Última actualización: septiembre 21, 2022
14.2.8 Práctica de laboratorio: Ingeniería social (versión para el instructor)
Objetivos
Investigar e identificar ataques de ingeniería social
Aspectos básicos / Escenario
Los ataques de ingeniería social tienen como objetivo lograr que una víctima introduzca información personal o confidencial; este tipo de ataque puede ser realizado por un delincuente que está utilizando un capturador de teclas, correos electrónicos de phishing o un método físico. En esta práctica de laboratorio tendrán que investigar la ingeniería social e identificar formas de reconocerla e impedirla.
Recursos necesarios
- Computadora personal o dispositivo móvil con acceso a internet
Instrucciones
Utilizando un navegador web, encontrar el artículo «Methods for Understanding and Reducing Social Engineering Attacks» en el sitio web del Instituto SANS. Un motor de búsqueda debe encontrar fácilmente el artículo.
El Instituto SANS es una organización cooperativa de investigación y educación que ofrece capacitación en seguridad de la información y certificación en seguridad. La Sala de lectura SANS tiene muchos artículos que son relevantes para la práctica de análisis de ciberseguridad. Podemos unirnos a la comunidad SANS creando una cuenta de usuario gratuita para acceder a los artículos más recientes, o bien puede acceder a los artículos más antiguos sin una cuenta de usuario.
Lea el artículo o escoja otro artículo sobre ingeniería social, léalo y responda las siguientes preguntas:
a. ¿Cuáles son tres métodos que se utilizan en la ingeniería social para obtener acceso a la información?
- Phishing: Proceso por el cual una persona es contactada por email o por teléfono por alguien que simula ser una institución legítima para obtener datos privados, tales como datos bancarios, contraseñas, datos personales etc.
- Spear Phishing: Es otra de las variantes que consiste en que el estafador realiza un trabajo previo, donde averigua datos de personas o entidades que le aportan confianza a la futura víctima, como un compañero de trabajo
- Baiting: Consiste en dejar dispositivos de almacenamiento extraíble (CD, DVD, USB) infectados con algún software infectado en algún lugar a la vista (por ejemplo, baños públicos, ascensores, aceras, etc.)
b. ¿Cuáles son tres ejemplos de ataques de ingeniería social de los primeros dos métodos del Paso 2a?
- Enviando un falso correo
- productos falsos entregan cebo.
- información sensible humana dando acceso electrónico
c. ¿Por qué las redes sociales son una amenaza de ingeniería social?
Generalmente la gente esta acostumbrada a dar información personal junto con intereses ya sea nombres, apellidos, ciudad de origen, etc. Y muchas veces pueden ponerse a través de estas una gran cantidad de información personal
d. ¿Qué puede hacer una organización para defenderse de ataques de ingeniería social?
No recibir mensajes desconocidos, correos no deseados sería una defensa muy eficaz
e. ¿Qué es el SANS Institute, quién es el autor de este artículo?
El SANS Institute es una institución capacitada en seguridad de la información y autorizada para las certificaciones de ciberseguridad