Pretexting - Escenarios fabricados para robar datos
Lectura de 2 min aprox.
El pretexting es una técnica de ingeniería social en la que el atacante inventa un escenario ficticio (un pretexto) para ganarse la confianza del objetivo y extraer información confidencial o privilegios de acceso. Mientras que el phishing se apoya principalmente en el engaño técnico (sitios falsos, correos falsos), el pretexting se centra en construir una relación y en la manipulación psicológica. El atacante adopta un rol de confianza, como un técnico de soporte de TI, un miembro del departamento de Recursos Humanos o un representante de ventas de un socio comercial, y conduce al objetivo a entregar información de forma voluntaria.
Diferencias con el phishing
| Aspecto | Pretexting | Phishing |
|---|---|---|
| Arma principal | Construcción de relaciones y manipulación psicológica | Engaño técnico (sitios falsos, correos falsos) |
| Método de contacto | Teléfono, en persona, correo (varios intercambios) | Principalmente correo y SMS (una sola vez) |
| Periodo de preparación | Largo (de días a semanas investigando al objetivo) | Corto (envío masivo de plantillas) |
| Número de objetivos | Unos pocos individuos específicos | Amplio, desde el público general hasta individuos específicos |
| Tasa de éxito | Alta (porque se establece una relación de confianza) | Baja (depende del volumen para aumentar las probabilidades) |
Escenarios típicos
El atacante llama diciendo: «Para una actualización de seguridad, permítame verificar su contraseña», y obtiene las credenciales. Investiga de antemano los nombres y las extensiones del departamento de TI interno para aumentar la credibilidad.
El atacante contacta a un empleado diciendo: «Debido a la migración del sistema de nóminas, debe volver a registrar la información de su cuenta bancaria», y recopila datos personales. Se ejecuta coincidiendo con los ajustes fiscales de fin de año o las reorganizaciones de personal.
El atacante contacta al personal de contabilidad diciendo: «La cuenta bancaria para el pago de facturas ha cambiado». Usa el nombre de un contacto real del socio comercial y menciona transacciones anteriores para ganarse la confianza.
El atacante ordena al personal de finanzas que «se necesita una transferencia urgente para una operación de fusión y adquisición ultrasecreta». Apunta a periodos en los que el CEO o el CFO están de viaje, cuando es difícil confirmarlo directamente.
El flujo de un ataque de pretexting
Estadísticas - El auge del pretexting
Según el DBIR (Data Breach Investigations Report) de Verizon, el pretexting está aumentando rápidamente entre los ataques de ingeniería social. En el DBIR de 2023, alrededor del 50% de los incidentes causados por ingeniería social se clasificaron como pretexting, alcanzando una proporción casi igual a la del phishing. En particular, muchos casos de fraude del correo corporativo (BEC) emplean técnicas de pretexting y, en paralelo al aumento del daño económico del BEC, la amenaza del pretexting también crece.
Medidas de defensa
Cuando le pidan información confidencial por teléfono o correo, devuelva la llamada a un contacto registrado previamente para verificar la identidad. No llame al número que indicó la otra parte.
Cuando reciba una instrucción de transferencia o una solicitud de cambio de cuenta, confírmelo directamente con el solicitante a través de un canal de comunicación diferente (chat interno, en persona).
Mediante capacitación periódica, haga que los empleados conozcan las tácticas de pretexting. Los ejercicios que simulan escenarios reales son eficaces.
Mantenga al mínimo necesario la información divulgada en redes sociales y sitios corporativos, como organigramas, nombres del personal y números de extensión.
Conceptos erróneos comunes
La propia confianza de creer «a mí no me van a engañar» es el mayor aliado del pretexting. Los atacantes manipulan hábilmente la psicología del objetivo, explotando emociones naturales como «quiero ayudar» o «debo obedecer las órdenes de mi jefe». Incluso las personas con un alto nivel de concienciación sobre seguridad pueden ver mermada su capacidad de juicio ante un escenario ingenioso.
El pretexting suele combinarse con el vishing (fraude telefónico) y el whaling, por lo que comprender estas técnicas en conjunto es la clave de la defensa. libros sobre ingeniería social (Amazon) Recomendamos aprender las técnicas de manipulación psicológica de los atacantes. Consulte también Defensa contra la ingeniería social, Casos reales de ingeniería social y Medidas contra amenazas internas.
¿Te resultó útil este artículo?