¿Qué es el pretexto?

"Confianza" es la “estafa” en “estafador”. La historia del pretexto es cómo se gana la confianza de la víctima en ataques dirigidos de ingeniería social como el spear phishing, el whale phishing y el correo electrónico empresarial comprometido (BEC). Pero los ciberdelincuentes, y los meros delincuentes comunes, también pueden utilizar el pretexto por sí solo para robar información o activos valiosos de personas u organizaciones.

Un actor de amenazas suele crear una situación falsa para la víctima y se hace pasar por una persona de confianza que puede resolverla. En el libro Social Engineering Penetration Testing, los autores observan que la mayoría de los pretextos se componen de dos elementos principales: un personaje y una situación.¹

El personaje es el papel que desempeña el estafador en la historia. Para ganarse la credibilidad de la víctima potencial, el estafador se suele hacer pasar por alguien con autoridad sobre la víctima, como un jefe o un ejecutivo, o alguien en quien la víctima tiende a confiar. Este personaje (falso) puede ser un compañero de trabajo, un empleado de TI o un proveedor de servicios. Algunos atacantes podrían incluso intentar hacerse pasar por un amigo o ser querido de la víctima prevista.

La situación es la trama de la historia falsa del estafador: la razón por la cual el personaje (estafador) le pide a la víctima que realice alguna acción. Las situaciones pueden ser genéricas, como: “Necesita actualizar la información de su cuenta”. O la historia puede ser específica, especialmente si el estafador tiene como objetivo a una víctima en particular: "Necesito tu ayuda, abuela".

Para que las suplantaciones de personajes y las situaciones sean creíbles, los actores de amenazas suelen investigar en línea a su personaje y a su objetivo. Y esta investigación no es difícil. Según algunas estimaciones, los piratas informáticos pueden elaborar una historia convincente, basándose en la información de las redes sociales y otros recursos públicos, como Google o LinkedIn, tras sólo 100 minutos de búsqueda en Internet.

La suplantación (falsificar direcciones de correo electrónico y números de teléfono para que parezca que un mensaje viene de otra fuente) puede hacer que las situaciones de pretexto sean más creíbles. O los actores de amenazas podrían ir aún más lejos y secuestrar la cuenta de correo electrónico o el número de teléfono de una persona real para enviar un mensaje de pretexto. Incluso hay historias de delincuentes que utilizan la inteligencia artificial para clonar las voces de las personas.

El pretexto es un componente clave de muchos tipos de tácticas de ingeniería social, que incluye:

• Phishing
• Baiting
• Tailgating

El pretexto es común en ataques de phishing dirigidos, como el spear phishing, que se dirige a un individuo específico, y el whaling, que se dirige a un ejecutivo o empleado con acceso privilegiado a información o sistemas confidenciales.

Pero el pretexto también desempeña un papel en las estafas de phishing por correo electrónico, phishing de voz (vishing) o phishing de texto SMS (smishing).

Por ejemplo, un estafador podría enviar un mensaje de texto, "[Global Bank Name Here]: Su cuenta está en números rojos " a millones de personas, esperando que un porcentaje de los destinatarios sean clientes del banco y que otro porcentaje de esos clientes responda a el mensaje. Incluso un pequeño porcentaje de víctimas puede suponer un gran botín para los estafadores.

En este tipo de ataques, un delincuente engaña a una víctima para que descargue malware atraída por un cebo atractivo pero comprometido. El cebo puede ser físico, como una unidad flash USB cargada con código malicioso y dejada de forma visible en un lugar público. O el cebo puede ser digital, como la publicidad de descargas gratuitas de películas que resultan ser malware. 

Los estafadores suelen utilizar pretextos para hacer que el cebo sea más atractivo. Por ejemplo, un estafador puede colocar etiquetas en una unidad flash USB comprometida para sugerir que pertenece a una empresa en particular y contiene archivos importantes. 

Los pretextos también se pueden utilizar para estafas presenciales, como el tailgating. También llamado "piggybacking", el tailgating es cuando una persona no autorizada sigue a una persona autorizada a un lugar físico que requiere autorización, como un edificio de oficinas seguro. Los estafadores utilizan pretextos para que sus intentos de tailgating sean más exitosos: por ejemplo, haciéndose pasar por un repartidor y pidiéndole a un empleado desprevenido que les abra una puerta cerrada. 

Según la Comisión Federal de Comercio, las estafas de impostores, como el pretexting, son el tipo de fraude más común, con unas pérdidas declaradas de 2700 millones de dólares en este tipo de estafas el año pasado.² Algunos de los tipos más comunes de estafas de pretexto incluyen:

• Estafas de actualización de cuenta
• Estafas que de correo electrónico empresarial comprometido
• Estafas con criptomonedas
  
• Estafas a los abuelos
• Estafas de facturas
• Estafas del IRS y del gobierno
• Estafas de ofertas de trabajo
  
• Estafas románticas y estafas sociales
• Estafas de scareware

En este ciberataque, el estafador se hace pasar por un representante de una empresa y alerta a la víctima de un problema con su cuenta, como información de facturación vencida o una compra sospechosa. El estafador incluye un enlace que lleva a la víctima a un sitio web falso que roba sus credenciales de autenticación, la información de su tarjeta de crédito, su número de cuenta bancaria o su número de la seguridad social.

El compromiso del correo electrónico empresarial (BEC) es un tipo de ataque de ingeniería social dirigido que se basa en gran medida en pretextos. El 25 % de todos los ataques BEC comienzan ahora con pretextos.

En el BEC, el personaje es un ejecutivo de una empresa real o un Business Partner de alto nivel con autoridad o influencia sobre el objetivo. Como el estafador se hace pasar por alguien en una posición de poder, muchos objetivos simplemente acceden.

La situación es la necesidad de ayuda del personaje con una tarea (casi siempre) urgente. Por ejemplo, "Estoy atrapado en un aeropuerto y he olvidado mi contraseña para acceder al sistema de pago. ¿Puede recordármelo?" O "¿Puede transferir XXX XXX USD a la cuenta bancaria #YYYYY para pagar la factura adjunta? Rápido, antes de que cancelen nuestro servicio".

Al hacerse pasar por un jefe a través de mensajes de texto, correos electrónicos, llamadas telefónicas e incluso vídeos generados por inteligencia artificial, los estafadores a menudo pueden engañar a los empleados para que revelen información sensible o incluso cometan delitos.

En un caso famoso, una conferencia web pregrabada (y generada por IA) terminó con instrucciones de los falsos directivos que convencieron a un empleado para que transfiriera 200 millones de HKD a los atacantes.⁴

Año tras año, BEC se sitúa entre las técnicas de ciberdelincuencia e ingeniería social más costosas. Según el informe "Cost of a Data Breach" de IBM, las vulneraciones de datos causadas por BEC cuestan a las organizaciones víctimas una media de 4,88 millones de dólares.

Según datos del Centro de Denuncias de Delitos en Internet del FBI, la BEC provocó pérdidas totales de casi 2900 millones de dólares para las víctimas en 2023.³

El estafador se hace pasar por un inversor de éxito con una oportunidad de criptomoneda "infalible" y dirige a la víctima a una bolsa de criptomonedas falsa, donde le roban la información financiera o el dinero.

En una variante a largo plazo de esta estafa, llamada "pig butchering", el estafador cultiva una relación con la víctima y se gana su confianza a través de las redes sociales. A continuación, el estafador presenta una "oportunidad de negocio" a la víctima, que es dirigida a un sitio de criptomonedas para realizar depósitos. El sitio puede incluso informar falsamente de ganancias en el valor de la inversión, pero la moneda nunca se puede retirar.⁵ 

Como ocurre con muchas estafas de ingeniería social, a menudo se aprovechan de las personas mayores. El ciberdelincuente se hace pasar por el nieto de la víctima y simula que se encuentra en algún tipo de apuro, como haber sufrido un accidente de tráfico o haber sido detenido, y solicita a sus abuelos que le envíen dinero para pagar las facturas del hospital o la fianza.

La futura víctima recibe una factura de un servicio o producto que no ha pedido ni utilizado. El estafador a menudo quiere que la víctima haga clic en un enlace en un correo electrónico para solicitar más información o quejarse del cargo. Luego se le pide a la víctima que proporcione información de identificación personal (PII) para verificar su cuenta. Esa información privada es lo que el estafador buscaba desde el principio.

El estafador, que se hace pasar por funcionarios del Servicio de Impuestos Internos (IRS), agentes de la ley u otros representantes del gobierno, afirma que la víctima tiene algún tipo de problema. Este problema puede ser el impago de impuestos o una orden de arresto. Por lo general, el estafador indica al objetivo previsto que realice un pago para evitar un arresto, un embargo hipotecario o un salario embargado. Por supuesto, el pago va a la cuenta del estafador. 

Un solicitante de empleo podría estar dispuesto a divulgar información normalmente confidencial a un posible empleador. Pero si la descripción del trabajo es falsa y la publica un estafador, el solicitante podría convertirse en víctima de robo de identidad.

El estafador finge buscar una relación romántica con la víctima. Después de ganarse el corazón de la víctima, el estafador generalmente pide dinero para eliminar algún obstáculo final que les impida estar juntos. Este obstáculo puede ser una deuda agobiante, una obligación legal o incluso el coste de un billete de avión para visitar a la víctima.

El scareware es una estafa de ingeniería social que utiliza el miedo para engañar a las personas para que descarguen malware, pierdan dinero o entreguen datos personales.

El pretexto aterrador podría ser una alerta de virus falsa, una oferta falsa de soporte técnico o una estafa policial. Una ventana emergente puede advertir a la víctima de que se ha encontrado "material ilegal" en su dispositivo digital, o una "prueba de diagnóstico" en línea puede decirle que su dispositivo está en peligro y que necesita descargar un (falso) software antivirus para corregirlo.

Al igual que con cualquier otra forma de ingeniería social, los intentos de pretexto pueden ser difíciles de detener porque explotan la psicología humana en lugar de las vulnerabilidades técnicas que pueden remediarse. Pero hay varios pasos que las organizaciones pueden seguir.

• DMARC
• Formación sobre concienciación sobre seguridad
• Otras tecnologías de ciberseguridad

DMARC es un protocolo de autenticación de correo electrónico que puede ayudar a prevenir la suplantación de identidad. Al analizar tanto el texto como los metadatos de los mensajes en busca de indicadores comunes de compromiso, DMARC verifica si un correo electrónico se envió desde el dominio del que dice provenir. Si un correo electrónico es falso, puede redirigirse automáticamente a una carpeta de correo no deseado o eliminarse.

Dado que el pretexto manipula a las personas para que pongan en peligro su propia seguridad, formar a los empleados para que detecten y respondan adecuadamente a las estafas de pretexto puede ayudar a proteger una organización. Los expertos recomiendan realizar simulaciones basadas en ejemplos de pretextos de la vida real para ayudar a los empleados a diferenciar entre los pretextos y las solicitudes legítimas de sus colegas.

La formación también puede incluir protocolos claros para medidas de autenticación estrictas, como la autenticación multifactor (MFA), la gestión de información valiosa, la autorización de pagos y la verificación de las solicitudes con sus supuestas fuentes antes de cumplirlas.

La verificación puede ser tan sencilla como enviar un mensaje de texto al supuesto remitente: "¿Me ha enviado esto?" O un mensaje al servicio de atención al cliente: "¿Le parece que es un hacker?". Los procedimientos para las transacciones financieras podrían incluir requisitos para validar las solicitudes entrantes en persona o con contacto personal directo.

Los filtros de correo electrónico pueden detectar frases y líneas de asunto utilizadas en ataques de pretexto conocidos. Un "escudo de IA", que combina asistentes de IA y fuentes de inteligencia de amenazas para analizar grandes volúmenes de datos no estructurados en busca de anomalías, también puede ayudar a identificar posibles pretextos. 

Una pasarela web segura puede impedir que los usuarios sigan los enlaces de correo electrónico de phishing a sitios web sospechosos. 

Si un atacante obtiene acceso a la red a través de pretextos, las tecnologías de ciberseguridad como la detección y respuesta de endpoints (EDR), la detección y respuesta de red (NDR) y las plataformas de detección y respuesta extendidas (XDR) pueden ayudar a interceptar la actividad maliciosa.

Varias leyes específicas del sector apuntan explícitamente a los pretextos. La Ley Gramm-Leach-Bliley de 1999 tipifica como delito la obtención de información financiera de un cliente bajo pretextos falsos. La ley también exige que las instituciones financieras capaciten a sus empleados para detectar y prevenir el fraude. 

La Ley de Protección de la Privacidad y Registros Telefónicos de 2006 prohíbe explícitamente el uso de pretextos para acceder a la información del cliente en poder de un proveedor de telecomunicaciones.

La Comisión Federal de Comercio (FTC) adoptó recientemente una norma que prohíbe formalmente la suplantación de la identidad de cualquier organismo público o empresa^.5 La norma autoriza a la FTC a imponer la prohibición de tácticas habituales de "pretextos", como utilizar el logotipo de una empresa sin permiso, crear un sitio web falso que imite a uno legítimo y falsificar correos electrónicos comerciales.