El pretexting es una forma de ingeniería social en la que un ciberdelincuente obtiene acceso a información, un sistema o un servicio a través de medios engañosos. El ciberdelincuente presenta un escenario falso (o "pretexto") para ganarse la confianza de la víctima; puede pretender ser un inversor veterano, un representante de RR. HH., un especialista en TI u otra fuente aparentemente legítima. Este ataque no se limita al ámbito online: puede producirse a través de otras formas de comunicación, incluso en persona.
Más información
Los ciberdelincuentes idean métodos cada vez más taimados para engañar a particulares y empleados, por lo que las organizaciones deben mantenerse a la vanguardia. Descubre otros ataques de ingeniería social aquí:
¿Cómo funciona el pretexting?
Los ciberdelincuentes utilizan una variedad de métodos a fin de ganarse la confianza de víctimas desprevenidas para que divulguen información confidencial. El pretexting juega con las emociones de la víctima mediante una sensación de urgencia, ofreciendo un trato demasiado bueno para ser verdad o tratando de ganar simpatía para estafar al objetivo. Las técnicas más comunes incluyen baiting, phishing, piggybacking, scareware, tailgating y vishing/smishing.
Técnicas de pretexting
Phishing: los ataques de phishing implican suplantar la identidad de una persona u organización a través del correo electrónico con el objetivo de robar información. Muchos ataques de phishing se basan en el pretexting; por ejemplo, se puede enviar un correo electrónico a un alto ejecutivo haciéndose pasar por alguien dentro de la organización. El correo incluirá un archivo adjunto con malware, que al abrirse puede afectar a todo el sistema.
Vishing/Smishing: el vishing (o phishing de voz) utiliza llamadas telefónicas para estafar a una víctima y conseguir que proporcione información confidencial. El smishing es similar, pero utiliza SMS o mensajes de texto para interactuar con las víctimas. Un ataque de vishing común se dirige a personas mayores y parece provenir de un funcionario del IRS o un representante de la Seguridad Social que solicita información personal.
Baiting: un intento de baiting puede emplear una promesa atractiva para ganarse la confianza de la víctima y difundir malware o robar información confidencial. Esta técnica puede implicar un archivo adjunto que contiene malware, pero lo más común es que se lleve a cabo a través de medios físicos. Un plan común es dejar una unidad flash con el logotipo de la empresa en su propiedad, para que un empleado piense que es legítimo y lo conecte a un ordenador. Así, se implementa malware en el sistema.
Piggybacking: el piggybacking se utiliza para obtener acceso físico a una instalación siguiendo a una persona autorizada hasta un área controlada. Un ciberdelincuente podría esperar en la entrada de un edificio, alegando haber perdido su tarjeta de acceso. Una persona autorizada puede entonces, sin sospechar que la persona es un criminal, permitir que acceda a las instalaciones.
Scareware: el scareware es una técnica de pretexting elaborada que afirma haber detectado un virus u otro problema en un sistema; insta a la víctima a instalar lo que parece ser un antivirus u otra medida de protección, pero en realidad se trata de malware.
Tailgating: similar al piggybacking, el tailgating es un intento de obtener acceso físico a una instalación. A diferencia del piggybacking, el ciberdelincuente pasa desapercibido para el individuo autorizado. Un criminal puede seguir de cerca a la persona autorizada y sostener una puerta antes de que se cierre por completo. La víctima desconoce por completo que alguien no autorizado ha aprovechado su entrada para acceder a las instalaciones.
Ejemplos de ataques de pretexting habituales
Existen varios ataques de pretexting comunes que los usuarios deben conocer para no caer en la trampa.
Estafas de criptomonedas:
Esta estafa se ve a menudo en plataformas de redes profesionales. Un ciberdelincuente podría enviar un mensaje a una víctima haciéndose pasar por un inversor experto y ofreciéndole la oportunidad de "enriquecerse rápidamente". El ciberdelincuente puede incluso crear un sitio web que parezca legítimo y podría incluir reseñas falsas para ganarse la confianza de la víctima. Si la víctima envía dinero y luego intenta retirarlo, el ciberdelincuente le dirá que no puede hacerlo debido a impuestos, tarifas adicionales o un saldo mínimo en la cuenta que no se ha alcanzado.
Estafas de suplantación de identidad:
Para ganarse la confianza de la víctima, un ciberdelincuente podría intentar hacerse pasar por un conocido. Puede ser alguien de la misma organización o una amistad en redes sociales. Un ejemplo de mensaje que una víctima podría recibir es: "Hola, te contactamos del soporte técnico de tu organización, necesitamos confirmar la información de tu cuenta". La víctima tiende a confiar, sobre todo si el ciberdelincuente se hace pasar por una persona legítima de la organización, como el director ejecutivo con una "petición urgente".
Estafas románticas:
De manera similar a la estafa de criptomonedas, los estafadores románticos intentarán convencer a la víctima de invertir en algo usando criptomonedas. En lugar de utilizar como pretexto a un inversor experto, el estafador se ganará la confianza de la víctima fingiendo tener un interés romántico en ella. El ciberdelincuente puede entonces mencionar una oportunidad de inversión y animar a la víctima a enviar grandes sumas de dinero, aunque por supuesto nunca verá beneficios.
Cómo identificar y detectar ataques de pretexting
Formar a los empleados para detectar y estar alerta ante posibles ataques de pretexting y sus características comunes les ayuda a identificar solicitudes potencialmente anormales. Las organizaciones también pueden establecer políticas para transacciones financieras y validaciones de credenciales. Por ejemplo, la verificación de información personal o confidencial debe realizarse en persona o mediante chat de vídeo, y nunca a través de mensajes de texto o correo electrónico. Esta medida puede evitar intentos de fraude, como ataques de pretexting donde se suplante la identidad de miembros de la empresa.
Cómo prevenir el pretexting
Hay varias medidas que una organización puede implementar para ayudar a evitar que los empleados sean víctimas de una estafa de pretexting.
Consejo 1. Anima a los empleados a estar siempre alerta y denunciar cualquier cosa que consideren que pueda ser maliciosa, incluso si resulta ser legítima.
Recordar periódicamente a los empleados que notifiquen cualquier comunicación sospechosa y alentar a todos a denunciar puede mantenerlos alerta y detener un ataque de pretexting en sus inicios. Es fundamental que los empleados estén siempre alerta ante posibles casos de phishing.
Consejo 2. Ofrece formación periódica sobre cómo detectar actividades sospechosas, como un dominio falsificado.
Incentiva a los empleados a comprobar el dominio de un enlace a un sitio web o correo electrónico para verificar que la comunicación provenga de la persona de quien parece provenir y no se dirija a un dominio falsificado. Otros consejos son examinar la URL para asegurarse de que sea legítima, no abrir nunca un archivo adjunto ni utilizar una unidad USB de origen desconocido, así como comprobar que el sitio web tenga un certificado SSL (capa de sockets seguros).
Consejo 3. Monitoriza el entorno en busca de actividades maliciosas.
La detección y respuesta para endpoints (EDR) de CrowdStrike Falcon® Insight™ monitoriza continuamente los endpoints y captura eventos sin procesar para la detección automática de actividad maliciosa no identificada por los métodos de prevención por sí solos. El Threat Hunting proactivo garantiza que las organizaciones puedan detener los ataques antes de que ocurran y proteger los datos confidenciales de la empresa.
¿Has recibido un correo de phishing? Así puedes denunciarlo:
Los usuarios no pueden evitar los intentos de phishing, pero pueden protegerse y defender a sus organizaciones si están alerta en todo momento y denuncian los correos de phishing cuando los reconocen. Contribuye y sé un buen ciudadano de Internet. Denuncia el phishing a: phishing-report@us-cert.gov.
Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.
