Fundamentos de la ingeniería social para IT

OSINT o Inteligencia de Fuentes Abiertas

¡Prueba gratis durante 10 días

nuestros 1150 cursos !

Prueba gratis Mostrar modalidades de suscripción
OSINT o Inteligencia de Fuentes Abiertas son los métodos y sitios de los que podemos obtener información relevante sobre otras personas de forma libre y sin necesidad de recursos especiales o técnicas de hacking.

Transcripción

La base de cualquier ataque de ingeniería social y el objetivo de la mayor parte de los ataques es la información. En este vídeo vamos a ver como OSINT es un proceso que ayuda a los ingenieros sociales a recopilar información útil para sus ataques. OSINT es el acrónimo de Open Source Intelligence o lo que es lo mismo: inteligencia de fuentes abiertas. Definimos una fuente de información como abierta si está accesible al público. Puede ser gratuita o de pago, fácil o difícil de encontrar, voluntaria o involuntariamente pública. Pero decimos que es abierta porque no hay que "hackear" ni robar nada para acceder a los datos. Estas fuentes pueden ser usadas por agencias de inteligencia, cuerpos policiales, periodistas, abogados, personas curiosas o en el peor de los casos por criminales que puedan usar la información obtenida contra nosotros o contra la empresa para la que estamos trabajando. Entre las fuentes abiertas, podemos encontrar algunas tan cotidianas como la prensa o las agencias de noticias. Las hay más oficiales, como boletines oficiales, registros mercantiles o sentencias judiciales. La más obvia es la página web de la persona o empresa a la que se investiga, aunque no hay que olvidarse de las redes sociales que utilizamos tanto en la vida privada como en la profesional. También tenemos motores de búsqueda genéricos, como Google, Yahoo o Bing, y especializados, como Shodan, NameCHK, KnowEm, TinEye o Spokeo, incluso la "deep web" o web profunda es un buen sitio donde buscar. Cualquier fuente de información es válida si no hay que robar la información. No importa si esta es confidencial o no, porque quien la vaya a usar en nuestra contra no va a preocuparse de su legitimidad para conseguirla. Lo que sí deberá hacer un ingeniero social que nos investigue es decidir cuáles de todas las potenciales fuentes son las más interesantes, porque su objetivo para obtener inteligencia sobre nosotros o nuestra empresa es conocernos de forma profunda. Así que una vez que tenga claro su objetivo, deberá elegir qué fuentes investiga y cuáles descarta por no ser relevantes. Una vez elegidas las fuentes, pasará al siguiente paso: trabajar sobre cada una de ellas y extraer tantos datos como le sea posible. A continuación, deberá cotejar y filtrar los datos, es decir, comprobar si son fiables y descartar lo que tan solo suponga ruido, para quedarse con lo que sea información. Esto es importante, ya que la información es el subconjunto total de datos que tienen cierta relevancia y utilidad. Saber que una persona tiene un lunar en un brazo es un dato, saber que el objetivo ha ido al médico para mirarse ese lunar o su diagnóstico es información. Saber la dirección de correo electrónico de esa misma persona también es información. Una vez eliminados los datos que no aportan nada de información, hay que relacionarlos entre sí para obtener nueva información. Por ejemplo, si en la web de una empresa veo la hora de cierre y en la cuenta de Twitter de un empleado veo que "twittea" desde otra ubicación un rato después, es posible que pueda calcular cuánto tarda de la oficina a su casa. Una vez que la información está filtrada y procesada, lo que obtenemos es lo que se llama inteligencia del objetivo, que puede ser útil en sí misma o aportar datos nuevos para acudir a una nueva fuente y realimentar el proceso OSINT, que como vemos es circular. Existen infinidad de herramientas online que pueden ayudar a un investigador a rebuscar entre todos los datos que hay disponibles en la red. Al uso de Google y buscadores similares se le llama 'hacking de buscadores' y lo que hace es aprovechar comandos de búsqueda tan precisos que pueden ayudarnos a encontrar cosas que no deberían estar indexadas en las páginas web pero lo están por fallos humanos o del propio software utilizado por los servidores. Por ejemplo, si queremos buscar documentos PDF en la página cursoIS.com, podemos escribir en el buscador de Google "filetype:pdf site:cursoIS.com". Para no tener que recordar todos los operadores, también podemos usar el formulario de búsqueda avanzada de Google. Existen además aplicaciones que rastrean automáticamente la totalidad de una web objetivo en busca de nombres de personas, números de teléfono, direcciones de correo electrónico, etc., para que podamos emplearlos como nuevas rutas de investigación o directamente para detectar potenciales objetivos de ataques de ingeniería social. Una de estas aplicaciones es theHarvester. Cualquier cosa que esté en la web de una empresa disponible mediante URL sin "hackear" es una fuente abierta. Entre esa información es fácil encontrar documentos como por ejemplo PDF, aunque no se añadiese un enlace a los mismos en la web. Si alguien descubre la URL, puede descargarlo y obtener esa información. Otra aplicación muy conocida para OSINT es FOCA, de ElevenPaths. Esta aplicación permite analizar estructuras de dominio de páginas web, buscar documentos de casi cualquier tipo en la web objetivo y extraer todos los metadatos disponibles que encuentre en ellas. Con datos tan sencillos como una dirección de correo electrónico, un nombre o un número de teléfono, podemos alimentar sistemas de búsqueda automática como Maltego, de la empresa Paterva, que busca en fuentes abiertas más datos que puedan estar relacionados con los introducidos como semilla de búsqueda. Además de los buscadores genéricos, casi todas las redes sociales cuentan con sus propios buscadores, algunos de ellos muy avanzados, que nos permiten hacer búsquedas de información de alta precisión. La mayor parte de estas empresas también implementan interfaces de programación de aplicaciones, más conocidas como API, para que sus servicios se integren en otras aplicaciones, como por ejemplo búsqueda y filtrado información para gestores de marketing, aunque también pueden usarse para OSINT, como por ejemplo los buscadores integrados en la web intelthechniques.com Existen incluso herramientas que comprueban la disponibilidad de un nombre de usuario en múltiples servicios y como casi todo el mundo utiliza el mismo alias en todos los servicios online, es fácil descubrir en cuáles está dado de alta. Así pues, un ingeniero social en su fase de investigación definirá qué tipo de información desea de su objetivo, identificará las fuentes de información más relevantes, adquirirá tantos datos como le sea posible, los procesará para ordenarlos y filtrarlos, los analizará para cotejar y correlacionar los datos previamente obtenidos de dichas fuentes y por último obtendrá un perfil de su objetivo. A este procedimiento es a lo que llamamos inteligencia, y cada día hay más y más herramientas especializadas únicamente en OSINT cuyo conocimiento puede ayudarnos a saber cómo de expuestos nos encontramos a nivel personal y profesional. La mejor recomendación que puedo hacer desde el punto de vista de la seguridad es que no compartamos online lo que no es necesario compartir. Es cierto que no toda la información que hay online sobre nosotros la publicamos personalmente, hay información oficial y también información o fotografías en las que nos mencionan o etiquetan. Para estar actualizados sobre nuestra huella digital, podemos usar el sistema de alertas de Google, que nos mandará un email cada vez que indexe alguna página que mencione términos de nuestro interés, como por ejemplo nuestro nombre, dominio, dirección de correo electrónico, documento de identidad. Lo más importante de OSINT, desde la perspectiva defensiva, es que sepamos lo que otros pueden llegar a encontrar sobre nosotros, así que investiguemos.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.