Aury M. Curbelo-Ruiz, Ph.D

Seminario- ISSA June 21,2012

©2012Curbelo

http://about.me/acurbelo

http://www.bsecure.com.mx/home/

Introducción

Valor de la información

Tipos de Ingeniería

Social

Personal Vulnerable a

ataques

Metas de los atacantes

Herramientas disponibles

Discusión de casos

Desarrollando una CULTURA de Seguridad

¿Por qué Ingeniería

Social?

http://www.ocalarh.pr.gov/

http://www.asobancaria.com/portal/page/portal/Eventos/proximas_capacit

aciones/2011/proximas_capacitaciones_ingenieria_social

Todas las organizaciones tienen una

vulnerabilidad en común: los humanos.

Los humanos. A pesar de que el

factor humano es el recurso más valioso

de una organización tristemente es la

cadena más vulnerable en la seguridad de

la información, en este curso estaremos

explotando esas debilidades.

Los participantes de este curso podrán

aprender las estrategias y técnicas

utilizadas en la Ingeniería Social (IS).

Asimismo se discutirán los aspectos éticos

de los ataques de ingeniería social, así

como el proceso de seleccionar las

potenciales víctimas de ataques,

estrategias de colectar información, crear

reportes y planificar el ataque.

Asobancaria es el gremio representativo del sector financiero colombiano.

Está integrada por los bancos comerciales nacionales y extranjeros, públicos y

privados, las más significativas corporaciones financieras e instituciones oficiales

especiales.

Busca generar

alineamientos de política

en ciberseguridad y

ciberdefensa orientados a

desarrollar una estrategia

nacional que contrarreste el

incremento de las

amenazas informáticas que

afectan significativamente a

Colombia.

Tambien, recoge los

antecedentes nacionales e

internacionales, así como

la normatividad del país en

torno al tema.

http://www.dnp.gov.co/LinkClick.aspx?fileticket=-lf5n8mSOuM%3D&tabid=1260

http://www.mintic.gov.co/

http://www.latinuxmagazine.com/index.php?option=com_content&view=article&id=26282:jornada-de-

infoalfabetizacion-digital-taller-qingenieria-socialq-colombia&catid=34&Itemid=325&lang=es

http://procedimientospolicialescolombia.blogspot.com/2008/09/ingenieria-social.html

Al primer “Taller regional sobre seguridad y crimen cibernético”, que concluirá

el viernes en San José, asisten representantes de Colombia, Chile, Perú,

Panamá y Venezuela, República Dominicana, El Salvador, Guatemala, Haití,

Honduras, México y Nicaragua, según indicó hoy el ministerio de Ciencia y

Tecnología de Costa Rica (MICIT).

http://elmundo.com.sv/latinoamerica-busca-fortalecer-seguridad-cibernetica

El taller, de acuerdo con las autoridades, “tiene como objetivo el reforzar

las políticas, estrategias, legislación, y otras medidas prácticas en materia

de delito cibernético y la seguridad cibernética”. http://www.micit.go.cr/

http://www.elnuevodia.com/vulnerablelaislaanteunataquedeanonymous-1174300.html

"Si Anonymos decidiera

atacarnos, situación que

no veo ocurrir porque no

tiene razón para hacerlo,

seguramente estaríamos en

la misma posición (de

vulnerabilidad) que el

gobierno federal, ya que

nadie tiene cómo

defenderse ante estos

ataques", indicó Juan

Eugenio Rodríguez,

principal ejecutivo de

información (CIO) del

Gobierno de Puerto Rico.

Una gasolinera del algun lugar de nuestra islita querida…PUERTO RICO

Publicado en el Periódico La Estrella- 7-13 de Junio 2012-PORTADA

El Servicio de Extensión Agrícola (SEA)

de la Universidad de Puerto Rico instó a

la ciudadanía a estar alerta porque

existe una persona que se está

haciendo pasar por empleado de esa

dependencia universitaria para timar

a la gente.

el modus operandi de esta persona, que

viste “impecablemente de chaqueta”,

es ir directo a los negocios, lo que no

hace el personal de Extensión Agrícola,

y ofrecer la matrícula del curso de

Inocuidad de Alimentos que es requerido

por ley.

Una vez hace el ofrecimiento, el timador indica que debe cobrarlo. Dicha

persona utiliza una hoja de matrícula con el logo del SEA. Sin embargo, las

autoridades del Servicio de Extensión Agrícola afirmaron que “este no es el

protocolo establecido para estos fines y el personal del Servicio de Extensión

Agrícola no funge como recaudador”.

http://www.dialogodigital.com/index.php/Estafador-se-hace-pasar-por-empleado-de-Extension-Agricola.html

http://www.uprm.edu/agricultura/sea/newmap.html

http://academic.uprm.edu/ofarrill/id34.htm

http://academic.uprm.edu/jhuerta/HTMLobj-112/Evaluacion_SEA.pdf

http://academic.uprm.edu/

= mucha información…..

El 80% de los ataques informáticos se deben a

errores relacionados con el factor humano y no a

temas específicos de tecnología.

http://www.tecnoseguridad.net/el-80-de-los-ataques-informaticos-se-debe-a-errores-de-nosotros-

mismos/

Nombre, Apellido

# Teléfono

Correo electrónico

Dirección

Recibos de Luz/Agua

¿qué puedo hacer con un poco de información?

Nombre, Apellido

Dirección Correo

Electrónico Teléfono

Crear una identidad falsa

Hackear su correo

electrónico

Tomar $$$ prestado

Abusar del crédito

Crear un perfil falso en

Facebook Exponerte a situaciones

embarazosas

http://news.cnet.com/8301-1009_3-10153858-83.html

McAfee estimated

that cybercrime

costs corporations

$1 trillion globally

each year.

Varias webs comprometidas por un ataque a NIC Puerto Rico

lunes 27 de abril de 2009

“Aprovechándose de una vulnerabilidad de inyeccion SQL (todavía presente) en

Nic.pr, unos atacantes lograron modificar los DNS de varios dominios pertenecientes

a reconocidas empresas.”

Compañías Hackeadas

•google.com.pr

•microsoft.com.pr

•hotmail.com.pr

•live.com.pr

•msn.pr

•yahoo.com.pr

•coca-cola.com.pr

•nike.com.pr

•hsbc.com.pr

•nokia.pr

http://blog.segu-info.com.ar/2009/04/varias-webs-comprometidas-por-un-ataque.html

“Desde el año 2007 el crimen de robo de

identidad en Puerto Rico se intensificó como parte

de una ola de escalamientos en escuelas públicas

en donde se hurtaron diferentes tipos de

documentación como certificados de nacimiento y

tarjetas de identificación en aproximadamente 50

escuelas públicas a través de todo Puerto Rico…

son miles las víctimas, entre 5,000 a 7,000”,

afirmó la jefa de la Fiscalía Federal en la Isla,

Rosa Emilia Rodríguez”

http://www.vocero.com/noticia-18103-

hasta_7000_las_vctimas_de_robo_de_identidad.html

“La fiscal Díaz Rex señaló a preguntas de la

prensa que el “set” de certificados de

nacimiento y de tarjetas de seguro social

tenían un costo de entre $150 a $250.”

http://www.vocero.com/noticia-18103-

hasta_7000_las_vctimas_de_robo_de_identidad.html

http://www.elexpresso.com/index.php?option=com_content&view=article&id=2286:arrestos-por-robo-de-

identidad-en-puerto-rico&catid=23:locales&Itemid=65

Las autoridades

estadounidenses

arrestaron el martes a

miembros una banda que

robó información personal

de 7,000 estudiantes de

escuelas públicas en

Puerto Rico y la vendió

en Estados Unidos.

..muchos de los estudiantes afectados "ahora mismo probablemente no

saben" que fueron víctimas de robo de identidad.

Mitchelson añadió que muchas de las víctimas no sentirán las

consecuencias del robo de su información hasta tiempo después. "Ellos

llegan a los 18, 20 años de edad, van comprar un carro y su crédito está dañado".

http://www.primerahora.com/diario/noticia/otras_panorama/noticias/exceso_de_certificados_facilita___robo_de_id

entidad/331994

La gran cantidad de

certificados de nacimiento

que se solicitan y expiden

en Puerto Rico provocó

una “epidemia de robo de

identidad” aquí y en

Estados Unidos, denunció

hoy el director regional de

la Oficina de Pasaportes en

Miami, Ryan Dooley.

La Causa es…“la

facilidad con que

se hallan los

duplicados de los

certificados de

nacimiento de Puerto

Rico”.

…el valor en el mercado ilegal de un certificado de nacimiento de Puerto Rico es

de cerca de $5,000. Estimó, por otra parte, que cerca del 40 por ciento de

casos de robo de identidad en Estados Unidos es de documentos de Puerto Rico.

Más de 7 millones de personas fueron víctimas en E.U. en el 2002

Es el crimen de más rápido crecimiento en Estados Unidos

Le costó US$46 billones en el 2002 a las instituciones financieras en EEUU

http://www.hdmdesigns.com/erp/robo.htm

Sólo 1 de cada 700 personas cometiendo robo de identidad son atrapadas.

El tiempo promedio antes de detectar robo

de identidad: un año

http://www.hdmdesigns.com/erp/robo.htm

http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/

http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+Regulations/Puerto+Rico+Secu

rity+Breach+Laws.htm

http://infotech.aicpa.org/Resources/Privacy/Federal+State+and+Other+Professional+Regulations/State+Privacy+

Regulations/Puerto+Rico+Security+Breach+Laws.htm

http://www.daco.gobierno.pr/Repositorio/Reglamentos/ReglamentosobreInformacionalCiudadanosobreSeguridad

BancosdeInformacion.pdf

http://www.senadopr.us/Proyectos%20del%20Senado/rs0182.pdf

Nombre, Apellido

# Teléfono

Correo electrónico

Dirección

Recibos de Luz/Agua

¿Cómo y donde puedo encontrar esa información?

“La ingeniería social es la técnica más eficaz para hacerse

con secretos celosamente protegidos, ya que no requiere de

una sólida formación técnica, ni de grandes conocimientos

sobre protocolos y sistemas operativos", dice el informe de

ETEK.”

"Quienes practican la Ingeniería Social requieren

solamente de astucia, paciencia y una buena dosis de

sicología.”

http://www.channelplanet.com/index.php?idcategoria=10126

De acuerdo a Borghello (2009):

La Ingeniería Social puede definirse como una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema.

Visentini (2006):

Es una disciplina que consiste básicamente en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información sensible" y que normalmente no lo haría.

La Ingeniería Social, se centra en lograr la confianza de las personas para luego engañarlas y manipularlas para el beneficio propio de quien la implementa.

Ingeniería Social:

Son aquellas conductas y técnicas utilizadas para conseguir información de las personas.

“La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, “información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.

Recepcionistas

Vendedores

Personal de Nómina

Personal de Recursos Humanos

Personal de Finanzas

Administración de Oficinas

Kevin Mitnick, uno de los hackers más famosos del mundo por delitos utilizando la Ingeniería Social como principal arma:

"usted puede tener la mejor tecnología, firewalls,

sistemas de detección de ataques, dispositivos

biométricos, etc. Lo único que se necesita es hacer una

llamada a un empleado desprevenido y podemos

obtener la información. Los empleados tienen toda la

información en sus manos".

Kevin Mitnick

Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:

Todos los seres humanos quieren ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

Estos procesos son comúnmente utilizados en campañas de mercadeo y negocios para influenciar sobre la gente.

Reciprocidad – una persona hace un favor a otra, entonces la otra tiene que devolverle el favor.

Compromiso y Consistencia – una persona dijo que haría una acción y se ve obligada a hacerla, y debe ser consistente con su forma general de pensar.

Pruebas Sociales - es más cómodo hacer lo mismo que hace la gente.

Autoridad – las personas reconocen ciertos tipos de autoridad real o aparente, y los respetan.

Escasez – las personas se sienten atraídas por lo que es escaso.

El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema:

Esto ocurre cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web recomendada o ver un supuesto video.

Las personas son engañadas para que revelen información confidencial tal como:

# de tarjetas de crédito

datos bancarios

contraseñas de correos, etc.

Esta información será usada por los delincuentes para estafar, realizar compras a nombre de otro, enviar spam, etc.

El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos.

En el caso del “Scam” y el “Phishing”, el usuario

entrega información al delincuente creyendo que lo hace a una entidad de confianza o con un pretexto de que obtendrá algo a cambio, generalmente un “gran premio”.

http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208803634

Durante junio de este año se llevó a cabo una auditoria en una empresa estadounidense que se dedica a conceder créditos.

El objetivo principal de la auditoria fue el mostrar la inseguridad de las memorias USB.

Estrategia:

La empresa tomó 20 memorias USB de muestra.

Colocaron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora.

Estos USB fueron dejados «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.

De las veinte (20) memorias, quince (15) fueron encontradas por empleados de la empresa en cuestión.

Las quince terminaron por ser conectadas en computadoras conectados a la red de la compañía, que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema.

Autorun USB---Mensaje: TU MAQUINA HA SIDO INFECTADA…CORRE..BUSCA

AYUDA…MENSAJE : 10, 9, 8….DRA. CURBELO

Identificar a la Victima

Reconocimiento

Crear el escenario

Realizar el ataque

Obtener la información

Salir

Consiste en recolectar

información sensible

mediante la interacción entre

humanos.

Se lleva acabo con la

ayuda de las

computadoras

Ingeniería Social:

Basada en Humanos

Consiste en recolectar

información sensible

mediante la interacción entre

humanos.

1. Imitando ser un usuario

legítimo.

2. Imitando ser una persona

importante (alto rango)

3. Imitando ser personal

técnico

4. Espiar por encima de su

hombro (Shoulder Surfing)

5. “Dumpster Diving”-

Buscando en los

zafacones

6. En persona

7. Organización Privada

Imitando ser un usuario legítimo.

Provee una identificación y solicita información sensible.

“Hola Fulano, soy del

departamento X, y se me

olvidó mi password, me lo

puede indicar ó me lo puede

cambiar

Imitando ser una persona importante (alto rango)

“Saludos le habla Juan (Gerencial de

Alto Rango) y el VP me solicitó un

informe sobre los años de servicio

del personal en la oficina de XYZ, y

es con urgencia, ya sabes como es

aquí de un día para otro, anyway por

favor enviame la información al

tecogidebobo@correo.com”

Imitando ser personal técnico -Llama y se hace pasar por técnico

Fulano te habla José de Centro cómputos, anoche tuvimos una caída en el sistema y estamos verificando si hubo alguna perdida de datos por lo que le solicito me indique su nombre de usuario y su contraseña.

Espiar por encima de su hombro (Shoulder Surfing)- consiste en mirar por encima del hombro para conseguir los password.

Herramientas para prevenir

el espionaje por encima del hombro

3M Privacy Filters

Dumpster Diving

Dumpster Diving- Buscando en los zafacones.

Recibos de facturas, luz, agua, teléfono, cable u otros servicios.

Información financiera

Se busca “post it”

Números de teléfono

Matrículas

Otros

libretas telefónicas memos organigramas manuales de

procedimientos calendarios (de

reuniones, eventos y vacaciones)

manuales de operación de sistemas

reportes con información

cuentas de usuarios y sus contraseñas

formatos con membretes

Papel timbrado

¿Cuán común es la práctica de

revisión de desperdicios o

basura?

http://news.cnet.com/Oracle-chief-defends-Microsoft-snooping/2100-1001_3-242560.html

"In 1998, the Supreme Court ruled that Americans do not have a right to privacy regarding trash. The Economic Espionage Act of 1996, which made it a federal offense to steal trade information, doesn’t protect firms that fail to take reasonable steps to protect data." CIO Magazine, 2007

http://www.cio.com/article/28510/Best_Practices_for_Shredding_Corporate_Documents

Candado a los zafacones Colocando portones Colocando letreros de “No pase” Luces Utilizando Cámaras de seguridad Vigilancia Implementando una política de triturar

documentos Utilizando trituradoras en la oficinas Utilizando servicios de trituradoras

According to a recent study* conducted by the Alliance for Secure Business Information (ASBI):

80% of large organizations surveyed indicated that they had experienced one or more data breaches over the previous 12 months

49% of those breaches involved the loss or theft of paper documents.

The average breach recovery cost $6.3 Million!

http://www.fellowes.com/asbi/

¿Cómo puedo disponer de los

documentos importantes de la

oficina?

http://fellowes.com/shredderselector/

http://www.consumersearch.com/paper-shredders

http://www.sileo.com/fellowes/

Estrategia utilizada por el atacante haciendo uso de un cuestionario para recolectar información personal tal como:

Tipo de equipo que utilizan (compras)

Información de Contacto

Horarios

Otros

Utilizan la estrategia de identificarse como el empleado de una compañía de auditoría para recoger datos.

Por ejemplo:

Saludos, soy Fulano de Tal, el jefe me envió para que recogiera el informe de auditoría/ informe de gastos de X,Y, Z. ¿Me lo podría entregar?

Ejemplos de llamadas tramposas

Una vez conocemos todo de la víctima, y podemos predecir como actuará frente a determinados estímulos.

Conocemos sus gustos sus deseos, y es fácil llevarlo por una conversación telefónica a donde queremos.

• ¿Hola, Juan del Pueblo?

• Le hablamos del servicio de marketing de CASA, estamos ofreciendo una promoción especial a nuestros mejores clientes. Consiste en que las llamadas a un número fijo nacional de su elección, serán gratis durante un año sin tener que pagar nada.

• Por favor, para poder hacer esto posible necesitamos que nos confirme una serie de datos….

• - …….

Ingeniería Social:

Basada en Computadora

Se lleva acabo con la

ayuda de las

computadoras 1. Email con Malware

2. PopUp Windows

3. Spam (correo no

deseado)

4. Cadena de cartas

(Chain letters)

5. Emails de engaño

(Hoaxes)

6. “Phishing”

7. Instalando un

“Keylogger”

La mejor manera de estar protegido es el conocimiento

Educar a las personas, a todas las personas. No informar telefónicamente de las características

técnicas de la red, ni nombre de personal a cargo, etc. Control de acceso físico al sitio donde se encuentran

los documentos importantes de la compañía. Políticas de seguridad.******

Conozca los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas.

De esta forma podrá anticiparse a los riesgos de los ataques.

Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones.

Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada.

Este bien alerta, hay personas que tienen un talento increíble para “sacarle” información a otras personas.

Cuando usted note que alguien intenta “sacarle” información, confronte a esta persona y pregúntele ¿por que quiere saber esa información?

Así la persona sabrá que usted es una persona alerta y cuidadosa y no volverá a intentar “sacarle” información.

Dra. Aury M. Curbelo acurbelo@gmail.com

(787-202-8643)

Redes Sociales:

http://www.facebook.com/acurbeloruiz

http://twitter.com/acurbelo

Website:

http://digetech.net