Ingeniería Social

Jose André Morales, Ph.D.

Copyright 2014 Carnegie Mellon University
This material is based upon work funded and supported by the Department of Defense under Contract
No. FA8721-05-C-0003 with Carnegie Mellon University for the operation of the Software Engineering
Institute, a federally funded research and development center.
Any opinions, findings and conclusions or recommendations expressed in this material are those of the
author(s) and do not necessarily reflect the views of the United States Department of Defense.
References herein to any specific commercial product, process, or service by trade name, trade mark,
manufacturer, or otherwise, does not necessarily constitute or imply its endorsement, recommendation,
or favoring by Carnegie Mellon University or its Software Engineering Institute.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE
MATERIAL IS FURNISHED ON AN “AS-IS” BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES
OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO,
WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED
FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF
ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.
This material has been approved for public release and unlimited distribution.
This material may be reproduced in its entirety, without modification, and freely distributed in written or
electronic form without requesting formal permission. Permission is required for any other use. Requests
for permission should be directed to the Software Engineering Institute at permission@sei.cmu.edu.
DM-0001930
 Temas

• Introducción
• Ataques y Métodos
• Recolección de Información
• Desarrollar un Pretexto
• Indagación “elicitation”
• Protección
 Introducción
• Definición(es)
• Confianza
• ¿Por qué utilizar la ingeniería social?
• Estudio del Caso: Stanley Rifkin
• Estudio del Caso: Kevin Mitnick
• Personalidad del atacante
• Categorías de la ingeniería social
• Metas del ingeniero
• Victimas Típicas
• Como escoger un buen objetivo
• Vulnerabilidades que exponen a la organización
 Introducción
Definición(es)
• La manipulación inteligente de la tendencia natural de la
gente a confiar (icde.org.co)
• Manipulación psicológica de las personas en la realización de
acciones o divulgar información confidencial (wikipedia)
• Disciplina que consiste en sacar información a otra persona
sin que esta se de cuenta de que está revelando "información
sensible“ (icde.org.co)
• La ingeniería social consiste en la manipulación de las
personas para que voluntariamente realicen actos que
normalmente no harían (carole fennelly, the human side of
computer security, sunworld, July 1999)
Un Ejemplo – Arjen Robben
Ingeniería social utiliza la influencia y la persuasión para engañar
a la gente al convencerlos de que el ingeniero social es alguien
que no es, o por la manipulación. como resultado, el ingeniero
social es capaz de aprovecharse de la gente para obtener
información con o sin el uso de la tecnología.

Usted puede tener la mejor tecnología, firewalls, sistemas de

detección de ataques, dispositivos biométricos, etc. Lo único que
se necesita es un llamado a un empleado desprevenido. Tienen
todo en sus manos.

--Kevin Mitnick
 Introducción

Confianza
• es una medida de la creencia en
honestidad, benevolencia, competencia
• elementos de riesgo: algo que perder, falta de información, un
juego
• es difícil de ganar, fácil de perder
• el fundamento de la ingeniería social es ganar la confianza!!!!
 Introducción
¿Por qué utilizar la ingeniería social?
• No es un método totalmente técnico para entrar a un sistema
o organización
• El ser human es el componente mas débil de cualquier
sistema de seguridad
• El ser humano:
– Siempre quiere ayudar a otros
– No le gusta decir NO
– Le gusta que le alaben
• Cualquier persona lo puede hacer con sólo un poco de
practica!
• Es muy usado actualmente en ataques cibernéticos
 Introducción
Estudio del Caso: Stanley Rifkin
• En 1978, se robó $10.2 Millones del banco Security Pacific
National
• Trabajaba en los sistemas del banco
• Un día memorizó el código de seguridad para transferir dinero
• Llamó al banco y se identificó como un agente de otro banco,
dió el código y transfirió el dinero!
• Con sólo unos minutos de ingeniería social se convirtió en
multimillonario
 Introducción
Estudio del Caso: Kevin Mitnick
• Penetró los sistemas de muchas compañías grandes
incluyendo DEC y Pacific Bell
• A los 15 años averiguó como montar gratis los buses de Los
Ángeles
• Usó la ingeniera social en llamadas de teléfono para conseguir
contraseñas, teléfonos de sistemas, y otro detalles técnicos
para penetrar sistemas de computadoras
• Hoy es muy famoso y tiene su propia consultoría de
seguridad
 Introducción
Personalidad del atacante
• Mucha confianza en si mismo!
• Deseo de dominar a otros
• Facilidad de conversar y adaptarse a situaciones dinámicas
• Manipulador natural
• No tiene que ser muy técnico
• En vida personal puede ser extrovertido o introvertido
• Capacidad de tomar muchas y distintas personalidades
 Introducción
Categorías de la ingeniería social
• hackers
• espías industriales
• agentes de gobiernos extranjeros / espionaje económico
• ladrones de identidad
• empleados descontentos
• criminales / estafadores
• terroristas
• detectives privados
 Introducción

Metas del ingeniero

• Información • Cometer Fraude

• Acceso • Entrometerse en las Redes
• Autorización • Espionaje Industrial
• Confianza! • Robo de identidad
• Dinero (obvio!) • Irrumpir en sistemas y/o
• Reputación redes
 Introducción
Victimas Típicas
• Empresas Telefónicas
• Servicios de Helpdesk y CRM
• Corporaciones Renombradas
• Agencias e Instituciones Gubernamentales y Militares
• Instituciones Financieras
• Hospitales.
 Introducción
Como escoger un buen objetivo
• una persona
– Sin uniforme de seguridad!
– Que trabaje en departamentos con mucho contacto al publico
– Empleado en una compañía asociada con el objetivo
– Familia/Amigo del objetivo
– Recién llegado
– Con amplia presencia en las redes sociales
– Conocido como muy sociable “buena gente”
 Introducción
Vulnerabilidades que exponen a la organización
• Empleados muy activos en redes sociales
• Sitios web donde empleados opinan y son accesibles al
publico
• Sitios donde una organización escribe detalles como nuevos
avances, eventos, etc…
• Organizaciones mencionan personas y otras entidades que
colaboran con ellos
• Servicios en la web para empleados que son vulnerables a la
explotación
 Ataques y Métodos
• Ciclo de ataque de ingeniería social
• Métodos de comunicación
• El “Help Desk”
• Imitar el “Help Desk”
• Otros ataques y métodos
• Malware y Spyware
• El ataque en persona
 Ataques y Métodos
Ciclo de ataque de Ingeniería Social
 Ataques y Métodos
Métodos de comunicación
• en persona
• teléfono
• e-mail
• mensaje de texto
• pagina web
 Ataques y Métodos
El “Help Desk”
• Muy fácil de penetrar
• Siempre quieren ayudar!
• El nuevo empleado
• “No se nada!”
• La conexión remoto
• Usa un numero de teléfono reconocido
• Representante de recursos humanos HR
• IT de otra localidad
 El “Help Desk”: nuevo empleado
Hola, disculpa es que soy
nuevo y me olvide mi clave
¡Que tonto,
¿me ayudas?
pobrecillo!

Claro como no, te doy mi

clave hasta que consigas
la tuya…
 Ataques y Métodos
Imitar el “Help Desk”
• también es fácil de hacer!
• llamando un empleado
• actividades extrañas
• el estudio “survey” de seguridad
• trabajando desde la casa
 Ataques y Métodos
Otros ataques y métodos
• invasivas
• directas
• físicas
• seductivas
• Inadvertidas
 Ataque Directo

• Al grano!!!

Buenos días Srta. Soy el

nuevo arquitecto
Rochefeller y necesito un
código para ingresar al
sistema…

Mucho gusto Sr.

Rockefeller el código
de acceso es…
 Ataques y Métodos
Malware y Spyware
• Los apps para móviles
• “Phishing” es lo mas común!
– El Rey de Nigeria
– La lotería
• Troyanos causando inseguridad
– Ransomware
– Fake AV
 Ataques y Métodos
Malware y Spyware
Los USB Drives
• Excelentes para invadir o inyectar virus, keygrabbers,
etc.
• Excelentse para robar información.
• Fácil de introducir en entornos empresariales.
• Fácil de sacar, casi indetectable.
Phishing
 Android.FakeTrojan.A

www.mikejr1.es/portal/index.php/noticias/11812-robo-de-datos-bancarios-en-android-por-ataques-de-ingenieria-social.html
CryptoLocker
FBI Ransomware
Fake AV
 Ataques y Métodos
El ataque en persona
• toma un poco de preparación
• puede ser el mas difícil, pero también da mejores resultados
• visual, audio, y físico
• acercamiento al objetivo
– directo
– con un intermediario
– “de casualidad”
 Recolección de Información
• Cómo recopilar información?
• Propósito
• Investigación de la empresa
• Búsqueda de información personal
• “dumpster diving”
 Recolección de Información
Cómo recopilar información?
• Redes sociales
– Facebook, Twitter, Linkedin, Foursquare, Pintrest
– Maltego
– Sitios web de información personal: intelius
• Google
– “nombre” + filetype:pdf,txt,ppt,xls,doc
• Departamento de vehículos de motor
• nslookup, ping, whois
• Departmento de marketing, HR, Correo, relaciones publicas
Red de Maltego
 Recolección de Información
Propósito
• Acumular información sobre una persona o negocio
• Poder presentar un pretexto para establecer confianza
• Establecer como acercarse al objetivo/negocio
• Saber cosas en común que uno conoce bien para poder
conversar/presentar
• Detalles de el sistema IT para buscar vulnerabilidades
descuidadas
 Recolección de Información
Investigación de la empresa
• el sitio web oficial
• sitios de negocios afiliados
• sitios no oficiales, típicamente de empleados o departamentos
• licencias y permisos gubernamentales
• Whois, nslookup
• Google news
• Google: “nombre de impressa” + filetype:pdf,txt,xls
• Metagoofil
 Recolección de Información
Búsqueda de información personal
• Maltego
• Las redes sociales de la persona
– Facebook es buenísimo!
– Twitter
– Foursquare
– pintrest
– linkedin
• Las redes sociales y sitios web de los amigos y asociados
 Recolección de Información
“dumpster diving”
 Desarrollar un Pretexto
• Definición
• Propósito
• Preparación
• Los buenos pretextos
 Desarrollar un Pretexto
Definición

• una razón que se da para justificar un curso de acción que no

es la verdadera razón
• motivo que se alega como excusa para hacer o no haber
hecho algo
 Desarrollar un Pretexto
Propósito
• Crear un escenario inventado para persuadir al objetivo de
proporcionarle cierta información o de realizar alguna acción.
• Normalmente se realizará una investigación para conocer el
tipo de lenguaje y la tecnología empleada por la gente que
administra los sistemas o que tiene acceso a la información
requerida.
 Desarrollar un Pretexto
Preparación
• practica el guion delante de un espejo
• si es por teléfono, ten todas tus notas
• si es en persona, visita el lugar unos días antes
• asegura que la persona va a estar ahí o que el negocio este en la
condiciones deseadas
• vestuario: apropiado para el pretexto
• higiene: depende del pretexto!
• confianza en ti mismo
• ten claras las metas!
• ten presente plan B, C, D
 Desarrollar un Pretexto
Los buenos pretextos
• el amigo
• entrega de una orden
• sorpresa
• la entrevista
• la inspección
• el que no sabe nada
• el nuevo empleado
• departamento de sistemas IT
• el contratista
 Indagación “elicitation”
• Definición
• Metas
• Características de un buen indagador “elicitor”
• ¿Por qué es tan efectivo?
• Objetivos
• Técnicas
 Indagación “elicitation”
Definición
• arte: la recopilación de información de inteligencia de la gente
como parte de la inteligencia humana (recolección de inteligencia)
• técnica: cualquiera de las diversas técnicas de recolección de datos
en ciencias sociales u otros campos para reunir el conocimiento o
información de las personas
• Básicamente, es el proceso de extracción de información de algo o
alguien
• Indagación es una técnica de recogida de información de uso
común, y a menudo muy eficaz para recoger sutilmente
información
 Indagación “elicitation”
Metas
• información
• acceso físico
• confianza!
• apoyo
• un objeto especifico
• autorización o privilegio
• cosas gratis 
 Indagación “elicitation”
Características de un buen indagador “elicitor”
• confianza en si mismo
• buen comunicador
• rápida adaptación
• sabe dar secuencias de preguntas llegando a la meta
• piropos cuando es apropiado
• humor
 Indagación “elicitation”
¿Por qué es tan efectivo?
• La confianza
• La necesidad de ser útil
• El deseo de obtener algo a cambio de nada
• La curiosidad
• El miedo a lo desconocido
• El temor a perder algo
• La ignorancia
• La pereza
• Apelar a la autoridad
• El ego
 Indagación “elicitation”
Objetivos
• recursos humanos
• nuevos empleados
• “help desk”
• dept. publicidad
• sucursales
• personas con gran presencia en redes sociales
• personas con posiciones típicamente ignorado
 Indagación “elicitation”
Técnicas
• Ataque de Autoridad: Insignia falsa o uniforme
• Ataque Jerk: declaración extravagante
• Ataque persistente: acoso continuo
– culpabilidad o intimidación
• Ataque Social: asistir a fiestas sociales, carisma, alcohol !!!!
• Ataque de Encuesta falsa: Gana un viaje gratis a Hawaii! Sólo
dime tu contraseña
• Ataque Help Desk: suplantar novato
 Protección
• Aprenda a identificar ataques de ingeniería social
• Buena conciencia de seguridad
• Comprender el valor de la información que usted
posee
• Actualizaciones de seguridad y software
• Saber cómo reaccionar
• Auditorías
Ejercicio
• Kung-Fu, entre hackers
significa técnica personal.
• Como parte de este curso,
ahora te pedimos que nos
converses de ocasiones en las
cuales has hecho uso de tu
propia habilidad, para
persuadir a las personas.
• Si algunas vez persuadiste a
alguien a hacer lo que no
quería o debía, entonces eres
un ingeniero social.
 Ejercicio
Tienen que crear un pretexto y venir vestido de forma apropiada para
ejecutarlo. El Jueves van a tener 2 horas para indagar sobre un
objetivo con estas metas:
1. Nombre, fecha de nacimiento, dirección de casa, teléfono de
celular, numero de licencia de manejar. 10 pts.
2. Accesa la computadora del objetivo o su móvil, toma un
“screenshot” y te lo envías por email. 10 pts.
Entreguen lo que consiguieron y expliquen a la clase las técnicas
usadas. (puntos extra si tienen buen Kung-Fu!!!)
 Preguntas?

Jose Andre Morales, Ph.D.

jamorales@cert.org