ESCUELA SUPERIOR POLITCNICA DEL LITORAL

MATERIA

FUND. SEGURIDAD DE REDES: ROUTERS

TEMA

PHISHING E INGENIERIA SOCIAL

PROFESORING. ALBERT ESPINAL SANTANA

ESTUDIANTE

ELVIS FLORES GOMEZ

Ingeniera Social

El trmino "ingeniera social" hace

referencia al arte de manipular personas

para eludir los sistemas de seguridad.

La ingeniera social puede llevarse a cabo a

travs de una serie de medios:

Por telfono,

Por correo electrnico,

Por correo tradicional,

Por mensajera instantnea,

etc.

Cmo puede protegerse?

La mejor manera de protegerse contra las tcnicas

de ingeniera social es utilizando el sentido comn y

no divulgando informacin que podra poner en

peligro la seguridad de la compaa. Sin importar el

tipo de informacin solicitada, se aconseja que:

En primer lugar, usar soluciones de seguridad como antivirus, que prevendrn infecciones mediantes exploits o cdigos maliciosos, entre otros.

No aceptar en redes sociales a gente desconocida.

Ser cuidadosos con los correos electrnicos recibidos de remitentes desconocidos: pueden robar informacin y estar infectado con archivos maliciosos adjuntos.

Descargar aplicaciones de su fuente original. Esto evitar las infecciones en el equipo.

En conexiones libres como en bares, cafs y lugares pblicos, es bueno tener en cuenta no usar servicios que requieran informacin sensible como usuario y contrasea. Algo que podra ayudarte si necesitaras estos servicios, es el uso de VPN, que enviar todas las comunicaciones cifradas.

La siempre mencionada poltica de crear contraseas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseas; informacin que es almacenada en un archivo cifrado.

En sitios web que requieran informacin de usuario y contrasea, chequear que utilizan https en lugar de http.

Qu es el Phishing?

El "phishing" es una modalidad de estafa

con el objetivo de intentar obtener de un

usuario sus datos, claves, cuentas

bancarias, nmeros de tarjeta de crdito,

identidades, etc. Resumiendo "todos los

datos posibles" para luego ser usados de

forma fraudulenta.

En que consiste?

Se puede resumir de forma fcil, engaando al posibleestafado, "suplantando la imagen de una empresa o entidadpublica", de esta manera hacen "creer" a la posible vctima querealmente los datos solicitados proceden del sitio "Oficial"cuando en realidad no lo es.

Cmo lo realizan?

El phishing puede producirse de varias formas, desde un simple mensaje asu telfono mvil, una llamada telefnica, una web que simula una entidad,una ventana emergente, y la ms usada y conocida por los internautas, larecepcin de un correo electrnico. Pueden existir mas formatos pero enestos momentos solo mencionamos los ms comunes;

- SMS (mensaje corto); La recepcin de un mensaje donde le solicitan susdatos personales.

- Llamada telefnica; Pueden recibir una llamada telefnica en la que elemisor suplanta a una entidad privada o pblica para que usted le facilitedatos privados, como su cuenta corriente, que luego utilizan para hacerlescargos monetarios.

- Pgina web o ventana emergente; es muy clsica y bastante usada. Enella se simula suplantando visualmente la imagen de una entidad oficial ,empresas, etc pareciendo ser las oficiales. El objeto principal es que elusuario facilite sus datos privados. La ms empleada es la "imitacin" depginas web de bancos, siendo el parecido casi idntico pero no oficial.Tampoco olvidamos sitios web falsos con seuelos llamativos, en los cualesse ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos.

- Correo electrnico, el ms usado y ms conocido por losinternautas. El procedimiento es la recepcin de un correoelectrnico donde SIMULAN a la entidad o organismo quequieren suplantar para obtener datos del usuario novel. Losdatos son solicitados supuestamente por motivos deseguridad, mantenimiento de la entidad, mejorar su servicio,encuestas, confirmacin de su identidad o cualquier excusa,para que usted facilite cualquier dato.

- El correo puede contener formularios, enlaces falsos, textosoriginales, imgenes oficiales, etc., todo para quevisualmente sea idntica al sitio web original.

- Tambin aprovechan vulnerabilidades de navegadores ygestores de correos, todo con el nico objetivo de que elusuario introduzca su informacin personal y sin saberlo loenva directamente al estafador, para que luego puedautilizarlos de forma fraudulenta: robo de su dinero, realizarcompras, etc.

Qu tipo de informacin roba? y Cmo se

distribuye?

Circuito de un ataque de phishing

Cuanto podra a llegar a ganar un atacante?

Cmo protegerme?

Para protegernos es bsico tener un programa antivirus instalado y actualizado con filtro anti-spam. Cualquiera de las soluciones de Panda Security mantendr limpia de phishing su bandeja de entrada.

Verifique la fuente de informacin. No conteste automticamente a ningn correo que solicite informacin personal o financiera.

Escriba la direccin en su navegador de Internet en lugar de hacer clic en el enlace proporcionado en el correo electrnico.

Compruebe que la pgina web en la que ha entrado es una direccin segura. Para ello, ha de empezar con https:// y un pequeo candado cerrado debe aparecer en la barra de estado de nuestro navegador.

Revise peridicamente sus cuentas para detectar transferencias o transacciones irregulares.

No olvide que las entidades bancarias no solicitan informacin confidencial a travs de canales no seguros, como el correo electrnico.

Haga un anlisis de su equipo y compruebe si est libre de phishing.

Nunca le entregue sus datos por correo electrnico. Las empresas y bancos jams le solicitaran sus datos financieros o de sus tarjetas de crdito por correo.