Servicios de Seguridad

Evaluación de Ingeniería Social

Los humanos son el eslabón más débil de la cadena de seguridad. Se enfrentan diariamente a amenazas que van desde correos electrónicos de phishing hasta llamadas de ingeniería social y, muy a menudo, tienen poco o ningún conocimiento que les ayude a identificar el peligro.

Independientemente de los controles de seguridad técnica y física que haya implementado, la seguridad de su infraestructura y de su red depende de la capacidad de sus empleados, contratistas o proveedores para reconocer dichos ataques y no caer en tales trampas.

Los hackers conocen estos hechos alarmantes, por lo que los humanos son su primer objetivo. Los ciberdelincuentes utilizan sofisticadas técnicas de ingeniería social para persuadir y manipular a las personas para que accedan a sus redes internas y a información confidencial.

Evaluar la preparación de sus empleados para identificar y resistir ataques de Ingeniería Social debe ser una parte clave del programa de seguridad de su organización.

Evaluación de Ingeniería Social

Nuestros servicios cuentan con profesionales de seguridad altamente calificados y pentesters con amplia experiencia, tanto en defensa como en ataque, para crear escenarios realistas de phishing. El objetivo de nuestro servicio no es sólo evaluar la preparación de sus empleados para soportar los ataques de phishing más comunes, sino también, y lo que es más importante, los ataques de phishing dirigido que tienen un alto impacto en su organización. wizlynx group presenta Phishlynx, una solución desarrollada internamente para ayudarnos durante las Evaluaciones de Ingeniería Social.

Nuestros Servicios de Evaluación de Ingeniería Social

Email Phishing con Replicación de Sitios Web

Consiste en enviar un correo electrónico de phishing con el intento de engañar a los usuarios para que proporcionen información delicada, como el nombre de usuario y la contraseña en un sitio web duplicado que se ve muy similar al sitio web real.

Email Phishing con Archivos Adjuntos

Consiste en enviar un correo electrónico de phishing con el intento de engañar a los usuarios a abrir un archivo adjunto (por ejemplo, un archivo XLS) y habilitar la macro VB.

Email Phishing con Hipervínculos

Consiste en enviar un correo electrónico de phishing con el intento de engañar a sus usuarios para que hagan clic en un enlace.

Email Phishing con Descarga de Archivos

Consiste en enviar un correo electrónico de phishing con el intento de engañar a los usuarios para que descarguen archivos potencialmente maliciosos de un archivo adjunto (por ejemplo, un archivo XLS) y habilitar la macro VB.

USB Drop

Consiste en dejar memorias USB en lugares estratégicos, como salas de reuniones, baños, estacionamientos, etc., en un intento de engañar a los usuarios para que conecten la unidad USB y abran archivos potencialmente maliciosos.

Phishing a través Llamadas Telefónicas (Vishing)

Consiste en el uso de técnicas de ingeniería social por teléfono para engañar a los usuarios a fin de que proporcionen información confidencial como nombre de usuario, contraseña, acceso al ordenador de la víctima, etc.

Suplantación de Personal y Seguridad Física

Consiste en varios intentos de obtener acceso a ubicaciones específicas, acceso físico no autorizado a la red, señuelos, seguimiento, revisión en basureros, USB Drop, etc.

Nuestra Metodología de Ingeniería Social

La evaluación de ingeniería social de wizlynx group generalmente se ejecuta en tres fases:
Reconocimiento y Planificación
  • Análisis de amenazas y definición de objetivos de auditoría
  • Reconocimiento de objetivos
  • Creación de los escenarios y el plan de ejecucion
  • Preparación de la plataforma de ataque
Ejecución
  • Ataques de phishing por correo electrónico
  • Ataques a traves de llamadas telefonicas (Vishing)
  • USB key drop attack
  • Evaluación e interpretación
Reporte
  • Evaluación general y documentación de resultados, incluidas estadísticas detalladas
  • Evaluacion de Riesgos
  • Preparación del reporte y recomendaciones
  • Presentacion del reporte

Reconocimiento y Planificación

Las siguientes tareas se llevarán a cabo durante las fases de reconocimiento y planificación:

  • Compilación de los scripts de ataque, planificación detallada y revisión del método de ataque
  • Selección de información y tipo de acceso a ser adquirido (por ejemplo, identificación de empleado, inicio de sesión / contraseña, acceso al sistema de recursos humanos, etc.)
  • Definición de alcance, objetivo, tareas a ejecutar/no ejecutar
  • Selección de los empleados del cliente que serán los objetivos
  • Reconocimiento de información sobre la organización, personas, chismes, debilidades, problemas internos, perfil de víctimas, etc.
  • Preparación de la plataforma y las herramientas de ataque (por ejemplo, registro de dominios, creación de sitios web duplicados, seguimiento de scripts para generar estadísticas, archivos adjuntos, malwares falsos, etc.)

Ejecución

Esta fase central consiste en la ejecución efectiva de la prueba que definió y acordó.

Si wizlynx group descubre brechas y debilidades graves, el cliente será informado de inmediato para que cualquier medida de emergencia pueda implementarse de manera segura y oportuna.

Resultados de Análisis y Reporte

Las siguientes tareas se ejecutarán en esta fase:

  • Evaluación general y documentación de los resultados que incluyen a todos los empleados que divulgaron información sensible y otorgaron acceso
  • Revisión y control de calidad
  • Preparación del reporte con evaluación y recomendaciones

Se interpretarán, evaluarán y juzgarán las debilidades y los riesgos significativos para la seguridad de la información (el "factor humano").

Todas las conclusiones se documentarán en el informe final y se compararán con un perfil de puntos fuertes y débiles en relación con la norma internacional de seguridad informática ISO 27001. Las debilidades identificadas serán evaluadas y complementadas con recomendaciones y acciones de remediación, así como priorizadas de acuerdo al riesgo asociado. El informe final será discutido durante una presentación con el cliente. El informe incluirá un resumen completo y significativo a nivel ejecutivo de la Evaluación de Ingeniería Social ejecutada. También incluirá todos los resultados detallados con sus respectivas pruebas y recomendaciones para futuras medidas de seguridad basadas en los resultados.

Nuestras Certificaciones de Ciberseguridad

Los consultores de seguridad y evaluadores de penetración de wizlynx group tienen las certificaciones más reconocidas en la industria de seguridad cibernética y pruebas de penetración, tales como: GIAC GRID GPEN, GWAPT, GCIH, GMOB, CREST CRT, OSCP, CEH, CISSP, CISA y más!

Penetration Test | Offensive Security Certified Professional | OSCP
Penetration Test | GIAC Certified Penetration Tester | GPEN
Information Security | GIAC Expert Researcher and Advanced Penetration Tester | GXPN
Penetration Test | CREST Certified Penetration Tester | CREST
Penetration Test | GIAC Web App Pen Tester | GWAPT
Penetration Test | GIAC Mobile Device Security Analyst | GMOB
Penetration Test | Offensive Security Certified Expert | OSCE
Contacte a un Experto
Top