Ingeniería social en la universidad con repaso a las principales técnicas, charla de Javier Caballero

Ingeniería social en la universidad, breve repaso a las principales técnicas

Ciberseguridad / / Deja un comentario

Cuando el factor humano es clave en materia de ciberseguridad, la ingeniería social despliega todo su esplendor, todas las técnicas para lograr el objetivo marcado que por desgracia en estos términos suele ser el engaño para conseguir dinero, información, poder…

Como la ingeniería social existe desde prácticamente el origen de los tiempos, hoy en día se aplica con maestría en el ámbito tecnológico donde este arte ha encontrado un buen caldo de cultivo para lograr manipular al usuario con todo tipo de técnicas.

Es algo que se trató en Palabra de hacker en el ciberdebate ‘Ingeniería social: el arte de atacar al eslabón más débil‘ y en el dedicado a ‘Fraudes online. Cómo identificarlos y evitarlos‘ así como en numerosas charlas: ‘Prevención de ataques de ingeniería social‘, ‘Ingeniería social: repaso a la evolución del phishing avanzado‘, ‘La curiosa historia del spam. Cómo protegerse del phishing‘, ‘Voy a cruzar la línea… haciendo uso del hacking y la ingeniería social‘ o ‘PaaS: Phishing as a service, un repaso a técnicas de phishing avanzado‘.

En las jornadas de ciberseguridad BitUp celebradas en Alicante, Javier Caballero realizó una breve introducción a diversas técnicas de ingeniería social que se pueden aplicar en la universidad y que pueden ir desde ‘llorar a los profesores a realizar un phishing en toda regla‘ sabiendo que esto último y un gran abanico de posibilidades intermedias, no dejan de ser un delito. Así que en el plano teórico están muy bien pero ir más allá tiene sus consecuencias y eso siempre conviene resaltarlo y recordarlo. La charla está disponible a continuación tanto en vídeo como en podcast.

Javier Caballero es estudiante de Ingeniería informática, especialista en el desarrollo de aplicaciones multiplataforma y web y trabaja como asesor comercial de soluciones tecnológicas para empresas.

¿Qué técnicas de ingeniería social son las más utilizadas?

Javier inicia su charla recordando algunos de hackers españoles que empezaron a emplear con éxito técnicas de ingeniería social en los años 80 y 90 y que aparecen recogidos en el libro de Mercè Molins ‘Hackstory. La historia nunca contada del underground hacker en la Península Ibérica‘, un libro recomendable que está disponible para su descarga gratuita en diversos formatos.

Entre los hackers que menciona en la charla, destaca Lester the teacher que escribió el libro ‘Ingeniería social 1.0‘ en el que incluye varias anécdotas y técnicas de ingeniería social empleadas en la época.

En cuanto a los tipos de ingeniería social que más se utilizan en la actualidad, en la charla se mencionan cuatro técnicas en particular:

  • Roleplay. Consiste en hacerte pasar por otra persona como por ejemplo un directivo o trabajador de una empresa, para alcanzar el objetivo.
  • Dumpster diving. Lo que viene siendo buscar en la basura de manera física con el fin de obtener información. Hay que tener muy presente que la mayoría de los usuarios no le presta atención a lo que lanza al cubo de la basura entre otras cosas documentación, correo postal, embalajes con todos los datos… y eso puede ser oro para los rastreadores de información que planean un ataque de ingeniería social.
  • Baiting. Por mucho que se insista en los peligros de andar conectando pendrives desconocidos en los dispositivos esta técnica de ‘salir de pesca’ sigue siendo efectiva y es que son pocos los usuarios que se resisten a revisar/curiosear un usb que se han podido encontrar en la calle, perdido en la oficina, en un aparcamiento… y claro ese usb puede resultar un huevo de pascua con sorpresa.
  • Phishing. La técnica de ingeniería social por excelencia que generalmente llega a través del llamado correo spam pero no solo el email, también las redes sociales y los servicios de mensajería instantánea son el caldo de cultivo ideal para mediante enlaces maliciosos tratar de hacerse con las credenciales de acceso a un servicio web, al banco, a redes sociales o lo que sea.

En la charla se recomienda la película ‘Underc0de‘ que cuenta la historia de Kevin Mitnick un reconocido hacker y en la que se muestran muchas técnicas de ingeniería social. Esta parte de su charla por contener imágenes protegidas por derecho de autor no se refleja y quedó solo para los asistentes presenciales al evento, una de las ventajas de asistir de manera presencial a este tipo de eventos relacionados con la ciberseguridad 😉

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.