ABSTRACT
In the field of computer security, social engineering is the practice of obtaining confidential information by manipulating legitimate users. It is a technique that can use certain people, such as private investigators, criminals, or criminals computer to obtain information, access or privileges in information systems that allow them to do any act that harms or expose the person or organization at risk or abuses committed.
RESUMEN
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos..
1. INTRODUCCIÓN
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Como podemos ver la ingeniería social es básicamente los medios que tiene una persona malintencionada para conseguir contraseñas o información de una compañía o persona natural, la ingeniería social se encuentra en uno de los eslabones de la seguridad más débiles ya que como todos los sistemas de información encontramos la manipulación de operadores humanos y esto nos lleva a que la debilidad de la seguridad es universal.
2. LOS MÉTODOS
El primero y más obvio es simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabe lo que usted quiere que ellos hagan exactamente.
El primero y más obvio es simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabe lo que usted quiere que ellos hagan exactamente.
El segundo método es ejecutado indirectamente en una situación previamente ideada donde el individuo es simplemente una parte de la misma. El mismo puede ser persuadido porque cree en las razones suministradas. Esto involucra mucho más trabajo para la persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra obteniendo un conocimiento extenso del ' objetivo'. Esto no significa que las situaciones no tienen que ser basadas en hecho real. Cuando menos falsedades, mayor la factibilidad de que el individuo en cuestión juegue el papel que le fue designado.
3. LAS SITUACIONES.
La ingeniería social tiene como principal objetivo recolectar hábitos de los usuarios para poder establecer tipos de ataques.
De igual manera sabemos que en muchas empresas el factor humano y las edades son factores primordiales para estos tipos de ataques junto con la mala educación de parte del personal de informática.
La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una casilla que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Anita desnuda", etc
La voz agradable de un hombre o mujer, que pertenece al soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, que nos requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.
El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda.
