EL USUARIO ES EL ESLABÓN MÁS DÉBIL

¿QUIÉNES APLICAN ESTA TÉCNICA?

• Hackers / Pentesters
• Terroristas
• Criminales / Cibercriminales
• Empleados enojados
• Ladrones de identidad
• Gobiernos extranjeros / Agentes del gobierno extranjero
• Espías industriales / Agentes de espionaje industrial
• Recolectores de inteligencia empresarial
• Agentes de información / Investigadores privados

Como vemos son muchos los campos en los que se emplea la ingeniería social.

PASOS PARA LLEVAR A CABO UNA TÉCNICA DE INGENIERÍA

SOCIAL

1_ Reconocimiento

- Virtual: Este tipo de reconocimiento está relacionado a infectar ordenadores con

spyware o código malicioso. A través de un e-mail por
lo general.

- Físico: Este tipo de reconocimiento está relacionado a recolectar información a

través de medios electrónicos. Analizar blogs, listas de
correos, etc.

2_ Recolección de información

Una vez que la etapa de reconocimiento finalizó, se debe transmitir toda la

información disponible a través de los medios mencionados.

3_ Relación de información

Durante un período de tiempo, la información se relacionará y establecerán los

canales de comunicación estableciendo las conexiones.

4_ Usando la información

Llegó el momento de realizar el ataque y este puede ocurrir de diferentes

maneras. Como, por ejemplo, hacer un robo de identidad para intentar
ganar la información de una organización a través de esa ID que nos proporcionó
la víctima anteriormente.

ATAQUES DE INGENIERÍA SOCIAL

• Teléfono: Un atacante llama por teléfono y trata de intimidar a alguien en la

posición de autoridad o relevancia, de esta forma obtiene información. Por lo
general, los centros de ayuda son vulnerables a este tipo de ataque.

• Dumpster Diving (trashing): Es otro método de ingeniería social. Mucha

información puede ser encontrada en la basura.

• Drive-by infection: Cuando uno descarga “soluciones de seguridad” desde sitios

web, es posible infectarse con diferentes variedades de malware o troyanos.

• e-Mail: Los emails enviados pueden contener información interesante para los
usuarios y ser bastante llamativos como la “imaginación” lo permita.

• Curiosidad: El atacante deja un dispositivo de almacenamiento como pendrive,

CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a
que la víctima introduzca el dispositivo para infectarse con el código malicioso.

• Suplantación ID: Consiste en caracterizar a una persona, un rol. Generalmente

los roles más empleados son soporte técnico y gerente. En las empresas muy
grande, es difícil conocer a todos los empleados y falsificar las ID resulta muy
simple.

• Shoulder Surfing: Consiste en entablar una conversación y realizar notas

mentales sobre las teclas que presiona el usuario al momento de ingresar datos
de acceso a un sistema.

• Office Snooping: Muchos usuarios no dejan bloqueadas sus computadoras

cuando se levantan de sus escritorios, o aún peor, cuando se retiran del trabajo.
Por lo que se puede acceder sin autentificarse.

• Ingeniería social inversa: Es el modo avanzado de la ingeniería social, el

atacante trata de parecer alguien de autoridad, para que le pregunten a él y así
obtener información. Requiere mucha preparación, investigación y saber
relacionarse con las personas.
ALGUNAS PREGUNTAS INTERESANTES…

DEMOSTRACIÓN DE ATAQUE PHISHING

UTILIZANDO INGENIERÍA SOCIAL

SETOOLKIT
LINKS DEL PROJECTO

https://sourceforge.net/projects/setoolkit/
https://github.com/trustedsec/social-engineer-toolkit

Setoolkit es la herramienta de ingeniería social por excelencia dentro del pentesting, el

hacking y el cibercrimen. Ofrece una variedad de vectores de ataques que dejan al
cibercriminal hacer un plan de robo con infinitas variedades y formas.
SET es multiplataforma y sólo necesitamos tener instalado el interprete de Python para
ejecutarlo e iniciarlo.

SET viene instalado en muchas plataformas de seguridad informática, como Backtrack y Kali
Linux.

Entramos a Setoolkit y vemos nuestra dirección IP privada (esta demostración la haré a nivel
LAN)
--------

1) Social-Engineering Attacks Nos dará como resultado un segundo menú que a la línea del
primero es bastante explícito a la par que conciso.

Colocamos la Opción 1 ya que haremos un ataque de ingeniería social.

1) Spear-Phishing Attack Vectors: Se utiliza para llevar a cabo ataques de

correo electrónico dirigidos contra una víctima (por más que yo haga un ataque
con
correo electrónico, utilizaré el punto 2 para clonar la página web).

2) Website Attack Vectors: Es una forma única de utilizar múltiples ataques

basados en Web con el fin de comprometer a la posible
víctima.
3) Infectious Media Generator: Nos permite crear medios infectados por medio
de los payload de metasploit que utilizan autorun.inf file .

4) Create a Payload and Listener: Simplifica enormemente la creación de

ficheros .exe a partir de los payloads de Metasploit y sus clientes.

5) Mass Mailer Attack: Nos permitirá el ataque masivo mandando correos

electrónicos a múltiples víctimas y personalizar los mensajes.

Utilizando la opción 2 (Website Attack Vectors) nos encontraremos con tres

opciones que de por sí son fáciles de comprender qué hacen…

Marcamos la opción 3 Credential Harvester Attack Method porque queremos hacer

un robo de credenciales a un login de Facebook. Subiendo un servidor en nuestra
máquina, para engañar a algún incauto y conseguir su cuenta de correo y
contraseña.
Acá nos encontramos con otras opciones muy intuitivas. Nosotros lo que
queremos es clonar una página web, por lo que elegiremos la opción 2,
Site Cloner.

Pasamos a colocar nuestra IP privada, la cual sería la de nuestro host atacante.

Y luego, la página web que queremos que nuestra víctima entre, en este caso, el
login de Facebook. NO la página principal, sino, el /login.php

Una vez que hemos hecho estos pasos, NO hay que cerrar la terminal que está
ejecutando el programa, porque está en espera de que alguien caiga y así obtener
las credenciales.
Ahora viene la parte más importante, “difícil” y que debemos sacar toda nuestra
creatividad (en el caso de ser un cibercriminal). Por lo que este proceso si se hace
en serio puede durar desde minutos, hasta días. En mi caso, me llevó minutos. Ya
que el atacante soy yo, y la víctima también soy yo. El atacante será mi cuenta de
protonmail y la víctima mi cuenta de Gmail... veremos qué tan anti-phishing es
Gmail según las noticias últimamente.

Obviamente quiero aclarar que, para ser más creíble, hay que crearse una cuenta
de Gmail o un dominio propio (en el caso de tomarse muy en serio de robar
datos). Por ejemplo: SoporteFacebook@gmail.com o GoogleSesion@gmail.com
Como esto es una demostración intentaré ser lo más conciso y simple posible.
 -------------EJEMPLO DE ATAQUE---------------

Entramos a la cuenta de correo electrónico atacante

Camuflamos la URL real en el texto para mostrar, para que la víctima al recibir el correo, no se
percate de lo que realmente sea. Aunque, una vez que entre, ahí cabe la posibilidad de que se
de cuenta que es una trampa. Pero, a día de hoy, hay gente poco capacitada al respecto y no
logra darse cuenta…
 Una parte fundamental del phishing a la hora de hacer un ataque de ingeniería social, es
conocer mínimamente a la víctima. Es por eso (en este caso, yo ya me conozco jaja) que
busqué en su perfil de Facebook su foto de perfil actual para que parezca “más creíble” (esto
se puede hacer mejor, pero es una demostración y quiero que se entienda).
No está de más poner hora, ubicación con coordenadas y foto de Google maps, junto el
sistema operativo y navegador que se haya intentado acceder…

Recordemos que la ingeniería social es más fácil de llevar a cabo si se es amable con la
víctima.
En mi cuenta de Gmail recibí el correo electrónico tal y como yo lo diseñé. Por lo que Gmail no
ofreció ningún sistema de Anti-Phishing que tanto mencionaron. Esto es lo que vería la
víctima.

Como yo no he iniciado sesión, debo entrar para configurar la privacidad de mi cuenta,

¿verdad? Bueno, esto es lo que aparece cuando hacemos clic en el texto a mostrar que
hemos puesto en protonmail.
 No hace falta ser agente de la CIA para darse cuenta que no es el login real. Pero, como
mencioné anteriormente, si la persona/victima no está capacitada, y tiene un conocimiento de
informática limitado, es capaz de ni siquiera mirar la barra de navegación donde está la IP de
mi host en este caso...

Colocamos nuestras credenciales en el caso de que no nos hayamos dado cuenta que
estamos siendo víctima de un cibercriminal al momento de hacer clic en “iniciar sesión”. Por lo
que, a partir de ese clic, ya no hay marcha atrás y estaremos recibiendo las credenciales de la
víctima.
 Generalmente, acá las víctimas con conocimiento medio en informática se acaban de dar
cuenta que se comió un phishing, o simplemente un “error” en el login de Facebook.

Mientras que el atacante, recibe esto en la terminal donde se está ejecutando setoolkit; Las
credenciales.
Como nos hemos dado cuenta, la ingeniería social es una técnica no tan técnica.
Donde la creatividad y en casos suerte nos dará la posibilidad de obtener lo que
queremos.

MITIGACIÓN DEL ATAQUE

• La mejor manera de aumentar nuestras defensas, es disminuir la posibilidad de

evadirlas. Utilizar seguridad física, biometría y restringir el acceso físico.

• Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios,

nombres de los hijos(as), de las mascotas o cónyuges.

• Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir

archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque
generalmente están desprotegidos de troyanos y virus en general. Estos se
expanden utilizándolas para alcanzar a nuevos usuarios a los que quiere infectar
de forma especialmente sencilla.

• Establecer políticas de seguridad a nivel de Sistema Operativo.

• Los usuarios no necesitan tener acceso a todo tipo de archivos o ficheros ya que
no todos son necesarios para su trabajo habitual, por ello puede ser conveniente
por parte del administrador bloquear la entrada de archivos o ficheros con
extensiones “.exe”, “.vbs”, etc.

• Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.

• No revelar información personal por correo electrónico ni en línea a menos que

sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además
de que se encuentra en un entorno seguro: Es esencial para ayudarle a evitar
cualquier tipo de ataque.

• Dar charla a todos los empleados de la compañía, donde el “speaker” sea

alguien con conocimientos en el área de seguridad informática y le muestre
pequeñas demostraciones de lo que puede llegar a ocasionar un despiste por
parte de ellos. Concientizar a las personas que operan dentro de la empresa es
fundamental, hacerle saber la responsabilidad que llevan a cabo en su labor día
tras día, ya que nunca se sabe cuando puede ser víctima de un ataque como este.
Ya que, la empresa u organización deberá invertir en formaciones de capacitación;
manteniendo informado al operario del peligro que puede estar generando para la
empresa.

• Sospechar de los mensajes inesperados que dicen ser urgentes y confidenciales

(no olvidemos que en mi ejemplo dejo la terminal en ejecución, por lo que el
atacante quiere que caiga lo más pronto posible para no estar todo el día
esperando). Además de que llama aún más la atención en estos casos.

• Fijarse en la redacción de los mensajes sospechosos recibidos. Suelen estar mal

escritos o con faltas ortográficas. Sobre todo, cuando un ruso usa el traductor de
Google para hacer un phishing a un latinoamericano. Nos encontramos con
incoherencias.

• Tener precaución al seguir enlaces en correos electrónicos, aunque sean de

contactos conocidos.

• Tener precaución al descargar ficheros adjuntos de correos, aunque sean de

contactos conocidos. Digo de contactos conocidos, porque no olvidemos que
muchos cibercriminales se nos acercan (o se le acerca a la víctima) de forma
presencial, o en redes sociales para conocerlas y así quitarle la suficiente
información.

• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del

antivirus comprobar si está activo. Soy partidario de la frase “el mejor antivirus es
la precaución”. Me refiero a que hay que ser precavido cuando se hace uso de
internet. Sobre todo, si trabajamos para una empresa/organización.

CONCLUSIONES
La ingeniería social no puede ser eliminada completamente, es un serio problema y es uno de
los más grandes en las organizaciones. Es un tema conocido en el ámbito de la seguridad,
pero que poco se habla en las organizaciones sobre su prevención.
La educación y capacitación, continua y dinámica, es el método más eficiente para prevenir
los ataques de IS (Ingeniería Social).