Zpedia 

/ ¿Qué es el pretexting?

¿Qué es el pretexting?

El pretexting es una forma de ataque de ingeniería social en el que un estafador crea un escenario verosímil para engañar a las víctimas con el fin de que divulguen información confidencial, realicen pagos fraudulentos, concedan acceso a una cuenta, etc. Las estafas de pretexting, estrechamente relacionadas con varios tipos de phishing, se caracterizan por situaciones detalladas (pretextos) y a menudo implican la suplantación de identidad, ya que los estafadores trabajan para ganarse y manipular la confianza de las víctimas.

Lea más sobre las últimas investigaciones y tendencias sobre el phishing
Confianza ceroProtección contra ciberamenazas
  1. Cómo funciona
  2. Técnicas y ataques.
  3. Ejemplos reales
  4. Proteger su organización
  5. Cómo puede ayudar Zscaler
  6. Recursos sugeridos
  7. Preguntas frecuentes
  8. Temas relacionados

¿Cómo funciona el pretexting?

El pretexting es una técnica que se utiliza en muchos tipos diferentes de ciberataques. Como cualquier otro tipo de ingeniería social, el objetivo del agresor es convencer a su víctima de que le entregue algo (generalmente información, acceso o dinero) bajo falsos pretextos. Para ello, crean una historia creíble, que a menudo incluye personajes y detalles concretos como información privada, que juega con las emociones de la víctima, su sentido de la confianza o incluso sus miedos.

Tomemos como ejemplo la clásica estafa del "príncipe nigeriano". Un pretexto sencillo para los estándares actuales, que gira en torno a la promesa de dar un poco ahora para obtener un gran beneficio más adelante, ya sea el pretexto una cuenta bancaria bloqueada, una operación financiera o cualquier otra explicación. Un príncipe que envía correos electrónicos a desconocidos para pedir ayuda puede sonar demasiado inverosímil para ser eficaz, pero en 2019, la empresa de seguridad electrónica ADT estimó que las estafas de príncipes nigerianos seguían generando 700,000 dólares cada año.

Los intentos de pretexting sofisticados suelen utilizar pretextos más íntimos para ser más convincentes, y algunos se valen de sitios web falsos, empresas inventadas, números de cuenta y credenciales filtrados, nombres de compañeros de trabajo de las víctimas y similares.

Dado que el pretexting consiste fundamentalmente en contar historias, puede adoptar muchas formas y no siempre se basa en el correo electrónico, Internet o el malware. Por ejemplo, con la tecnología deepfake impulsada por la IA, los malintencionados pueden manipular patrones de voz, expresiones faciales y gestos para producir simulaciones altamente realistas que son difíciles de distinguir del audio y el video auténticos, y que pueden ser herramientas poderosas en los ataques de phishing.

Técnicas de ataque de pretexting

Los pretextos maliciosos se basan en las mismas técnicas de ingeniería social utilizadas por los estafadores a lo largo de la historia para manipular a las víctimas, incluido el engaño, la validación, la adulación y la intimidación. Los atacantes pueden fortalecer sus pretextos mediante:

  • Juego de roles y suplantación de identidad: Los atacantes pueden interpretar un personaje como un cliente, proveedor de servicios, compañero de trabajo o figura de autoridad para que la víctima se sienta inclinada a cooperar. Esto podría incluir la explotación de vulnerabilidades en los procesos de autenticación o la explotación de relaciones de confianza.
  • Investigación y reconocimiento: A menudo, utilizando recursos abiertos y disponibles públicamente, los atacantes pueden recopilar información sobre el trabajo y las responsabilidades de un objetivo, compañeros de trabajo, detalles personales, etc.
  • Desarrollo de relaciones: Como en cualquier “estafa de larga duración” típica, los atacantes pueden utilizar técnicas de manipulación para establecer credibilidad y confianza con un objetivo, posiblemente a través de llamadas telefónicas, redes sociales o incluso conversaciones cara a cara.
  • Explotar las emociones: Nada crea urgencia como la incertidumbre, la duda y el miedo. Los atacantes pueden inventar emergencias, oportunidades únicas, etc. para engañar a los objetivos y obligarlos a tomar medidas apresuradas y eludir las medidas de seguridad.
  • Aprovechar la IA generativa: La técnica más joven en esta caja de herramientas desde hace siglos, tal vez milenios, las herramientas modernas de IA pueden ayudar a los atacantes a crear rápidamente pretextos con un lenguaje y detalles sorprendentemente humanos, incluso en idiomas en los que tal vez no dominen.

Finalmente, uno de los factores más importantes que favorecen a los ciberdelincuentes no es una técnica en absoluto, sino más bien una vulnerabilidad en la psicología humana: para muchas personas, es más fácil decir "sí" que decir "no". En pocas palabras, queremos llevarnos bien, por lo que a menudo aceptamos o accedemos a las solicitudes, incluso cuando hacerlo va en contra de nuestros mejores intereses.

Los atacantes lo saben y saben que muchas personas permitirán que un poco de confianza les sirva de mucho. Junte esos dos y, a menudo, todo lo que necesitan hacer para obtener un número de tarjeta de crédito es solicitarlo.

promotional background

Según la FTC, los consumidores estadounidenses perdieron 8800 millones de dólares por fraude en 2022, de los cuales 1200 millones correspondieron a estafas telefónicas y a través de las redes sociales.

Datos de FTC

¿Cómo utilizan los ciberdelincuentes el pretexting?

Los escenarios de pretexting son fundamentales para el éxito de muchos tipos diferentes de ciberataques, como por ejemplo:

  • Phishing general: Los pretextos sencillos forman parte de la mayoría de los ataques de phishing de "red amplia", que pueden ser tan básicos como un correo electrónico en el que se le pide que "tenga la bondad de revisar la factura adjunta" u otras variaciones ilimitadas. Estas tácticas sirven a menudo como puntos de entrada a ataques más sofisticados como el ransomware.
  • Spear phishing: Los atacantes que pretenden obtener información muy confidencial o valiosa pueden crear historias minuciosamente detalladas para hacer creer a las víctimas potenciales que son legítimos y confiables.
  • Vishing: Con solo una llamada y un pretexto convincente (que a menudo incluye la suplantación del número de teléfono), los atacantes pueden robar información financiera, números de la seguridad social y otros datos confidenciales. Hoy en día, las herramientas de deepfake potenciadas por IA permiten a los atacantes imitar casi cualquier voz, diciendo lo que quieran.
  • Robo y espionaje: Los suplantadores hábiles que se hacen pasar por empleados o contratistas pueden engañar a los empleados reales y "colarse" en zonas privadas/seguras, donde pueden tener acceso a equipos valiosos o a información privilegiada.

Ejemplos reales de pretexting

El pretexting desempeña un papel importante en innumerables ciberdelitos y estafas financieras y, dado que explota la confianza humana y puede adoptar casi cualquier forma, sigue siendo una de las tácticas de ingeniería social más generalizadas y eficaces. He aquí algunos ejemplos:

El troyano "SIDA" (1989)

Considerado el abuelo de los ataques ransomware, los asistentes a una conferencia internacional sobre el SIDA recibieron disquetes cargados con un virus troyano bajo el pretexto de "Información sobre el SIDA". El troyano ocultaba todos los directorios de un sistema infectado, cifraba todos los archivos del disco duro infectado y exigía el pago de un rescate de 189 dólares (curiosamente, por correo postal) a una dirección de Panamá.

Fraude de Quanta Computer (2013-2015)

Es posible que sea el ataque de pretexting más costoso de la historia. Los atacantes se hicieron pasar por representantes de Quanta Computer, un fabricante con sede en Taiwán que trabaja con Facebook y Google. Utilizando facturas falsificadas enviadas desde cuentas de correo electrónico falsas, documentos justificativos falsos y mucho más, los atacantes defraudaron a estos gigantes tecnológicos por más de 100 millones de dólares en total.

Phishing y extorsión a Job Seeker (2023)

Cuando los despidos afectaron a la industria tecnológica, los estafadores oportunistas atacaron a los solicitantes de empleo. Haciéndose pasar por reclutadores en sitios como LinkedIn, los estafadores copiaron ofertas de empleo reales y crearon portales profesionales falsos para convencer a las víctimas de que rellenaran documentación laboral falsa, subieran documentos personales y mucho más. Puede leer un análisis completo de estos ataques en el blog de Zscaler.

Image

Deepfake del director financiero (2024)

Utilizando clips de video y audio disponibles públicamente, los atacantes generaron imitaciones realistas de varios altos directivos, incluido un director financiero, y los utilizaron para dirigir una videoconferencia fraudulenta. Finalmente, los falsos directivos convencieron a un empleado para que transfiriera unos 200 millones de dólares de Hong Kong a los atacantes. Más información en el blog de Zscaler.

Cómo proteger su organización de ataques de pretexting

Los servicios de correo electrónico modernos bloquean automáticamente muchos correos electrónicos de phishing, pero los atacantes siempre están ideando nuevas formas inteligentes de evadirlos. Es posible que un usuario fuera de su red no pueda moverse libremente a través de ella, pero un usuario interno, al que se le otorga confianza implícita en la red, puede ser engañado haciéndole creer que está haciendo lo correcto mientras se pone en manos de un atacante.

¿Qué puede hacer para mantener seguros a sus usuarios y sus datos confidenciales?

  • Asegúrese de que sus usuarios conozcan las señales de un ataque. Muchas filtraciones de datos todavía se deben a errores humanos. Piense en la capacitación sobre seguridad como una manera de reparar las vulnerabilidades humanas. Los empleados, especialmente aquellos con privilegios elevados, deben saber cuándo ser escépticos (cómo identificar intentos de phishing, reconocer la ingeniería social) y comprender la importancia de una gestión correcta de contraseñas y MFA.
  • Esté dispuesto a rechazar solicitudes inusuales o sospechosas. Decir "no" es más difícil que decir "sí", y los estafadores son expertos en hacer que baje la guardia. Un principio central del enfoque de seguridad Zero Trust, “nunca confiar, siempre verificar”, se aplica tanto a estas interacciones humanas como a los protocolos de autenticación y los permisos de acceso. Aliente a los usuarios a verificar las solicitudes a través de medios/canales independientes o consultando al personal de seguridad y TI.
  • Evite ataques exitosos con la tecnología adecuada. Si un pirata informático logra engañar a sus usuarios (y es más seguro asumir que eventualmente lo hará), necesitará medidas de seguridad con las que pueda contar para neutralizar sus ataques aplicando un control de acceso hermético basado en roles, evitando que las amenazas se muevan lateralmente a través de su red y detener la pérdida de datos.

Cómo puede ayudar Zscaler

Los ataques de pretexting son difíciles de prevenir porque explotan la naturaleza humana, no solo la tecnología, para tener éxito. Para detectar violaciones activas y minimizar el daño de un ataque exitoso, debe implementar controles efectivos contra el tráfico malicioso, la filtración de datos y más como parte de una estrategia Zero Trust completa.

Basada en una arquitectura Zero Trust integral, laplataformaZscaler Zero Trust Exchange™ se basa en la premisa de que ningún usuario, carga de trabajo o dispositivo es inherentemente confiable. Verifica la identidad, determina el destino, evalúa el riesgo a través de la IA y aplica políticas antes de establecer una conexión segura entre un usuario, una carga de trabajo o un dispositivo y una aplicación (a través de cualquier red, desde cualquier lugar) para:

  • Evitar ataques: Funciones como la inspección TLS/SSL completa
, el aislamiento del navegador, la detección de phishing y C2 basada en IA y el control de acceso basado en políticas evitan el acceso desde sitios web maliciosos.
  • Evitar el movimiento lateral: Una vez en su sistema, el malware puede propagarse y causar aún más daño. La plataforma Zscaler conecta a los usuarios directamente con las aplicaciones, no con su red, lo que evita la posible propagación de malware.
  • Detener las amenazas internas: Una arquitectura de proxy nativa de la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección completa en línea.
  • Detener los ataques basados en identidad: Detecte y bloquee el robo de credenciales, la elusión de la autenticación multifactor y la escalada de privilegios, y más, con la detección y respuesta a amenazas a la identidad de Zscaler ITDR™
  • Detenga la pérdida de datos: Nuestra plataforma identifica y protege automáticamente los datos confidenciales en movimiento y en reposo para evitar que los atacantes activos ejecuten un robo de datos exitoso.
    • promotional background

    Los pretextos son falsos, pero el riesgo que suponen es real. Proteja su organización de ataques de pretexting y evite violaciones con una plataforma de seguridad integral nativa de la nube.

    Más información

    Recursos sugeridos

    Informe sobre el phishing de Zscaler ThreatLabz 2024
    Acceda al informe completo
    ¿Qué es el phishing?
    Lea el artículo
    ¿Qué es el phishing selectivo?
    Lea el artículo
    ¿Qué es el smishing (phishing por SMS)?
    Lea el artículo
    Zero Trust, en palabras de un pirata (con ayuda de ChatGPT)
    Leer el blog
    El viejo manual de ingeniería social: ¡ahora con IA!
    Leer el blog
    01 / 04
    Preguntas frecuentes