INGENIERIA SOCIAL

PRESENTADO A: INGENIERO ALVARO ANDRES REYES JARA

PRESENTADO POR: CARLOS ANDRES FRANCO ROLDAN

ASIGNATURA: SISTEMAS DISTRIBUIDOS

SEMESTRE: IX INGENIERIA DE SISTEMAS

FUNDACION UNIVERSITARIA SAN MARTINVILLAVICENCIO-META

2013

INTRODUCCION

La tecnología cada vez permite la facilidad de adquirir la información de las fuentes objetivos, por tal motivo la seguridad técnica es indispensable para minimizar que intrusos se lleven la información sin autorización, sin embargo muchos de los datos “robados” no son por esta vía, es allí donde se ejecuta la ingeniería social un campo donde busca el objetivo que es el talento humano de la organización catalogándolo como débil por múltiples características.

LA INGENIERIA SOCIAL

Es una técnica que pueden usar ciertas personas, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. Es el acto de influir en una persona para llevar a cabo los objetivos que pueden o no estar en el mejor interés del "objetivo". Esto puede incluir la obtención de información, el acceso, o conseguir el objetivo de tomar ciertas medidas.

El objetivo es para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente donde permita por medio de técnicas o herramientas obtener la información necesaria

La psicología como herramienta principal

Utilizando características psicológicas humanas como la curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor, buscamos ayuda de cualquier manera o caemos más fáciles en las trampas porque no podemos razonar con tranquilidad), la confianza (nos sentimos seguros ante la menor muestra de autoridad), la ingeniería social es el arte del aprovechamiento de circunstancias intencionales, pero mucho también de las azarosas. Por eso es que los expertos estarán atentos a cualquier error que cometas sin que te des cuenta. Aquí reside parte de la efectividad de la ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios

Técnicas de ingeniería social

Existen tres tipos de técnicas según el nivel de interacción del ingeniero social

Técnicas pasivas

Observación

Técnicas no presenciales

Recuperar la contraseña

IRC u otros chats

Teléfonos

Carta y fax

Técnicas presenciales no agresivas

Buscando en la basura.

Mirando por encima del hombro.

Seguimiento de personas y vehículos.

Vigilancia de Edificios.

Inducción.

Entrada en Hospitales.

Acreditaciones.

Agendas y teléfonos móviles.

Desinformación.

DEFENSA CONTRA LA INGENIERIA SOCIAL

La principal defensa contra la Ingeniería Social es educar y entrenar a los usuarios en la aplicación de políticas de seguridad y asegurarse de que éstas sean seguidas.

Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza.

Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.

Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.

No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc. En su lugar lo propio es remitirlos directamente al responsable del sistema.

Asegurar un control de acceso físico al sitio donde se encuentra los ordenadores.

Establecer políticas de seguridad a nivel de Sistema Operativo.

Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones “.exe”,”.vbs”, etc.

Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.

No revelar información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: es esencial para ayudarle a evitar cualquier tipo de ataque.

Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.

En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer

frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.

No colocar datos personales completos, ni profusión de imágenes en los portales de las Redes Sociales

Restringir la privacidad de los perfiles en las Redes Sociales, para sólo puedan ser vistos por los amigos

Antes de aceptar un amigo en una Red Social, confirmar que es real, que es conocido, y que es de fiar.

Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios, nombres de los hijos(as) o de las mascotas, nombres de los cónyuges,

Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque generalmente están desprotegidos de troyanos y virus en general y éstos se expanden utilizándolas libremente para alcanzar a nuevos usuarios a los que infectar de forma especialmente sencilla.

BIBLIOGRAFIAS

http://www.social-engineer.org/

http://www.ecured.cu/index.php/Ingenier%C3%ADa_social

http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

http://ingenieriasocialsigloxxi.wordpress.com/category/6-como-evitar-la-ing-social/

http://www.ticsconsulting.es/blog/generar-claves-seguras-3