Pretexting

El pretexting es una preocupación fundamental en el ámbito de la ciberseguridad, ya que los atacantes crean escenarios engañosos para manipular a las personas y que estas revelen información confidencial. El pretexting es una sofisticada táctica de ingeniería social que plantea importantes retos para la seguridad de las organizaciones, por lo que es esencial desarrollar estrategias eficaces para protegerse contra estos intentos calculados de fraude.

El pretexting es un ataque de ingeniería social en el que el atacante crea una identidad o un escenario ficticios para persuadir a la víctima de que divulgue información confidencial, conceda acceso a sistemas restringidos o realice acciones que de otro modo no llevaría a cabo.

A diferencia de los ataques de phishing, que suelen basarse en provocar pánico o urgencia, el pretexting suele consistir en ganarse la confianza del objetivo mediante historias y narrativas cuidadosamente construidas. El éxito de estos ataques depende de la capacidad del atacante para parecer lo suficientemente legítimo y digno de confianza como para que la víctima baje la guardia.

Los agentes maliciosos que llevan a cabo ataques de pretexto invierten tiempo en recopilar información relevante para la historia que han elegido. Esta fase preparatoria puede incluir la investigación de la estructura de una organización, las funciones y responsabilidades de sus empleados, así como cualquier información personal disponible públicamente sobre posibles objetivos. Armados con este conocimiento, los atacantes elaboran historias verosímiles, como fingir ser un miembro del personal informático interno que realiza comprobaciones de seguridad rutinarias, que requieren compartir contraseñas, datos financieros u otros datos confidenciales.

La ejecución de un ataque de pretexto puede variar mucho en cuanto a su complejidad, desde simples llamadas telefónicas en las que se solicita restablecer la contraseña con el pretexto de ser personal de asistencia técnica, hasta elaborados planes en los que se suplantan a ejecutivos de la empresa que necesitan acceder urgentemente a documentos específicos mientras se encuentran fuera de la oficina. Independientemente de su sofisticación, cada pretexto intenta explotar la psicología humana estableciendo una relación de confianza y una autoridad aparente. Por ello, es fundamental que tanto las organizaciones como las personas se mantengan alerta ante estas tácticas engañosas.

El pretexting y el phishing son técnicas de ingeniería social diseñadas para engañar a las personas con el fin de que revelen información confidencial, pero funcionan con metodologías y tácticas psicológicas distintas.

Phishing

Los ataques de phishing se caracterizan por su enfoque amplio, que suele implicar el envío masivo de comunicaciones a un gran número de víctimas potenciales. Estas comunicaciones suelen crear una sensación de urgencia o miedo, lo que incita a los destinatarios a actuar con rapidez, por ejemplo, haciendo clic en un enlace malicioso o facilitando información confidencial sin verificarla minuciosamente.

Los intentos de phishing no suelen ser personalizados, ya que los atacantes se basan en la “ley de los promedios”, esperando que, aunque solo responda un pequeño porcentaje, obtendrán datos valiosos o acceso.

Pretexting

El pretexting, por otro lado, implica un enfoque más específico en el que los atacantes invierten tiempo en crear antecedentes y escenarios detallados adaptados específicamente a sus víctimas. A diferencia del phishing, que se basa en las respuestas emocionales inmediatas de los objetivos a través de mensajes con llamadas a la acción urgentes, el pretexting se basa en establecer una confianza con el objetivo a lo largo del tiempo mediante historias elaboradas que justifican la solicitud de información confidencial.

El atacante asume una identidad o un papel que parece legítimo dentro del contexto proporcionado, un proceso que requiere una investigación exhaustiva sobre la víctima para aumentar la credibilidad.

Aunque el pretexting y el phishing tienen como objetivo engañar a las personas para que comprometan la seguridad personal o de la organización, difieren significativamente en su ejecución. El phishing lanza redes amplias, con la esperanza de que algunos “piquen” por prisa o miedo, mientras que el pretexting elabora narrativas convincentes en torno a objetivos bien investigados para atraerlos lentamente a través de la legitimidad y la confianza percibidas.

Los ataques de pretexto se desarrollan a través de una serie de pasos meticulosamente planificados, cada uno de ellos diseñado para reforzar la credibilidad del atacante y persuadir a la víctima para que divulgue información confidencial o realice acciones específicas.

1. Investigación y recopilación de información: La fase inicial consiste en una investigación exhaustiva sobre la persona u organización seleccionada. Los atacantes pueden rastrear bases de datos públicas, plataformas de redes sociales, sitios web de empresas y otras fuentes de acceso público para recopilar información detallada que haga más convincente su pretexto. Este paso preparatorio es crucial para crear una historia creíble que resulte convincente para la víctima potencial.
2. Desarrollo del escenario: Armados con suficientes conocimientos previos, los atacantes desarrollan un escenario plausible adaptado a su objetivo. Esta narrativa puede implicar suplantar a alguien dentro o fuera de la organización, como un miembro del personal de TI que realiza comprobaciones rutinarias, un auditor financiero que solicita datos confidenciales de una cuenta o incluso agentes de la ley que exigen cooperación inmediata en un asunto urgente. El éxito de esta etapa depende de una narrativa que justifique por qué se necesita cierta información.
3. Generar confianza y establecer autoridad: Una vez que se contacta con el objetivo, a menudo mediante una llamada telefónica, un correo electrónico o una interacción cara a cara, el atacante emplea tácticas psicológicas para establecer una relación y ejercer autoridad dentro del papel que ha asumido. Puede hacer referencia a detalles específicos obtenidos durante su investigación para reforzar su legitimidad y reducir las sospechas de la víctima.
4. Ejecución de la solicitud: Una vez establecida la confianza bajo falsos pretextos, el atacante solicita directamente datos confidenciales (por ejemplo, contraseñas), permisos de acceso (a sistemas restringidos), números de identificación personal (PIN) o registros financieros, o bien persuade a las víctimas para que realicen acciones que benefician aún más el compromiso de las medidas de seguridad (como habilitar protocolos de escritorio remoto).
5. Recopilación de datos y estrategia de salida: Una vez que el atacante ha obtenido con éxito la información confidencial, la recopila y la protege cuidadosamente para el uso que le va a dar, que puede incluir el acceso a cuentas financieras, la penetración en sistemas seguros o la venta de los datos a otros entes malintencionados. La estrategia de salida se ejecuta con precisión para minimizar los rastros que puedan conducir hasta el atacante, asegurándose de que, cuando se detecte cualquier actividad sospechosa, ya haya cubierto sus huellas y haya salido sin dejar un rastro claro.

Los ataques de pretexto combinan una planificación meticulosa y la manipulación psicológica, aprovechando una investigación detallada y narrativas personalizadas para generar confianza y autoridad ante sus objetivos.

Los ataques de pretexting pueden ser esquemas muy dinámicos, que a menudo implican una combinación de técnicas de ingeniería social. Algunos de los casos más notables de pretexting en el mundo real son:

• Escándalo de pretexting de Hewlett-Packard (2006): HP contrató a investigadores para que se hicieran pasar por miembros del consejo de administración de la propia empresa y periodistas con el fin de obtener sus registros telefónicos mediante técnicas de pretexting. Este escándalo puso de relieve las implicaciones legales y éticas del pretexting, lo que dio lugar a cambios en la legislación estadounidense sobre el uso de estas tácticas de ingeniería social para obtener registros personales.
• Fraude a Ubiquiti Networks (2015): Unos pretexters que se hicieron pasar por altos ejecutivos de Ubiquiti Networks enviaron mensajes a los empleados pidiéndoles que enviaran fondos a las cuentas bancarias del autor de la amenaza. El resultado de este elaborado ataque de ingeniería social le costó a la empresa 46,7 millones de dólares en pérdidas.
• Apropiación de cuentas de Twitter (2020): Aprovechando una combinación de ataques de piratería, pretexting y spear phishing, los agentes de amenaza engañaron a empleados de Twitter para que revelaran las credenciales de sus cuentas, lo que permitió a los atacantes controlar cuentas de alto perfil como las de Barack Obama y Kanye West. Este caso se destacó en la revista Journal of Cybersecurity Education, Research and Practice.

Los ejemplos de pretexting también incluyen perfiles y vectores de ataque específicos. A continuación, se presentan algunos escenarios y estafas que suelen basarse en mecanismos de pretexto.

• Estafas de actualización de cuentas: Las víctimas reciben mensajes falsos de su banco en los que se les solicitan datos personales, lo que las lleva a sitios web fraudulentos diseñados para robar sus credenciales de inicio de sesión.
• Estafas de compromiso del correo electrónico empresarial (BEC): En los ataques BEC, los agentes de amenaza se hacen pasar por altos cargos para solicitar transferencias urgentes de dinero o información confidencial, aprovechando la confianza dentro de las organizaciones.
• Estafas a los abuelos: Los estafadores se aprovechan de la vulnerabilidad emocional de las personas mayores para obtener beneficios económicos, fingiendo ser familiares que necesitan ayuda económica urgente.
• Estafas románticas: Los estafadores utilizan perfiles de citas falsos e historias inventadas para entablar relaciones online antes de pedir dinero con falsas emergencias, lo que a menudo provoca importantes pérdidas económicas a nivel internacional.
• Estafas del IRS/Gobierno: Los suplantadores afirman que las víctimas deben impuestos y deben pagarlos inmediatamente bajo amenaza de acciones legales, utilizando tácticas de miedo para obtener dinero o datos confidenciales directamente.
• Estafas con criptomonedas: Fingiendo ser expertos en inversiones, los estafadores ofrecen oportunidades falsas con altos rendimientos en inversiones en criptomonedas. Una vez que la víctima transfiere la criptomoneda a la cuenta del estafador, la recuperación se vuelve casi imposible debido al anonimato y la naturaleza descentralizada de las criptomonedas.
• Estafas de soporte técnico: Los atacantes se hacen pasar por agentes de soporte técnico de empresas conocidas y afirman que el ordenador de la víctima está infectado con malware. Engañan a los usuarios para que les concedan acceso remoto o paguen por reparaciones de software innecesarias.
• Estafas de ofertas de empleo: Los estafadores publican anuncios de empleo falsos o se ponen en contacto directamente con las víctimas para ofrecerles puestos lucrativos. Se pide a las víctimas que paguen por adelantado los gastos de formación o de verificación de antecedentes, solo para descubrir que no existe ningún trabajo real.

Las diversas tácticas empleadas en las estafas de pretexto subrayan la necesidad crítica de estar alerta y ser escéptico, especialmente cuando se enfrentan solicitudes inesperadas de información o dinero. Tener una gran conciencia de la seguridad y tomarse un momento para verificar la autenticidad de estas comunicaciones puede evitar daños financieros y reputacionales importantes.

El pretexting, el acto de adquirir información mediante medios engañosos, no solo es poco ético, sino que también infringe claramente las leyes de muchas jurisdicciones. Esta práctica suele dirigirse a datos personales delicados, como registros telefónicos o información financiera, ámbitos en los que la ley prohíbe explícitamente las consultas basadas en pretextos.

Por ejemplo, la ley de protección de la privacidad y los registros telefónicos de 2006 tipifica como delito federal el pretexting para obtener registros telefónicos sin autorización. Esta legislación se introdujo como respuesta directa a la creciente preocupación por las vulneraciones a la privacidad y el acceso no autorizado a los datos.

De manera similar, la ley Gramm-Leach-Bliley (GLBA) de 1999 aborda la privacidad financiera de los consumidores al ilegalizar el uso de pretextos falsos —pretexting— para recopilar datos financieros de particulares. Además, amplía su alcance al prohibir solicitar a terceros que obtengan este tipo de información bajo condiciones engañosas.

Estas leyes subrayan la seriedad con la que la legislación estadounidense se toma estas prácticas engañosas y establecen límites claros para proteger la privacidad y la seguridad de los consumidores.

La protección contra los ataques de pretexting requiere un enfoque multifacético, que combine: capacitación de los empleados, procesos de verificación robustos y controles estrictos de acceso a los datos.

Formación y concienciación de los empleados

Una de las defensas más eficaces contra los ataques de pretexto, es contar con una plantilla informada y vigilante. Las organizaciones deben impartir sesiones de formación periódicas para capacitar a los empleados sobre la naturaleza de las estafas de pretexting, los indicadores comunes de las solicitudes fraudulentas y la importancia del escepticismo en las interacciones que implican información confidencial.

Implementar procesos de verificación estrictos

Las organizaciones deben establecer protocolos estrictos para verificar las identidades a través de llamadas telefónicas o correos electrónicos, especialmente cuando dichas comunicaciones solicitan acceso a datos personales o corporativos. Dichos protocolos pueden incluir preguntas secretas que solo conozcan las partes o solicitar una devolución de llamada a través de números oficialmente registrados.

Limitar el acceso a la información confidencial

Aplique el principio del mínimo de privilegios posible (PoLP, por sus siglas en inglés) en todos los niveles de su organización y asegúrese de que las personas solo tengan acceso a la información necesaria para el desempeño de sus funciones. Un control estricto sobre quién tiene acceso a qué minimiza los daños potenciales, incluso si un atacante logra engañar a alguien dentro de la empresa.

Ejercicios de simulación mejorados

Más allá de la formación básica, la incorporación de ejercicios de simulación que imitan intentos reales de suplantación de identidad puede agudizar la capacidad de los empleados para reconocer y responder a los ataques. El uso de banners de inicio de sesión que recuerdan al personal los protocolos de seguridad al acceder al sistema y el envío periódico de correos electrónicos en los que se destacan las últimas tendencias en materia de estafas, mantienen la ciberseguridad en primer plano.

Autenticación multifactor (MFA)

La implementación de la autenticación multifactor en todos los sistemas refuerza significativamente las defensas al añadir un paso de verificación adicional, lo que reduce el riesgo asociado a las contraseñas comprometidas. La MFA garantiza un mayor nivel de seguridad para acceder a información confidencial o a infraestructuras críticas.

Estar atento ante señales de alerta

Forme a los empleados para que identifiquen señales de posibles suplantaciones de identidad, como solicitudes urgentes, inconsistencias en las direcciones de correo electrónico en comparación con los contactos conocidos o cualquier comunicación que parezca fuera de los procesos comerciales habituales. La detección temprana de estas señales de alerta puede evitar que se produzcan vulneraciones de datos más graves.

Establecer políticas

Colabore con los equipos de recursos humanos (RR. HH.) y jurídico para crear políticas exhaustivas que detallen las medidas preventivas contra las estafas de pretexting, así como directrices claras sobre cómo deben informar los empleados de incidentes sospechosos. Estas políticas ayudan a gestionar las consecuencias de que un empleado se vea involuntariamente envuelto en una estafa, lo que garantiza que se puedan tomar medidas rápidas para mitigar los daños.

Utilizar soluciones de gestión de amenazas internas

Implemente herramientas avanzadas de gestión de amenazas internas diseñadas para supervisar continuamente los patrones de comportamiento de los usuarios dentro de su red. Estas soluciones señalan las actividades que se desvían de las operaciones normales, como transferencias de datos inusuales o solicitudes de acceso, lo que permite una rápida investigación y respuesta antes de que se produzcan daños importantes debido a vulnerabilidades internas explotadas mediante intentos de ataques de pretexto exitosos.

Proofpoint se sitúa a la vanguardia de las soluciones de ciberseguridad y ofrece un conjunto completo de servicios diseñados para fortalecer a las organizaciones frente a las amenazas cibernéticas. Proofpoint ofrece diversas soluciones para ayudar a protegerse contra los ataques de pretexting y de ingeniería social:

• Targeted Attack Protection (TAP): La protección contra ataques dirigidos (TAP) de Proofpoint ayuda a las organizaciones a adelantarse a los atacantes mediante la detección, el análisis y el bloqueo de amenazas avanzadas antes de que lleguen a las bandejas de entrada del correo electrónico. Incluye funciones como sandboxing (análisis en entorno aislado), análisis de diversos tipos de archivos y protección contra ransomware, ataques de phishing y otras amenazas de correo electrónico.
• Defensa avanzada contra BEC: esta solución, impulsada por NexusAI, está diseñada para detener una amplia variedad de fraudes por correo electrónico, incluidos los redireccionamientos de pagos y el fraude en la facturación de proveedores desde cuentas comprometidas. Utiliza inteligencia artificial y aprendizaje automático para detectar ataques BEC mediante el análisis de múltiples atributos de los mensajes, como los datos del encabezado, la dirección IP del remitente y el contenido del mensaje.
• Soluciones de gestión de amenazas internas: Las herramientas de ITM de Proofpoint ayudan a las organizaciones a detectar actividades de usuarios de riesgo en tiempo real, investigar incidentes con rapidez y evitar la pérdida de datos. Estas soluciones permiten a los equipos gestionar eficazmente los riesgos de amenazas internas, incluida la defensa contra el pretexting y las estafas de phishing.

Al aprovechar estas soluciones de Proofpoint, las organizaciones pueden mejorar su postura de seguridad frente a los ataques de pretexto y otras amenazas avanzadas que utilizan tácticas creativas de ingeniería social. Para obtener más información, póngase en contacto con Proofpoint.