En Pruebas de penetración de ingeniería social (enlace externo a ibm.com), los expertos en seguridad Gavin Watson, Andrew Mason y Richard AckRoyd comentan que la mayoría de los pretextos están compuestos de dos elementos principales: un personaje y una situación. 

El personaje es el papel que juega el estafador en la historia. Para ganarse la credibilidad de la posible víctima, el estafador suele hacerse pasar por alguien con autoridad sobre ella, como un jefe o un ejecutivo, o por alguien en quien la víctima confía, como un compañero de trabajo, un informático o un proveedor de servicios. Algunos atacantes pueden intentar hacerse pasar por amigos o seres queridos de la víctima.

La situación es la trama de la historia falsa del estafador, la razón por la que el personaje le pide a la víctima que haga algo por ella. Las situaciones pueden ser genéricas (por ejemplo, "necesita actualizar la información de su cuenta) o pueden ser muy específicas, especialmente si los estafadores se dirigen a una víctima en particular".

Para que sus personificaciones y situaciones resulten creíbles, los actores de amenazas suelen investigar en Internet sobre su personaje y su objetivo. No es tan difícil de hacer. Según un informe de Omdia, los hackers pueden elaborar una historia convincente, basándose en información de las redes sociales y otras fuentes públicas, con sólo 100 minutos de búsqueda general en Google.

Otras técnicas para hacer que los personajes sean más creíbles incluyen la suplantación de la dirección de correo electrónico o el número de teléfono del personaje, o el acceso no autorizado a la cuenta de correo electrónico o el número de teléfono reales del personaje y su uso para enviar el mensaje. En lo que puede ser un atisbo del futuro del pretexto, en 2019 unos estafadores engañaron a una empresa energética del Reino Unido por valor de 243 000 dólares utilizando inteligencia artificial (IA) para hacerse pasar por la voz del director general de la empresa matriz de la empresa y realizar llamadas telefónicas fraudulentas solicitando pagos a los proveedores de la empresa. 

Estafas que de correo electrónico empresarial comprometido

El correo electrónico empresarial comprometido (BEC) es un tipo particularmente diabólico de ingeniería social dirigida que se basa en gran medida en el pretexto. En BEC, el personaje es un ejecutivo de una empresa de la vida real o un socio comercial de alto nivel con autoridad o influencia sobre el objetivo. La situación es que el personaje necesita ayuda con una tarea urgente (por ejemplo, estoy atrapado en un aeropuerto y he olvidado mi contraseña), ¿puede enviar mi contraseña al sistema de pago (o puede transferir XXX, XXX.XX $ a la cuenta bancaria #YYYYYY para pagar la factura adjunta)?

Año tras año, el BEC figura entre los ciberdelitos más costosos. Según el informe de IBM "Coste de una filtración de datos de" 2022, las vulneraciones de datos resultantes de BEC cuestan a las víctimas una media de 4,89 millones de dólares. Y según datos del Centro de Denuncias de Delitos en Internet del FBI (enlace externo a ibm.com) En 2021, la BEC ocasionó a las víctimas unas pérdidas totales de casi 2400 millones de dólares.

Estafas de actualización de cuenta

En este caso, el estafador se hace pasar por representante de una empresa para alertar a la víctima de un problema con su cuenta, como datos de facturación vencidos o una compra sospechosa. El estafador incluye un enlace que lleva a la víctima a un sitio web falso que roba sus credenciales de autenticación, la información de su tarjeta de crédito, su número de cuenta bancaria o su número de la seguridad social.

Estafas a los abuelos

Al igual que muchas estafas de ingeniería social, esta se aprovecha de las personas mayores. El ciberdelincuente se hace pasar por el nieto de la víctima y finge que ésta tiene algún tipo de problema(por ejemplo, ha sufrido un accidente de tráfico o ha sido detenida) y necesita que sus abuelos le envíen dinero para poder pagar las facturas del hospital o pagar la fianza.

Estafas románticas

En las estafas de pretexto de citas, el estafador finge querer una relación romántica con la víctima. Tras ganarse el corazón de la víctima, el estafador suele pedir dinero para eliminar algún obstáculo final que les impida estar juntos, por ejemplo, una deuda agobiante, una obligación legal o incluso el coste de un billete de avión para visitar a la víctima.

Estafas con criptodivisas

Haciéndose pasar por un inversor de éxito con una oportunidad segura de criptomoneda, el estafador dirige a la víctima a una bolsa de criptomoneda falsa, donde le roban la información financiera o el dinero. Según la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com), Los consumidores estadounidenses perdieron más de 1000 millones de dólares en estafas con criptomonedas entre enero de 2021 y marzo de 2022.

Estafas del IRS/gobierno

Haciéndose pasar por funcionarios del IRS, agentes de la ley u otros representantes del gobierno, el estafador afirma que la víctima tiene algún tipo de problema, por ejemplo, no ha pagado los impuestos o tiene una orden de detención, y le pide que realice un pago para evitar un embargo hipotecario, un embargo de sueldo o la cárcel. El pago, por supuesto, va a la cuenta del estafador. 

El pretexto es un componente clave de muchas estafas de ingeniería social, incluyendo:

Phishing. Como ya se ha mencionado, el pretexto es especialmente común en los ataques de phishing selectivo, incluido el spear phishing (que es un ataque de phishing dirigido a una persona concreta) y el whaling (que es un ataque de phishing dirigido a un ejecutivo o empleado con acceso privilegiado a información o sistemas sensibles).

Pero el pretexto también desempeña un papel en las estafas no dirigidas de phishing por correo electrónico, phishing de voz (vishing) o phishing de texto SMS (smishing). Por ejemplo, un estafador puede enviar un mensaje de texto como "[NOMBRE DEL BANCO GLOBAL AQUÍ]: Su cuenta está sobrecargada" a millones de personas, con la esperanza de que un porcentaje de los destinatarios sean clientes del banco y un porcentaje de esos clientes respondan al mensaje.

Tailgating. A veces llamado "piggybacking", el tailgating ocurre cuando una persona no autorizada sigue a una persona autorizada a un lugar que requiere autorización, como un edificio de oficinas seguro. Los estafadores utilizan pretextos para que sus intentos de seguir a sus clientes sean más exitosos: por ejemplo, haciéndose pasar por un repartidor y pidiéndole a un empleado desprevenido que les abra una puerta cerrada. 

Baiting. En este tipo de ataques, un delincuente engaña a las víctimas para que descarguen malware atrayéndolas con un cebo atractivo pero comprometido. El cebo puede ser físico (por ejemplo, memorias USB cargadas con código malicioso y dejadas visiblemente en lugares públicos) o digitales (por ejemplo, anunciar descargas gratuitas de películas que resultan ser malware). Los estafadores a menudo usan pretextos para hacer que el cebo sea más atractivo. Por ejemplo, un estafador puede colocar etiquetas en una unidad USB comprometida para sugerir que pertenece a una empresa en particular y contiene archivos importantes. 

Varias leyes específicas del sector apuntan explícitamente a los pretextos. La Ley Gramm-Leach-Bliley de 1999 tipifica como delito el uso de pretextos por parte de las instituciones financieras para obtener información financiera de un cliente bajo falsos pretextos; también exige a las instituciones financieras que formen a sus empleados para detectar y prevenir el uso de pretextos. La Ley de Protección de la Privacidad y Registros Telefónicos de 2006 prohíbe explícitamente el uso de pretextos para acceder a la información del cliente en poder de un proveedor de telecomunicaciones.

En diciembre de 2021, la FTC propuso una nueva norma (enlace externo a ibm.com) que prohibiría formalmente la suplantación de cualquier agencia o empresa gubernamental. La norma facultaría a la FTC para hacer cumplir una prohibición sobre tácticas comunes de pretexto como utilizar el logotipo de una empresa sin permiso, crear un sitio web falso que imite a una empresa legítima y falsificar correos electrónicos comerciales.

Al igual que con cualquier otra forma de ingeniería social, combatir el pretexto puede ser difícil porque explota la psicología humana en lugar de las vulnerabilidades técnicas que se pueden remediar. Pero hay pasos efectivos que las organizaciones pueden tomar.

• Informes de autenticación de mensajes basados en el dominio (DMARC): el DMARC es un protocolo de autenticación de correo electrónico que puede evitar la suplantación de identidad. DMARC verifica si un correo electrónico se envió desde el dominio del que afirma provenir. Si se descubre que un correo electrónico es falso, puede redirgirse automáticamente a una carpeta de correo no deseado o eliminarse.
  
  
• Otras tecnologías de ciberseguridad : además de DMARC, las organizaciones pueden implementar filtros de correo electrónico impulsados por IA que detecten frases y líneas de asunto utilizadas en ataques conocidos de pretexto. Una puerta de enlace web segura puede impedir que los usuarios sigan los enlaces de correo electrónico de phishing a sitios web sospechosos. Si un atacante obtiene acceso a la red a través de tecnologías de pretexto y ciberseguridad como las plataformas de detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta ampliadas (XDR) puede interceptar actividad maliciosa.
   
• Formación de concienciación sobre seguridad: dado que el pretexto manipula a las personas para que pongan en peligro su propia seguridad, formar a los empleados para que detecten y respondan adecuadamente a las estafas de pretexto puede ayudar a proteger una organización. Los expertos recomiendan realizar simulaciones basadas en ejemplos de pretextos de la vida real para ayudar a los empleados a diferenciar entre los pretextos y las solicitudes legítimas de sus colegas. La formación también puede incluir protocolos claros para gestionar información valiosa, autorizar pagos y verificar solicitudes con sus fuentes supuestas antes de cumplir.