hay informacin irrelevante ya que toda la informacin personal la
puedes utilizar con el fin de conocer al mximo a la vctima y poder enviarle correos con sus preferencias o
bien llamarle por telfono y de esta forma se logran ataques dirigidos ms eficientes, dicho esto puedes
utilizar herramientas como Backtrack y ahora Kali Linux que poseen herramientas open sourse tales como
Basket Note Pads, Dradis, Tomboy, Nitro, Everpad, Springseed todas estas muy eficientes para lograr una
organizacin de la informacin.
4

Universidad Tecnolgica de Mxico

Conclusin
La informacin es libre y se publica informacin confidencial en Internet se tiene que ser consiente a los
peligros que representa, ya que toda la informacin que publicas de buena manera puede ser utilizada por
estafadores con el fin de robar informacin. Lo que dbenos hacer es ser ms conscientes de los peligros
de publicar informacin confidencial y no dar informacin confidencial a cualquier persona extraa.
Nombre:
Nmero de cuenta:
Antonio Hernndez Salomn
17808600
Nombre del curso:
Nombre del profesor:
Seguridad de TI
Carlos Arcadio Rivas Infante
Mdulo:
Actividad:
Ingeniera Social y Seguridad Fsica.
Vectores de ataque
Fecha:
Equipo:
23 de septiembre 2016
No Aplica
Bibliografa:
Hadnagy, C (2001). Social Engineering (The art of Human Hacking). Published by
Wiley Publishing, Inc. USA.

Ingeniera Social
Vector de
ataque
Ego

Objetivo

Descripcin

Confrontar
propio yo.

Inters

Lograr confianza.

su -

Realizar afirmaciones sutiles

de manera que se incite al ego
de la persona, una vez logrado
esto
podemos
obtener
informacin.
Se realiza logrando convencer

Universidad Tecnolgica de Mxico

a la persona de que se tienen
los mismos gustos o inters
invitndole a confiar, suele ser
ms potente que el ego.

mutuo

Falsa
declaracin

Engaar
lograr
aceptacin.

para la

Se entrega una declaracin

falsa utilizando algo que todo
el mundo debera conocer y si
se logra pude ser muy eficaz
al
momento
de
recabar
informacin.

Informacin
de
voluntariado

Hacer
que
la persona
sienta
deseos de relatar
sus vivencias.

Se realiza una declaracin de

los problemas de una persona
con el fin de que la vctima
sienta deseos de compartir
vivencias
o
experiencias
similares,
resulta
ms
susceptible
que
la
falsa
declaracin.

Suponiendo
conocimiento

Afirmar un tema de
carcter
universal
para
obtener
aceptacin.

Se realiza una descripcin de

un tema que se supone que
todos conocen con el fin de
obtener aceptacin en la
conversacin.

Universidad Tecnolgica de Mxico

Usando
efectos del
alcohol

Utilizar el estado etlico

de
la
persona.

Est comprobado que el estar

intoxicado cualquiera habla de
lo que sea. Con ayuda del
alcohol cualquiera de los otros
5
escenarios
se
puede
magnificar sus efectos en un
10.

Preguntas
abiertas

Obtener
informacin.

ms -

Se realizan preguntas en las

que no se puede contestar si
o no sino que tengan que
ver con una explicacin o con
mucha mas informacin

Preguntas
cerradas

Obtener un si o no.

Es
lo
contrario
de
las
preguntas abiertas, se busca
obtener un si o un no.

Preguntas
principales

Obtener
mejores
resultados.

los -

Es una combinacin de las

preguntas cerradas y abiertas
con
el
fin
de
obtener
resultados ms satisfactorios
con un breve relato, pero a la
ves con una respuesta con un
si o no.

Pretexto

Hacer que realicen una

accin
mediante
un
escenario
inventado.

Se define como el acto de

crear un escenario inventado
para persuadir a la vctima a
realizar una accin o a
compartir informacin.

Profundidad

Obtener

Cuando

se

profundiza

la

Universidad Tecnolgica de Mxico

de
Investigacin

informacin
relevante.

informacin se tienen ms
posibilidades re crear un
pretexto ms efectivo al que la
vctima no pueda resistir.

Intereses
personales

Lograr identificar sus intereses.

A diferencia del resto de

pretextos se deben tener ms
conocimientos tcnicos, sin
embargo, cuando se usan
intereses personales no se
necita mucho de eso.

Dialectos
practica o
expresiones

Confianza
al hablar
en
su
mismo dialecto.

Se logra tener una mayor

confianza cuando se habla con
el miso asent o dialecto y a
su vez realizando expresiones
nativas del lenguaje de la
vctima.