Fundamentos de la ingeniería social para IT

La propia web de tu empresa como origen de filtraciones

¡Prueba gratis durante 10 días

nuestros 1145 cursos !

Prueba gratis Mostrar modalidades de suscripción
La web de tu propia empresa o negocio es la primera fuente de información que va a consultar quien quiera información. En la web pueden encontrarse direcciones, correos electrónicos, información de dominios, nombres, localizaciones, redes sociales, etc.

Transcripción

Cuando alguien quiere saber algo sobre una empresa, lo primero que hace es buscar la información en Internet y comprobar si tiene página web propia. Lo mismo hará un ingeniero social para buscar información sobre nuestra empresa. En nuestra página web hay información expuesta que puede resultar útil, tanto para ataques de hacking directo como para diseñar pretextos para ataques de ingeniería social. El primer dato técnico que sirve para ambas cosas es el nombre de dominio. Pongamos por ejemplo que usamos cursoIS.com para la web de nuestra empresa. Pues bien, mediante la herramienta WHOIS, disponible en cientos de webs o en aplicaciones para móviles, podemos consultar información sobre el dominio y averiguar el nombre, teléfono, dirección de correo electrónico y dirección postal de quien la registró y quien la administra. En los dominios .com y en muchos otros, esa información puede ocultarse y es recomendable hacerlo. En algunos dominios nacionales, como por ejemplo el de España .es no es posible ocultar esa información, así que hay que tenerlo en cuenta a la hora de contratar uno u otro dominio. Conociendo el dominio de la web, se puede conocer la IP pública del servidor donde está alojada, y para ello basta con ejecutar el comando "nslookup" seguido del nombre de dominio en el intérprete de comandos de tu computadora. Con esa IP y en algunos casos con el propio dominio, podemos usar buscadores de vecinos, como el que encontraremos en tcpiptool.com, que nos permite saber si hay otras web alojadas en el mismo servidor. Si varias web de temáticas diversas comparten servidor significa que la empresa de cursoIS.com está alojando su web en un servidor compartido de una empresa de hosting. Si la web está sola en el servidor, puede significar que la empresa usa un servidor propio o que ha alquilado un servidor dedicado. En ambos casos se genera información operativa sobre los recursos técnicos de la empresa. También existen infinidad de plugins, principalmente para el navegador Firefox, que permiten detectar la tecnología empleada en un servidor web. Nos indica si es Windows o Linux, qué servidor web utiliza –el más común es Apache–, si utiliza algún gestor de contenidos como por ejemplo WordPress, Joomla o Drupal. También permite ver qué sistemas de bases de datos se utilizan, plugins y software adicional. Con toda esa información, que es pública, una atacante puede empezar a buscar vulnerabilidades con las que atacar la web a nivel técnico, para acceder a listas de clientes, proveedores, cuentas de usuario, con los que continuar alimentando la información que pueda obtener mediante fuentes abiertas. Cuestiones técnicas aparte, en las páginas web suele haber mucha información que un ingeniero social puede aprovechar. Para empezar, es fácil encontrar nombres, direcciones de correo electrónico, teléfonos y hasta fotografías de directivos y empleados. Esto permite contactar con una persona y simular que se conoce a otras. Sin embargo, quien recibe los emails o las llamadas no suele caer en la cuenta de que toda esa información ya está disponible en la web. Además de información del personal, también es común encontrar fotografías de las instalaciones de la empresa en la que pueden verse desde los escritorios de los empleados hasta los servidores. Parece inofensivo mientras no se lea nada en las pantallas, pero puede permitir descubrir versiones de sistemas operativos o de algunas aplicaciones e incluso la distribución física de los espacios de trabajo y despachos, para saber cómo moverse si se accede físicamente. Hay fotografías en las que aparecen las matrículas de los vehículos de la empresa y aunque pueden usarse para vigilarlos y conocer rutas, costumbres, horarios y más, también pueden falsificarse para que el impostor acceda a una empresa donde nuestro vehículo esté autorizado. Otra información que puede ayudar a un ingeniero social a construir pretextos son las listas de partners, clientes y proveedores que publican muchas empresas. Podrían engañar a un miembro de nuestra empresa haciéndose pasar por uno de nuestros clientes o a nuestro cliente haciéndose pasar por nosotros. Ninguna de las situaciones es buena. Debemos tener en cuenta que todo lo que esté publicado en nuestra web, sea por voluntad propia, por error o por un fallo de software, está accesible a cualquiera que conozca la URL del archivo publicado, ya sea una página, una foto, un PDF o una hoja de cálculo. Debemos hacer análisis periódicos de nuestra propia web, para saber qué es lo que hay accesible desde Internet y eliminar o proteger apropiadamente lo que no deba ser accesible. Como podemos ver, hay gran cantidad de información en nuestras webs que puede servir tanto para facilitar ataques contra nosotros como contra otras empresas. No se trata de que eliminemos la web o de que la llenemos de obviedades y eufemismos en vez de poner información real y útil para nuestro público, se trata de ser conscientes de lo que hay publicado. De este modo, si un desconocido esgrime dicha información durante un ataque de ingeniería social, no le quitaremos automáticamente la etiqueta de desconocido, porque sabremos que cualquiera que haya visitado nuestra web podría decirnos lo mismo. Estaremos poniendo la barrera de la confianza más alta para que no se la salte el primero que llegue.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.