APRENDE A MANEJAR LA INGENIERIA SOCIAL

[NaejFled]

La ingeniería social es una de las técnicas de hacking más antiguas de la informática con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana, sí, el ser humano es el eslabón más débil en un sistema de seguridad.
Básicamente, la ingeniería social es el arte o ciencia de conseguir que las personas cumplan los deseos de otra. No es ningún tipo de magia ni nada por el estilo, se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los hackers expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos.

He aquí un claro ejemplo de lo que se denomina ingeniería social:

Llamada 1

Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, somos una agencia de prensa y querríamos enviar una carpeta con información corporativa a su director de marketing, para que la evaluara ¿podría decirme su nombre y dirección?
R: Si, puede enviarlas a Mark Ethin, a la dirección (...)
H: ¿Por casualidad no tendrán ustedes a alguien más de marketing en otra sucursal?
R: Si, también está Peter Webber en la sucursal de (...)
H: ¿Y el número de fax de la central, para ponerlo en mi ficha de contactos?
R: El 212-555-1234
H: Gracias por la información, me ha resultado de mucha ayuda.
 
Llamada 2

R: Sucursal XYZ Corp, ¿dígame?
H: Hola, querría hablar con Peter Webber de Marketing, te llamo desde la oficina de Mark Ethin en la central.
R: Te paso.
Peter: Sí, ¿dígame?
H: Hola Peter, a ver si puedes ayudarme. Me llamo Hank y soy nuevo en la empresa. Trabajo en Marketing con Mark Ethin en la oficina central desde hace unos días. Mark está fuera de la oficina y me ha encargado conseguirle una copia impresa del último plan de marketing. Pero al parecer hay algún problema con mi PC porque no han terminado de instalarlo bien y no puedo acceder a la intranet. He pensado que tal vez tu lo tengas. Corre un poco de prisa, la verdad, y ya sabes que en arreglar los PCs tardan una barbaridad aquí.
P: Sí, bueno... tengo la copia que nos envió el otro día.
H: De acuerdo, entonces, ¿podrías mandárnosla a la central? No se si mi email funcionará... Lo más práctico sería que nos lo enviaras por fax a recepción, ya sabes, al 212-555-1234.
P: De acuerdo, al número de siempre. Va para allá.
H: Recuerda ponerlo a mi nombre, Hank Kerson. Yo se lo haré llegar a Mark. ¡Gracias!

Llamada 3 (horas después)

Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, me llamo Hank Kerson, a ver si puedes echarme una mano... Trabajo en una consultora externa para el departamento de Marketing, y estamos terminando un proyecto con cierta urgencia. Peter Webber de vuestra otra sucursal tenía que haberme enviado hace unas horas un fax con cierta información, pero no me ha llegado. He preguntado allí y al parecer alguien se equivocó de número y lo ha enviado al fax de vuestra oficina principal, aunque el fax está a mi nombre.
R: Sí, lo tengo por aquí, pone «Hank Kerson», me extrañó al recibirlo porque aquí no trabaja nadie con ese nombre.
H: Ah, perfecto, es el mío. Debe tener ciertos datos de marketing, ¿verdad?
R: Sí, pone algo de «plan de marketing»
R: Ese es... Entonces, ¿no te importaría reenviarmelo al 212-555-9876?
R: No hay problema, va para allá, lo tendrás en cinco minutos.
H: ¡Gracias! Enviaré un correo a Peter para decirle que todo está solucionado.

Finalmente, Hank se dirige a la copistería más cercana y recoge allí el fax con el plan de marketing de la compañía XYZ.

Ahora, aunque suene gracioso e inocente muchas personas han caído en este tipo de engaño. Quizás en estos momentos tú estás diciendo que no te pasaría algo así puesto que acabas de leer la conversación y enterarte de cómo se dió el engaño tan "sencillo", pero te pongo un ejemplo más claro para que veas que todos somos vulnerables a esta técnica; hace dos o tres años cuando se pusieron de moda los exploits, más conocidos como falsas postales que se enviaban a un email y que a la hora de hacer click te reenviaban a una página falsa de hotmail para agregar nuevamente tus datos de ingreso que se enviaban a la persona que te envió la "postal"... te pregunto yo: llegaste a caer en la trampa? a cuántos se lo hiciste que picaron el anzuelo? si no caíste es porque ya te lo habían contado, de lo contrario, estoy casi seguro que picabas. Éste es otro ejemplo de ingeniería social.

Kevin Mitnick es la leyenda viva de la ingeniería social y no hace mucho que  escribió un libro llamado "The Art of Deception", ahí encontrarás una gran variedad de ejemplos para conseguir información como el que ya mencioné y cómo estar prevenido ante este tipo de ataques. Lo puedes descargar en internet con el único inconveniente que está en inglés (para los que no saben el idioma). Yo, como gran admirador de este personaje y de la ingeniería social estoy indagando todo lo relacionado al tema puesto que es muy útil dependiendo de los objetivos que tengas y ya estoy traduciendo el libro al español, otro mejor no he podido hallar.

Si eres una persona aficionada al hackeo aprender a programar es lo más recomendado, pero en muchos casos la ingeniería social te facilitará acortar algunos caminos para conseguir la información que desees. Y un consejo más, si en algún momento eres un buen programador con aficiones al mundo del hackeo, no alardes de eso, no permitas que el resto lo sepa, guárdalo para ti, consigue lo que quieres y que nadie lo sepa. Hasta pronto y espero que este mensaje les sirva de algos.  Saludos

[DARKBRINK]

Hola
Es bueno tu post pero este tema creo que ya esta muy choteado ya que en este foro hay muchos post sobre este tema

[HolyKnight]

Hola me gusto mucho tu post, es verdad ya hay otros pero este esta bien explicado y a un noob le puede servir mucho. Me puedes dar el link del libro de mitnick( no importa q este en ingles).

Chau, suerte!

[Nemant]

hola, yo tmb estoy interesado en este libro, podrias dejar el link? gracias.

[NaejFled]

Aquí les dejo el link para hacer la descarga del libro en inglés:


Para ver este enlace Registrate o Inicia Sesion
Si por alguna razón no pudieran descargarlo de este website pueden escribirme a este correo ( 0@hotmail.com">jeanfranco_221 0@hotmail.com) y dejarme el suyo para enviárselos.

Con respecto al primer comentario, es verdad que se han tocado varios temas sobre ingeniería social pero también he notado que el enfoquen que le quieren dar al uso de ésta es algo pobre, deberías de saber DarkBrink que este tema recién está en auge ya que la tecnología en seguridad informática se desarrolla a pasos grandes y muchos hackers no tienen todo el tiempo necesario para estudiar sus vulnerabilidad es. por esta razón se están enfocando más en explorar la vulnerabilidad humana que es más sencilla de lograr y la ingeniería social te ayuda a hacerlo. Saludos

[ToR0]

 hace dos o tres años cuando se pusieron de moda los exploits, más conocidos como falsas postales que se enviaban a un email y que a la hora de hacer click te reenviaban a una página falsa de hotmail para agregar nuevamente tus datos de ingreso que se enviaban a la persona que te envió la "postal"...[/color]

Recuerda que es xploit y no exploit es  muy impotante tenerlo claro emm en este foro ya hay un tema creo que el titulo es

la diferencia entre un xploit y un exploit,

jejeje es bueno tenerlo claro ..

muy bueno tu post felicitaciones

saludos

[HolyKnight]

Muchas gracias por el libro, lo estube buscando por todos lados y no lo encontre.


Espero que siguas así, Gracias!

[NaejFled]

Tienes razón Josecito090, la palabra correcta para lo que me refería es xploit (costumbre de pronunciación). Saludos

[ToR0]

Tienes razón Josecito090, la palabra correcta para lo que me refería es xploit (costumbre de pronunciación). Saludos

excelente, por lo menos aceptas de el error de escritura ejjeje xD

No me canso de decirlo, tu post esta muy bueno

[alezander]

Uhmm.. la verdad es que hoy mismo hace horas me lei este post pero un poco mas extenso la verdad es que me parecio buena la info, y la verdad que yo ya tengo el libro en ingles, pero como no soy muy bilingue.. pues habra que quedarse con las ganas >_________<  saludoss

[ToR0]

Uhmm.. la verdad es que hoy mismo hace horas me lei este post pero un poco mas extenso la verdad es que me parecio buena la info, y la verdad que yo ya tengo el libro en ingles, pero como no soy muy bilingue.. pues habra que quedarse con las ganas >_________<  saludoss

?

[alezander]

?

?? jaja xDDD de que son las "??"  se que soy raro.. pero.. a que no me entiendan O.o.. ni idea..

[ToR0]

que quieres decir con eso con tu post

Uhmm.. la verdad es que hoy mismo hace horas me lei este post pero un poco mas extenso la verdad es que me parecio buena la info, y la verdad que yo ya tengo el libro en ingles, pero como no soy muy bilingue.. pues habra que quedarse con las ganas >_________<  saludoss

hablamos de ingenieria social no de ingles

explicate :$

[alezander]

¬¬'  vale.. me calmare y hare que no paso nada.. asi que de paso te "desmenuso" las cosas ^^

Uhmm.. la verdad es que hoy mismo hace horas me lei este post pero un poco mas extenso la verdad es que me parecio buena la info

Eso fue por el post.. me parecio buena la info que habia leido, un poco mas extensa.. etc...

y la verdad que yo ya tengo el libro en ingles, pero como no soy muy bilingue.. pues habra que quedarse con las ganas >_________<  saludoss

Y eso.. pues creo que fue por el libro de "The art of Decepcion" xD vale, te saco de una duda.. y de pasada pierdo mi tiempo esperando a que la mierda de mi antispyware reaccione xD saludoss

[ToR0]

ok grax