¿Qué es el pretexting?
El pretexting es una estratagema de ingeniería social. Los estafadores inventan historias verosímiles, o pretextos, para engañar a las víctimas y conseguir que faciliten información personal o acceso a sus cuentas. Estas estafas presentan una situación falsa pero creíble para ganarse la confianza de la víctima y hacer que no tenga inconveniente en revelar determinada información.
Lo que diferencia al pretexting de otras formas de ingeniería social es la historia muy detallada, el pretexto, que crea el estafador. Esto permite manipular a la víctima para que crea la historia del estafador y facilite datos confidenciales como contraseñas de cuentas, números de la seguridad social e incluso información sobre tarjetas de crédito.
Ataque de pretexting: técnicas de ingeniería social
A diferencia de otras ciberamenazas, los ataques de pretexting no se basan en el hackeo informático u otros métodos técnicos para acceder a los sistemas. Los estafadores de pretexting se aprovechan de la confianza de las personas. Las engañan para que pongan en riesgo su seguridad divulgando libremente información privada.
Las tácticas de pretexting suelen implicar a un estafador que interpreta a un personaje convincente que se utiliza para desarrollar una historia falsa, pero verosímil, con la que la víctima pueda identificarse. Dichas historias manipulan las emociones de la víctima y disipan cualquier sospecha que pueda tener.
Las estafas de pretexting pueden utilizar tácticas de ingeniería social para aprovecharse de las emociones de la víctima.
Como estos ataques de ingeniería social se basan por completo en que la víctima crea la historia del pretexto, y en su voluntad de acceder a las peticiones, al planificar un ataque de pretexting, los estafadores suelen buscar víctimas que sean:
Según a quién se dirijan y qué tipo de datos busquen, los estafadores utilizan un completo repertorio de tácticas de pretexting. A continuación, examinaremos algunas de las técnicas que pueden utilizarse en una estafa de pretexting.
Phishing
La gran mayoría de las estafas de pretexting consiste en ataques de phishing diseñados para engañar a las personas y que revelen información personal, o que hagan clic en un enlace que puede conducir a una infección de malware. Sin embargo, a diferencia de las tácticas de phishing habituales, el pretexting suele utilizar un ataque de phishing dirigido más concreto para iniciar y mantener una conexión durante un período de tiempo más largo.
Los ataques de phishing intentan engañar para que se haga clic en enlaces maliciosos.
Por ejemplo, una situación de pretexting podría ser un correo electrónico de phishing que le invite a una fiesta sorpresa para alguien que apenas conoce, como un compañero de otro departamento. A continuación, podría recibir otro correo electrónico para contribuir a un regalo. Por último, recibe un SMS con un enlace de pago aparentemente legítimo para robarle dinero.
Vishing y smishing
El phishing se ha convertido en un problema de ciberseguridad de tal envergadura que el vishing, o phishing por voz, se ha categorizado como un subgrupo propio. Asimismo, el smishing, o phishing por SMS, se produce cuando alguien intenta tender una trampa con mensajes de texto.
Si el smishing se utiliza como parte de un plan de pretexting, el SMS podría ser algo sencillo y aparentemente inofensivo con el objetivo de preparar el terreno para un ataque mayor. El pretexting de ingeniería social a menudo conlleva un trasfondo elaborado, por lo que el smishing se incorpora habitualmente en un ataque de ciberseguridad con pretexting.
Tailgating y piggybacking
Los planes de pretexting que implican el acceso físico a un edificio o una instalación suelen utilizar el
tailgating o el piggybacking
. El tailgating consiste en colarse en un edificio detrás de una persona autorizada; por su parte, el piggybacking se basa más en la ingeniería social que en el sigilo.
La persona que usa el piggybacking cuenta una historia creíble a una persona autorizada y la convence para que le permita entra en la instalación. Entre las tácticas mas comunes, cabe citar mentiras como haber olvidado la tarjeta de acceso o hacerse pasar por un mensajero de reparto.
Whaling
Si el phishing se centra en víctimas de categorías poco destacadas, el whaling lo hace con las de altos vuelos. El whaling es un tipo de táctica de pretexting que apunta a altos cargos como parte de un ataque de mayor alcance a la empresa. Los cargos ejecutivos son susceptibles de sufrir ataques de phishing dirigido y whaling, ya que se basan en la ingeniería social, que juega con las debilidades y vulnerabilidades humanas.
Los ataques de whaling se dirigen a personas que ocupan funciones de responsabilidad.
Suplantación de identidad
La suplantación de identidad suele implicar la suplantación de un empleado oficial, un trabajador de un servicio público o de quien, en principio, tiene el derecho o la necesidad de acceder a información confidencial. La suplantación de identidad no tiene por qué ser sofisticada. Las personas tienden a ser deferentes y confiadas con los individuos que ocupan cargos de autoridad o que actúan con carácter oficial.
Un ejemplo demasiado común de este tipo de ataques de pretexting es la estafa de soporte técnico, en la que un estafador se hace pasar por representante de una gran empresa conocida para obtener acceso remoto a su dispositivo, inducirle a hacer clic en un enlace malicioso o engañarle para que efectúe pagos falsos.
Compruebe que las comunicaciones que recibe de las marcas sean legítimas.
Baiting
El baiting tiene por objeto inducir a la víctima a actuar con la falsa promesa de una recompensa, como un reembolso o un premio en metálico falsos. Si se utiliza en un plan de pretexting, el estafador creará una situación pensada para hacer que la víctima se confíe y muerda el anzuelo. Esto puede incluir la suplantación, para que parezca que las comunicaciones proceden de una persona de contacto u organización de confianza.
Scareware
El scareware es un tipo de malware que bombardea con mensajes alarmantes de amenazas y consecuencias nefastas si no toma medidas inmediatas como descargar un falso software antivirus. Al inducir una sensación de pánico, el scareware puede hacer que las víctimas actúen de forma irracional y tomen decisiones equivocadas que, en condiciones normales, no tomarían.
El scareware intenta convencerle de que su dispositivo se ha infectado con malware.
Ejemplos habituales de ataques de pretexting
Como ejemplos de pretexting en la vida real, cabe citan numerosos ataques de hackeo a empresas destacadas y personas importantes, así como a los cientos de miles de usuarios anónimos que cada año son víctimas de ataques. Estos son los tipos más comunes de estafas de pretexting:
-
Estafas con tarjetas regalo
Las estafas con tarjetas regalo suelen comenzar con un SMS o un correo electrónico en el que se pide hacer clic en un enlace o facilitar datos de contacto para reclamar un premio.
-
Estratagemas de proveedores de servicios de Internet
Las llevan a cabo impostores que se hacen pasar por su ISP para intentar convencerle de que revele información confidencial.
-
Solicitudes de línea de asunto
Estos ataques de pretexting llegan a través de correos electrónicos con líneas de asunto llamativas que simulan proceder de una fuente de confianza.
-
Estafas a personas mayores
Estos ataques de pretexting se caracterizan por peticiones urgentes de envío de dinero para ayudar a un familiar que está muy necesitado.
-
Estafas románticas
Tienen lugar cuando los estafadores engañan para entablar una falsa relación en línea que puede terminar siendo una historia de amor en la vida real. A menudo, el estafador pide ayuda económica (acción que también se denomina catfishing).
-
Estafas de Venmo
Las estafas de pagos en línea, como las estafas de Venmo, se producen cuando los estafadores engañan para que se les envíe dinero a través de la popular aplicación de pago.
Dada la variedad de enfoques, personajes y situaciones que se inventan los estafadores, las variaciones de cada tipo de ataque de pretexting son casi infinitas. Por eso, a menudo resulta tan difícil que las víctimas detecten y eviten este tipo de fraude.
Los ataques de pretexting también pueden ser muy sofisticados y prepararse durante varios años antes de detectare, como cuando un estafador de pretexting estafó 100 millones de dólares a Google y Facebook enviando una serie de facturas falsas entre 2013 y 2015.
¿Cuál es la diferencia entre phishing y pretexting?
Si bien el phishing y el pretexting pueden parecer muy similares, el phishing es un medio de ataque, mientras que el pretexting es un método de ataque. Ambos pueden solaparse, como en el caso de un correo electrónico de phishing dirigido muy selectivo en el que se suplanta la identidad de un amigo, pariente o empleador de la víctima. Ahora bien, aunque muchos ataques de pretexting utilizan comunicaciones de phishing como parte del plan, no todas las estafas de pretexting implican un componente de phishing.
¿Cómo reconocer los ataques de pretexting?
Por su naturaleza, los ataques de pretexting son difíciles de reconocer; sin embargo, hay una serie de señales que pueden indicar que algo no es lo que parece. A continuación, le mostramos algunas de las señales que pueden alertarle de este tipo de estafa:
-
Tono urgente: para completar los ataques con rapidez, los estafadores intentan crear una sensación de urgencia utilizando expresiones como «lo antes posible», «de inmediato» o «ahora mismo».
-
Peticiones extrañas: desconfíe de cualquier solicitud que requiera información confidencial, transferencia de fondos o descargas inusuales, aunque siga los canales de comunicación y estilos de conversación habituales.
-
Familiaridad engañosa: recele de los mensajes que empiezan con un tono informal, como «¿Tienes tiempo ahora mismo?» o «¿Puedes hacerme un favor?», aunque sean de alguien a quien conoces.
-
Evitar la comunicación continua: los estafadores inventan excusas para evitar una comunicación continua y hacen que la víctima se muestre reacia a cuestionar o verificar sus peticiones.
-
Dominios suplantados: los atacantes que imitan un sitio web legítimo pueden utilizar dominios de correo electrónico o URL similares, con errores ortográficos fáciles de pasar por alto o discrepancias en el correo electrónico del remitente o en la URL enlazada.
A menudo, cuando se identifica una estafa de pretexting, el ataque de phishing o el hackeo ya ha ido demasiado lejos y se ha tenido lugar una filtración de datos. No obstante, siempre hay que denunciar las estafas por Internet y tomar las medidas necesarias para proteger las cuentas y los dispositivos comprometidos. De esta forma, se ayuda a prevenir el robo de identidad.
Entre los indicios de un correo electrónico fraudulento, destacan las direcciones de correo electrónico falsas, los enlaces sospechosos, así como información de contacto falsa o inexistente.
Cómo prevenir los ataques de pretexting
La medida más adecuada que puede tomar una empresa o un usuario para evitar el pretexting es informarse sobre la seguridad del correo electrónico y las tácticas habituales de pretexting. Saber cómo funcionan el pretexting y qué hay que tener en cuenta le ayudará no convertirse en víctima.
Siga los pasos que se describen a continuación para evitar las estafas de pretexting dirigidas a usted y a sus datos:
-
Preste atención a las señales de alarma, como el tono urgente, las direcciones de correo electrónico falsificadas o las solicitudes sospechosas.
-
No haga clic en enlaces que no se hayan verificado ni descargue archivos adjuntos sospechosos.
-
No comparta información confidencial con nadie antes de verificar su identidad.
-
Póngase en contacto con el remitente a través de un canal verificado para autenticar su solicitud.
-
Informe de la correspondencia sospechosa a sus supervisores y a los profesionales de IT.
-
Denuncie el fraude a las autoridades locales; si está en Estados Unidos, denuncie el fraude a la FTC.
Ley de pretexting en EE. UU.
Toda forma de pretexting con intención fraudulenta es ilegal en Estados Unidos. No solo está prohibido hacerse pasar por autoridades como las fuerzas de seguridad, sino que la Ley de Protección de Registros Telefónicos y Privacidad de 2006, que protege los registros conservados por las empresas de telecomunicaciones, tipifica además como delito el smishing, el vishing y otros ataques de pretexting.
Además, la Ley Gramm-Leach-Bliley considera ilegal obtener o intentar obtener, divulgar o intentar divulgar, información de clientes de una institución financiera cuando se adquiere mediante fraude o engaño. Esto convierte en ilegal la gran mayoría del pretexting de seguridad para obtener datos bancarios personales.
Ayude a prevenir los ataques de pretexting con AVG
Por muchos conocimientos y perspicacia que tenga, las sofisticadas técnicas de ingeniería social pueden ser muy convincentes. AVG AntiVirus Free le ayuda a identificar las estafas antes de que se produzcan, gracias a la detección automática de amenazas que ayuda a bloquear los enlaces de phishing, alertarle sobre sitios web falsos, cerrar scareware y poner en cuarentena el malware en tiempo real. Impida que los estafadores de pretexting accedan a sus datos. Instale AVG hoy mismo, de forma totalmente gratuita.