Estudio de Ingeniería Social y su Niveles de Incidencia

De Computacion

ESTADO DE ARTE.

ESTUDIO DE INGENIERÍA SOCIAL Y SU NIVELES DE INCIDENCIA

Ing. Julia A. Pineda A. Andrea S. Espinosa A.

Abstract A pesar de tener toda una infraestructura tecnológica de seguridad muy avanzada en una organización, se está expuesto a una infinidad de métodos y técnicas que permitan a un atacante obtener información confidencial sin necesidad de utilizar tecnología muy sofisticada, una de estas técnicas es la Ingeniería Social. Este tipo de técnica pretende engañar a los usuarios con el fin de obtener información confidencial, a través de la manipulación psicológicas y habilidades sociales. La Ingeniería Social puede ser utilizada por personas mal intencionadas para llegar a obtener información, privilegios, accesos a sistemas y realizar algún tipo acto que perjudique o ponga en riesgo a una organización o sistema.

Abstract Por lo antes mencionado, es necesario realizar un análisis de este tipo de técnica para conocer los riesgos que se tienen al ser víctimas de estas y cuáles serían las posibles defensas contra la Ingeniería Social.

1. INTRODUCCION

La Ingeniería Social engloba una serie de engaños cuyos fines es confundir al usuario o lograr que comprometa seriamente la seguridad de los sistemas. Esto no es una ciencia exacta pero, cuando existen un número elevado de usuarios victimas, el éxito para estas personas es más rápido y garantizado. Cabe aclarar que la mejor tecnología y seguridad es inservible cuando el usuario es incapaz de mantener en secreto una clave de acceso o información confidencial. La principal defensa contra la ingeniería social es la educación del usuario, empezando por los propios administradores de redes. La mejor forma de combatir la ingeniería social es la prevención.

Es por tal motivo que tiene particular relevancia el impulsar una cultura de concienciar a los usuarios acerca de los peligros de la Ingeniería Social en la seguridad informática.

2. DEFINICIONES DE INGENIERIA SOCIAL

MM Wikipedia:

Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. [1]

MM Lester:

Con el término “ingeniería social” se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros. [2]

2.1 Quienes hacen la Ingeniería Social?

Cualquier persona, pero se han identificado varios grupos que llevan a cabo la actividad, como lo son [3]:

• Detectives privados.

• Miembros de organismos policiales y/o de inteligencia gubernamental o comercial.

• Delincuentes organizados.

• Hackers y Crackers (delincuentes organizados, pero orientados hacia la Tecnología de Información).

• Personas curiosas que sientan el deseo de obtener información acerca de otras personas.

• Ingeniero Social.

3. TÉCNICAS DE INGENIERÍA SOCIAL [4]

Tres tipos, según el nivel de interacción del ingeniero social:

3.1 Técnicas Pasivas:

Esta técnica es utilizada para vigilar o conocer lo que hace una persona en su vida (física o virtual), la capacidad e improvisación, un buen nivel de autocontrol y buenos dotes de observación o menoría visual y la capacidad de mantener siempre una vía de salida.

• Observación

• Surf hombro

3.2 Técnicas No Presenciales:

Muchas de las actuaciones de los ingenieros sociales se realizan a distancia, utilizando ya sea el teléfono, el fax, las redes de datos o incluso cartas tradicionales. A lo largo de los años se han ido perfeccionando las formas de operar y abriendo el abanico de las mismas a otros medios, he aquí algunas de ellas.

• Recuperar la contraseña

• Ingeniería Social y Mail

• IRC u otros chats

• Teléfono o Carta y fax

3.3 Técnicas Presenciales No Agresivas:

Se llama así cuando lo que se desea es llegar de cualquier manera a la información, sin el control de visitas a edificios, o acceso a datos sin permiso alguno, es permitirá el ingreso de cualquier persona.

• Buscando en la basura

• Seguimiento de personas y vehículos

• Vigilancia de Edificios

• Ingeniería social en situaciones de crisis

3.4 Métodos Agresivos:

Esta técnica permite realizar la búsqueda de información que se la consigue sin conocimiento de la persona, usando tácticas y métodos que ya involucre a la persona de manera directa.

• Suplantación de personalidad

• Chantaje o extorsión

• Presión psicológica

4. PRÁCTICAS Y TÁCTICAS COMUNES DE LA INGENIERÍA SOCIAL

4.1 Phishig

Conocido también como pesca de información es el uso de mensajes y páginas Web falsas para engañarlo y hacerle enviar información confidencial o personal. Esta técnica permite enviar un mensaje falso de correo electrónico que parece provenir de un banco, en el que tenemos o no una cuenta bancaria, y nos solicitan los datos de la cuenta o de la tarjeta de débito o de crédito que mantenemos con ese banco, con el pretexto de actualizar la información, participar en una campaña, o cualquier otra excusa. [5] Muchas veces, dentro del mismo mensaje, hay un vínculo web que, al seleccionarlo, nos puede llevar a una página web que luce como la página real del banco.

Los bancos e instituciones financieras saben de este engaño, y no envían estos mensajes, por lo que por regla general, hay que hacer caso omiso de cualquier mensaje en el que se solicite contraseñas, números de cuenta o de tarjetas de crédito, etc.

4.2 Engaño Telefónico

Podemos recibir llamadas telefónicas en las que alguien se hace pasar por un ejecutivo de un banco o de otra institución, solicitando información confidencial. [7] Lo mejor es negar brindar cualquier tipo de información sensible por teléfono.

Si fuera muy necesario intercambiar alguna información, se puede solicitar el teléfono principal de la institución que llama, el nombre y el departamento de la persona que llama, para corresponderle posteriormente.

4.3 Engaño Para Una Ejecución De Programa

Puede ser que recibamos en nuestros mensajes de correo o en una aplicación de mensajería instantánea, por parte de un desconocido, algún archivo que debe ser ejecutado. [5] El archivo puede venir en forma de presentación, fotografía, video, documento, etc., y al ejecutarlo en nuestra computadora, probablemente ejecute un instalador de un “troyano” o puerta trasera que, en algún momento, pueda darle el control de nuestra máquina a una persona extraña, lejos de nuestras instalaciones, pero que podrá extraer información personal importante.

Lo recomendable es nunca ejecutar archivos que no haya solicitado, y en muchos casos, ser cuidadosos aunque la fuente o la persona que lo está enviando sea alguien conocido. En este caso, puede buscar una confirmación por parte de quien se supone está enviando el archivo, antes de abrirlo.

4.4 Engaño Por Navegación Por Internet

Esta técnica empieza cuando se accede a un sitio web y a veces de forma automática, se instalen programas “troyanos”, “spyware” o “malware”. [5]. Esto ocurre por una configuración no tan segura del navegador, pero también por navegar en sitios web de dudosa procedencia. Nunca se debe aceptar la instalación automática de estos programas que se descargan de Internet, a menos que estemos seguros de la validez de la fuente.

4.5 Acceso a la Computadora en Forma Local o Remota

Además de aprovechar la ingenuidad de los usuarios, también es posible que se den ataques directos a los computadores, ya sea en forma local o remota.

4.6 Acceso Directo a la Computadora

Si un atacante tiene acceso físico a una computadora, puede agregar dispositivos físicos o pequeños programas que registran la secuencia de teclas que se introducen. Estos son llamados “key loggers” o grabadores de teclas, que posteriormente, cuando el potencial criminal lo retoma, puede repetir la secuencia de teclas, identificando números de cuenta, palabras clave, números pin, nombres de usuario, etc. [5]. No se debe usar nunca una computadora pública o poco confiable para conectarse a bancos u otras instituciones en las que debemos introducir información confidencial o sensible. Si nuestra computadora es accesible a más personas, siempre será recomendable que el descanso de pantalla entre en acción a los pocos minutos y que solicite una contraseña.

4.7 Acceso Remoto a la Computadora

Cuando se accede a través de la red local, el mismo que a nosotros nos sirve para comunicarnos con el resto del mundo, un atacante puede intentar ingresar en nuestra máquina sin nuestro conocimiento y sin nuestra autorización, y obtener información, archivos, documentos y otros datos relevantes. [5]. Es conveniente instalar en nuestras computadoras un programa firewall, rompe fuegos o pared de fuego, de carácter personal. También es importante mantener al día los parches del sistema operativo y de otros programas que tenemos instalados, para reducir los agujeros de seguridad.

4.8 Interceptando la Comunicación en la Red Local

Puede ser que los paquetes de información que usted envía al sitio web del banco sean interceptados por dispositivos sofisticados colocados de esta forma por atacantes, probablemente organizados en bandas, y con altos conocimientos técnico. [5]. Si bien esta forma de ataque no es tan común, por el nivel de conocimiento técnico que requiere por parte de los atacantes, también es importante conocer los niveles de protección y seguridad que mantiene en su red local el equipo de seguridad informática de su empresa o institución, así como la seguridad provista por su proveedor de Internet. En todos los casos, hay que mantenerse alertas, y ante una situación anómala, como mensajes inesperados, errores inusuales, comunicaciones fallidas, y otros, guardar cierta prudencia.

También es importante recordar siempre que cuando se vaya a acceder a una institución bancaria o con la que probablemente realizaremos transacciones sensibles, lo hagamos a través de redes privadas seguras, como la de nuestra oficina y nuestra casa, y de preferencia a través de redes físicamente cableadas.[7] Las redes inalámbricas, si bien representan una gran comodidad, si no nos consta que están configuradas en forma segura, pueden permitir el acceso a muchas personas, y entre ellas pueden estar incluidas algunas con intenciones deshonestas.

4.9 HOAX

Un hoax (engaño, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso es real. A diferencia del fraude el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el hoax tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad Internet y no suelen tener fines lucrativos o no son su fin primario. [6] Es un mensaje de correo electrónico con contenido falso o engañoso. Normalmente es distribuido en cadena por sus sucesivos receptores debido a su contenido impactante que parece provenir de una fuente seria y fiable o por que el mismo mensaje pide ser reenviado.

5. ESTADÍSTICAS DE LA INGENIERÍA SOCIAL

Dentro de la Ingenieria Social no se cuenta con estadisticas o números reales de ataques que se presentan, pero existen organizaciones que han realizado investigaciones donde revelan los distintos ataques y entre ellos el de Ingenieria Social.[9] En la siguiente figura se indica un informe de los 15 principales ataques que se registran en las organizaciones y la forma como se desarrollan.

00.00.0000

Basandosé en la figura 2, representa el porcentaje de violaciones y el porcentaje de registro comprometidos, verifica la frecuencia y el impacto que han producido en las organizaciones. De acuerdo a esto podemos indicar que la Ingenieria Social con un factor de frecuencia de 8% en el número de casos de violaciones y un impacto de perdida de datos de un 2% que compromete los registros.

Uno de los principales medios de difusión e infección es a través de SPAM, esta es una de las principales molestias a nivel de seguridad, en donde busca filtrar cualquier tipo de malware y causar graves problemas. La propagación de códigos maliciosos a través de correo electrónico, presentan niveles de detección de malware en las últimas fechas.[1-3] En la tabla se presentan las evoluciones de malware y las distintas detecciones en los ultimos días de acuerdo a su número de incidencia, peligrosidad y su fecha de descubrimiento.[10]

En la siguiente tabla se indica el proceso de la detección de spam mediante el correo:

Par la realización de este sistema de detección de malware a traves de spam ha sido necesaria la colaboración de la Red de Sensores de INTECO basada en una serie de sensores distribuidos desde los que se recoge la información necesaria mediante un proceso automático desde los servicios de correo y que, posteriormente, es procesada para la elaboración de estadísticas.[10]

6. TRABAJOS RELACIONADOS

INFORME SOBRE INGENIERÍA SOCIAL Y EL ARTE DE INFLUENCIA

Ingeniería Social el término normalmente se aplica a engaño o engaño con fines de recolección de información, fraude o del sistema informático acceso, en la mayoría de los casos nunca el atacante se encuentra cara a cara con la víctima. "

Debido al misterio que rodea a la gente de ingeniería social muchos tienen miedo de él, o sienten que nunca será capaz de llevar a cabo una exitosa prueba de ingeniería social. Nuestro sitio está diseñado para crecer a medida que crecemos. Discutir nuevas e innovadoras formas para atar la ingeniería social en su conjunto de habilidades. Esperando que se convierta en un estándar en ingeniería social.[11]

Con la utilizacion de herramientas de ingenieria social, personalizadas que únicamente se centra en atacar el elemento humano de pruebas de penetración. Su principal objetivo es aumentar y simular ataques de ingeniería social y permitir que el probador para comprobar cómo efectivamente un ataque dirigido puede tener éxito.

INFORME SOBRE MALWARE EN AMÉRICA LATINA

ESET cuenta con un Laboratorio de investigación y análisis de malware en sus oficinas de América Latina, el cual recibe constantemente distintas muestras de códigos maliciosos provenientes de usuarios de Internet. La gran diversidad y cantidad de metodologías de ataque y canales de infección utilizados por los creadores de malware durante el año 2007, comparten una serie de características que, mediante el engaño al usuario, logran instalar a una amplia variedad de malware en los equipos de los usuarios. [12]

El principal factor, que por lo general comparte el malware, es la utilización de metodologías de Ingeniería Social al momento de llevar a cabo su propagación y concretar sus infecciones. Estos factores pueden ser discriminados dependiendo de las particularidades propias de los códigos maliciosos, desprendiendo así, por un lado, información particular de cada uno de ellos; y por otro lado, información general que en definitiva permite describir las características más comunes del malware.

7. CONCLUSIONES

Siendo la Ingeniería Social un punto débil en la seguridad de los sistemas, ya que por lo regular es un punto de fisura de la seguridad, si no se tienen los conocimientos del funcionamiento de ambos a nivel de seguridad, los ataques serían más altos, ya que el internet es el principal sistema vulnerable, así también los usuarios deberían ser cautelosos con los mensajes que les llegan a través del correo electrónico, mensajería instantánea o redes sociales, de manera que se pueda proteger y librar de ataques. La Ingeniería Social como técnica de infección principal, cada vez tomas mas fuerza debido a la falta de conocimiento sobre el tema y a la seguridad que se presente en el internet.

References Wikipedia Enciclopedia Libre, Ingeniería social (seguridad informática), [En línea http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica), Citado el: 23 de Noviembre de 2009].

References Ingeniería Social, Teacher Lester, Social, 18 de octubre de 2008 Citado el: 24 de Noviembre de 2009 .

References Ingeniería Social en el Siglo XXI, 8 Noviembre 2009, disponible; [En línea: http://ingenieriasocialsigloxxi.wordpress.com/category/3-como-se-hace-ing-social/ , 8 de Noviembre de 2009, Citado el: 25 de Noviembre de 2009].

References Ingeniería social, Adrian Ramírez , [En linea http://hackstory.net/index.php/Ingenier%C3%ADa_social_es#T.C3.A9cnicas_de_Ingenier.C 3.ADa_Social, 21 de abril de 2009, Citado el: 30 de noviembre de 2009]

References Blog de tecnología, conversaciones en línea, [En linea http://blogs.laprensagrafica.com/litoibarra/?p=298, 01 de septiembre de 2009, Citado el: 1 de Diciembre de 2009]

References Revistas Ciencias La Ingeniería Social, acercándonos a los molestos Spam, Phishing y Hoax, Arteaga García Alían, [En línea http://www.revistaciencias.com/publicaciones/EkEkVFVEyZorqSOkTo.php, 3 de Junio de 2008, Citado el: 2 de Diciembre de 2009]

References Introducción a la Ingeniería Social, Publicado el 22 de Mayo, 2007, [En línea http://valenzine.com/blog/2007/introduccion-a-la-ingenieria-social/ , Citado el: 3 de Diciembre de 2009]

References [HACK] CURSO INGENIERIA SOCIAL 4-1Fri Octubre 4 18:56:09 CEST 2002, CAPITULO IV Técnicas de Ingeniería Social, [En línea http://mailman.jcea.es/pipermail/hacking/2002- October/001188.html, Citado el: 3 de Diciembre de 2009]

References SEGURIDAD INFORMÁTICA, AMENAZAS, [En linea http://seguinfo.wordpress.com/category/amenazas/, 12 de diciembre de 2009, Citado el: 26 de Diciembre de 2009 ]

References Instituto Nacional de Tecnologias de informacion INTECO [En línea https://ersi.inteco.es/index.php?option=com_sanetajax&task=evolucion_totales&Itemid=63&script=si, Citado julio 2010]

References Social Engineering Exploiting Human Vulnerabilities,Social Engineering, [En línea http://www.social-engineer.org/blog/ Citado en: diciembre 2009]

References Francisco José Oteo Fernández, Javier López Redondo, ISO/IEC 13335. Disponible en: http://www.eset.com.pa/threat-center/articles/informe_malware_america_latina.pdf

INTRODUCCION

La "Ingeniería Social" aplicado al tema de la seguridad informática, es utilizada para describir una serie de procedimientos específicos que permitan ser involucradas con la manipulación de personas u objetos, que servirían para obtener información vital sobre el sistema a atacar. Aprovechar debilidades psicológicas que son muy complejas de aprender y muy fáciles de realizar. Los ataques mediante técnicas de "Ingeniería Social" mantienen un alto grado de eficacia. En muchos de los casos, la misma está dada por falta de conocimiento o por el tiempo y la poca importancia que se le da a la seguridad. El presente proyecto pretende realizar un estudio de la Ingeniería social y sus niveles de incidencia mediante datos estadísticos realizados, y de esta manera conocer cuáles son las técnicas que permiten vulnerar los sistemas y analizar las medidas para reducir las probabilidades de éxito. Conocer de qué manera el atacante trabaja con las nuevas amenazas y estas pueden resultar de gran ayuda para emplear Ingeniería Social. La principal característica de la investigación es realizar un estudio de las vulnerabilidades dentro de la Universidad Técnica Particular de Loja, las políticas de seguridad para implementar y formas de protección hacia el centro universitario y finalmente dar conclusiones y recomendaciones de lo investigado.

FASE DOS

DEFINICIÓN DE INGENIERIA SOCIAL

En la Ingeniería Social existen varias definiciones que se enfocan a la seguridad informática, pero preexisten contextos diferentes en donde se pretender conocer y comprender como actúa y opera la ingeniería social, por medio de sus técnicas, tretas, artimañas más elaboradas por medio del engaño a la persona y obtener información confidencial, a través de las debilidades propias o de algún sistema que conozca.

El único medio para entender cómo defenderse contra esta clase de ataques es conocer los conceptos básicos que se menciona a continuación:

Wikipedia:

Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. [1]

Lester: Con el término “ingeniería social” se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros. [2]

CAUSAS DE INGENIERIA SOCIAL

Otro aspecto de valoración es conocer las causas que provocan ataques de Ingeniería Social y una serie de problemáticas que se encierran dentro del conocimiento y desconocimiento sobre el tema, para ello mencionaremos alguna de las causas.

• El factor humano que es una parte esencial y primordial de la seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Significa que esta debilidad de seguridad es universal, independiente de plataformas, el software, red, equipo y la edad de la persona que sea afectada. • Falta de conocimiento y capacitación sobre las distintas técnicas y maneras de ser atacados por medio de la Ingeniería Social. • Permitir el acceso a alguna parte del sistema, físicamente o electrónicamente, por parte de personas externas o propias de la empresa que no tengan relación con lo que se realice. • Desconocimiento de políticas y protocolos de la organización por parte de los empleados, en donde se les explique la manera de trabajo de la misma. • Indiferencia del personal para respaldar información y mantenerse alerta a distintos sistemas de seguridad de información. • Utilización de herramientas que no proporcionen seguridad a la información ni al personal, y con esto permitan el robo, o algún daño al sistema.

Existen muchas causas que permiten que utilicen los atacantes valiéndose de las distintas técnicas de la Ingeniería Social para realizar algún daño o pérdida de información confidencial.

FASE II

2. ANÁLISIS DE LAS TÉCNICAS MÁS UTILIZADAS POR LOS ATACANTES

Para obtener información los atacantes utilizan técnicas que dependen en gran número de la facilidad que tengan para poder operarlas dentro de la empresa o fuera de ella.

2.1 TÉCNICAS PRESENCIALES

2.1.1 Observación

La observación es la ruta para buscar la mayoría de escenarios que permitan al ingeniero social obtener información, de un lugar, persona o grupo de personas. Manteniendo una capacidad visual para obtener la mayor cantidad de información en el menor tiempo posible.

Quizá sea un ataque muy simple pero es muy efectivo, observar el entorno y aprovechar los datos que están a la vista cuando el sentido común indica que deberían guardarse en un lugar seguro. Mucha información puede destilarse mediante esta técnica puesto que mediante un análisis sobre el interior, buscar diálogos, seleccionar formas y operaciones que se puedan realizar para obtener información.

Esta técnica se aplica a varios casos en sí que se dan para que se obtenga la información [2]

• Contraseñas puestas en un post-it en la pantalla del ordenador. • Charlas descuidadas del personal, habladurías con otras personas. • Oferta ficticia de empleo a empleados de otras empresas, como pretexto para efectuar profundas entrevistas a los mismos.

2.1.2 Surf Hombro

Mirando por encima del hombro de una persona como él los tipos en su código de acceso y la contraseña / PIN en un teclado con el fin de cometer este a la memoria de lo que puede ser reproducido. [13]

Existen algunas variaciones de surf hombro:

• Usando unos prismáticos o un telescopio de baja potencia para ver quién entra en un código PIN. • Recubrimiento el teclado con una fina capa de material ultravioleta de forma que posteriormente puede ver qué teclas pulsa el usuario.

También hay algunas variaciones auditivo en el hombro surf tema, en el que escuchar en lugar de buscar [15]

• Escuchar el tipo de un usuario en su contraseña para determinar cómo las pulsaciones de teclado muchos tipos, y por lo tanto el número de caracteres de su contraseña. • Escuchar a un usuario marcar un PIN en un teclado de teléfono y determinar el código PIN desde el sonido de los tonos DTMF (Dual Tone Multifrecuency) .

Estas técnicas no solo ocurre a nivel informático sino en seguridad perimetral y de accesos. Para obtener beneficios mediante la consigna de que el procedimiento que se está realizando proporcione resultados.

2.2 TÉCNICAS NO PRESENCIALES

2.2.1 Contraseña Perdida

La técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten voluntariamente que las personas realicen actos de recuperación de contraseñas, sin importarle las medidas de seguridad que existen.

Para obtener una contraseña se utiliza los propios sistemas de recuperación de contraseñas de casi la mayoría de servicios de la red. [2]

2.2.2 Ingeniería Social Y Mails

Uno de los métodos de ingeniería social usados diariamente es el correo electrónico. El correo electrónico, es una de las aplicaciones más conocidas de Internet, debido a esto, las potenciales víctimas están más familiarizadas con su uso y fallos de seguridad, también el flujo de virus que este medio permite el ingreso o envió directamente sin presentar en algunos de los casos alertas de aviso.

• El Envió De Correo Anónimo

Para realizar el envió de correo anónimo dentro de la ingeniería social es posible, mediante varios remailers que son servidores que reciben mensajes de correo electrónico con instrucciones acerca de donde enviar enseguida el mensaje, y el remitente sin revelar de donde viene originalmente el mensaje[15]. De esta manera se tendrá una buena dosis de anonimato. Se suele usar un remitente falso en lugar de anónimo.

Un correo siempre deja huella de dónde se envió. Cuando el destinatario no conoce al remitente, hay que utilizar un intermediario. Existen empresas que se encargan de enviar los emails al destinatario, pero mostrándose como un remitente a ellos mismos, de forma que el usuario o destinatario nunca conocerá la verdadera persona que lo envió.

2.2.3 E-MAILS

El e-mails es una herramienta simple y poderosa para la distribución de mensajes a un gran número de personas. Su uso proporciona que los ataques sean posibles gracias a la efectividad que tienen en los usuarios normales los mails provenientes de entidades públicas o servicios privados.

El volumen del correo electrónico manejado puede hacer que no se preste la atención necesaria a cada uno de los mensajes que se reciben. Este hecho es muy útil para un atacante informático de ingeniería social. La mayoría de los usuarios del correo electrónico se sienten bien consigo mismos cuando manejan la correspondencia; se trata del equivalente electrónico de mover el papel de una bandeja de entrada a una de salida. Si el atacante puede realizar una solicitud que no requiera acciones complicadas por parte de la víctima de su ataque, ésta aceptará hacer algo sin ni siquiera pensar en lo que está haciendo. [16] En la siguiente tabla se muestra objetivo de los ataques, descripción y el costo que determina el riesgo de cada uno de ellos a una organización.

Tabla 1 Ataques en línea por correo electrónico y costos [16]

Hay dos formas comunes de ataque:

• La primera consiste en un código malicioso, como la que utilizado para crear un virus. Este código se oculta generalmente en un archivo adjunto a un correo electrónico. El intención es que un usuario desprevenido que haga clic en / abrir el archivo.

• El segundo implica fraude, el bajo nivel de protección y falsas alarmas de virus. Estos han sido diseñados para obstruir los sistemas de correo por un virus de la presentación de informes inexistentes o de la competencia y se pide al destinatario que envíe una copia a todos sus amigos y compañeros de trabajo. Como la historia ha demostrado, esto puede crear un efecto de bola de nieve importante, una vez iniciado.

De acuerdo a estos ataques se genera un alto nivel de desconfianza para recibir o enviar un correo, puesto que puede ser que el mismo terminará siendo víctima de cualquier amenaza.

2.2.4 IRC (Internet Relay Chat) U OTROS CHATS

IRC permite la comunicación entre dos o más personas en privado por canales, donde múltiples usuarios se reúnen simultáneamente en charlas o debates, en los cuales cada uno va expresando sus opiniones de forma escrita y en tiempo real sobre cualquier tema, existen ciento o miles de canales disponibles con varios usuarios que se deseen integrar. Otra técnica utilizada son los Chats, donde se puede llegar a obtener información amplia por medio de la ingeniería social. El nivel de seguridad de este sistema de comunicación es bajo, ya que existen hackers que intentan engañar a los usuarios de las salas de conversaciones o “Chats” para que descarguen y ejecuten software malicioso: como virus, gusanos, troyanos que pueden dejar desprotegido al computador ante ataques del hacker, permitiendo realizar ataques al sistema u otros. Con el aumento de usuarios de IRC, chats y mensajeros instantáneos los hackers se encuentran en las salas de Chats en Internet, mediante el uso de herramientas automatizadas, donde envían anuncios en los que proporcionan descargar software para música, antivirus, fotografías, videos, y música, entre otros. Sin embargo los atacantes utilizan las técnicas en el momento que se realiza esta descarga, donde puede comprometer al sistema con el ataque de algún virus o un key logger o "grabador de teclas", [17] que guarda en memoria todo lo que se escribe en el teclado y luego lo envía al intruso; analizando las teclas oprimidas, el hackers puede deducir fácilmente los passwords del usuario. En la siguiente figura se muestra el funcionamiento de la suplantación, tanto para correo electrónico como para la mensajería instantánea. [16]

Figura 1 Suplantación en mensajería instantánea CERT, una de las principales instituciones dedicadas a la seguridad en Internet, emitió ha recibido informes de ataques de ingeniería social en los usuarios de Internet Relay Chat (IRC) y mensajería instantánea (IM). Los informes que el CERT/CC indica que decenas de miles de sistemas recientemente se han comprometido. [19]

En la Tabla 2 se indica cómo se realiza mensajería instantánea con el envió de correos electrónicos dentro de la organización, y como se filtra un pirata informático o atacante para realizar ataques. La distinta funcionalidad y el número de personas que pueden ser objeto de ataque en una organización y el costo que se producirá en cuanto seguridad.

Tabla 2 Ataques por mensajería Instantánea y costos [16]

2.2.5 TELÉFONO

El teléfono es el medio predilecto de los ingenieros sociales, ya que es donde se registra ataques por medio de personificaciones falsas y de persuasión a los usuarios. Las opciones de comunicación la mayoría impersonal, debido a que el usuario objeto del ataque no puede ver al atacante, ya que se valdrán de tretas engañosas, amenazas, confusiones falsas, falsos reportes de problemas, entre otros [19]. El teléfono es un vector de ataque excelente, permite la ocultación del número para mantener un anonimato de manera simple, donde podrán actuar a distancia, incluso desde otro lugar lo que permitirá hacer más difícil la búsqueda y captura del ingeniero social. La voz permite ofrecer mucha información, pero los atacantes buscarán la obtención de la información basándose en el estado de ánimo del interlocutor para de esta manera saber si no es un profesional del medio y por lo tanto obtener un grado de confianza, para que no se produzca denuncia mientras se mantiene contacto telefónico. La mayoría de veces trataran algo puntual o intentaran saltar la barrera en busca de más información más profunda.

Los teléfonos móviles, complican un poco a los atacantes, ya que no existe una comunicación directa entre persona y dirección o número telefónico. Pero puede darse llamadas repetitivas desde el mismo número que está intentado establecer comunicación y de esta manera obtener la información. Como se muestra en la siguiente Figura 2.

Figura 2 Ataques telefónicos a centrales [16]

En la Tabla 3. Tenemos Las solicitudes de información o acceso telefónico constituyen una forma de ataque relativamente sin riesgos. Si el destinatario sospecha o no decide responder a una solicitud, el pirata informático o atacante sólo tiene que colgar. Sin embargo, tenga en cuenta que dichos ataques son más sofisticados que el hecho de que un pirata informático simplemente llame a una compañía y solicite el Id. Y la contraseña de un usuario. Éste normalmente presenta una situación, en la que pide u ofrece ayuda, antes de realmente solicitar la información personal o de la empresa con la utilización del teléfono.

Tabla 3 Ataques a Centrales de Conmutación Telefónica y Costos [16]

El sistema de voz sobre IP (VoIP) , aun no presenta grandes actividades de amenaza, y que existe aun relativamente un bajo número de instalaciones, pero puede generalizarse tanto como el correo electrónico y mensajería instantánea.

2.2.6 CARTAS Y FAX

Estas son una forma precisa de obtener datos de la persona a quien se desea atacar. La ingeniería social permite que se propaguen los virus, y provoquen daños usando recursos de la red de valor.

Esta técnica de la carta y fax se basa en enviar ofertas interesantes, la mayoría de estas cartas o fax son enviados con distintas situaciones y funcionalidades por parte del atacante que busca llamar la atención del usuario.

El uso de cartas y fax ha permitido filtrar información de la víctima, puesto que pueden recurrir a extraer documentación valiosa con intento de robo de identidad, dinero, información bancaria o personal. Cadena de cartas son e-mails que se envían con la condición de que si re-envía el email a otras personas recibirá regalos, dinero y programas (software) gratis. Proporciona al atacante información única, no será sencillo ya que si la persona destinataria está preparada no facilitará información privada.

2.3 TÉCNICAS NO PRESENCIALES NO AGRESIVAS

2.3.1 BUSCANDO EN LA BASURA

También conocido como trashing , es a menudo un ataque serio efectivo, la obtención de información secreta o privada que se logra por la revisión no autorizada de la basura (material o inmaterial) descartada por una persona, una empresa u otra entidad, con el fin de utilizarla por medios informáticos en actividades delictivas.

Entre la basura se puede descubrir todo tipo de material útil:

• Papeles desechados clasificados y sin clasificar • Directorios telefónicos internos • Inventarios • Organigramas. • Memorandos Internos. • Manuales de Políticas de la Empresa • Agendas en Papel de Ejecutivos con Eventos y Vacaciones. • Manuales de Sistemas. • Impresiones de Datos Sensibles y Confidenciales. • “Logins”, “Logons” y contraseñas. • Listados de Programas (código fuente). • Disquettes y Cintas. • Papel Membretado y Formatos Varios. • Hardware Obsoleto Estas actividades pueden tener como objetivo la realización de espionaje, coerción o simplemente el lucro mediante el uso ilegítimo de códigos de ingreso a sistemas informáticos que se hayan obtenido en el análisis de la basura recolectada. [21]

Los sujetos no permiten caracterizar y plasmar el delito ya que pueden variar, cada atacante se muestra de distinta forma y en distinta ubicación, por lo tanto, mantendrán diferenciaciones en los delitos y de acuerdo al procedimiento penal este se llevara a cabo según su delito.   

De esta manera resultara más fácil al atacante poder encontrar información potencialmente útil que debería haber sido eliminados en forma segura por ejemplo trituración[13].

2.3.2 SEGUIMIENTO DE PERSONAS Y VEHÍCULOS

Esta técnica permite al atacante observar a la persona y su sistema, con el objetivo de establecer vulnerabilidades y posibles accesos a la empresa, y uno de ellos es conocer a la víctima e investigarla, sin importar los recursos que tiene que utilizar para obtener la información. El trabajo externo del personal, la existencia de muchas sucursales son factores vulnerables para que el atacante empiece a identificar por donde debe iniciar el acercamiento sin causar mayor impacto. El propósito del atacante es vulnerar cualquier sitio que le proporcione acercamiento a la víctima, con el fin de llegar a la información que el personal maneje.

2.3.3 VIGILANCIA DE EDIFICIOS

La seguridad física dentro de la ingeniería social es uno de los controles primordiales a nivel de seguridad del perímetro de un edificio y medio ambiente incluyendo: vigilancia y los dispositivos de detección para el propio edificio, puertas, cerraduras, ventanas y rejas, conducción, la luz del techo, y las trampillas, cámaras internas, detección de intrusos, y sistema de control de acceso. La seguridad de la información mantendrá controles para su acceso, de manera que si un atacante logra tener éxito y violar la seguridad e ingresar al edificio, estos controles no permitirán que ingrese para extraer la información, sin activar las alertas de seguridad del edificio

2.3.4 INGENIERÍA SOCIAL EN SITUACIONES DE CRISIS

En situaciones de crisis evolucionan los engaños y las puertas a los ataques de ingeniería social, especialmente aquellos en que los usuarios mal intencionados aprovechan el peso de una auditoria o de los reguladores para sacar información. La posibilidad de que, por el hecho de acreditarse como auditores o inspectores, y con la predisposición de ofrecer máxima ayuda, los usuarios acaben entregando acceso físico y/o lógico a los activos de información de las empresas, sin haber comprobado antes la legitimidad de estos peticionarios. La crisis expuesta mediante el engaño telefónico y por correo electrónico, es algo que se presenta a menudo y es de conocimiento para una atención oportuna y necesaria, ya que esto puede presentar de distinta manera a las empresas

2.4 MÉTODOS AGRESIVOS

2.4.1 SUPLANTACIÓN DE PERSONALIDAD

La suplantación de identidad adopta muchas formas con la ingeniería social, para engañar a usuarios y convertirlos en víctimas del phising o estafas. En ocasiones, los atacantes se apoyan en vulnerabilidades tecnológicas para poder hacerse con el control de cuentas de correo electrónico o perfiles de mensajería instantánea, aumentan los casos en los que son los propios usuarios quienes crean cuentas ficticias o falsificadas con la intención actuar bajo el anonimato de un nombre falso, dañar los intereses de terceros o cualquier otro motivo. En cualquier caso, la suplantación de identidad supone hacerse pasar por otra persona física o jurídica. La suplantación de identidad llegó al mundo de los blogs y las redes sociales arrasando con perfiles de empresas y particulares, y la realidad es que sigue presente, manteniendo un cierto clima de inseguridad en la red. “Se trata de una práctica muy común, y que acostumbra a llevar aparejada la comisión de distintos delitos, lo que puede llegar a comprometer seriamente a la víctima de la sustracción, especialmente en aquellos casos en los que se utiliza la cuenta suplantando la identidad del verdadero usuario.” [24]

2.4.2 CHANTAJE O EXTORSIÓN

La ingeniería social se ha visto como una técnica de manipulación y extorsión de las empresas, organizaciones y personas con una finalidad egoísta. Los ingenieros sociales no solo usan tácticas para atacar a las empresas, también pueden llegar a corromper las fronteras de seguridad e intimidad de las personas infectando los equipos de virus y gusanos. No sólo debe saber usar un buen sistema operativo ni saber infringir contraseñas de alta seguridad, sino también en poseer ciertas características como el ingenio, persuasión, argumentación, razonamiento, sutileza y el carisma, además existen muchas personas que no pueden evitar dejarse seducir por estas cualidades. Él es quien trata a las demás personas como sus marionetas y puede tomar ventajas de su conocimiento para su propia conveniencia; es una persona lista y timadora. Al igual que estafadores y defraudadores en general, los ingenieros sociales aprovechan de la credulidad humana.

La seguridad es, al final, siempre es un problema de personas, pero “la ingeniería social se intensifica la necesidad de abordar la debilidad humana como un problema que requiere soluciones”. [25]

Maneras de actuar de un ingeniero social mediante un chantaje o extorsión [26]: • La capacidad de persuadir, coaccionar o manipular a otras personas. • La credibilidad y la empatía útil para mentir de manera convincente y el establecimiento de la confianza, lograr que la gente a abrirse y revelar información casual, por ejemplo, halagarlos o coqueteando. • La confianza, la valentía y la agresividad, junto con la experiencia para saber cuándo presionar. • Ser buenos para escuchar, recordar, relacionar, y el uso de fragmentos de información útil.

2.4.3 PRESIÓN PSICOLÓGICA

Con el manejo de la Ingeniería Social se requiere solamente de astucia, manipulación, paciencia y una buena dosis de psicología. Mediante esta técnica se pretende penetrar en redes y obtener secretos, engañando a los usuarios para comprometer su seguridad. Su éxito radica en apelar a las inclinaciones más profundas de la persona: el miedo, el deseo, la codicia o incluso a la bondad natural."

La naturaleza del comportamiento humano y de nuestras debilidades psicológicas, fácilmente pueden ser explotadas para obtener información mediante el uso de técnicas básicas y avanzadas; esto a un lado, la inteligencia que requieren libremente renunciar a que el conocimiento y alardear en grupos, en forma de presumir una través del uso de la ingeniería social, pero hay que cuestionar la calidad de la información, tal como se atrevería uno cuestionar la inteligencia recogidas a través del uso de la tortura o la presión psicológica.[27]

Hoy en día las empresas se centran en la inteligencia, y emplean los psicólogos y sociólogos de tiempo completo, no sólo en un papel analogía, pero también forma parte del programa de capacitación fundamentales de empresas, cada oficial de inteligencia se examina el potencial para la debilidad y la posible "sugestivo", es decir, se puede manipular el agente, a convertirse o debilitar, a divulgar información confidencial.

2.5 ATACANTE O HACKER

2.5.1 Perfil de un Atacante

Es una persona de apariencia normal con miedos y dudas, es una persona obsesiva por la información es extrovertida e investiga todo lo relacionado con la informática y electrónica le gusta pasar horas y hasta días frente al computador acumulando conocimiento técnicos elevados y saber cómo utilizarlos. Los estudios han encontrado que suelen ser [28]:  Sexo masculino  Edad entre 16 y 35 años  Solitarios  Inteligentes  Competentes técnicamente

Existen en la sociedad distintos tipos de atacantes de forma acertada que nos permitirá identificarlos correctamente y conocerlos. Es posible crear un perfil de cada uno de ellos y conocer sus intenciones.

2.5.2 Distintos Tipos De Atacantes TIPOS DE ATACANTES DESCRIPCIÓN HACKER • Un Hacker es alguien con conocimientos profundos sobre tecnología. Normalmente él sabe que terreno pisar y como evaluar las distintas circunstancias que se le presenten. • No difunde sus conocimientos, se jacta de ser un individuo soberbio, pero si comparte sus conocimientos con otros especialistas si son interesantes. • Estudia sistemas de cifrado o codificación, el ser capaz de modificar la información es todo un reto para él [28]. El manejo de esta información luego de modificarla es propia para su uso e investigación. • El Hacker aprende y trabaja solo, ya que lo único que lo rige es las ansias de buscar conocimiento. CRACKER • Tiene la capacidad de romper sistemas y Software y obtener seriales, o cracks con la finalidad de modificar el software o hardware de su estado original, es decir craquear sistemas. Este a diferencia de los hackers busca un beneficio personal que puede ser económico o por realizar algún daño. • El cracker investiga perfectamente ambas caras de la tecnología, sea en la parte física de la electrónica o en la parte de programación. • Pero existente el cracking que es la única manera que permite realizar modificaciones en software que el fabricante no realiza en búsqueda de la corrección de defectos o exportar los datos a nuevas aplicaciones a esto no se lo considera ilegal. LAMERS Conocidos por su falta de conocimiento y obtención de cualquier tipo de información que encuentre en el Internet, ya que utiliza las herramientas de otros hacker que han creado y de esta manera se benefician de ellas. El términos de Lamers es usado dentro de salas de chats y foros para describir a los usuarios que se comportan como novatos incompetentes durante más tiempo de lo normal. Aparentemente son inofensivos ya que solo presume de conocimientos o habilidades que realmente no posee. BUCANEROS Un bucanero no interesa conocer ni aprender nada de tecnología especialmente de electrónica e informática. Son comerciantes que manejan negocios el cual no tiene escrúpulos a la hora de explotar un producto a nivel masivo, es un empresario que busca ganar dinero rápido de manera poco legal.

NEWBIE Es un novato simplemente. Le interesa navegar en Internet y presenta un verdadero interés por aprender y conocer, es un individuo que no le interesa sociabilizarse mucho, al igual que los Lamers investiga programas existentes y creados por otros hackers que le permitan el manejo y uso de apropiación de información siguiendo muy despacito los paso a ejecutar. WANNABER Es un individuo que no aprende nada y se presiona al máximo en busca de resultados, mantiene mucha paciencia y tolerancia a cualquier situación que se le presente, su mayor dedicación es buscar quien le enseñe a ser un hacker. PHISHERS Se los conoce por los ataques de Phishing que permiten la duplicación de una página Web para hacer creer a su visitante que se encuentra en la página original y de esta manera obtendría la información. Con esto se logra ampliar las redes y buscar más ataques propicios a empresas grandes y pequeñas. Cuando se realizan ataques utilizan métodos rápidos, donde los usuarios finales les dan la facilidad de acceso y trabajar en forma paralela sin producir alteraciones o que los usuarios se den cuenta, ya que esto les generara una pérdida económica. El Phising es una puerta abierta para el inicio de nuevos fraude y mayor riqueza a los phishers. PIRATAS INFORMÁTICOS Es un Hacker, que busca programas para beneficio propio, que permite realizar copias de los distintos programas y venderlos sin contar con derechos de copyright. Son conocidos como estafadores, piratas que comercializan y crean copias ilegales.

2.5.3 Motivaciones Del Atacante

Las motivaciones del atacantes “Son los componentes claves para comprender a los hackers, pues permiten identificar qué propósito hay detrás de un intento de intrusión” [29]. • Reto: considerado como el elemento inicial de un hacker, puesto que aun no tiene su objetivo definido y por lo tanto juegan con el sistema al que ingresan sin importarles los daños que pueden ocasionar. • Codicia: Este es su objetivo la mayoría de las veces, el deseo de obtener dinero, bienes, servicios o información que les proporcione mas lucro. • Propósito mal intencionado: Generalmente el causar daños a una organización es su visión principal, el realizar daños como accesos no autorizados al sistemas, denegación de servicios, cambios o modificaciones a sitios Web, ingreso a correo electrónico, mal uso de contraseña, etc.

2.6 ESTUDIO DE METODOLOGÍAS DE ANÁLISIS

Los atacantes o hacker dentro de la ingeniería social buscan y analizan la manera de intimidar o confundirlo al usuario y de esta manera buscar beneficios más rápidos y seguros, podrían utilizar tretas como: compañeros de trabajo, auditores, administradores, familiares, y de esta manera explotar la información obtenida. “Los métodos de la ingeniería social están organizados de la siguiente manera” [30]: • Una fase de acercamiento es el proceso de mantener una buena relación de confianza con el usuario, intentando ganárselo indicando que es compañero nuevo de la empresa, proveedor, cliente, parte de la administración y de esta manera buscar la obtención en la información. Dentro de esta fase tenemos el reconocimiento y búsqueda de nuestra víctima, en donde analizamos las vulnerabilidades que estén presentes para ser explotadas valiéndonos de herramientas y utilizando las técnicas de Ingeniería Social y de estar manera conseguir obtener la mayor cantidad de información. • Una fase de alerta, permite conocer o tener una sospecha de algún riesgo que permita perturbar al usuario y proporciones información veraz y eficaz. A través de esta fase se permite buscar si existen accesos al sistema por parte de atacantes, si presentan distintas configuraciones realizadas al sistema. También establecer factores de riesgo habilidades, destrezas y conocimientos de seguridad informática, donde registren modificaciones realizadas por parte de un atacante. Además no siempre se realizaran ataques por acceso al sistema sino también usando otros recursos que me permitan obtener información de cualquier manera, para ello se sustenta y se utiliza las técnicas de la Ingeniería Social, que me permiten acceder a la información de varias maneras y causar daños.

• Una fase de cubrimiento de huellas permite destruir toda evidencia de actividades ilícitas y lo hace por varias razones como, poder seguir teniendo un acceso al sistema comprometido ya que si borra sus huellas los administradores o las personas encargadas de la seguridad de la red no tendrán rastros claros del atacante y podrá seguir ingresando al sistema en cualquier momento. Una característica principal es para evitar ser detectado.

FASE III

CAPITULO II: ESTUDIOS DE CASOS DE INGENIERIA SOCIAL

INTRODUCCION

Dentro del estudio de la Ingeniería Social se ha podido identificar y conocer muchos casos sobre ataques utilizando las técnicas, como observación, suplantación, correo electrónico, cartas o fax, teléfono y otras más que han permitido revelar información sensible, o bien violar políticas de seguridad. Sin embargo muchos de los ataques registrados son por el descuido y falta de conocimiento del usuario, así como también proporcionar información en distintos medios sin que exista mayor seguridad físicamente o electrónicamente con la información.

En Internet he encontrado varios ejemplos de personas que han sufrido ataques de cualquier medio utilizando la Ingeniería Social y valiéndose de cual herramienta que le permite acceder a la información.

1. CASOS REALES

1.1 E-MAILS

1.1.1 CORREOS MALICIOSOS QUE SIMULAN PROVENIR DE CORREOS [32] Cuando se envía un correo electrónico cuyo texto solo se puede ingresar pulsando un enlace que redirige al usuario hacia otro sitio en este caso un dominio belga del cual se descargará rápidamente un virus. El engaño es rápido y muy tentador para el usuario ya que se envía como un mensaje normal de otro correo, donde le informan que ha recibido un telegrama online y la forma de visualizarlo es pulsando en un enlace con ficheros malicioso. A continuación en la Figura 3 se presenta un correo malicioso enviado. Los mensajes pueden variar ligeramente pero la mayoría de los que se han detectado en esta oleada tienen el siguiente aspecto:

Figura 3 Correo Electrónico Malicioso [32]

1.1.2 CAMPAÑA DE CORREO MASIVO CON UN FALSO MENSAJE DE DHL

Con el uso masivo del correo electrónico (spam), contienen virus que buscan engañar al usuario para que este abra y ejecute el archivo indicando ser un mensaje de la empresa de servicios de correo DHL. [33] Los atacantes utilizan las técnicas del la Ingeniería Social en este caso mejorando la técnica suplantación, el mensaje redactado correctamente e incluye un archivo adjunto que a simple vista pareciera ser un documento de texto (.doc), aunque en realidad es un ejecutable (.exe). A continuación en la figura 4 se indica el t4exto de un correo masivo con mensaje falso.

Figura 4 Correo Electrónico Con Falso Mensaje DHL [33] Este mensaje está conformado por una etiqueta postal falsa, con un número de fichero aleatorio, en realidad es un virus con diferentes características, desde un falso virus hasta un troyano capaz de proporcionar tomar control del computador.

1.1.3 TERREMOTO DE HAITÍ APROVECHADO PARA ENGAÑAR A LOS USUARIOS[34]

Cuando se produjo el terremoto en Haití el 12 de enero los atacantes ya estaban listos para aprovechar esta oportunidad de obtener resultados. Esto se hace cuando un usuario busca información sobre esta noticia y puede ingresar a sitios poco seguros no confiables, donde pueden enlazarse con páginas maliciosas. Su principal arma era el envió de correos phising, buscando engañar a los usuarios para que ayuden con donativos a las víctimas, pero en realidad las páginas del pago son falsa e intentan apoderase de la ingenuidad de las personas.

Figura 5 Descarga de un Falso Programa e Infección De Equipo [34] Con el acceso a paginas fraudulentas, intentan al usuarios persuadir de que su equipo está siendo infectado para de esta manera sugerirle descargue la solución de seguridad, de esta manera el usuarios compraría y descargaría el falso programa, sin darse cuenta que el usuario habrá dado una fuerte suma de dinero por algo que no funciona o simplemente infectara su equipo.

1.1.4 Microsoft Outlook Web Access (OWA) [35]

Existen miles de personas que utilizan la herramienta de Microsoft y con el uso de esta herramienta se avisa al usuario que debe ejecutar una aplicación en su ordenador actualizar la configuración de su cuenta de correo. En la siguiente figura 6 se presenta el tipo de mensaje que se enviaba a los usuarios.

Figura 6 Actualización en la Web Fraudulenta [35]

Se está difundiendo por correo electrónico un mensaje falso que simula ser una actualización de la aplicación de Microsoft para acceder al programa Outlook a través de Internet. Este programa es conocido como Microsoft Outlook Web Access (OWA).

1.1.5 FACEBOOK APROVECHADO PARA ENGAÑAR A LOS USUARIOS [36]

Los Usuarios de Facebook reciben un correo falso, o una invitación a unirse a un grupo de protesta para criticar un falso rumor en el que se afirma en Facebook que se cobrara por sus servicios a partir de los 6 meses. A continuación en la figura 7 se indica el tipo de correo.

Figura 7 Ataque en Red Social Facebook [36]

Mediante este vínculo se solicita al usuario que acceda a una dirección de Internet para confirmar sus datos como forma de engaño.

1.1.6 NUEVA OLEADA DE FALSAS OFERTAS DE EMPLEO [37]

Con el uso masivo del correo electrónico y las falsas ofertas de empleo a través del correo conocido como scam, los atacantes de una supuesta empresa buscan una víctima por correo e incluso por teléfono, de esta manera solicitan al usuario una cantidad de dinero por supuestos tramites. Para compensar esto los atacantes envían un cheque falso y para cuando la víctima se ha dado cuenta, el banco le notificara que es un cheque falso o sin fondos. A continuación en la figura 8 formato del correo.

Figura 8 Falsas Ofertas de Empleo [37]

1.1.7 CORREO MALICIOSO TRAS LA MUERTE DE MICHAEL JACKSON [38]

El envío masivo de correos electrónicos con información a la muerte de Michael Jackson el día 25 de junio. El correo combina información verídica con información nueva muy impactante como por ejemplo: “video exclusivo de la CNN”. Directamente con este correo electrónico contiene enlaces a páginas no confiables, y a través de estas, la descarga de archivos con código malicioso. A continuación en la figura 9 el correo electrónico.

Figura 9 Correo Malicioso Muerte De Michael Jackson [38]

El uso de la ingeniería social, los atacantes aprovecharon el impacto de la noticia para enviar correos con enlaces que dirigen a páginas maliciosas e incitan la descarga de ficheros que contienen código malicioso.

1.2 CHATS 1.2.1 SUPLANTACIÓN DE UN PROGRAMA DE ENVÍO DE SMS [39]

El atacante utiliza una más de sus artimañas en este caso el engaño a través de correo electrónico no deseado y chats, involucrando al usuario a que descargue un software malicioso. A continuación en la figura 9 se proporcionaba la imagen de una empresa para realizar la descarga.

Figura 10 Suplantación de un programa de envió de SMS

El usuario recibe un correo donde se le ofrece un falso software de envió de mensajes SMS de movistar existente, con el uso gratuito busca que lo descargue de una página web cuyo enlace esta en el correo, pero en realidad se trata de la descarga de un troyano.

FASE IV

CAPITULO III: ESTUDIOS DE CASOS DE INGENIERIA SOCIAL

3.1 LEGISLACIÓN EN EL ECUADOR SOBRE TIPOS DE ATAQUES

3.1.1 Delitos Informáticos Con el desarrollo de tecnologías informáticas se han abierto las puertas a nuevas posibilidades de delincuencia. La gran cantidad de perjuicios ocasionados es a menudo muy superior a la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no llegue a descubrirse o castigarse. Las variaciones de los delitos tradicionales como la aparición de nuevos actos ilícitos. Por lo tanto, la necesitad de diferencias o no los delitos informáticos del resto y conocer cómo se maneja dentro del marco legal. Se entiende Delito como: “acción penada por las leyes por realizarse en perjuicio de algo o alguien, o por ser contraria establecida por aquellas”. [40] Las conductas ilícitas en las que se utiliza la computadora, se denomina “delitos informáticos”, “delitos electrónicos”, “delitos relacionados con la computadora”, “crímenes por computadora”, “delincuencia relacionada con el computador” [41]. No existe una definición universal propia de delito informático sin embargo nos podemos basar en opiniones de varios especialistas para definir. El delito informático involucra acciones criminales que en primera instancia los países han tratado de poner en figuras típicas, tales como: robo, fraudes, falsificaciones, estafa, sabotaje, entre otros, por ello, es primordial mencionar que el uso indebido de las computadoras es lo que ha creado la necesidad imperante de establecer regulaciones por parte de la legislación.

3.1.2 Delincuencia Informática

Mediante el informe de “Evolución de Incidentes de Seguridad que corresponde al año 2008, elaborado anualmente desde 1999 por Red IRIS” [42], determina que el incremento de incidentes que ha habido entre el año 2007 y 2008 es el 63.32%, aquí se registran gran número de incidentes como son escaneo de puertos en busca de equipos vulnerables, vulnerabilidades de sistemas web, errores de programación, vulnerabilidades de navegadores más utilizados, ataques de phishing, máquinas zombis, malware y otro tipo de ataques para el acometimiento de fraudes u inhabilitación de servicios. A continuación en la siguiente figura se indica el número de incidentes y como ha ido evolucionando en el 2007 y el descenso del 2008.

Figura 11 Evolución de Incidentes de Seguridad [42]

CIFRAS DETALLADAS:

Tabla 4 Cifras de evolución de incidentes de seguridad [42]

Las estadísticas de las vulnerabilidades proporcionad por CERT, [43] nos presenta un incremento significativo. En la figura se puede observar el crecimiento significativo de las vulnerabilidades a lo largo de los años. Observar la figura 14.

Figura 12 Estadísticas de Vulnerabilidades [43]

3.1.3 Informática Forense Se identifica los objetivos de la informática forense con el fin de: perseguir y procesar judicialmente a los criminales; “crear y aplicar políticas para prevenir posibles ataques y de existir antecedentes evitar casos similares; compensar daños causados por los criminales o intrusos” [44].

El FBI conceptualiza la informática forense “como la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional” [45]. Este mismo organismo ha desarrollado programas que permiten examinar evidencia computacional.

Se aplica tanto para las investigaciones de delitos tradicionales tales como: fraudes financieros, narcotráfico, terrorismo, etc.; como para aquellos que están estrechamente relacionas con las tecnologías de la información y las comunicaciones, entre los que se tienen la piratería de software, distribución pornográfica infantil, tráfico de bases de datos, etc. Adicionalmente, el desarrollo de la ciencia de la informática forense, es una técnica utilizada por los especialistas durante el proceso de investigación de los llamados delitos informáticos. Para esta ciencia se han identificado las fases que se consideran de relativa importancia ante un proceso de análisis forense:

Figura 13 Fases Del Análisis Forense [45] 3.2 CÓDIGO DE PROCEDIMIENTO PENAL Y CÓDIGO DE PROCEDIMIENTO CIVIL

3.2.1 Artículos Del Código Penal Ecuatoriano Y De Procedimiento Civil

3.2.1.1 Artículo 202 del Código Penal Ecuatoriano Contempla la pena de 6 meses a 1 año de prisión y multa de quinientos a mil dólares a quien, “empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad”[46]. El segundo Inciso del mismo Cuerpo Legal, considera una figura agravada, imponiendo una pena de 1 a 3 años de prisión y multa de mil a mil quinientos dólares, si la información obtenida se refiere a la “seguridad nacional o secretos comerciales o industriales”. 3.2.1.2 Ley de Comercio Electrónico, Firmas Digitales y Mensajes de Datos Las infracciones informáticas, los delitos informáticos que se tipifican, mediante reformas al Código de Procedimiento Penal, se muestran a continuación en la siguiente tabla:

Tabla 5 Infracciones informáticas [46] La persona que violenta claves, sistemas de seguridad para obtener información, lesiona la intimidad y por consiguiente la confidencialidad de la persona jurídica en muchos casos. Es por esta razón, que los Legisladores, deben estar conscientes que la delincuencia informática avanza con pasos agigantados y que las leyes ecuatorianas deben estar acorde con los avances tecnológicos. Ecuador ha dado considerablemente sus primero pasos en las leyes existentes, donde se contemplan especificaciones de la información y la informática, lo cual significa un avance muy importante ante el desarrollo tecnológico que se ha tenido en los últimos años en el país, pero es evidente que aún falta mucho por legislar, para asegurar que no queden en la impunidad los actos que se comentan relacionados con las tecnologías.

FASE V

EXPLOTACIÓN DE VULNERABILIDADES DE INGENIERIA SOCIAL

En este capítulo se buscara conseguir los resultados a partir de las encuestas realizadas donde se pretendía medir el conocimiento sobre la Ingeniería Social. El informe de este capítulo consta de cada vulnerabilidad encontrada mediante las encuestas realizadas a estudiantes, docente y personal administrativo, según se indica a continuación para obtener cada una de las vulnerabilidades y explotarlas mediante el uso de herramientas. Otro aspecto importante es abstraer información que me permita obtener resultados y sacar conclusiones y comentarios de acuerdo a los resultados obtenidos. EXPLOTACION DE VULNERABILIDADES.- ATAQUE POR TELEFONO:

ATAQUE SURF HOMBRO:

Escuela Administración de Empresas Información obtenida: • No bloquea su computador de oficina. • Papeles adheridos al monitor con información, (claves, nombres, teléfonos, etc.). • Documentación en el escritorio por ejemplo, facturas, oficios, etc.

Escuela Ciencias Contables Y Auditoria Información obtenida: • No bloquea su computador de oficina. • Digita clave frente a usuarios. • Documentación en el escritorio por ejemplo, facturas, oficios, documentación de estudiantes.

Escuela De Economía Información obtenida: • Computador Bloqueado. • Otorgo información confidencial por teléfono. • Utilización de msnm para envió de documentación confidencial.

Escuela De Psicología Información obtenida: • Reenvió de mensaje por correo a varias personas. • Otorgo Información por teléfono. • No bloquea su computador de oficina.

Departamento de Contabilidad y Auditoria Información obtenida: • Documentación Importante sobre la mesa • No bloqueo de su computador de oficina. • Otorga información por el Chat.

ANEXOS

ANALISIS DE VULNERABILIDADES MEDIANTE ENCUESTAS ENCUESTAS REALIZADAS A DOCENTES Y PERSONAL ADMINISTRATIVO El estudio tiene por objeto indagar en el conocimiento de los docentes y personal administrativo de la UTPL manifiestan sobre el tema de la Ingeniería Social. Está basado en las respuestas de 100 encuestas, divididas entre hombres y mujeres y edad de la siguiente manera:

SEXO: Masculino 47 y Femenino 53

Edad: 25 a 45 años

A continuación, se presenta un resumen de las principales conclusiones del estudio, que son desarrollados de acuerdo al conocimiento obtenido durante la realización de las encuestas.

• En la primera pregunta:

De las personas encuestadas se ha obtenido que un 61 % NO sabe o desconoce lo que es Ingeniería Social, y un 39 % responde SI sabe lo que Ingeniería Social.

• En la segunda pregunta:

En la segunda pregunta tenemos que un NO tiene un 64% alto y un 36 % de SI porcentaje bajo de si sabe lo que es un Hacker o atacante. Existe una diferencia considerable entre ambas contestaciones con respecto a la pregunta.

• En la tercera pregunta:

En esta pregunta realizada dentro de la encuesta he obtenido respuestas muy variadas y con casi iguales elecciones. Tenemos que 33% utiliza Hotmail, 30% utiliza Mail UTPL, 19% utiliza Gmail, y finalmente un 18% utiliza Yahoo. De acuerdo a estas respuestas tenemos distintas elecciones en la utilización de correo electrónico.

• En la cuarta pregunta:

Esta pregunta es en relación a la tercera pregunta realizada, aquí lo que se obtiene es la frecuencia con la que utiliza estos correos, tenemos que un 50% lo utiliza cada día, un 21% utiliza varias veces por semana, un 15% utiliza casi nunca y finalmente un 14 % lo utiliza al menos una vez a la semana.

• En la quinta pregunta:

Que tan a menudo cambian las contraseñas respondieron con un 56% que Nunca, y con 23% cada dos a tres mese y un 21 % en último lugar al menos una vez al mes. De esta manera se que no existe un habito de cambio de contraseña.

• En la sexta pregunta:

En esta pregunta sus repuesta ha sido concreta sobre si ha compartido sus claves y por ello tenemos que un NO tiene un porcentaje alto de 87%, y que un bajo tiene 13% con un SI. De esta manera se puede decir que no comparten las claves con otras personas sin descuidar el bajo porcentaje obtenido por un Sí.

• En la séptima pregunta:

Si observamos la figura podemos definir que existe 71% de un NO que manifiestan que el correo electrónico es seguro, y por otra parte un 29% indican lo creen, de esta manera podemos indicar que hay existe un porcentaje bajo pero no para descuidar sobre si el correo electrónico es seguro.

• En la octava pregunta:

En la pregunta de obtuvo un porcentaje elevado como es de 76% con un NO, mientras que un 24% con un SI, han recibido algún tipo de mensaje de correo solicitando información confidencial.

• En la novena pregunta:

Con esta pregunta realizada sobre cuando se envía correo electrónico o cadenas de correo a cuantas persona lo hace se tiene un alto porcentaje como es 29% que envía de 5 a 10 personas, un 28% envía de 20 a 40 persona, un 19% envía a menos de 10 personas, un 15% envía de 40 a 50 personas y finalmente un 9% envía correos electrónicos a mas de 100 personas.

• En la décima pregunta:

Con esta pregunta sobre cuando le llega un correo electrónico y le sale un mensaje diciendo que este mensaje podría contener virus, he obtenido un porcentaje alto de un 40% lo elimina, un 25% no le presta atención y lo deja allí, un 20% verifica que el destino es confiable y lo abre, y finalmente 15% donde acceden si atender o prestar atención al aviso, de esta manera se ha obtenido casi valores equitativos con respecto a este tipo de mensajes.

• En la décima primera pregunta:

Con respecto si ha descuidado la contraseña en algún lugar visible se obtiene que un NO mantiene un porcentaje de 82% alto, mientras que 18% con un SI, indicando que descuidan su contraseña.

• En la décima segunda pregunta:

En la siguiente pregunta indica si alguna vez se ha proporcionado información a través del teléfono, con un 77% NO, ha proporcionado este tipo de información, en cambio con un bajo 23% SI han proporcionado, de esta manera se comete este tipo de errores pero con bajo porcentaje.

• En la décima tercera pregunta:

Los porcentajes de la respuesta con respecto a la pregunta son casi equitativos ya que existe un 53% en respuesta SI, y con un NO en cambio un 47%, por lo tanto existe casi equivalente en la respuesta.

• En la décima cuarta pregunta:

Para la pregunta Cuando recibe cartas o fax. Averigua si realmente le ha enviado el remitente, se obtiene un NO con un 55%, indica realmente no averigua, y con un 45% un SI, averigua si ha sido realmente quien le ha enviado el remitente.

• En la décima quinta pregunta:

En la pregunta realizada en la que si alguna vez ha sufrido algún ataque agresivo como chantaje o extorsión para robarle claves o información confidencial, se obtuvo que un 92% contesto NO, y con un 8% contesto que SI, indicando que de alguna manera han existido este tipo de ataques.

• En la décima sexta pregunta:

Esta pregunta relacionada con otras realizadas antes, nos proporciona cuan a menudo utilizan el Messenger MSN, se obtuvo que con un 42% lo utiliza a diario, un 26% lo utiliza varias veces a la semana, un 19% lo utiliza una vez a la semana, y con porcentaje no tan bajo de 13% nunca lo utilizan.

• En la décima séptima pregunta:

Asociada a la pregunta anterior, se interrogaba sobre si se envían documentos valiosos, como claves de un sistema o información confidencial del trabajo por el Windows Live Messenger, donde se manifiesta que con un porcentaje alto de 79% respondió que NO y un bajo pero no insignificante 21% contesto que SI al envió de información confidencial.

• En la décima octava pregunta:

En la última pregunta de la encuesta realizada donde obtuvimos que con 34% descargan información desde la casa, con 33% lo hacen en la Universidad/ colegio, con un 22% en el trabajo, y finalmente con un 11% desde Ciber Café.

ANALISIS DE VULNERABILIDADES MEDIANTE ENCUESTAS ENCUESTAS REALIZADAS A ESTUDIANTES El estudio tiene por objeto indagar en el conocimiento de los estudiantes de la UTPL manifiestan sobre el tema de la Ingeniería Social. Está basado en las respuestas de 150 encuestas, divididas entre hombres y mujeres y la edad de la siguiente manera: Sexo: Masculino 78 y Femenino 68 Edad: 15 a 40 años A continuación, se presenta un resumen de las principales conclusiones del estudio, que son desarrollados de acuerdo al conocimiento obtenido durante la realización de las encuestas. • EN LA PRIMERA PREGUNTA:

Se tiene un porcentaje elevado de un 76% que desconocen lo que es Ingeniería Social, y un porcentaje bajo de 24% que conoce lo que es Ingeniería Social. Esto de acuerdo a la pregunta sobre su conocimiento de Ingeniería social.

• EN LA SEGUNDA PREGUNTA:

De acuerdo a la pregunta sobre saber lo que es un hacker o atacante, se ha obtenido que un porcentaje bajo de 33% represente el conocimiento sobre el mismo, pero existen un porcentaje alto de estudiantes que desconocen lo que es un Hacker o atacante.

• EN LA TERCERA PREGUNTA:

En el siguiente cuadro nos indica que el tipo de correo más utilizado es Hotmail con un 52%, luego con un porcentaje bajo, le sigue Yahoo con un 12%. Además existe la utilización de otras cuentas de correo electrónico como podemos observar, Gmail con un 17% y Mail UTPL con un 19%.

• EN LA CUARTA PREGUNTA:

El uso de del correo electrónico se ve representado en la figura, donde presenta un porcentaje alto de 52% al uso cada diario del correo electrónico, así mismo un 31% al uso de varias veces por semana, pero un se observa que un 4% representa a casi nunca uso de correo electrónico.

• EN LA QUINTA PREGUNTA:

De los estudiantes encuestados tenemos que un 73% no cambia las contraseñas de sus cuentas y un 23 % la cambia cada tres meses, así mismo tenemos un bajo nivel sobre 4% que al menos una vez al mes cambian.

• EN LA SEXTA PREGUNTA:

En el siguiente cuadro presenta que un porcentaje alto de 63% de estudiante no comparten sus calves con otras personas, mientras que un 37% comparte sus claves con otros.

• EN LA SÉPTIMA PREGUNTA:

La figura nos indica qué de un total de 100 estudiantes, los mensajes de correo solicitando información confidencial, el SI tiene un porcentaje alto de 80% y de un NO corresponde a un 20%.

• EN LA OCTAVA PREGUNTA:

En la siguiente pregunta la figura nos presenta 95% de los estudiantes que no se enlazan cuando aparece un mensaje mientras navega, pero existen un mínimo de 5% que si lo hace.

• EN LA NOVENA PREGUNTA:

Cuando se envía un correo electrónico o cadenas, la respuesta de los estudiantes es que ellos envían con un porcentaje alto de 64% que representa menos de 10 personas, y un porcentaje bajo de 2% a quienes envían a más de 100 personas.

• EN LA DÉCIMA PREGUNTA:

El cambio de contraseñas según el siguiente cuadro lo realiza con un mayor porcentaje 50% de 15 a 20 veces y con un porcentaje bajo de 4% que equivale de 5 a 10 veces que ha r4ealizado el cambio de contraseñas de las cuentas.

• EN LA DÉCIMA PRIMERA PREGUNTA:

Con la siguiente pregunta obtenemos como resultado que un alto porcentaje de 95% no ha sufrido algún tipo de ataque agresivo para obtener información confidencial, mientras que si registra un 5% bajo pero que si ha sufrido este tipo de ataque.

• EN LA DÉCIMA SEGUNDA PREGUNTA:

Para la descarga de información se obtiene como datos que un porcentaje alto de 41% realiza este método desde la Universidad/colegio, y que un bajo porcentaje de 16% realiza lo realiza desde un Ciber café, tomando en consideración que también lo realizan con 3% desde la casa.

• EN LA DÉCIMA TERCERA PREGUNTA:

Se observa en la figura que los resultados de acuerdo a la pregunta de ingresar a una sala de chat, t4enemos que un porcentaje de 59% indica que SI ingresan a una sala de chat, pero que un 41% no tan bajo pero no ingresan a la sala de chat.

• EN LA DÉCIMA CUARTA PREGUNTA:

El siguiente cuadro de porcentajes nos indica que valor existe cuando aparece alguna solicitud mientras se está en un chat, se ha obtenido que con un porcentaje alto un 49 % busca conocer el perfil, pero con un porcentaje bajo de 4% lo denuncia. Existen valores de un 12 % quienes lo aceptan, un 11% lo bloquean y un 24% lo acepta.

• EN LA DÉCIMA QUINTA PREGUNTA:

Cuando estamos en un chat y aparece un mensaje que pide que ingresemos a la página Tenemos que con un porcentaje alto de 88% lo ignoran, y con un mínimo porcentaje de 5% lo bloquean, así mismo con un 7% a diferencia ingresan a la página.

• EN LA DÉCIMA SEXTA PREGUNTA:

En la última pregunta de la encuesta respecto si ha descargado virus he obtenido que con un porcentaje elevado de 51% desde dispositivos de almacenamiento (USB, CD), pero un 14 % por medio del correo electrónico, así mismo con un 35% por medio del navegador.

REFERENCIAS

[1] Wikipedia Enciclopedia Libre, Ingeniería social (seguridad informática), [En línea http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)], Citado el: 23 de Noviembre de 2009. [2] Ingeniería Social, Teacher Lester,http://www.scribd.com/doc/7215979/Texto-Ingenieria- Social, 18 de octubre de 2008 Citado el: 24 de Noviembre de 2009. [3] Ingeniería Social en el Siglo XXI, 8 Noviembre 2009, disponible; http://ingenieriasocialsigloxxi.wordpress.com/category/3-como-se-hace-ing-social/ , 8 de Noviembre de 2009, Citado el: 25 de Noviembre de 2009.

[4] Ingeniería social, Adrian Ramírez http://hackstory.net/index.php/Ingenier%C3%ADa_social_es#T.C3.A9cnicas_de_Ingenier.C 3.ADa_Social, 21 de abril de 2009, Citado el: 30 de noviembre de 2009 [5] Blog de tecnología, conversaciones en línea, http://blogs.laprensagrafica.com/litoibarra/?p=298, 01 de septiembre de 2009, Citado el: 1 de Diciembre de 2009 [6] Revistas Ciencias La Ingeniería Social, acercándonos a los molestos Spam, Phishing y Hoax, Arteaga García Alían, http://www.revistaciencias.com/publicaciones/EkEkVFVEyZorqSOkTo.php, 3 de Junio de 2008, Citado el: 2 de Diciembre de 2009 [7] Introducción a la Ingeniería Social, Publicado el 22 de Mayo, 2007, http://valenzine.com/blog/2007/introduccion-a-la-ingenieria-social/ , Citado el: 3 de Diciembre de 2009 [8] [HACK] CURSO INGENIERIA SOCIAL 4-1Fri Octubre 4 18:56:09 CEST 2002, CAPITULO IV Técnicas de Ingeniería Social, http://mailman.jcea.es/pipermail/hacking/2002- October/001188.html, Citado el: 3 de Diciembre de 2009 [9] SEGURIDAD INFORMÁTICA, AMENAZAS, http://seguinfo.wordpress.com/category/amenazas/, 12 de diciembre de 2009, Citado el: 6 de Diciembre de 2009 [9] Ranking de ESET de abril: Crecen los niveles de detección de ataques, 01 de Mayo de 2008 disponible en: http://www.zma.com.ar/novedades/noticias.php?id=37, Citado el: 26 de Diciembre de 2009 [10] Instituto Nacional de Tecnologías de la Comunicación, Resumen Ejecutivo De La Segunda Oleada Del Estudio Sobre Seguridad De La Información Y E-Confianza En Los Hogares Españoles http://www.inteco.es/Seguridad/Observatorio

[12] Francisco José Oteo Fernández, Javier López Redondo, ISO/IEC 13335. Disponible en: http://www.eset.com.pa/threat-center/articles/informe_malware_america_latina.pdf

[13].	 SANS Institute Info Sec Reading Room, Social Engineering, Documento: A Means To 	Violate A 	 Computer System, Malcolm Allen (updated June 2006)

[14]. TopBits.com disponible en: http://www.byteguide.com/es/shoulder-surfing.html [15]. Enviar mail anónimo, Seguridad, en Blog e Internet, marzo 2006 disponible en: http://www.einicio.com/paginas/enviar-email-anonimo.html [16]. Microsoft TechNet, Cómo proteger la información confidencial de las amenazas de la ingeniería social, publicado marzo de 2006 disponible en: http://technet.microsoft.com/es- es/library/cc875841.aspx [17]. Seguridad en proyectos de gobierno electrónico, Diplomado de gobierno electrónico, disponible en: http://www.cca.org.mx/funcionarios/cursos/ge/contenidos/modulo6/material/06.pdf [18]. CERT Coordination Center (CERT/CC), Social Engineering, disponible en: http://www.cert.org/incident_notes/IN-2002-03.html [19] Sum Microsystems, Carlos A. Biscione Technical Account Manager North of Latin America Sun Microsystems, Documento: Ingeniería Social Para No Creyentes. [20] Social engineering- Security Portal Lost letter technique, Disponible en: http://www.social- engineering.eu/techniques/lost_letter/ [21] Informática Jurídica, Posibles Sujetos De Los Delitos Informáticos. Disponibles en: http://www.informatica-juridica.com/trabajos/posibles_sujetos.asp

[22] Edpacsthe Edp Audit, Control, And Security Newsletter, Social Engineering Techniques, Risks, And Controls, APRIL–MAY 2008, Disponible en: http://www.informaworld.com/smpp/ftinterface~content=a792909009~fulltext=713240930

[23] Inteco- Cert, Blog de la Seguridad de la Información, La crisis económica y la ingeniería social, http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/Articulo_y_comentarios?p ostAction=getDetail&blogID=1000077536&articleID=1000162977 Citado el: 05 de enero 2010

[24] Pablo F Burgueño, Cómo actuar en caso de suplantación de identidad en blogs y redes sociales, Pablo F Burgueño, junio 2009, disponible en: http://www.pabloburgueno.com/2009/06/como-actuar-en-caso-de-suplantacion-de- identidad-en-blogs-o-redes-sociales/

[25] Re-Floating the Titanic: Dealing with Social Engineering Attacks, David Harley Imperial Cancer Research Fund, London, disponible en: http://cluestick.info/hoax/harley_eicar98.htm [26] Social Engineering Techniques, Risks, and Controls, Gary Hinson, April 2008, http://www.informaworld.com/smpp/section?content=a792909009&fulltext=71324092 8 [27] Social Engineering, Alex Bomberg, International Intelligence Limited, disponible en: http://www.hg.org/article.asp?id=5778 [28] El Sendero del Hacker http://www.scribd.com/doc/9700132/El-Sendero-Del-Hacker . 01 de Abril de 2009. Citado el: 29 de 02 de 2010 [29] Seguridad Informática, http://nuestro.net78.net/clases_jjaa/Seg_Inf/ACI%20%96%20425%20Clase_05b%20Herramie ntas%20y%20M%E9todos%20de%20Hacking.ppt 2006 Citado el: 1 de 03 de 2010 [30] KioskeaNet http://es.kioskea.net/contents/attaques/ingenierie-sociale.php3 16 de octubre de 2008, Citado el: 3 de 03 de 2010 [31] Utilización de hacking ético para diagnosticar, analizar y mejorar la Seguridad Informática en la intranet de vía celular comunicaciones y representaciones http://bieec.epn.edu.ec:8180/dspace/bitstream/123456789/765/8/T10527CAP1.pdf V Gaibor - 2007 Citado el: 15 de 03 de 20010

[32] Inteco Centro de Respuestas A incidentes de Seguridad http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Correos_mali ciosos_simulan_provenir_CORREOS_201005 12 de mayo 2010. Citado el: 12 de 05 de 2010 [33] Detalle de aviso de seguridad para usuarios no técnico, Inteco Centro de Respuestas A incidentes de Seguridad http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Spam _falso_men saje_de_DHL_20100419, 19 de abril de 2010. Citado el: 19 de abril de 2010 [34] Inteco Centro de Respuestas A incidentes de Seguridad, Detalle de aviso de seguridad para usuarios no técnico, http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Terremoto_H aiti_infectar_usuario_20100119 19 de enero 2010. Citado el: 23 de 01 de 2010 [35] Noticias Sobre La Seguridad de la Información, http://blog.segu-info.com.ar/2009/10/estafa- usuarios-de-owa-un-nuevo-vector.html, 21 de Octubre de 2009, Citado el: 10 de 04 de 2010 [36] Inteco Centro de Respuestas A incidentes de Seguridad, Detalle de aviso de seguridad para usuario no técnico, http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Facebook_ap rovecha do_para_enganar_usuarios_2010013, 13 de enero 2010, Citado el: 15 de enero de 2010 [37] Inteco Centro de Respuestas A incidentes de Seguridad, Detalle de aviso de seguridad para usuario no técnico, http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Nueva_olead a_de_falsas_ofertas_de_empleo_02122009, 21 de diciembre de 2009, Citado el: 18 de Enero de 2010 [38] Inteco Centro de Respuestas A incidentes de Seguridad, Detalle de aviso de seguridad para usuarios no técnico http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Correo_malici oso_tras_la_muerte_Michael_Jackson, 30 de junio de 2006, Citado el: 25 de febrero de 2010 [39] Inteco Centro de Respuestas A incidentes de Seguridad, Detalle de aviso de seguridad para usuarios no técnico http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/Malware_SM S_Gratis, 05 de marzo de 2009, Citado el: 27 de febrero de 2010

[40]	 María de la Luz Lima, Delitos Electrónicos Pág. 100, Ediciones Porrua - México 1984. 	Citado el: 25 04 de 2010

[41] Convenio de Cyber-delincuencia del Consejo de Europa Estados miembros del Consejo de Europa y otros Estados – Budapest 2001 http://www.coe.int, 11 Febrero2009, Citado el: 25 04 de 2010

[42] 	RED IRIS, https://www.rediris.es/cert/doc/informes/2008/node5.html Diciembre 2008, 	Citado el: 23 04 de 2010 

[43] CERT, Informe de Vulnerabilidades, 2007, www.cert.org/csirts/national/best_practices/2008/TWNCERTSocialEngineering.pdf , 2008- 06-26 begin_of_the_skype_highlighting              2008- 06-26      end_of_the_skype_highlighting begin_of_the_skype_highlighting              2008- 06-26      end_of_the_skype_highlighting begin_of_the_skype_highlighting              2008- 06-26      end_of_the_skype_highlighting, Citado el: 25 04 de 2010 [44] Miguel López Delgado, Análisis Forense Digital, Página 10-23, 2da Edición, 2007 [45] Pedro Miguel Lollet R, Auditoria Forense, Publicado por ACGAF, http://auditoriaforense.net/ Citado el: 25 04 de 2010 [46] RODRÍGUEZ, Gonzalo, ALONSO, Jaime.“Derecho Penal e Internet”. Editorial la Ley. 2.002 pp.266, http://www.proasetel.com/paginas/articulos/acceso_no_autorizado.htm, 2006, Citado el: 25 04 de 2010