El pretexto es el uso de una historia inventada, o un pretexto, para ganarse la confianza de una víctima y engañarla o manipularla para que comparta información confidencial, descargue malware, envíe dinero a los delincuentes o se perjudique a sí misma o a la organización para la que trabaja.
El pretexto es una táctica básica de los ataques de ingeniería social dirigidos, como el spear phishing, el whaling y el compromiso de correo electrónico empresarial o BEC, por sus siglas en inglés (véase más abajo). Sin embargo, los ciberdelincuentes, y los delincuentes en general, también pueden utilizar pretextos para robar información o activos valiosos de personas u organizaciones.
En la publicación Social Engineering Penetration Testing (enlace externo a ibm.com), los expertos en seguridad Gavin Watson, Andrew Mason y Richard Ackroyd afirman que la mayoría de los pretextos se componen de dos elementos primarios: un personaje y una situación.
El personaje es el papel que el estafador interpreta en la historia. Para generar credibilidad con la víctima potencial, el estafador normalmente se hace pasar por alguien con autoridad sobre la víctima, como un jefe o un directivo, o alguien en quien la víctima se sienta más dispuesta a confiar, como un compañero de trabajo, un empleado de TI o un proveedor de servicio. Algunos atacantes pueden tratar de hacerse pasar por amigos o seres queridos de la víctima.
La situación es el argumento de la historia falsa del estafador: la razón por la cual el personaje le pide a la víctima que haga algo por él. Las situaciones pueden ser genéricas, por ejemplo, "tienes que actualizar la información de tu cuenta", o pueden ser muy específicas, especialmente si los estafadores se dirigen a una víctima en particular.
Para dar credibilidad a sus situaciones y suplantaciones, los actores de las amenazas suelen realizar una investigación previa de su personaje y su víctima en línea. No es tan difícil de hacer. De acuerdo con un informe de Omdia, (enlace externo a ibm.com), a los hackers les basta con explorar por Google 100 minutos para elaborar una historia convincente, basada en información extraída de las redes sociales y otras fuentes públicas.
Otras técnicas para hacer que los personajes sean más creíbles incluyen la suplantación de la dirección de correo electrónico o el número de teléfono del personaje, o la obtención de acceso no autorizado a la cuenta de correo electrónico o número de teléfono real del personaje y su uso para enviar un mensaje. En lo que podría considerarse una visión de futuro del pretexto, en 2019 unos estafadores engañaron a una empresa energética del Reino Unido para que les pagase 243 000 dólares usando inteligencia artificial (IA) para suplantar la voz del director general de la compañía matriz de la empresa y realizar llamadas telefónicas fraudulentas solicitando pagos a los proveedores de la empresa.
Estafas de compromiso de correo electrónico empresarial
El compromiso de correo electrónico empresarial (BEC: Business Email Compromise) es un tipo particularmente diabólico de ingeniería social dirigida que se basa en gran medida en pretextos. En BEC, el personaje es un ejecutivo de la compañía real, o socio empresarial de alto nivel, con autoridad o influencia sobre la víctima. La situación es la necesidad de ayuda del personaje con una tarea urgente: por ejemplo, Estoy atrapado en un aeropuerto y he olvidado mi contraseña. ¿Puedes enviarla al sistema de pago (o puedes transferir XXX XXX,XX USD a la cuenta bancaria n.º YYYYYY para pagar la factura adjunta)?
Año tras año, el BEC se sitúa entre los ciberdelitos que implican un mayor coste. De acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de IBM de 2022, las brechas de datos que generan los ataques de BEC cuestan a las víctimas un promedio de 4,89 millones USD. Además, según los datos del Centro de denuncias de delitos en Internet del FBI (PDF, 1,3 MB; enlace externo a ibm.com) el BEC generó unas pérdidas de casi 2400 millones USD a sus víctimas en 2021.
Estafas de actualización de cuenta
En este caso, el estafador se hace pasar por un representante de una compañía que alerta a la víctima de un problema con su cuenta, como alguna información de facturación que falta o una compra sospechosa. El estafador incluye un enlace que lleva a la víctima a un sitio web falso que roba sus credenciales de autenticación, información de la tarjeta de crédito, número de cuenta bancaria o número de la seguridad social.
Estafas de los abuelos
Como muchas estafas de ingeniería social, esta se aprovecha de los ancianos. El ciberdelincuente se hace pasar por el nieto de la víctima y finge que tiene algún tipo de problema, por ejemplo, que ha sufrido un accidente de coche o que ha sido arrestado, y necesita que sus abuelos le envíen dinero para poder pagar los gastos médicos o la fianza.
Estafas románticas
En las estafas de pretexto de citas, el estafador finge querer una relación romántica con la víctima. Tras conquistar el corazón de la víctima, el estafador normalmente solicita un dinero que eliminará algún obstáculo final para que puedan estar juntos, por ejemplo, una deuda, una obligación legal o incluso el coste de un billete de avión para visitar a la víctima.
Estafas de criptomonedas
Haciéndose pasar por un inversor de éxito con una oportunidad segura de criptomonedas, el estafador conduce a la víctima a un intercambio de criptomonedas falso, donde se roba la información financiera o el dinero de la víctima. Según la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com), los consumidores de EE. UU. perdieron más de 1000 millones USD en estafas con criptomonedas entre enero de 2021 y marzo de 2022.
Estafas del gobierno/IRS
Haciéndose pasar por funcionario del IRS (Servicio de Impuestos Internos de EE. UU.), agente de policía u otro representante del gobierno, el estafador afirma que la víctima tiene algún tipo de problema, por ejemplo, que tiene impuestos pendientes de pago o una orden de detención, e indica a la víctima que realice un pago para evitar un gravamen hipotecario, el embargo de la nómina o una condena de prisión. El pago, por supuesto, va a la cuenta del estafador.
El pretexto es un componente clave de muchas estafas de ingeniería social, entre las que se incluyen:
Phishing. Como se ha señalado anteriormente, el uso del pretexto es muy común en los ataques de phishing dirigidos, como el spear phishing, que es un ataque de phishing que se dirige a una persona específica, o el whaling, que es spear phishing que se dirige a un ejecutivo o empleado con acceso privilegiado a sistemas o información confidencial.
Sin embargo, el pretexto también juega un papel en las estafas de phishing por correo electrónico, phishing por voz (vishing) o phishing de texto SMS (smishing) que no son dirigidas, si no que se envían a un gran número de víctimas potenciales, a ver si pican (spray-and-pray). Por ejemplo, un estafador puede enviar un mensaje de texto como "[NOMBRE DEL BANCO GLOBAL AQUÍ]: Hay un descubierto en su cuenta" a millones de personas, esperando que una parte de los destinatarios sean clientes del banco, y que una parte de esos clientes respondan al mensaje.
Tailgating. A veces llamado "piggybacking", el tailgating es la situación en la que una persona no autorizada sigue a una persona autorizada a una ubicación que requiere acreditación, como un edificio de oficinas con seguridad. Los estafadores utilizan el pretexto para garantizar el éxito de sus intentos de tailgating, por ejemplo, haciéndose pasar por un repartidor y pidiéndole a un empleado desprevenido que le abra una puerta que está cerrada.
Baiting. En este tipo de ataques, un delincuente engaña a las víctimas para que descarguen malware atrayéndolas con un cebo atractivo pero comprometido. El cebo puede ser físico (p. ej., dispositivos USB cargados con código malicioso y dejados a la vista en lugares públicos) o digital (p. ej., anuncios de descarga de películas gratuitas que se transforman en malware). Los estafadores suelen utilizar el pretexto para hacer que el cebo sea más atractivo. Por ejemplo, un estafador podría poner etiquetas a una unidad USB comprometida para fingir que pertenece a una compañía específica y contiene archivos importantes.
Existen varias leyes específicas del sector dirigidas explícitamente al pretexto. La Gramm-Leach-Bliley Act de 1999 tipifica como delito el pretexto con respecto a las instituciones financieras. En virtud de esta ley, es un delito obtener información financiera de un cliente con falso pretextos; también requiere que las instituciones financieras formen a los empleados en la detección y prevención de ataques de pretexto. La Telephone Records and Privacy Protection Act de 2006 prohíbe explícitamente el uso del pretexto para acceder a la información del cliente en poder de un proveedor de telecomunicaciones.
En diciembre de 2021, la FTC propuso una nueva norma (enlace externo a ibm.com) que prohibía formalmente la suplantación de cualquier agencia gubernamental o empresa. La norma faculta a la FTC a imponer una sanción sobre tácticas comunes de pretexto, como el uso del logotipo de una empresa sin permiso, la creación de un sitio web falso que imite a una empresa legítima o la suplantación de correos electrónicos de una empresa.
Al igual que con cualquier otra forma de ingeniería social, combatir el pretexto puede ser difícil porque explota la psicología humana en lugar de las vulnerabilidades técnicas, que sí pueden corregirse. No obstante, existen una serie de medidas efectivas que las organizaciones pueden tomar.
- Domain-based Message Authentication Reporting and Conformance (DMARC): DMARC es un protocolo de autenticación de correo electrónico que puede impedir la suplantación. DMARC verifica si un correo electrónico se ha enviado desde el dominio del que afirma proceder. Si se detecta que un correo electrónico es falso, se puede desviar automáticamente a una carpeta de correo no deseado o eliminarse.
- Otras tecnologías de ciberseguridad: además de DMARC, las organizaciones pueden implementar filtros de correo electrónico basados en IA que detectan frases y líneas de asunto utilizadas en ataques de pretexto conocidos. Una pasarela web segura puede impedir que los usuarios sigan los enlaces de correo electrónico de phishing a sitios web sospechosos. Si un atacante accede a la red a través de un pretexto, las tecnologías de ciberseguridad, como las plataformas de detección y respuesta de puntos finales (EDR), detección y respuesta de redes (NDR) o detección y respuesta extendidas (XDR), pueden interceptar actividad maliciosa.
- Formación en concienciación de seguridad: como el pretexto manipula a las personas para que comprometan su propia seguridad, la formación a los empleados para que sean capaces de detectar y responder adecuadamente a las estafas de pretexto puede ayudar a proteger a una organización. Los expertos recomiendan ejecutar simulaciones basadas en ejemplos de pretexto reales para ayudar a los empleados a diferenciar entre pretextos y solicitudes legítimas de colegas. La formación también puede incluir protocolos claros sobre cómo manejar información valiosa, autorizar pagos y verificar solicitudes con sus supuestos orígenes antes de tramitarlas.
Ponga a prueba a su personal a través de ejercicios de phishing, vishing e ingeniería social física con los servicios de ingeniería social de X-Force Red.
Proteja a su negocio con un enfoque inteligente e integrado de gestión unificada de amenazas que le ayudará a detectar amenazas avanzadas, a responder rápidamente con precisión y a recuperarse de interrupciones.
Integre IA, análisis y deep learning para obtener una protección proactiva, machine learning para una detección más precisa y automatización y análisis para una respuesta más rápida.
Las estafas de phishing engañan a las víctimas para que divulguen datos confidenciales, descarguen malware y se expongan a sí mismas o a sus organizaciones a ciberataques.
Los ataques de ingeniería social se basan en la naturaleza humana, en lugar de en un ataque informático técnico, para manipular a las personas para que comprometan su seguridad personal o la seguridad de una red empresarial.
Entienda qué es la seguridad móvil, por qué es importante y cómo funciona.