Fundamentos de la ingeniería social para IT

Piggyback o el acceso por exceso de confianza

¡Prueba gratis durante 10 días

nuestros 1148 cursos !

Prueba gratis Mostrar modalidades de suscripción
El piggybacking no es un método técnico, sino uno puramente social. Se aprovecha de la confianza de las personas permitiendo acceso a áreas físicas de un recinto donde el atacante no debería poder estar.

Transcripción

El "piggybacking" es un término aplicado tanto a la ingeniería social como al hacking de penetración en redes ajenas, y es que al fin y al cabo se trata de entrar a un sitio donde el atacante no debería estar, siguiendo los pasos de alguien que sí tiene permiso para hacerlo. A nivel informático, el piggybacking consiste en obtener acceso a una red informática con la computadora del atacante, no mediante el jaqueo de una computadora que normalmente tiene acceso a dicha red. Normalmente se trata de redes inalámbricas de las que el atacante ha conseguido la contraseña y a las que accede sin conocimiento de los propietarios o gestores de las mismas. Conseguir la contraseña de una red inalámbrica es cuestión de técnica y tiempo –o de ingeniería social– y una vez dentro, el abuso puede producirse por distintas vías. El más común y menos peligroso es aprovecharse de la conexión a Internet financiada por la víctima. Si el deseo del atacante no es navegar gratis por Internet, puede que sus intereses sean mucho más perjudiciales, como por ejemplo el espionaje, ya que formando parte de la red de computadoras, el atacante puede dedicarse a espiar el tráfico de otros equipos, con el riesgo, por ejemplo, de que se revelen nombres de usuario y contraseñas de servicios no protegidos con cifrado SSL. Aunque las conexiones sean cifradas, el atacante puede saber a qué servidores se conectan el resto de usuarios de la red y analizar intereses, comportamiento, horarios, etcétera. El siguiente paso es escalar del nivel de monitorización de tráfico de red al hacking. A este nivel, un atacante puede modificar tráfico mediante herramientas como Ettercap, que falsean la resolución de nombres de dominio, indicando a la computadora que busca, por ejemplo, cursoIS.com una dirección IP distinta a la real, en la que puede haber una web falsa, con objeto de engañar a la víctima. Para evitar este tipo de intrusiones, debemos aplicar a nuestras redes el mayor nivel de seguridad posible, que es WPA2, con contraseñas complejas. Además, podemos añadir filtrado de equipos autorizados mediante una lista blanca de sus direcciones físicas, también conocidas como "MAC addresses". Además, conviene revisar los registros de conexiones periódicamente para buscar conexiones sospechosas, como por ejemplo de equipos que sabemos que no están en la oficina en un determinado día y hora. Por supuesto, todo equipo conectado a la red debe estar configurado con contraseñas que no sean las originales del fabricante para evitar que el atacante, si logra acceder a nuestra red, tome el control de dichos dispositivos. Para evitar el espionaje del tráfico, lo mejor es navegar por redes seguras con conexiones SSL y si la red a la que accedemos no es de nuestra confianza, emplear conexiones VPN para cifrar todo el contenido de nuestra conexión, incluso la parte que no cifraría el protocolo HTTPS. Visto el escenario informático en el que el piggybacking puede servir para espiar y obtener información de un objetivo, el otro ámbito al que se aplica el término piggyback es totalmente analógico y es un ejercicio de ingeniería social en su más estricto sentido. Esta técnica, también conocida como "tailgating" –uniendo las palabras inglesas cola y puerta– consiste en acceder a una área restringida siguiendo a una persona autorizada. La versión más elaborada de esta técnica implica que el atacante intentará acceder a una zona de una empresa o institución para la que se ha instalado un control de accesos mediante tarjeta identificativa, con tecnología de banda magnética o RFID. El atacante se habrá procurado una tarjeta falsa, aunque de apariencia real, que obviamente no funciona en el sistema. Se mimetizará con el entorno construyendo su personaje, sobre todo en base al aspecto físico y vestimenta y esperará a que alguna persona autorizada entre o salga de la zona restringida. En ese momento, intentará usar su tarjeta –que hemos dicho que es inválida– y al fallar, solicitará la ayuda de la persona autorizada. La misma técnica pero sin controles de acceso automatizados puede realizarse mediante la identificación ante una persona encargada del control de acceso. En este caso, el atacante deberá justificar por qué no aparece en la lista de personas autorizadas o simular ser alguien autorizado a quien el encargado aún no conoce, ya sea porque el controlador es nuevo o porque lo es la persona realmente autorizada. El estilo más básico de tailgating es unirse a un grupo que pasa. Tal como suena. Un grupo de personas accede a una área restringida, como por ejemplo un ascensor que lleva a plantas cuyo acceso requiere de identificación, y el atacante se confunde con el grupo. Parece algo demasiado inocente, pero a la gente nos da miedo ser los primeros en increpar a otro por una conducta inadecuada. Así que si en el grupo nadie se lanza a expulsar al extraño, todos pensarán que algún otro miembro del grupo le conoce y deduce que está autorizado. La solución, como de costumbre: procedimientos estrictos de identificación de personal y responsabilizar a cada trabajador del uso individual de sus acreditaciones.

Fundamentos de la ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.