Ingeniería social para IT

SET - Social Engineering Toolkit

¡Prueba gratis durante 10 días

nuestros 1201 cursos !

Prueba gratis Mostrar modalidades de suscripción
SET, o Social Engineering Toolkit es un recopilatorio, basado en Python, de herramientas automatizadas para pentesters dedicadas a realizar ataques basados en recursos e información de ingeniería social.

Transcripción

SET es el acrónimo de Social Engineering Toolkit y hace referencia a un conjunto de herramientas específicamente desarrolladas por David Kennedy, alias Relic, para llevar a cabo ataques informáticos basados en técnicas de ingeniería social. Actualmente está disponible la versión 6.0 de SET en la plataforma github.com, y al estar desarrollado en Python, podemos ejecutar sus herramientas en cualquier computadora que disponga de un intérprete para ese lenguaje de programación. De todos modos, la forma más habitual de usarlo es en computadoras basadas en Linux y podemos encontrarlo instalado por defecto en distribuciones orientadas a seguridad informática, como Kali Linux o su predecesora BackTrack. Muchas de las funciones integradas en SET provienen de un kit de herramientas de testeo de seguridad denominado Metasploit, por lo que el uso de SET sin tener disponible Metasploit es algo poco habitual para la mayor parte de los usuarios de estas herramientas. SET se ejecuta y se utiliza por línea de comandos. Al iniciarlo nos ofrece un menú con distintos recursos, para poder hacer ataques basados en ingeniería social y tendremos que ir navegando por los menús, indicando el número de la opción que queremos elegir. Antes de que nos decidamos a usar este conjunto de herramientas, debemos tener en cuenta que ya no se trata de una aplicación de recolección de información o de análisis e inteligencia de datos, sino de ataques informáticos basados en ingeniería social. Si consideramos que la seguridad de nuestra empresa debe ponerse a prueba, lo mejor es recurrir a profesionales que conozcan las herramientas y que se responsabilicen de su buen uso. Dicho esto, veamos algunas de las herramientas que SET pone al servicio tanto de los analistas de seguridad como de los ciberdelincuentes. El menú principal de bienvenida nos permite acceder al catálogo de ataques basados en ingeniería social, a los tests de penetración, a herramientas de terceros o a funciones de mantenimiento y actualización de la propia herramienta. Nosotros nos centraremos en los ataques basados en ingeniería social, que son la primera opción del menú. En el submenú de ingeniería social, nos encontraremos herramientas dedicadas al phising, a ataque basado en páginas web y a enlaces, a la infección de documentos, ataques contra puntos de acceso inalámbricos, generadores de códigos QR que apuntarían a direcciones donde alojamos contenido malicioso, etcétera. Debemos tener en cuenta que la eficacia de muchos de estos ataques depende, en primera instancia, de lo buen ingeniero social que sea el atacante para conseguir que el objetivo caiga en la trampa, y en segunda, de que las versiones de sistema operativo y software de la computadora del objetivo sean vulnerables a la tecnología empleada en el ataque. Al fin y al cabo, el objetivo último es conseguir instalar código malicioso en la computadora del objetivo. Para seguir ilustrando el ejemplo, veremos la opción 1, correspondiente a Spearphishing, que es igual que el phising, una técnica de engaño mediante correos electrónicos fraudulentos, pero con la particularidad de que no se usa para ataques masivos, sino contra personas o empresas específicas. Lo que SET nos permite con la herramienta de Spearphising es diseñar e-mails con un archivo adjunto que incluya código malicioso. Incluso nos da a elegir entre utilizar las propias herramientas de SET para generar ese código malicioso o que empleemos alguna alternativa de la que ya dispongamos. Si elegimos la primera opción, nos muestra el listado de cargas que puede añadir en función del adjunto que queramos usar en el correo electrónico. A partir de ese punto, un ingeniero social debería basar su elección en el tipo de software que haya detectado en las computadoras de sus objetivos. Por ejemplo, mediante el análisis de metadatos de los documentos generados por estos. Como en este curso no tratamos de enseñar a hacer ataques, sino a defendernos, dejo en manos de vuestra curiosidad seguir investigando esta vía. Pero si hay algo que debemos hacer, como potenciales víctimas de estos ataques, es mantener nuestro software y las medidas de seguridad actualizadas. Debemos tener en cuenta que las cargas o "pilots" maliciosos que pueden formar parte del archivo adjunto a un e-mail van a tratar de explotar vulnerabilidades conocidas de la aplicación que normalmente gestionaría el archivo. Es decir, que si es un archivo DOCX el que lleva la carga maliciosa, la vulnerabilidad estará en Microsoft Word. Por suerte, aunque los ciberdelincuentes tienen acceso a SET, también pueden estudiarlo y analizarlo el resto de fabricantes de software y de sistemas de seguridad, de forma que pueden desarrollar los parches necesarios para eliminar las vulnerabilidades enumeradas en SET. De ahí la importancia de la actualización y mantenimiento de nuestros equipos como medida extra de seguridad, si es que el ingeniero social logra engañarnos para que abramos el archivo adjunto que nos ha enviado.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.