Ataques Comunes de Ingeniería Social utilizados en Pruebas de Penetración

Existen algunos tipos de ataques de ingeniería social comúnmente utilizados en las pruebas de penetración. Es importante tener en mente, todos estos ataques no funcionan siempre, o son funcionales sobre algunos objetivos de evaluación, pues cada entorno es diferente. De hecho, las condiciones requeridas para cualquier ataque exitoso frecuentemente sólo necesitan ser las correctas, pues lo no exitoso ahora, podría muy bien funcionar mañana, y viceversa.

Los siguientes ejemplos mencionan algunos de los ataques exitosos frecuentemente repetidos. Estos ataques son parte de pruebas de penetración de gran magnitud.

El buen samaritano

El objetivo de este ataque es ganar acceso remoto hacia una computadora sobre la red de la compañía. Este ataque combina técnicas de ingeniería social con herramientas de hacking tradicional. La premisa básica es una unidad USB especialmente preparada esté tal vez frente al escritorio de un empleado, o en un lugar más público como el área de recepción de la compañía.

La reunión

El objetivo de este ataque es colocar un punto de acceso inalámbrico no autorizado sobre la red corporativa. Este ataque requiere un contacto cara a cara con el objetivo. Un pretexto para una reunión es requerida. La premisa básica es obtener algún tipo de acceso físico a una sala de conferencias por ejemplo; con el pretexto de hacer una llamada telefónica privada y proceder a instalar el punto de acceso inalámbrico.

Unirse a la empresa

En este ataque, se utilizan medios sociales para atraer a los empleados de la empresa objetivo para unirse a grupos en las redes sociales. El objetivo de este ataque es aprender lo suficiente sobre los empleados de la empresa objetivo para exitosamente suplantarlos, y así ganar acceso físico. La premisa básica es crear un perfil falso clamando trabajar en la misma compañía, para luego enviar invitaciones a cada potencial victima quien trabaje en el objetivo de evaluación.

Fuentes:

https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)
https://www.tripwire.com/state-of-security/security-awareness/5-social-e...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1