¿Qué es el pretexto?

"Confianza" es la "estafa" en "estafador". La historia del pretexto es cómo se gana la confianza de la víctima en ataques dirigidos de ingeniería social, como el phishing focalizado, el whale phishing y el compromiso del correo electrónico empresarial (BEC). Pero los delincuentes cibernéticos, y los simples delincuentes terrestres, también podrían usar pretexting en solitario para robar información o activos valiosos de personas u organizaciones.

Un actor de amenazas a menudo crea una situación falsa para la víctima y se hace pasar por una persona confiable que puede resolverla. En el libro Pruebas de penetración de ingeniería social, los autores observan que la mayoría de los pretextos se componen de dos elementos principales: un personaje y una situación.¹

El personaje es el papel que desempeña el estafador en la historia. Para generar credibilidad con la víctima potencial, el estafador a menudo se hace pasar por alguien con autoridad sobre la víctima, como un jefe o ejecutivo o alguien en quien la víctima se inclina a confiar. Este personaje (falso) puede ser un colega de trabajo, un miembro del personal de TI o un proveedor de servicios. Algunos atacantes podrían incluso intentar hacerse pasar por un amigo o ser querido de la víctima prevista.

La situación es la trama de la historia falsa del estafador—la razón por la que el personaje (estafador) le pide a la víctima que realice alguna acción. Las situaciones pueden ser genéricas, como: "Necesita actualizar la información de su cuenta". O la historia puede ser específica, especialmente si el estafador se dirige a una víctima en particular: "Necesito tu ayuda, abuela".

Para hacer creíbles las imitaciones de sus personajes y sus situaciones, los actores de amenazas suelen investigar a su personaje y su objetivo en línea. Y esta investigación no es difícil. Según algunas estimaciones, los hackers pueden elaborar una historia convincente, basada en información de las redes sociales y otros recursos públicos—como Google o LinkedIn—luego de solo 100 minutos de búsqueda en línea.

La suplantación de identidad—falsificar direcciones de correo electrónico y números de teléfono para que parezca que un mensaje proviene de otra fuente—puede hacer que los escenarios de pretexting sean más creíbles. O los actores de amenazas pueden ir aún más lejos y secuestrar la cuenta de correo electrónico o el número de teléfono de una persona real para enviar el mensaje de pretexting. Incluso hay historias de delincuentes que emplean la inteligencia artificial para clonar las voces de las personas.

El pretexting es un componente clave de muchos tipos de tácticas de ingeniería social, incluyendo:

• Phishing
• Cebo
• Tailgating

El pretexting es común en ataques de phishing dirigidos, como el phishing focalizado, que se dirige a una persona específica, y el whaling, que se dirige a un ejecutivo o empleado con acceso privilegiado a información o sistemas confidenciales.

Pero el pretexting también desempeña un papel en las estafas no dirigidas de phishing por correo electrónico, phishing de voz (vishing) o phishing de texto SMS (smishing).

Por ejemplo, un estafador podría enviar un mensaje de texto, “[Nombre global del banco aquí]: Su cuenta está en descubierto” a millones de personas, esperando que un porcentaje de los destinatarios sean clientes del banco y que otro porcentaje de esos clientes responda al mensaje. Incluso un pequeño porcentaje de víctimas puede sumar una gran cantidad para los estafadores.

En este tipo de ataques, un delincuente engaña a una víctima para que descargue malware atrayéndola con un cebo atractivo, pero vulnerado. El cebo puede ser físico, como una unidad flash USB cargada con código malicioso y dejada de manera visible en un lugar público. O el cebo puede ser digital, como la publicidad de descargas gratis de películas que resultan ser malware.

Los estafadores suelen emplear pretexting para hacer que el cebo sea más atractivo. Por ejemplo, un estafador podría colocar etiquetas en una unidad flash USB comprometida para sugerir que pertenece a una empresa en particular y que contiene archivos importantes.

El pretexting también se puede emplear para estafas en persona, como el tailgating. También llamado "piggybacking", el tailgating es cuando una persona no autorizada sigue a una persona autorizada a un lugar físico que requiere autorización, como un edificio de oficinas seguro. Los estafadores utilizan el pretexting para hacer más exitosos sus intentos de seguimiento—como hacerse pasar por un repartidor y pedirle a un empleado desprevenido que abra una puerta cerrada.

Las estafas de impostores, como el pretexting, son el tipo más común de fraude según la Comisión Federal de Comercio, con pérdidas reportadas de 2.7 mil millones de dólares debido a estas estafas el año pasado.² Algunos de los tipos más comunes de estafas de pretexting incluyen:

• Estafas en la actualización de cuentas
• Estafas de business email compromise
• Estafas de criptomonedas
  
• Estafas a los abuelos
• Estafas de facturas
• Estafas gubernamentales y del IRS
• Estafas de ofertas de trabajo
  
• Estafas románticas y estafas sociales
• Estafas de scareware

En este ciberataque, el estafador se hace pasar por un representante de una empresa y alerta a la víctima de un problema con su cuenta, como información de facturación vencida o una compra sospechosa. El estafador incluye un enlace que dirige a la víctima a un sitio web falso que roba sus credenciales de autenticación, información de la tarjeta de crédito, número de cuenta bancaria o número de seguridad social.

El compromiso del correo electrónico empresarial (BEC) es un tipo de ataque de ingeniería social dirigido que depende en gran medida de pretexting. El 25 % de todos los ataques BEC ahora comienzan con pretextos.

En BEC, el personaje es un ejecutivo de la vida real o un asociado de negocios de alto nivel con autoridad o influencia sobre el objetivo. Debido a que el estafador finge ser alguien en una posición de poder, muchos objetivos simplemente cumplirán.

La situación es la necesidad de ayuda del personaje con una tarea (casi siempre) urgente. Por ejemplo, “Estoy atascado en un aeropuerto y olvidé mi contraseña para el sistema de pago. ¿Puede recordarme, por favor?" O “¿Se puede realizar una transferencia de XXX,XXX dólares a la cuenta bancaria #YYYYY para pagar la factura adjunta? Rápidamente, antes de que cancelen nuestro servicio”.

Al hacerse pasar por un jefe a través de mensajes de texto, correos electrónicos, llamadas telefónicas e incluso videos generados por IA, los estafadores pueden a menudo engañar a los empleados para que revelen información sensible o incluso cometan delitos.

En un caso famoso, una conferencia web pregrabada (y generada por IA) terminó con instrucciones del alta dirección falsa que convenció a un empleado de transferir 200 millones de HKD a los atacantes.⁴

Año tras año, BEC figura entre los delitos cibernéticos y técnicas de ingeniería social más costosos. Según el Reporte del costo de una filtración de datos de IBM®, las filtraciones de datos causadas por BEC cuestan a las organizaciones víctimas un promedio de 4.88 millones de dólares.

Según datos del Centro de Quejas de Delitos en el Internet del FBI, BEC resultó en pérdidas totales de casi 2.9 mil millones de dólares para las víctimas en 2023.³

Al hacerse pasar por un inversionista exitoso con una oportunidad de criptomoneda "segura", el estafador dirige a la víctima a un intercambio de criptomonedas falso, donde se roba la información financiera o el dinero de la víctima.

En una variante a largo plazo de esta estafa, llamada “matanza de cerdos”, el estafador cultiva una relación con la víctima y gana su confianza a través de las redes sociales. Luego, el estafador presenta una “oportunidad de negocio” a la víctima, a quien dirige a un sitio de criptomonedas para realizar depósitos. El sitio incluso podría informar falsamente ganancias en el valor de la inversión, pero la moneda nunca podrá retirarse.⁵

Al igual que con muchas estafas de ingeniería social, esta a menudo se aprovecha de los adultos mayores. El delincuente cibernético se hace pasar por el nieto de la víctima y finge estar en algún tipo de problema, como por ejemplo, un accidente automovilístico o arresto, y necesita que sus abuelos le envíen dinero para que puedan pagar las facturas del hospital o la fianza.

La víctima recibe una factura por un servicio o producto que no pidió ni empleó. El estafador a menudo quiere que la víctima haga clic en un enlace de un correo electrónico para solicitar más información o quejarse del cargo. Luego se le pide a la víctima que proporcione información de identificación personal (PII) para verificar su cuenta. Esa información privada es lo que el estafador buscaba desde el principio.

Al hacerse pasar por funcionarios del Servicio de Impuestos Internos (IRS), agentes de la ley u otros representantes del gobierno, el estafador afirma que el objetivo tiene algún tipo de problema. Este problema podría ser no pagar impuestos o una orden de arresto. Por lo general, el estafador indica al objetivo previsto que realice un pago para evitar el arresto, un gravamen hipotecario o el embargo de salarios. Por supuesto, el pago va a la cuenta del estafador.

Un solicitante de empleo podría estar dispuesto a divulgar información normalmente confidencial a un posible empleador. Pero si la descripción del trabajo es falsa y la publica un estafador, el solicitante podría convertir en víctima de robo de identidad.

El estafador finge buscar una relación romántica con la víctima. Luego de ganarse el corazón de la víctima, el estafador suele pedir dinero que eliminará algún obstáculo final para que puedan estar juntos. Este obstáculo puede ser una deuda agobiante, una obligación legal o incluso el costo de un boleto de avión para visitar a la víctima.

El scareware es una estafa de ingeniería social que emplea el miedo para engañar a las personas para que descarguen malware, pierdan dinero o entreguen datos personales.

El pretexto aterrador podría ser una falsa alerta de virus, una oferta falsa de soporte técnico o una estafa de aplicación de la ley. Una ventana emergente podría advertir a la víctima que se encontró “material ilegal” en su dispositivo digital, o una “prueba de diagnóstico” en línea podría decirle a la víctima que su dispositivo está comprometido y que necesita descargar un software antivirus (falso) para solucionarlo.

Al igual que con cualquier otra forma de ingeniería social, los intentos de pretexting pueden ser difíciles de detener porque explotan la psicología humana en lugar de vulnerabilidades técnicas que pueden remediar. Pero hay varios pasos que las organizaciones pueden tomar.

• DMARC
• Capacitación en concientización sobre seguridad
• Otras tecnologías de ciberseguridad

DMARC es un protocolo de autenticación de correo electrónico que puede ayudar a prevenir la suplantación de identidad. Al analizar tanto el texto como los metadatos de los mensajes en busca de indicadores comunes de compromiso, DMARC verifica si un correo electrónico se envió desde el dominio del que dice provenir. Si un correo electrónico es falsificado, puede desviarse automáticamente a una carpeta de spam o ser eliminado.

Debido a que el pretexting manipula a las personas para que comprometan su propia seguridad, capacitar a los empleados para detectar y responder adecuadamente a las estafas de pretexto puede ayudar a proteger una organización. Los expertos recomiendan ejecutar simulaciones basadas en ejemplos de pretextos de la vida real para ayudar a los empleados a diferenciar entre pretextos y solicitudes legítimas de colegas.

La capacitación también podría incluir protocolos claros para medidas de autenticación estrictas, tales como la autenticación multifactor (MFA), el manejo de información valiosa, la autorización de pagos y la verificación de solicitudes con sus supuestas fuentes antes de cumplir.

La verificación puede ser tan simple como enviar un mensaje de texto al supuesto remitente: "¿Me enviaste esto?" O un mensaje al servicio de atención al cliente: "¿Parece que esto es de un hacker?" Los procedimientos para transacciones financieras pueden incluir requisitos para validar las solicitudes entrantes en persona o con contacto personal directo.

Los filtros de correo electrónico pueden detectar frases y líneas de asunto utilizadas en ataques de pretexto conocidos. Un “escudo de IA”, que combina asistentes de IA y fuentes de inteligencia de amenazas para analizar grandes volúmenes de datos no estructurados en busca de anomalías, también puede ayudar a identificar posibles pretextos. 

Una pasarela web segura puede evitar que los usuarios sigan enlaces de correo electrónico de phishing a sitios web sospechosos. 

Si un atacante obtiene acceso a la red a través de pretextos, las tecnologías de ciberseguridad, como la detección y respuesta de endpoints (EDR), la detección y respuesta de red (NDR) y las plataformas de detección y respuesta extendidas (XDR) pueden ayudar a interceptar actividades maliciosas.

Varias leyes específicas de la industria se enfocan explícitamente en el pretexting. La Ley Gramm-Leach-Bliley de 1999 tipifica como delito el pretexting con respecto a las instituciones financieras, haciendo que sea un delito obtener información financiera de un cliente bajo pretextos falsos. La ley también exige a las entidades financieras que capaciten a sus empleados para detectar y prevenir el pretexting.

La Ley de protección de registros telefónicos y privacidad de 2006 prohíbe explícitamente el uso del pretexting para acceder a la información de los clientes en poder de un proveedor de telecomunicaciones.

La Comisión Federal de Comercio (FTC) adoptó recientemente una norma que prohíbe formalmente la suplantación de la identidad de cualquier organismo de gobierno o empresa.⁵ La norma faculta a la FTC para hacer cumplir la prohibición de tácticas habituales de pretexting, como emplear sin permiso el logotipo de una empresa, crear un sitio web falso que imite a un sitio legítimo y falsificar correos electrónicos comerciales.