Estrategias de ingeniería social a partir del análisis de datos residuales en la ciudad de Tunja
DOI:
https://doi.org/10.38017/2390058X.73Palabras clave:
seguridad informática, basurología, telemática, ingeniería de sistemas, ciberseguridad.Resumen
La Ingeniería Social está enfocada al engaño y persuasión que pueda llevarse a través de la tecnología o psicología, con el fin de obtener información privilegiada; esta también es utilizada mediante contactos indirectos con la víctima. El Dumpster Diving o Trashing es uno de estos tipos de ataques de Ingeniería Social en el que se obtiene información privada (correos electrónicos, contraseñas, números de teléfono, números de cuentas bancarias, números de cedula, etcétera) por medio de acercamientos indirectos con la víctima (revisando su basura). El problema planteado en la presente investigación radica en la falta de conocimiento y control preventivo/correctivo sobre el manejo de los datos residuales (información) expuestos en la basura generada por las distintas empresas, organizaciones y entidades de la ciudad de Tunja, ya que esto puede propiciar un ataque informático basado en información sensible o privada, obtenida mediante “Trashing”. Teniendo en cuenta que lo señalado como ‘basura’ contiene información correcta o falsa, en esta investigación deseamos analizar y demostrar que esta técnica (“Trashing”) es un resultante de transmisión de información importante para cualquier entidad; en efecto, las empresas no son sensatas del riesgo que parten ante este tipo de descuidos. Por ello, la necesidad de diagnosticar medidas de seguridad, capacitación y formación de los empleados en este sentido, así como la creación de protocolos de eliminación de datos, ya sea desde el ámbito de las nuevas tecnologías, o desde los métodos convencionales (destructoras de papel o contratar servicios externos), así como incluir estas opciones delictivas en las auditorías internas.Biografía del autor/a
Cristian Fabián Cusaria Barón, Fundación Universitaria Juan de Castellanos
Andrea Liliana Liliana Fagua Fagua, Fundación Universitaria Juan de Castellanos
Referencias bibliográficas
[1] R. Shimonski and J. Zenir, “Chapter 3 – Social Engineering”, in Cyber Reconnaissance, Surveillance and Defense Ingeniería social, Vol. 1, USA: Edit. Allison Bishop. pp. 85-112. [Online]. Available: http://www.sciencedirect.com/science/article/pii/B9780128034057000060
[2] L. Romero, “Tema: Nada es lo que parece: en materia de seguridad, la prevención es indispensable”, Underc0de, ítem N° 5-9, p. 1, Seguridad Informática y Seguridad de la Información, 2013 [Online], Available: https://underc0de.org/foro/seguridad/na-da-es-lo-que-parece-en-materia-de-seguri-dad-la-prevencion-es-indispensable/ Accessed on: 06, Agosto, 2016.
[3] C. Hadnagy, Ingeniería Social el Arte del Hacking Personal, USA, Multimedia-Anaya Interactiva, 2011, pp. 39-41.
[4] Anonimo. Definición ‘Social’, in Diccionar- io Web, USA: Dictionary W, 2014, pp. 3900 [Online], Available: http://webstersdictio nary1828.com/Dictionary/social.
[5] Logo BSC Consultores, “La Ingeniería Social: El Arte del Engaño”, BSC, Septiembre, 2011. [Online] Available: http://www.bsc-consultores.cl/descargas/B.1%20La%20Ingeniera%20Social.pdf Accessed on: 07, Agosto, 2016.
[6] F. Moutona, L. Leenena and H.S. Venterb, “Social engineering attack examples, templates and scenarios”, in Computers & Security, Vol. 59, Pretoria, South Africa, Elseiver: 2016, pp. 186-209. [Online]. Available: http://www.sciencedirect.com/science/article/pii/S0167404816300268.
[7] Mr Ian Man, “Social Engineering”, in Hack- ing the Human, Vol. 1, England: Gower Publishing Limited, 2008. pp. 01-252. [Online]. Available: https://books.google.com.co/books?id=U1IihJpdrGwC&print-sec=frontcover&dq=social+enginee-ring&hl=es-419&sa=X&ved=0ahUKEwiu-2JrD4cbPAhVKWx4KHRjDAnkQ6AEIL-jAC#v=onepage&q=social%20engineer-ing&f=false.
[8] E. J. Sandoval Castellanos, “Defensa Digital e Ingeniería Social: Corrompiendo la mente humana”, Revista Seguridad, Tomo 1, no. 10, pp. 23-25. May, 2011. [Online]. Available: http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-corrompiendo-la-men-te-humana Accessed on: 08, Agosto, 2016.
[9] Anónimo. “Delito de trashing, búsqueda de información confidencial en la basura”, Delitos Informaticos, Abr., 2014. [Online] Available: http://www.delitosinformaticos.com/04/2014/noticias/delito-de-trashing-busqueda-de-in-formacion-confidencial-en-la-basura Accessed on: 09, Agosto, 2016.
[10] Anónimo, Kaspersky about. Disponible en: http://www.kaspersky.com/about/security_experts Security Experts
[11] Experts Security Kaspersky, “2014 desde la perspectiva viral en cifras en América Latina: predicciones para 2015”, GReAT (Global Research and AnalysisTeam) Latinoamérica. Dic., 2014. [Online]. Available: http://www.kaspersky.co.in/about/security_experts Accessed on: Agosto, 02, 2016.
[12] Anónimo. “Penalizan Espionaje Informático”, Casa editorial El Tiempo, Jun., 2002. [Online]. Available: http://www.eltiempo.com/archivo/documento/MAM-1355295 Accessed on: Agosto, 16, 2016.
[13] F. Assolini, Robo a bancos y cajeros automáti- cos al estilo APT: las nuevas amenazas Financieras en AL, presented at Cumbre Latinoamericana de Analistas de Seguridad NOI. [Online]. Available: http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/cum-bre-latinoamericana-de-analistas-de-seguri-dad
[14] É. Medina, “Ingeniería social, la razón del éxito de los ladrones digitales”, Redacción Tecnósfera. Jul., 2015. [Online]. Available: http://www.eltiempo.com/tecnosfera/novedades-tecnologia/de-que-se-trata-la-ingenie-ria-social/16020156 Accessedon: 02, Agosto, 2016.
[15] A. Arbelaez, “Ingeniería Social: El Hackeo Silencioso”. Mar., 2013. [Online]. Available: http://www.enter.co/guias/tecnoguias-pa-ra-empresas/ingenieria-social-el-hackeo-si-lencioso/ Accessed on: 01, Agosto, 2016.
[16] M. G. Kelman, Trashing, Critical Legal Studies Symposium. Stanford. USA. Stanford Law Review. 1984. pp. 293-348. Page Count: 56. [Online]. Available: http://www.jstor.org/stable/1228685
[17] Redacción Revista el Pais, “El factor humano es la mayor amenaza para la seguridad informática de los bancos”, Elpais.es, no. 12, p. 16, Jun., 2005. [Online]. Available: http://tecnologia.elpais.com/tecnologia/2005/06/23/actualidad/1119515280_850215.html Accessed on: 16, Agosto, 2016.
[18] Sala de Redacción Caracol Radio, “Ingeniería Social: el Hackeo humano”. Caracol Radio. Ago., 2011. [Online] Available: http://caracol.com.co/radio/2011/08/26/tecnologia/1314366240_538059.html Accessed on: 06, Agosto, 2016.
[19] G. Watson, “Chapter 11 – The Physical Attack Vector”, in Social Engineering Penetration Testing, Utah, USA: RandomStorm Limited, 2014, pp. 255-270. [Online]. Available: http://www.sciencedirect.com/science/article/pii/B9780124201248000119.
[20] J. Long and S. Pinzon, CISSP, Technical Editor, Jack Wiles, Kevin D. Mitnick, “Chapter 1 – Dumpster Diving”, in No Tech Hacking, USA: CISSP, 2008, pp. 1-12. [Online]. Avail- able: http://www.sciencedirect.com/science/article/pii/B9781597492157000019.
[21] S. L. Arregoitia López, “Posibles sujetos de los delitos informáticos”. Informática Jurídica, no. 12, pp. 01-015, Ene., 2014. [Online]. Available: http://www.informatica-juridica.com/trabajos/posibles-sujetos-de-los-delitos-informaticos/ Accessed on: 02, Agosto, 2016.
[22] H.J. Van Peenen, “Surviving by dumpster Diving”, The American Journal of Medicine, Vol. 101, pp. 118-119, Nov., 2010. [Online]. Available: http://www.sciencedirect.com/sci-ence/article/pii/S0002934397894235.
[23] Congreso de la República de Colombia, Ley de Delitos Informáticos en Colombia. In Ley 1273 del 2009. Bogotá, Colombia: 2009, Artículos 001- 004, Diario Oficial 47.223. [Online]. Available: http://www.alcaldiabogo-ta.gov.co/sisjur/normas/Norma1.jsp?i=34492.
[24] M. Reguant i Fosas, “Nuevas tecnologías: ética y confidencialidad de datos”, in FMC - Formación Médica Continuada en Atención Primaria, Barcelona. España: ElSeiver, 2013, Vol. 20, pp 458–463. [Online]. Available: http://www.sciencedirect.com/science/article/pii/S1134207213706297.
[25] D. Littlejohn Shinder, Prevención y Detección De Delitos Informáticos, 1 ed. USA: Anaya Multimedia, 2003, p. 829.
[26] Parlamento Americano. “Legislación Delitos Informáticos”, in Código Penal USA. NY, USA, 2012. [Online]. Available: http://catherinpacheco01.blogspot.com.co/2014/11/legis-lacion-informatica-de-estado-unidos.html.
[27] K. Mitnick and S. Wozniak. The Art of Deception. 1 ed. Ciudad, USA: Editorial John Wiley & Sons, 2003. 368 p.
[28] J. Scott Giboneya, J. Gainer Proudfootb, Sanjay Goela and J. S. Valacichc, “The Security Expertise Assessment Measure (SEAM): Developing a scale for hacker expertise”, Computers & Security, Vol. 60, NY 12222, USA: CrossMark, 2016, pp. 37-51. [Online]. Avail- able: http://www.sciencedirect.com/science/article/pii/S0167404816300323.
[29] F. G. Pacheco y H. Jara, “Hackers al descubierto, entienda sus vulnerabilidades evite que lo sorprendan”. in Users Manuales, p. 24. [Online] Available: https://books.google.com.co/books?id=q8j4UCoBQlkC&pg=PA24&dq=Fase+1:+Footprinting+(Reconocimiento)&hl=es419&sa=X&ved=0ahUKEwi7w4mf0LzOAhWEOSYKHchbBOgQ6AEIGjAA#v=onepage&q=Fase%201%3A%20Footprinting%20(Reconocimiento)&f=false
[30] Olmus Redacción, “Buscando en la basura... Trashing”, Nas/servicios/net, Vol. 1, Oct., 2015. [Online]. Available: http://www.olmus.es/?p=1585 Accessed on: 16, Agosto, 2016.
[31] V. Thomas, “Chapter 7 – Social Engineering”, in Building an Information Security Awareness Program, VA, USA: Securicon, Lorton, 2014, pp 45-63. [Online]. Available: http://www.sciencedirect.com/science/article/pii/ B9780124199675000077.
[32] DragonJAR, L. C, “Conceptos y Definiciones Básicas”, DragonJAR Actualidad, Vol. 1, Abr., 2013. [Online]. Available: http://www.dragonjar.org/conceptos-y-definiciones-basicas-relacionadas-con-la-certificacion-ceh-iv.xhtml. Accessed on: 20, Agosto, 2016.
[33] D. Kampitaki, Simulation Study of MANET Routing Protocols Under FTP Traffic. 1 ed. Vol. 17, Macedonia, Greece: Anastasios A. Economides, 2014, Anastasios A. Economides. [Online]. Available: http://www.sciencedirect.com/science/article/pii/S2212017314004691
[34] R. Cameron and N. R. Wyler, “Chapter 9 Web/File/Telnet/SSH”, in Juniper® Networks Secure Access SSL VPN Configuration Guide. Salt Lake City, Utah, USA: Juniper, 2007, pp 335-399. [Online]. Available: http://www.sciencedirect.com/science/article/pii/B9781597492003000094.
[35] PandaLabs. “Qué es un Troyano”, Panda Me- diacenter, Dic., 2013. [Online]. Available: http://www.pandasecurity.com/spain/mediacenter/consejos/que-es-un-troyano/Accessed on: 05, Agosto, 2016.
[36] Naciones Unidas, Embajada Británica Bogotá, Riesgo de Lavado de Activos en Instrumentos Financieros UNODC. Presented at Programa de Asistencia Legal para América Latina y el Caribe LAPLAC. [Online]. Available: https://www.unodc.org/documents/colombia/2013/diciembre/Riesgo_de_Lavado_de_activos_version_I.pdf.
[37] C. Bettischmid, “Cuidado con la suplantación de su identidad en Redes Sociales”, Edicion El Colombiano, Jun., 2013. [Online]. Available: http://www.elcolombiano.com/historico/cuidado_con_la_suplantacion_de_su_identi-dad_en_redes_sociales-GBEC_248493 Accessed on: 05, Agosto, 2016.
[38] Redacción el tiempo, “Espías Rondan las Empresas”, El Tiempo, Vol. 2, no. 9, Sep., 2013. [Online]. Available: http://www.eltiempo.com/archivo/documento/MAM-1002471. Accessed on: 09, Agosto, 2016.
[39] L. Vanegas Loor y J. Murillo Rosado, “Auditoria de sistemas de información”, in Auditoria de Sistemas: Estandar Cobit 4.1, USA, Dreams Magnet: 2014, pp, 92 [On line]. Available: https://books.google.com.co/books?id=GJZirgEACAAJ&dq=auditoria+de+sistemas+2014&hl=es-419&sa=X-&ved=0ahUKEwiJkbTd1cbPAhUEKx4KHZ-vMA-UQ6AEIIzAA.
[40] Sala de Redacción revista Semana, “Espías S.A.” Revista Semana. Oct., 2010. [Online]. Available: http://www.semana.com/economia/articulo/espiassa/43741-3. Accessed on: 16, Agosto, 2016.
[41] H. Herrera. “El eslabón más débil de la cadena: factor humano”, Activos TI. Agos., 2014. [Online]. Available: http://www.activosti.com/el-eslabon-mas-debil-de-la-cadena-fac-tor-humano/ Accessed on: 10, Agosto, 2016.
[42] Anónimo, “¿Qué es el trashing?”, Confirma Sistemas (Canal Basics). Abril, 2014. [On line]. Available: http://www.confirmasistemas.es/es/contenidos/canalbasics/que-es-eltrashing. Accessed on: 10, Agosto, 2016.
[43] Estándar Internacional ISO. ISO 27000. Barcelona, España: Iso ORG, 2006 Seguridad de la Información. [Online]. Available: http://www.iso27000.es/
[44] K. Krombholz, H. Hobel, M. Huber y E. Weippl, “¿Qué es la ingeniería social? En qué consiste y cómo evitar”, Journal of Information Security and Applications, Vol. 22, pp. 113-122, 2015. [Online]. Available: http://www.sciencedirect.com/science/article/pii/S2214212614001343
[45] Redacción Normadat, “Cómo hacer destrucción segura de documentos y cumplir la LOPD”. Normadat, Julio, 2015. [Online]. Available: http://www.normadat.es/noticias/3-como-hacer-destruccion-segura-de-documentos-y-cumplir-la-lopd Accessed on: 10, Agosto, 2016.
[46] G. Mckeon, “Identity Theft and Fraud”, Ezinearticles, Sept., 2010. [Online]. Available: http://ezinearticles.com/?Identity-Theft-and-Fraud&id=5016429 Robo de Identidad y Accessed on: 10, Agosto, 2016.
[47] K. Mitnick and D. S. William L, Ghost in The Wires: My Adventures as the World’s Most Wanted Hacker. USA. Little, Brown, 2014, pp. 301 p. [Online]. Available: https://books.google.com.co/books?op=lookup&id=lVXcoQEACAAJ&continue=https://books.google.com.co/books/about/Ghost_in_the_Wires.html%3Fid%3DlVXcoQEACAAJ%26source%3Dkp_cover%26redir_es-c%3Dy%26hl%3Des-419
[48] Trituradoras mecánicas y digitales. Available:http://es.aliexpress.com/w/whole-sale-manual-paper-shredder.html
[49] B. Wimmer, Business Espionage, 5 ed. USA: Risk, Threats, and Countermeasures, 2015, pp. 59-73. [Online]. Available:http://www.sciencedirect.com/science/article/pii/B978012420054800005X.
[50] Anonimo. “¿Cómo crear contraseñas seguras?”, Eduteca, Vol. 2, pp. 01-10, Jul., 2013. [Online]. Available: http://www.seguridad.unam.mx/usuariocasero/eduteca/main.dsc?id=185. Accessed on: 01, Septiembre, 2016.
Cómo citar
Descargas
Descargas
Publicado
Número
Sección
Licencia
Derechos de autor 2017 Ciencia, Innovación y Tecnología
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.
