El pretexto es el uso de una historia inventada, para ganarse la confianza de una víctima y engañarla o manipularla para que comparta información confidencial, descargue malware, envíe dinero a delincuentes o se dañe a sí misma o a la organización para la que trabaja.
El uso de pretextos es una táctica central de los ataques de ingeniería social dirigidos, como el spear phishing, whaling y el compromiso de e-mail comercial o BEC (vea más abajo). Pero los ciberdelincuentes, y los delincuentes en general, también pueden usar pretextos por sí solos para robar información valiosa o activos de individuos u organizaciones.
En la publicación Social Engineering Penetration Testing (enlace externo a ibm.com), los expertos en seguridad Gavin Watson, Andrew Mason y Richard Ackroyd afirman que la mayoría de los pretextos se componen de dos elementos principales: un personaje y una situación.
El personaje es el papel que juega el estafador en la historia. Para generar credibilidad con la víctima potencial, el estafador generalmente se hace pasar por alguien con autoridad sobre la víctima, como un jefe o ejecutivo, o alguien en quien la víctima se inclina a confiar, como un compañero de trabajo, un miembro del personal de TI o un proveedor de servicios. Algunos atacantes pueden intentar hacerse pasar por amigos o seres queridos de la víctima objetivo.
La situación es la trama de la historia falsa del estafador, la razón por la cual el personaje le pide a la víctima que haga algo por él. Las situaciones pueden ser genéricas, por ejemplo, 'necesita actualizar la información de su cuenta' o pueden ser muy específicas, especialmente si los estafadores se dirigen a una víctima en particular.
Para hacer que las suplantaciones de personajes y las situaciones sean creíbles, los actores de amenazas generalmente investigan su personaje y su objetivo en línea. No es tan difícil de hacer. Según un informe de Omdia (enlace externo a ibm.com), los hackers pueden crear una historia convincente, basada en información de las redes sociales y otras fuentes públicas, después de solo 100 minutos de investigación general de Google.
Otras técnicas para hacer que los personajes sean más creíbles incluyen falsificar la dirección de e-mail o el número de teléfono del personaje, u obtener acceso no autorizado a la cuenta de e-mail o al número de teléfono real del personaje y usarlo para enviar el mensaje. En lo que puede vislumbrarse en el futuro de los pretextos, en 2019 los estafadores engañaron a una empresa energética del Reino Unido para que les pagase 243,000 dólares usando inteligencia artificial (IA) para suplantar la voz del director ejecutivo de la compañía matriz de la empresa y realizar llamadas telefónicas fraudulentas solicitando pagos a los proveedores de la empresa.
Estafas de compromiso de e-mail comercial
El compromiso de e-mail comercial (BEC) es un tipo particularmente diabólico de ingeniería social dirigida que se basa en gran medida en pretextos. En BEC, el personaje es un ejecutivo de una empresa de la vida real o un socio comercial de alto nivel con autoridad o influencia sobre el objetivo. La situación es la necesidad de ayuda del personaje con una tarea urgente: por ejemplo, Estoy atrapado en un aeropuerto y olvidé mi contraseña. ¿Puedes enviarla al sistema de pago (o puedes transferir XXX,XXX.XX USD a la cuenta bancaria n.º YYYYYY para pagar la factura adjunta)?
Año tras año, BEC se ubica entre los delitos cibernéticos más costosos. Según el informe Costo de una brecha de seguridad de datos de IBM 2022 , las brechas de seguridad de datos resultantes de BEC cuestan a las víctimas un promedio de USD 4.89 millones. Y según los datos del Centro de Quejas de Delitos en Internet del FBI (PDF, 1.3 MB, enlace externo a ibm.com), BEC resultó en pérdidas totales de casi USD 2.4 mil millones para las víctimas en 2021.
Estafas de actualización de cuenta
Aquí, el estafador se hace pasar por un representante de una empresa que alerta a la víctima de un problema con su cuenta, como información de facturación caducada o una compra sospechosa. El estafador incluye un enlace que lleva a la víctima a un sitio web falso que roba sus credenciales de autenticación, información de tarjetas de crédito, número de cuenta bancaria o número de seguro social.
Estafas a los abuelos
Como muchas estafas de ingeniería social, esta se aprovecha de los ancianos. El ciberdelincuente se hace pasar por el nieto de la víctima y finge que tiene algún tipo de problema, por ejemplo, tuvo un accidente automovilístico o fue arrestado, y necesita que sus abuelos le envíen dinero para pagar las facturas del hospital o la fianza.
Estafas románticas
En las estafas de citas con pretextos, el estafador finge querer una relación romántica con la víctima. Después de ganarse el corazón de la víctima, el estafador generalmente solicita dinero que eliminará algún obstáculo final para que puedan estar juntos, por ejemplo, una deuda agobiante, una obligación legal o incluso el costo de un boleto de avión para visitar a la víctima.
Estafas de criptomonedas
Haciéndose pasar por un inversionista exitoso con una oportunidad segura de criptomonedas, el estafador dirige a la víctima a un intercambio de criptomonedas falso, donde se roba la información financiera o el dinero de la víctima. Según la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com), los consumidores de EE. UU. perdieron más de mil millones de dólares por estafas con criptomonedas entre enero de 2021 y marzo de 2022.
Estafas del IRS/gobierno
Haciéndose pasar por funcionarios del IRS, agentes de la ley u otros representantes del gobierno, el estafador afirma que el objetivo tiene algún tipo de problema, por ejemplo, no pagó impuestos o tiene una orden de arresto, y le ordena que realice un pago para evitar un gravamen hipotecario, salarios embargados o tiempo en la cárcel. El pago, por supuesto, va a la cuenta del estafador.
Los pretextos son un componente clave de muchas estafas de ingeniería social, que incluyen:
Phishing. Como se señaló anteriormente, el uso de pretextos es particularmente común en los ataques de spear phishing, incluido el phishing selectivo, que es un ataque de phishing dirigido a una persona específica) y el whaling, que es el phishing selectivo dirigido a un ejecutivo o un empleado con acceso privilegiado a sistemas o información confidencial.
Sin embargo, el pretexto también juega un papel en las estafas de phishing por e-mail, phishing de voz (vishing) o phishing de texto SMS (smishing) no dirigidas. Por ejemplo, un estafador podría enviar un mensaje de texto como "[NOMBRE DEL BANCO GLOBAL AQUÍ]: Hay un descubierto en su cuenta" a millones de personas, esperando que una parte de los destinatarios sean clientes del banco, y que una parte de esos clientes respondan al mensaje.
Tailgating. A veces llamado "piggybacking", el seguir de cerca es cuando una persona no autorizada sigue a una persona autorizada a un lugar que requiere autorización, como un edificio de oficinas seguro. Los estafadores usan pretextos para hacer que sus intentos de seguimiento sean más exitosos, por ejemplo, haciéndose pasar por un repartidor y pidiéndole a un empleado desprevenido que les abra una puerta cerrada.
Baiting. En este tipo de ataques, un delincuente engaña a las víctimas para que descarguen malware atrayéndolas con un cebo atractivo pero comprometido. El cebo puede ser físico (p. ej., memorias USB cargadas con código malicioso y dejadas de manera visible en lugares públicos) o digital (p. ej., publicidad de descargas gratuitas de películas que resultan ser malware). Los estafadores a menudo usan pretextos para hacer que el cebo sea más atractivo. Por ejemplo, un estafador podría colocar etiquetas en una unidad USB comprometida para sugerir que pertenece a una empresa en particular y contiene archivos importantes.
Varias leyes específicas de la industria se enfocan explícitamente en los pretextos. La Ley Gramm-Leach-Bliley de 1999 tipifica como delito el pretexto con respecto a las instituciones financieras, por lo que es un delito obtener información financiera de un cliente bajo pretextos falsos. También requiere que las instituciones financieras capaciten a los empleados en la detección y prevención de pretextos. La Ley de Protección de Privacidad y Registros Telefónicos de 2006 prohíbe explícitamente el uso de pretextos para acceder a la información del cliente en poder de un proveedor de telecomunicaciones.
En diciembre de 2021, la FTC propuso una nueva regla (enlace externo a ibm.com) que prohibiría formalmente la suplantación de cualquier agencia o empresa gubernamental. La regla facultaría a la FTC para hacer cumplir una prohibición de tácticas comunes de pretexto, como el uso del logotipo de una empresa sin permiso, la creación de un sitio web falso que imite a una empresa legítima o la suplantación de e-mails de una empresa.
Al igual que con cualquier otra forma de ingeniería social, combatir los pretextos puede ser difícil porque explota la psicología humana en lugar de las vulnerabilidades técnicas que pueden remediarse. Pero hay pasos efectivos que las organizaciones pueden tomar.
- Informes de autenticación de mensajes basados en dominios (DMARC): DMARC es un protocolo de autenticación de e-mail que puede evitar la suplantación de identidad. DMARC verifica si un e-mail se envió desde el dominio del que dice provenir. Si se descubre que un e-mail es falso, se puede desviar automáticamente a una carpeta de correo no deseado o eliminarse.
- Otras tecnologías de ciberseguridad: además de DMARC, las organizaciones pueden implementar filtros de e-mail basados en IA que detectan frases y líneas de asunto utilizadas en ataques de pretexto conocidos. Una puerta de enlace web segura puede evitar que los usuarios sigan enlaces de e-mail de phishing a sitios web sospechosos. Si un atacante obtiene acceso a la red a través de pretextos, las tecnologías de ciberseguridad como detección y respuesta de punto final (EDR), detección y respuesta de red (NDR) y las plataformas de detección y respuesta extendida (XDR) pueden interceptar actividad maliciosa.
- Capacitación en concientización de seguridad: debido a que los pretextos manipulan a las personas para que comprometan su propia seguridad, capacitar a los empleados para detectar y responder adecuadamente a las estafas de pretextos puede ayudar a proteger una organización. Los expertos recomiendan ejecutar simulaciones basadas en ejemplos de pretextos de la vida real para ayudar a los empleados a diferenciar entre pretextos y solicitudes legítimas de colegas. La capacitación también puede incluir protocolos claros para manejar información valiosa, autorizar pagos y verificar solicitudes con sus supuestas fuentes antes de cumplirlas.
Ponga a su gente a prueba mediante ejercicios de phishing, vishing e ingeniería social física con los servicios de ingeniería social de X-Force Red.
Proteja a su negocio con un enfoque inteligente e integrado de gestión unificada de amenazas que puede ayudarle a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las disrupciones.
Integre IA, analítica y deep learning para obtener una protección proactiva, machine learning para una detección más precisa y automatización y análisis para una respuesta más rápida.
Las estafas de phishing engañan a las víctimas para que divulguen datos confidenciales, descarguen malware y se expongan a ellos mismos o a sus organizaciones al delito cibernético.
Los ataques de ingeniería social se basan en la naturaleza humana en lugar de la piratería técnica para manipular a las personas para que comprometan su seguridad personal o la seguridad de una red empresarial.
Comprenda qué es la seguridad móvil, por qué es importante y cómo funciona.