Zpedia 

/ ¿Qué es el pretexting?

¿Qué es el pretexting?

El pretexting es una forma de ataque de ingeniería social en el que un estafador crea un escenario verosímil para engañar a las víctimas con el fin de que divulguen información confidencial, realicen pagos fraudulentos, concedan acceso a una cuenta, etc. Las estafas de pretexting, estrechamente relacionadas con varios tipos de phishing, se caracterizan por situaciones detalladas (pretextos) y a menudo implican la suplantación de identidad, ya que los estafadores trabajan para ganarse y manipular la confianza de las víctimas.

Lea más sobre las últimas investigaciones y tendencias sobre el phishing
Explorar Zscaler Zero Trust Exchange
Confianza ceroProtección contra ciberamenazas
  1. Cómo funciona
  2. Técnicas y ataques.
  3. Ejemplos reales
  4. Proteger su organización
  5. Cómo puede ayudar Zscaler
  6. Recursos sugeridos
  7. Preguntas frecuentes
  8. Temas relacionados

¿Cómo funciona el pretexting?

El pretexting es una técnica que se abre camino en muchos tipos diferentes de ciberataques. Como cualquier otro tipo de ingeniería social, el objetivo del delincuente es convencer a su víctima para que le entregue algo (generalmente información, acceso o dinero) con falsos pretextos. Lo hacen creando una historia creíble, que a menudo incluye personajes y detalles específicos como información privada, que juega con las emociones de la víctima, su sentido de la confianza o incluso sus miedos.

Tomemos como ejemplo la clásica estafa del “Príncipe nigeriano”. Un simple pretexto para los estándares actuales, que gira en torno a la promesa de dar un poco ahora para obtener un gran beneficio más adelante, ya sea el pretexto una cuenta bancaria bloqueada, una iniciativa financiera o cualquier otra explicación. Un príncipe que envía correos electrónicos a desconocidos para pedir ayuda puede sonar demasiado inverosímil para ser eficaz, pero en 2019, la empresa de seguridad electrónica ADT estimó que las estafas de príncipes nigerianos seguían obteniendo 700,000 dólares por año.

Los intentos de extorsión sofisticados suelen utilizar pretextos más personales para resultar más convincentes, y algunos incluyen sitios web falsos, empresas inventadas, números de cuenta y credenciales filtrados, nombres de compañeros de trabajo de las víctimas y otros elementos por el estilo.

Dado que el pretexting consiste fundamentalmente en contar historias, puede adoptar muchas formas y no siempre se basa en el correo electrónico, Internet o el malware. Por ejemplo, con la tecnología deepfake impulsada por la IA, los malintencionados pueden manipular los patrones de voz, las expresiones faciales y los gestos para producir simulaciones muy realistas que son difíciles de distinguir del audio y el video auténticos, y que pueden ser herramientas poderosas en los ataques de phishing.

Técnicas del ataque de pretexting

Los pretextos maliciosos se basan en las mismas técnicas de ingeniería social utilizadas por los estafadores a lo largo de la historia para manipular a las víctimas, incluido el engaño, la validación, la adulación y la intimidación. Los atacantes podrían reforzar sus pretextos mediante:

  • Juego de roles y suplantación de identidad: Los atacantes pueden hacerse pasar por un cliente, un proveedor de servicios, un colega o una figura de autoridad para que la víctima se sienta inclinada a cooperar. Esto podría incluir la explotación de vulnerabilidades en los procesos de autenticación o la explotación de relaciones de confianza.
  • Investigación y reconocimiento: A menudo utilizando recursos abiertos y disponibles públicamente, los atacantes pueden recopilar información sobre el trabajo y las responsabilidades de un objetivo, sus compañeros de trabajo, datos personales y mucho más.
  • Desarrollo de relaciones: como en cualquier estafa clásica, los atacantes pueden utilizar técnicas de manipulación para establecer credibilidad y confianza con un objetivo, posiblemente a través de llamadas telefónicas, redes sociales o incluso conversaciones cara a cara.
  • Explotación de las emociones: Nada crea más urgencia que la incertidumbre, la duda y el miedo. Los atacantes pueden inventarse emergencias, oportunidades únicas, etc. para engañar a los objetivos y conseguir que se precipiten y eludan las medidas de seguridad.
  • Aprovechamiento de la IA generativa: la técnica más reciente en esta antigua caja de herramientas. La IA puede ayudar a los atacantes a crear rápidamente pretextos con un lenguaje y detalles sorprendentemente humanos, incluso en idiomas en los que tal vez no dominen.

Finalmente, uno de los factores más importantes que favorecen a los malintencionados no es una técnica en absoluto, sino más bien una vulnerabilidad en la psicología humana: para muchas personas, es más fácil decir "sí" que decir "no". En pocas palabras, queremos llevarnos bien, por lo que a menudo accederemos o consentiremos las peticiones, incluso cuando hacerlo vaya en contra de nuestros mejores intereses.

Los atacantes lo saben y saben que muchas personas permitirán que un poco de confianza les sirva de mucho. Combine estas cosas y todo lo que necesitan hacer para obtener un número de tarjeta de crédito es solicitarlo.

Según la FTC, los consumidores estadounidenses perdieron 8800 millones de dólares por fraude en 2022, de los cuales 1200 millones correspondieron a estafas telefónicas y a través de las redes sociales.

¿Cómo utilizan los ciberdelincuentes el pretexting (o ataques de pretexto)?

Los escenarios de pretexting son fundamentales para el éxito de muchos tipos diferentes de ciberataques, como por ejemplo:

  • Phishing generalizado: Los pretextos simples son parte de la mayoría de los ataques de phishing de “red amplia”, que pueden ser tan básicos como un correo electrónico pidiéndole que “revise por favor la factura adjunta” u otras variaciones ilimitadas. Estas tácticas suelen servir como puntos de entrada a ataques más sofisticados como el ransomware.
  • Spear phishing: Los atacantes que buscan información muy confidencial o valiosa pueden crear historias minuciosamente detalladas para hacer que las posibles víctimas crean que son legítimas y dignas de confianza.
  • Vishing: Con solo una llamada y un pretexto convincente (que a menudo incluye la suplantación de números de teléfono), los atacantes pueden robar información financiera, números de seguridad social y otra información confidencial. En la actualidad, las herramientas de deepfake impulsadas por la IA permiten a los atacantes imitar casi cualquier voz y decir lo que quieran.
  • Robo y espionaje: Los suplantadores hábiles que se hacen pasar por empleados o contratistas pueden engañar a los empleados reales y "colarse" en zonas privadas/seguras, donde pueden tener acceso a equipos valiosos o a información privilegiada.

Ejemplos reales de pretexting

El pretexting desempeña un papel importante en innumerables ciberdelitos y estafas financieras, y como explota la confianza humana y puede adoptar casi cualquier forma, sigue siendo una de las tácticas de ingeniería social más generalizadas y eficaces A continuación puede ver algunos ejemplos:

El troyano “AIDS” (1989)

Considerado el abuelo de los ataques ransomware, los asistentes a una conferencia internacional sobre el sida recibieron disquetes cargados con un virus troyano bajo el pretexto de "Información sobre el sida". El troyano ocultaba todos los directorios de un sistema infectado, cifraba todos los archivos del disco rígido infectado y exigía el pago de un rescate de 189 dólares (curiosamente, por correo postal) a una dirección en Panamá.

Fraude de Quanta Computer (2013-2015)

En lo que puede ser el ataque de pretexting más costoso de la historia, los atacantes se hicieron pasar por representantes de Quanta Computer, un fabricante con sede en Taiwán que trabaja con Facebook y Google. Utilizando facturas falsas enviadas desde cuentas de correo electrónico falsas, documentos justificativos falsos y mucho más, los atacantes estafaron a estos gigantes tecnológicos más de 100 millones de dólares en total.

Phishing y extorsión a solicitantes de empleo (2023)

Cuando los despidos azotaron a la industria tecnológica, los estafadores oportunistas atacaron a los solicitantes de empleo. Haciéndose pasar por reclutadores en sitios como LinkedIn, los estafadores copiaron ofertas de empleo reales y crearon portales de empleo falsos para convencer a las víctimas de que cumplimentaran documentos de empleo falsos, subieran documentos personales, etc. Puede leer un análisis completo de estos ataques en el blog de Zscaler.

Image

Suplantación con deepfake del director financiero (CFO) (2024)

Utilizando clips de video y audio disponibles públicamente, los atacantes generaron imitaciones realistas de varios altos directivos, incluido un director financiero, y los utilizaron para realizar una videoconferencia fraudulenta. Finalmente, los falsos altos cargos convencieron a un empleado para que transfiriera unos 200 millones de dólares hongkoneses a los atacantes. Más información en el blog de Zscaler.

Cómo proteger su organización de ataques de pretexting

Los servicios de correo electrónico modernos bloquean automáticamente muchos mensajes de phishing, pero los atacantes siempre están ideando nuevas e ingeniosas maneras de colarse. Es posible que un usuario fuera de su red no pueda moverse libremente a través de ella, pero un usuario interno, al que se le otorga confianza implícita en la red, puede ser engañado haciéndole creer que está haciendo lo correcto mientras cae directamente en manos de un atacante.

Entonces, ¿qué puede hacer para mantener seguros a sus usuarios y a sus datos confidenciales?

  • Asegúrese de que sus usuarios conozcan las señales de un ataque. Muchas filtraciones de datos todavía se deben a errores humanos. Piense en la capacitación en concientización sobre seguridad como una manera de reparar las vulnerabilidades humanas. Los empleados, especialmente aquellos con privilegios elevados, deben saber cuándo ser escépticos (cómo identificar intentos de phishing, reconocer la ingeniería social) y comprender la importancia de una gestión sólida de contraseñas y MFA.
  • Esté dispuesto a rechazar solicitudes inusuales o sospechosas. Decir "no" es más difícil que decir "sí", y los estafadores son expertos en hacer que usted baje la guardia. Un principio central del enfoque de seguridad Zero Trust, “nunca confiar, siempre verificar”, se aplica tanto a estas interacciones humanas como a los protocolos de autenticación y los permisos de acceso. Aliente a los usuarios a verificar las solicitudes a través de medios/canales independientes. o consultando al personal de seguridad y TI.
  • Evite ataques exitosos con la tecnología adecuada. Evite ataques exitosos con la tecnología adecuada. Si un pirata informático logra engañar a sus usuarios (y es más seguro asumir que eventualmente lo hará), necesitará medidas de seguridad para neutralizar sus ataques aplicando un control de acceso hermético basado en roles, evitando que las amenazas se muevan lateralmente a través de su red y detener la pérdida de datos.

Cómo puede ayudar Zscaler

Los ataques de pretexting son difíciles de combatir porque dependen de la explotación de la naturaleza humana, no solo de la tecnología, para tener éxito. Si desea detectar las violaciones activas y minimizar los daños de un ataque exitoso, necesita implementar controles efectivos contra el tráfico malicioso, la exfiltración de datos y más, como parte de una estrategia Zero Trust completa.

Basada en una arquitectura Zero Trust integral, la plataforma Zscaler Zero Trust Exchange™ parte de la premisa de que ningún usuario, carga de trabajo o dispositivo es inherentemente confiable. Verifica la identidad, determina el destino, evalúa el riesgo mediante IA y aplica la política antes de intermediar una conexión segura entre un usuario, carga de trabajo o dispositivo y una aplicación (en cualquier red y desde cualquier lugar) de manera eficaz:

  • Evite los ataques: Las funciones tales como la inspección completa TLS/SSL, el aislamiento del navegador, la detección de phishing y C2 impulsada por IA y el control de acceso basado en políticas impiden el acceso desde sitios web maliciosos.
  • Evite el movimiento lateral: Una vez en su sistema, el malware puede propagarse y causar aún más daño. La plataforma Zscaler conecta a los usuarios directamente con las aplicaciones, no con su red, lo que evita la posible propagación de malware.
  • Detenga las amenazas internas: Una arquitectura de proxy nativa de la nube detiene los intentos de explotación de aplicaciones privadas y detecta incluso las técnicas de ataque más sofisticadas con una inspección completa en línea.
  • Detenga los ataques basados en identidad: Detecte y bloquee el robo de credenciales, la elusión de la autenticación multifactor y la escalada de privilegios, y más, con la detección y respuesta a amenazas de identidad de Zscaler ITDR™.
  • Detenga la pérdida de datos: Nuestra plataforma identifica y protege automáticamente los datos confidenciales en movimiento y en reposo para evitar que los atacantes activos ejecuten un robo de datos exitoso.

Los pretextos son falsos, pero el riesgo que suponen es real. Proteja su organización de ataques de pretexting y evite violaciones con una plataforma de seguridad integral nativa de la nube.

Recursos sugeridos

Informe sobre el phishing de Zscaler ThreatLabz 2024
Acceda al informe completo
¿Qué es el phishing?
Lea el artículo
¿Qué es el phishing selectivo?
Lea el artículo
¿Qué es el smishing (phishing por SMS)?
Lea el artículo
Zero Trust, en palabras de un pirata (con ayuda de ChatGPT)
Leer el blog
El viejo manual de ingeniería social: ¡ahora con IA!
Leer el blog

01 / 04

Preguntas frecuentes