Los ataques de Pretexting son un tipo de ingeniería social que se basa en crear un buen pretexto (de ahí su nombre en inglés) o situación forjada, que los estafadores aprovechan para convencer a su víctima de que revele su propia información personal.
Démosle un vistazo a algunos ejemplos de pretexting y cómo evitar este tipo de ingeniería social.
¿Qué es el pretexting?
El pretexting se basa en la confianza. Los pretexters (como se conoce a los perpetradores de estas acciones) pueden suplantar la identidad de compañeros de trabajo, la policía, el banco, autoridades fiscales, el clero, investigadores de compañías aseguradoras, etc. En pocas palabras, cualquier persona que, para la víctima, pudiese parecer tener la autoridad necesaria para solicitar tal información. Este tipo de ataques típicamente son llevados a cabo por un estafador que simula necesitar cierta información de sus víctimas para confirmar sus identidades. El pretexter simplemente tiene que preparar respuestas a las preguntas que la víctima pudiese hacerle. En algunos casos, todo lo necesario es una voz autoritaria, un tono serio y la capacidad necesaria para improvisar un escenario de pretexto.
Los atacantes simulan tener autoridad sobre usted y después le solicitan información tanto delicada como corriente. En el 2020, un grupo de estafadores se hicieron pasar por representantes de agencias de modelajes y servicios de acompañantes. Se inventaron antecedentes y preguntas de entrevistas falsas para lograr que las víctimas mujeres, incluyendo adolescentes, les enviasen fotos desnudas de ellas mismas. Después les vendieron esas fotos a negocios de pornografía a cambio de enormes sumas de dinero.
Como los ataques de Pretexting se basan en la confianza, los estafadores intentan convencer a sus víctimas de que revelen su propia información personal.
Uno de los aspectos más importantes de la ingeniería social es la confianza. Si no es capaz de generar confianza, lo más probable es que se falle. Un pretexto sólido es parte fundamental de la generación de confianza. Si su identidad o historia falsas tienen fisuras, o no suenan aunque sea levemente creíbles, lo más probable es que la víctima las pille. De manera similar a lo que ocurre al insertar la llave adecuada en una cerradura, el pretexto adecuado proporciona las señales adecuadas a los que le rodean, y puede desarmar sus dudas o sospechas y, por así decirlo, abrirle las puertas.
Ejemplos de pretexting
- Ejemplo #1: Proveedor de servicios de internet
Una persona se está haciendo pasar por empleado de su proveedor de internet. Podrían engañarle fácilmente diciéndole que han venido para una revisión de mantenimiento. En primer lugar, las personas corrientes no son expertas en mantenimiento de redes, sino que tienen una vaga noción de que es necesario para que Netflix siga funcionando. Así, usted “picará” y se dejará entrar y hacer su “trabajo”. Lo que puede hacer en este escenario es hacer preguntas y decir que nadie le informó que tal visita habría de ocurrir. Además, usted puede llevar esto un paso más allá y preguntarles a qué plan de internet está suscrito o preguntas más avanzadas, cuya respuesta solo podría conocer un empleado real. Compruebe sus fuentes y llame directamente a su proveedor de internet. - Ejemplo #2: Elegibilidad para una tarjeta regalo
Usted recibe un correo electrónico con el asunto: “BUENAS NOTICIAS!!” Lo abre, y ve que le informan de que usted es elegible para una tarjeta regalo gratos. Qué bien, ¿no? Y ¿a quién no le gustan las cosas gratis, especialmente las tarjetas de regalo? Usted verá un enlace en el interior, en el que usted debe indicar su información para que se la envíen. Alternativamente, el hacker puede comprobar primero la disponibilidad de la víctima, para determinar si esta víctima le es útil y para establecer afinidad. Necesita de nombre/apellido, dirección, etc. Sin embargo, pregúntese lo siguiente: si alguien sabe que usted es elegible para una tarjeta regalo… ¿cómo es que no conoce ya su información? ¿Por qué es elegible? ¿de dónde salió este “concurso”? ¿Usted rellenó una encuesta o algo por el estilo? Verá, esta es la parte en la que usted debe percibir que seguramente se una estafa. Los pretextos no están limitados solo a estos ejemplos, los estafadores siempre vendrán con una nueva técnica de pretexting. Su mejor respuesta sería armarse de conocimientos y estar consciente de que tales estafas siempre existirán, y que adoptan múltiples formas.
Haga clic en este enlace para más información.
¿Cómo evitar el pretexting?
Los estafadores explotan las debilidades humanas para robarle su información personal. Hacemos lo que podemos para proteger a los usuarios de este tipo de amenazas, por ejemplo, dele un vistazo a nuestra estrategia de implementación de DMARC; pero esto no es suficiente. Para ayudarle a obtener información contra todo tipo de técnicas de ingeniería social, le sugerimos que tome nuestro curso de concienciación acerca de la seguridad y la privacidad del correo electrónico. Le recomendamos encarecidamente que se mantenga informado acerca de la ingeniería social, especialmente porque es una de las amenazas más comunes a la privacidad en línea y la seguridad digital.
Si usted recibe un correo electrónico de alguien que afirma ser un trabajador de mantenimiento que quiere visitarle, contacte a la empresa del remitente, no al remitente. Deles una llamada, y verifique que en verdad desean enviar a alguien. Si usted está en casa cuando lleguen, pídales hablar con su supervisor, pero no les crea de buenas a primeras. Pídales el número de teléfono de la empresa y el nombre de su supervisor, de modo que pueda llamarlos desde su número de teléfono personal. Tal vez le parezca algo maleducado, pero si está tratando con un ingeniero social, su mejor defensa consiste en romperle la fachada.
Lo mismo aplica a páginas web que anuncian eventos y exposiciones. Llame al centro de eventos y pregunte por el evento específico. Vaya directo a la fuente. Tenga cuidado con cualquier página web que solo acepte efectivo o PayPal.
Como cualquier otra defensa contra la ingeniería social, usted debe ser proactivo y no reactivo.
En cualquier caso, su mejor medida de protección es acudir a la fuente del pretexto. Si el ingeniero social está empleando pretextos, su punto débil será el hecho de que su fuente no existe, sino que es inventada.
Técnicas comunes similares al pretexting
Todos los ataques de ingeniería social son similares, porque todos se basan en la confianza, al igual que el pretexting. Sin embargo, todos tienen sus propias características distintivas. Por ejemplo, a veces un ataque de phishing se puede combinar con un ataque de pretexting.
- Phishing
El phishing es otro tipo de estafa de ingeniería social cuyo objetivo es robar datos personales, tales como nombre de usuario, contraseñas, detalles bancarios, etc. Mediante el uso de páginas web fraudulentas, correos electrónicos y llamadas telefónicas falsas entre otras, los perpetradores intentan robarle sus datos personales, normalmente sus contraseñas e información de sus tarjetas de crédito. Al igual que los ataques de pretexting, se basan en la confianza. Sin embargo, los ataques de phishing tienden a intentar engañar a las víctimas usando un falso sentido de la urgencia. - Smishing
El smishing es muy similar al phishing, pero esta estafa de ingeniería social usa mensajes de texto (SMS) en vez de correos electrónicos y enlaces. De ahí el nombre: SMSishing. Hoy en día es más efectivo, porque se ha vuelto más fácil conseguir el correo electrónico de cualquier persona. Podría deberse a que su correo electrónico fue revelado en una filtración de datos y se vendió en la Dark web. Sin embargo, un número de teléfono es algo un poco más íntimo, puesto que crea un sentido de conexión y confianza cuando usted recibe un SMS de su banco u otro servicio. - Vishing
El vishing es otro tipo de phishing, pero esta vez es con voz (de ahí la “V” del nombre) El ingeniero social suplanta la identidad de los servicios normales del phishing. Pero esta vez, tendrá a una persona de verdad en el otro lado de la línea, en vez de correos electrónicos y enlaces. Con el todo y preguntas adecuados, combinado con un poco de paciencia, esto puede ser sumamente eficaz contra individuos incautos. Especialmente las personas mayores, que no usan correos electrónicos y textos SMS. - Whaling
El whaling es comparable con el phishing, excepto por el hecho de que se dirigen a individuos muy específicos que se consideran “ballenas” (o “peces gordos”) debido a su alto rango en una organización valiosa. Las estafas de phishing, en contraposición, se envían masivamente
Conclusión
Como los estafadores explotan las debilidades humanas, el ser cauto y seguir buenas prácticas siempre es buena idea, pero no garantiza que su buzón de entrada vaya a estar completamente blindado. Si le llegan a hackear su cuenta, no entre en pánico y siga estos pasos para recuperar el control.
Le sugerimos que blinde su cuenta de Mailfence y también que haga nuestro curso.
Consulte este artículo sobre cómo evitar esquemas de ingeniería social.
En Mailfence, no solo nos proponemos hacer que nuestra plataforma sea más privada, segura y cifrada, sino que también nos esforzamos porque nuestros usuarios tomen conciencia acerca de la importancia de mejorar cada vez más la seguridad y privacidad de su e-mail.
