Fundamentos de la ingeniería social para IT

Ejemplos reales de ataques de ingeniería social

¡Prueba gratis durante 10 días

nuestros 1144 cursos !

Prueba gratis Mostrar modalidades de suscripción
En este vídeo vamos a contar muy brevemente algunos ejemplos de ataques reales basados en ingeniería social para entender su motivación, sus bases y su finalidad, así como la facilidad que implican y por qué son tan ignorados.

Transcripción

Como no hay nada mejor que un ejemplo para ilustrar un concepto, voy a enumerar una pequeña lista de ellos para ilustrar lo potente que puede llegar a ser la ingeniería social y lo que alguien con malas intenciones puede llegar a conseguir con ella. Los ejemplos que expondré son reales y quienes sufren las consecuencias son víctimas, como poco, de robo o fraude. Empecemos por el que quizás es el más épico y romántico de los ataques de ingeniería social jamás narrados: el caballo de Troya. Los aqueos construyeron una escultura gigante en honor a los dioses de los troyanos cuando se retiraban de la guerra. Los troyanos, considerando de mal augurio dejar un tributo fuera de las murallas, lo introdujeron en la urbe y festejaron la retirada de los griegos. Aprovechando la confusión y el sueño tras los festejos, los soldados aqueos infiltrados dentro del caballo abrieron las puertas de la ciudad a sus camaradas y arrasaron la ciudad, que había relajado sus defensas al pensar que la amenaza había desaparecido. Veamos otro ejemplo. D-Orb era el seudónimo de una persona que observaba transacciones con tarjeta de crédito en los años noventa en Madrid. La dependienta de un negocio copiaba los datos de las tarjetas de los clientes con el papel de calco y llamaba a la entidad de crédito para verificar cada pago, ya que aún no había datáfonos. Una vez finalizada la compra, D-Orb, haciéndose pasar por miembro de la entidad crediticia, llamaba a la tienda y les pedía su código de clientes para verificar la última compra que les habían hecho en la tienda. Para prevenir un posible fallo que habrían cometido en la sede de la entidad crediticia, pedía a la dependienta que le dijese el número y fecha de caducidad de la tarjeta, y con esos datos D-Orb podía obtener información de saldo y realizar compras con tarjetas ajenas. D-Orb tenía sólo 15 años, pero comprendió el funcionamiento del sistema y fue capaz de replicarlo sin que ningún vendedor dudase nunca de su palabra. En 2007, el banco ABM AMRO de Bélgica fue atracado por un solo hombre, sin armas y sin ningún tipo de tecnología. El ladrón acudía a menudo al banco, del que era cliente desde hacía un año, con una identidad falsa. Fue ganándose la confianza de los empleados con su encanto personal y haciendo regalos tan simples como una caja de bombones. Consiguió que le brindasen acceso a la cámara de seguridad y acabó saliendo del banco por su propio pie y sin levantar sospechas con más de 120.000 quilates de diamantes, por valor de unos 21 millones de euros. En 2012, la empresa norteamericana Ubiquiti Networks, Inc. declaró que había sufrido unas pérdidas de 39 millones de dólares por un fraude. En este caso los criminales atacaron en una compañía subsidiaria de Hong Kong y mediante emails fraudulentos, simulando ser un alto directivo, lograron que personal con autorización para gestionar cuentas bancarias les transfiriese dinero de cuentas de la empresa a cuentas controladas por ellos. Los atacantes tan solo simularon ser un directivo de la empresa matriz dando órdenes. En 2016, se ha publicado un caso de phishing de empresas de correos en el que una organización enviaba correos electrónicos a cuentas de España, Italia y Dinamarca simulando ser una importante compañía de mensajería y correos de cada país. En el correo se informaba de que había un paquete o carta pendiente de entrega y había que comprobar una documentación adjunta para reclamar dicha entrega. El software que realmente ejecutaban las víctimas, que fueron tanto particulares como empresas, era en realidad un ransomware que cifraba todos sus archivos y pedía un rescate por recuperarlos. Gran repercusión mediática tuvo en España el caso del conocido como Pequeño Nicolás, un joven que desde su adolescencia intimó con miembros de un partido político y aprendió sus costumbres y maneras hasta ser capaz de ofrecer actos que tacharíamos de corrupción si no fuese porque el corruptor era la única víctima, ya que Nicolás carecía de autoridad real para llevar a cabo ninguna de sus promesas. Aún así mantuvo engañado a todo el partido e incluso llegó a engañar y a relacionarse con autoridades de otras instituciones como la Casa Real o cuerpos policiales y de información. En este caso, el atacante vivía de gestionar favores ficticios o reales, dentro de una organización política de la que ni siquiera formaba parte oficialmente. Los fraudes y ataques mediante ingeniería social son muchos y múltiples y estos son solo una minúscula muestra de los que se han hecho públicos. Aunque pueden servir como cabeza de puente para ataques informáticos posteriores, también hemos visto ejemplos en los que no hace falta nada aparte de la palabra para que nos convirtamos en víctimas de un fraude. Cualquiera podemos ser víctima, desde un individuo particular hasta grandes corporaciones, y el daño puede ser tanto a nuestra reputación como a nuestros recursos económicos, humanos o materiales. Debemos tener mucho cuidado.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.