¿Qué es un Pretexting en ciberseguridad?
Significado de Pretexting
El pretexto es un tipo de ingeniería social en la que los atacantes crean un escenario inventado, o "pretexto", para manipular a las personas para que divulguen información confidencial. A diferencia de los métodos de piratería tradicionales que explotan las vulnerabilidades del sistema, el pretexto se dirige a las vulnerabilidades humanas, aprovechando el engaño para extraer información confidencial.
Comprensión de Pretexting: Una táctica de ingeniería social
¿Ha recibido alguna vez una llamada no solicitada de alguien de “soporte técnico” sobre un problema que requiere su atención inmediata? Quizás la persona que llama empiece a pedir información personal o detalles de la cuenta para ocuparse del problema inmediatamente. Este escenario resume un método de ingeniería social conocido como pretexto.
La mayoría de las veces se realiza por teléfono, el pretexto implica la creación de una situación que convenza al objetivo de revelar información personal o valiosa. El estafador pretenderá ser alguien legítimo o familiar para hacer que el objetivo se sienta cómodo: un agente de atención al cliente de su ISP, un compañero de trabajo de una sucursal u oficina diferente, o alguien del soporte técnico de la empresa. Los delincuentes a veces extraen información sobre el objetivo de antemano para hacer que la estafa parezca más creíble.
El problema es cómo distinguir a un estafador de una persona que llama legítimamente. Por lo general, si recibe una llamada no solicitada y la persona que llama comienza a solicitar información personal (número de seguridad social, preguntas de seguridad de la cuenta), debe verificar si la persona que llama es legítima. Cuelgue y llame a la propia empresa para confirmar si realmente hay un problema.
Cómo funciona Pretexting: Un desglose paso a paso
- Investigación del objetivo: los atacantes realizan una investigación exhaustiva utilizando recursos como la inteligencia de código abierto (OSINT), las redes sociales o filtraciones de datos anteriores para recopilar información personal o corporativa.
- Suplantación: los atacantes asumen la identidad de una entidad de confianza, como el personal de TI, un director ejecutivo o un agente del orden público. Al aprovechar la autoridad, crean un sentido de legitimidad, haciendo que las víctimas tengan más probabilidades de cumplir.
- Suplantación de identidad: para mejorar la credibilidad, los atacantes utilizan suplantación de email, suplantación de ID de llamada o perfiles en línea falsos. La tecnología Deepfake y las voces generadas por IA complican aún más la detección.
- Ganarse la confianza del objetivo: mediante la manipulación psicológica, los atacantes establecen credibilidad y reducen la sospecha.
- Extracción de información confidencial: la víctima proporciona sin saberlo detalles confidenciales, creyendo que está interactuando con una entidad legítima.
- Aprovechamiento de los datos obtenidos: la información robada se utiliza para el robo de identidad, fraude financiero, espionaje corporativo o más ciberataques.
Ejemplos comunes de ataques de pretexto
Vishing
Voice Vishing, también conocido como Vishing, es un tipo de ataque de ingeniería social en el que los atacantes utilizan llamadas telefónicas o comunicaciones basadas en voz para engañar a alguien para que revele información confidencial, como datos de cuentas bancarias, credenciales de inicio de sesión o información de identificación personal (PII).
Phishing
El phishing es un tipo de ciberataque en el que los ciberdelincuentes utilizan correos electrónicos o mensajes fraudulentos para engañar a las personas para que divulguen información confidencial. Estos correos electrónicos o mensajes contienen enlaces maliciosos que pueden robar información privada del usuario. Los ataques de phishing son más eficaces cuando los usuarios no son conscientes de que esto está sucediendo.
Figura 1. Cadena de infección del ataque de phishing de Heatstroke; tenga en cuenta que la cadena de infección podría cambiar dependiendo de las propiedades del usuario/comportamiento
Remolcado
Un ataque de tailgating en ciberseguridad es una filtración de seguridad física en la que una persona no autorizada obtiene acceso físico a un área restringida siguiendo de cerca a una persona autorizada. Los atacantes pueden hacerse pasar por nuevos empleados, conductores de entrega o trabajadores de mantenimiento para engañar a los empleados autorizados.
Baiting
Baiting se refiere al acto de los cibercriminales que invita a las víctimas a interactuar con dispositivos físicos o activos digitales comprometidos. Los atacantes utilizarán pretexto para hacer que el cebo sea más atractivo para la víctima etiquetando una unidad USB con un nombre engañoso, como "Confidencial" o "Salarios de empleados" en entornos corporativos, para animar a las víctimas a conectarlo.
Estafas románticas
Una estafa romántica es una táctica de ingeniería social mediante la cual un atacante utilizará redes sociales falsas o perfiles de citas para buscar víctimas desprevenidas y construir una relación romántica con ellas. El atacante podría tardar semanas o meses en ganarse la confianza de la víctima, pero, una vez que se haya logrado esto, pedirá grandes sumas de dinero para una emergencia falsa o regalos.
Estafas de Scareware
Scareware es un tipo de estafa de ingeniería social que implica intimidar a las víctimas con falsas alarmas y amenazas. Los usuarios pueden engañarse pensando que su sistema está infectado con malware. A continuación, se les animará a visitar sitios web maliciosos para descargar una solución, pero en su lugar acaban descargando malware o divulgando información confidencial como los datos de la tarjeta.
Pretexto frente a phishing: ¿Cuál es la diferencia?
Aunque ambas son tácticas de ingeniería social, el pretexto implica una interacción directa y personalizada y el engaño, mientras que el phishing suele utilizar emails masivos con enlaces maliciosos. Sin embargo, los ciberdelincuentes a menudo combinan ambos métodos en ataques multicapa.
Cómo evitar ataques de pretexto
DMARC (Autenticación de mensajes basada en dominio, informes y conformidad)
DMARC es un protocolo de autenticación de correo electrónico que ayuda a evitar la suplantación de correo electrónico verificando la autenticidad de los remitentes de correo electrónico. DMARC trabaja junto con SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para garantizar la autenticación e integridad del correo electrónico.
- SPF (marco de políticas de remitente): Garantiza que solo los servidores de correo electrónico autorizados pueden enviar mensajes en nombre del dominio de una organización.
- DKIM (DomainKeys Identified Mail): Utiliza firmas criptográficas para verificar que los mensajes de correo electrónico no se han alterado en tránsito.
- Aplicación de la política de DMARC: Las organizaciones pueden establecer políticas (ninguna, poner en cuarentena o rechazar) para dictar cómo se deben gestionar los correos electrónicos que fallan en la autenticación. Una política de DMARC estricta puede reducir significativamente la probabilidad de que los atacantes utilicen suplantación de dominio para pretextuar ataques.
Prácticas de verificación y formación en concienciación sobre seguridad
La formación periódica en ciberseguridad para educar a los empleados para identificar y responder en consecuencia a las estafas de pretexto puede ayudar a proteger su negocio. Las organizaciones deben enfatizar:
- Identificar solicitudes sospechosas y verificar su legitimidad.
- Ponerse en contacto con el solicitante a través de canales oficiales antes de compartir datos confidenciales o autorizar transacciones financieras.
- Reconocer las técnicas de manipulación psicológica utilizadas en los ataques de pretexto.
Autenticación multifactor (MFA)
La MFA añade una capa adicional de seguridad al requerir múltiples factores de autenticación, como una contraseña de un solo uso o verificación biométrica, para acceder a las cuentas. Esto reduce significativamente el riesgo de que los atacantes utilicen indebidamente credenciales robadas.
Notificación de actividades sospechosas
Las organizaciones deben animar a los empleados a informar de cualquier llamada, correo electrónico o mensaje sospechoso al equipo de seguridad de TI para una investigación más exhaustiva. Tener un mecanismo de notificación proactivo ayuda a las organizaciones a detectar y responder ante posibles amenazas antes de que se intensifiquen.