Imagine que recibe una llamada del departamento de fraudes de su banco, alertándole urgentemente de una actividad sospechosa en su cuenta. La persona que llama conoce su nombre completo, su dirección y sus transacciones recientes, lo que hace que la amenaza parezca demasiado real.
Pero, ¿y si ese representante de confianza es en realidad un estafador que emplea una táctica engañosa conocida como pretexting?
En esta guía, exploraremos el tema del «pretexting», una sofisticada estrategia de ingeniería social en la que los atacantes fabrican escenarios para manipular a las personas para que divulguen información confidencial. Cubriremos:
- Qué es el pretexting.
- Ejemplos reales de ataques con pretextos, y sus consecuencias.
- Cómo detectar y dejar de ser víctima de ataques de pretextos.
¿Qué es el pretexting?
El pretexting es una forma de ataque de phishing que se basa en un «pretexto», es decir, en un escenario inventado.
Si aún no lo ha hecho, asegúrese de consultar este artículo del blog que trata ampliamente el concepto de phishing. Muchas de las ideas exploradas en ese artículo son aplicables aquí también. Además puede consultar este artículo sobre la diferencia entre spam y phishing.
La ingeniería social y los ataques de phishing en general se basan en uno o varios de los siguientes componentes:
- Confianza: Los atacantes fingen ser alguien que no son (un banco, una agencia gubernamental…) utilizando sus logotipos, tono de voz, formato, etc. Suelen utilizar una dirección de correo electrónico muy parecida a la real (método denominado spoofing).
- Conformidad: Como humanos, estamos entrenados para actuar de conformidad con las instrucciones de las autoridades. Haciéndose pasar por funcionarios de alto rango o empresas importantes, como su banco, los atacantes pueden conseguir que reveles datos sensibles.
- Urgencia y miedo: La gente actúa de forma irracional cuando le invade una sensación de pánico. Los atacantes se aprovechan de estas emociones utilizando falsas alertas de tarjetas de crédito, avisos de eliminación de cuentas, etc.
Los ataques de pretextos se basan en estos 3 elementos.
Exploremos esto más a fondo con un ejemplo imaginario.
Cómo los ataques de pretextos se basan en la confianza, la conformidad y la urgencia
Imagine que recibe un correo electrónico urgente del departamento informático de su empresa, advirtiéndole de una reciente filtración de seguridad.
El correo electrónico le indica que restablezca su contraseña inmediatamente para proteger los datos confidenciales.
A continuación, el correo electrónico proporciona un enlace a una página de restablecimiento de contraseña que tiene exactamente el mismo aspecto que el sitio web de su empresa. Sólo más tarde se da cuenta de que acaba de enviar sus credenciales de inicio de sesión a hackers, y de que nunca hubo ninguna filtración de seguridad.
Diseccionemos la anatomía de este ataque de pretexto:
- El pretexto: Su empresa ha sufrido una filtración de seguridad y, por tanto, necesita actualizar su contraseña.
- Confianza: Los atacantes se hacen pasar por su departamento informático y el sitio web al que le llevan parece totalmente legítimo.
- Cumplimiento: El correo electrónico utiliza un tono autoritario, y parece proceder de «más arriba». Estamos naturalmente inclinados a seguir órdenes y protocolos, especialmente con el pretexto de la seguridad.
- Urgencia y miedo: El correo electrónico puede utilizar palabras como «filtración reciente», «acción inmediata» y «urgentemente». Esto crea una sensación de urgencia y miedo de actuar rápidamente.
En otros escenarios, el pretexto puede ser mucho más sencillo: su ISP necesita sus datos de acceso para mejorar la velocidad de su conexión, por ejemplo. Los ataques de pretexto pueden producirse incluso en el mundo físico, lo que los acerca más a los ataques de «tailgating».
Por ejemplo, un individuo podría hacerse pasar por un mensajero de reparto. Luego convence al recepcionista para que le permita acceder a una zona segura para entregar un paquete.
Los mejores ataques de pretexto se basan en la confianza, el cumplimiento y la urgencia para construir sus pretextos. Por eso, detectarlos es clave para evitar ser víctima de estos ataques.
Ejemplos reales de ataques de pretexto
Veamos ahora varios casos destacados de ataques con pretextos, y lo que podemos aprender de ellos.
El ataque del Grupo Lapsus$ a Microsoft y Nvidia
En 2022, el grupo ciberdelincuente Lapsus$ ejecutó una serie de ataques de pretextos de gran repercusión contra importantes empresas tecnológicas, como Microsoft y NVIDIA.
Los atacantes se hicieron pasar por personal interno de la empresa y utilizaron credenciales robadas para obtener acceso no autorizado a datos confidenciales.
A menudo manipulaban a los empleados mediante ingeniería social para eludir los protocolos de seguridad. Por ejemplo, los atacantes se hacían pasar por personal de soporte informático interno, poniéndose en contacto con los empleados bajo el pretexto de realizar comprobaciones de seguridad rutinarias o solucionar problemas técnicos.
El mismo grupo también fue responsable de un ataque contra Okta, la empresa de gestión de identidades digitales, así como contra Nvidia.
Para saber más sobre este ataque, consulte la entrada del blog de Microsoft aquí.
Filtración de datos en MGM Resorts International
En septiembre de 2023, la cadena hotelera MGM Resorts International sufrió una filtración de datos iniciada mediante un sofisticado ataque de pretexto.
Los atacantes se hicieron pasar por empleados de la empresa y se pusieron en contacto con el servicio de asistencia informática de MGM, convenciendo al personal para que les proporcionara acceso a la red.
Haciéndose pasar por personal de confianza y creando una sensación de legitimidad, los atacantes engañaron a los empleados para que les concedieran acceso a sistemas delicados. Se hicieron con datos sensibles como nombres de clientes, números de teléfono, direcciones de correo electrónico, números de carné de conducir, etc.
Puede encontrar más información sobre este ataque de pretexto en el comunicado de prensa de MGM.
Ciberataque de pretexting a Retool
En agosto de 2023, la empresa de software Retool sufrió un ciberataque iniciado por un esquema de phishing por SMS (también conocido como smishing).
Los atacantes se hacían pasar por miembros del equipo informático y fabricaban un escenario creíble, convenciendo a los empleados para que hicieran clic en enlaces maliciosos.
Los enlaces estaban supuestamente relacionados con algún tipo de problema de nóminas. Todo lo que necesitaban los atacantes era que una persona cayera en el pretexto de acceder a los sistemas internos de la empresa.
Al final, los atacantes consiguieron hacerse con 27 cuentas de clientes, y uno de ellos perdió 15 millones de dólares en criptomonedas.
Ataques de pretextos: ¿Cómo prevenirlos?
La detección y prevención de los ataques de pretextos se consigue principalmente mediante la formación y la concienciación.
Éstos son algunos de los pasos a seguir siempre que sospeche de un correo electrónico o una llamada:
- Nunca facilite información confidencial por correo electrónico o por teléfono, especialmente información financiera.
- Preste siempre atención a la dirección de correo electrónico del remitente. Puede imitar a una empresa legítima con sólo unos pocos caracteres alterados u omitidos.
- Nunca abra un archivo adjunto sospechoso, ya que es un mecanismo de entrega estándar para el malware.
- Pase el ratón por encima de los enlaces para comprobar el destino real. Compruebe si hay faltas de ortografía en la URL, que podrían ser indicio de un sitio web falsificado.
- Nunca actúe por miedo o urgencia. Tómese su tiempo para evaluar la situación y póngase en contacto con el remitente a través de los medios habituales (sitio web oficial, número de teléfono, etc.).
Conclusión
¡Hasta aquí esta guía sobre ataques de pretextos! Esperamos que ahora conozca mejor este tipo de ataque y pueda evitar que se produzcan en el futuro.
Como recordatorio final, nunca debe fiarse de los mensajes de texto no solicitados procedentes de su banco, su empresa o incluso un amigo que incluyan enlaces a una aplicación o sitio web.
Si quiere llevar su ciberseguridad más allá, entonces el primer paso debería ser conseguir un proveedor de correo electrónico privado y seguro. En Mailfence estamos orgullosos de ello:
- Herramientas de seguridad avanzadas: Cifrado de extremo a extremo, cifrado simétrico, firmas digitales y mucho más.
- Sin seguimiento ni publicidad. No utilizamos ningún rastreador de publicidad o marketing de terceros. No rastreamos su actividad en la aplicación. Mailfence está completamente libre de anuncios.
- Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a revelar datos.
¿Le interesa llevar su privacidad y ciberseguridad al siguiente nivel? ¡Cree su cuenta gratuita hoy mismo!
¿Quiere profundizar en el mundo de los ataques de pretextos? Consulte este extenso informe de Verizon sobre el estado de las violaciones de datos en el mundo, sus fuentes y sus consecuencias.
