Ciberseguridad 
Puede proteger su huella digital eliminando las cuentas que ya no utilice, ajustando sus ajustes de privacidad, evitando compartir en exceso en las redes sociales y
Publicado el enero 24, 2023
El pretexting puede producirse en cualquier momento y en cualquier lugar, por lo que es importante comprender qué es y cómo puede proteger de él a los empleados. Puede proteger a su organización del pretexting si no hace clic en enlaces no solicitados, no comparte información personal online e imparte formación a los empleados sobre las técnicas de pretexting.
Siga leyendo para obtener más información sobre el pretexting y las técnicas que utilizan los cibercriminales para que las víctimas les revelen información sensible.
¿Qué es el pretexting?
El pretexting es un tipo de ataque de ingeniería social en el que un cibercriminal se inventa una historia para convencer a la víctima de que debe revelarle información sensible, gracias a la cual el cibercriminal obtendrá un acceso no autorizado a los sistemas.
El pretexting puede producirse de muchas formas; por ejemplo, en persona, mediante una llamada telefónica o un mensaje de texto. El cibercriminal intentará entablar una relación con la víctima para ganar su confianza. A menudo utiliza la información que encuentra online sobre la víctima para convencerla de que es quien dice ser. De modo que el cibercriminal utilizará el historial laboral de la víctima, su empleo actual y otra información similar para que la víctima confíe en él.
Tipos de técnicas de pretexting
Hay muchos tipos de técnicas de pretexting que los cibercriminales utilizan para que las víctimas les revelen información sensible. De esta forma, el cibercriminal podrá obtener acceso no autorizado a los sistemas. A continuación, le explicamos algunas de las muchas técnicas de pretexting que utilizan los cibercriminales.
Piggybacking
El piggybacking es uno de los tipos de técnicas de pretexting cuando el cibercriminal intenta obtener acceso a una red, a un sistema o a un edificio físico. Los cibercriminales pueden acceder a una red o un sistema si la conexión wifi no es segura. Además, los cibercriminales pueden acceder físicamente al edificio abusando de la amabilidad de un empleado que les deje pasar por la puerta abierta.
Si los cibercriminales lograran penetrar físicamente en un edificio en el que muchos empleados a menudo dejan sin supervisión sus dispositivos con sesiones iniciadas, el ataque podría ser particularmente peligroso. El cibercriminal podría activarse con total facilidad y a golpe de un par de teclas apoderarse de información sensible.
El objetivo del cibercriminal que hace uso de la técnica de piggybacking es acceder a una red o a un edificio físico para llevar a cabo actividades malintencionadas.
Tailgating
El tailgating es similar al piggybacking, pero hay una gran diferencia. Durante el tailgating, al igual que ocurre con el piggybacking, los cibercriminales intentan acceder a un edificio físico al que no tienen acceso, pero lo que hace que el tailgating sea diferente es que en el caso del tailgating los cibercriminales acceden al edificio sin que otras personas lo sepan. Los cibercriminales pueden colarse inadvertidos por una puerta justo en el momento en el que esta se está cerrando, lo cual podría dar la impresión de que han accedido al edificio con la debida autorización. La técnica de tailgating hace que los empleados no sean conscientes de quién ha entrado en el edificio, lo cual expone al riesgo de violación la totalidad de los datos de la empresa.
Phishing
El phishing es una de las técnicas más utilizadas de pretexting. En el tercer trimestre de 2022, el Grupo de trabajo contra el phishing (el «APWG», por sus siglas en inglés) informó de que se habían producido un total de 1 270 883 ataques de phishing, cifra que según el propio APWG constituía un nuevo récord.
Un ataque de phishing pretende persuadir a la víctima de que revele información sensible como credenciales, números de tarjetas de crédito, etc. Los intentos de phishing suelen adoptar la forma de un correo electrónico urgente que afirma provenir de una fuente de confianza. El objetivo de un ataque de phishing es causar que la víctima actúe de inmediato al abrir un archivo adjunto o un enlace sin dudarlo. Si hace clic en enlaces y archivos adjuntos no solicitados, su equipo podría infectarse con un malware, lo que pondría en riesgo toda su información.
Vishing
El vishing es como un ataque de phishing, pero es más eficaz y sofisticado. El vishing se produce cuando una persona real le llama y dices ser alguien que no es. El objetivo es el mismo que con un ataque de phishing, conseguir que la víctima revele información sensible para utilizarla con fines malintencionados.
Formas de protegerse y de proteger a su organización del pretexting
Siga estos consejos para protegerse y proteger a su organización del pretexting.
No haga clic en enlaces o archivos adjuntos no solicitados
Si recibe un correo electrónico o un mensaje de texto que no espera, evite hacer clic en enlaces o archivos adjuntos. Como se ha explicado, hacer clic en esos enlaces o archivos podría provocar una infección de malware y los cibercriminales podrían acceder a toda su información.
No comparta información personal online
Hoy, existen muchas plataformas de redes sociales y puede ser tentador compartir su vida entera y todas sus experiencias en dichas plataformas. Sin embargo, conviene hacerlo con precaución. Evite compartir información personal que los cibercriminales podrían utilizar contra usted ya sea físicamente u online.
No responda a las solicitudes de información personal
Aunque es importante adoptar precauciones al compartir información online, no lo es menos cuando alguien le pide que revele información personal. Cuando alguien le solicita información personal o sensible, pregúntese para qué la necesitan.
No tiene ninguna obligación de revelar información personal o sensible a personas que no conoce, así que no ceda a la presión.
Imparta formación a los empleados para que puedan identificar las técnicas de pretexting
Las técnicas de pretexing (por ejemplo, el piggybacking o el tailgating) pueden ejecutarse en tiempo real. Asegúrese de que sus empleados siempre miren atrás al entrar en el edificio de oficinas, para que nadie pueda entrar sin autorización. Incluso podría plantearse contratar personal adicional para la recepción de sus edificios para impedir que personas no autorizadas puedan colarse.
Además de las técnicas de pretexting que requieren presencia física, es importante que los empleados conozcan además el resto de las técnicas de pretexting (por ejemplo, el phishing y el vishing). Impartir formación sobre el phishing en su organización es una de las formas de hacerlo. La formación sobre el phishing puede ayudar a los empleados a identificar los correos electrónicos de phishing para que sepan a lo que deben prestar atención. Uno de los programas de formación sobre la sensibilización en materia de seguridad es KnowBe4. KnowBe4 es un programa de formación que puede implementar en su organización. Cuenta con varios módulos de formación para los empleados. Además, permite enviar correos electrónicos de phishing simulados para que los empleados puedan identificarlos con total seguridad.
Obtenga un password manager para empresas
Cuando hablamos del pretexting, una de las soluciones de seguridad cibernética más importantes que puede implementar para proteger los datos de la empresa es un gestor de contraseñas para empresas. Un gestor de contraseñas para empresas es una herramienta para asegurarse de que los empleados cumplan los requisitos aplicables a contraseñas, además de almacenarlas de forma segura. Un password manager le permite compartir información sensible y credenciales de forma segura, sin exponerlas al riesgo de vulneración.
Si su organización fuera víctima del pretexting, con un gestor de contraseñas podría proteger sus cuentas con total facilidad porque un password manager permite generar contraseñas nuevas únicas y seguras para cada una de las cuentas y así evitar daños adicionales.
Protéjase contra el pretexting
Es fácil caer víctima de las técnicas de pretexting porque intervienen muchos aspectos relacionados con la ingeniería social, pero si consigue concienciar a los empleados sobre los peligros y los indicios de las técnicas de pretexting, la tarea ya no parece tan imposible.
Solo tiene que asegurarse de que sus empleados conozcan los riesgos de compartir información personal online. Así habrá dado un paso importante para proteger toda su organización. Invierta en una solución de seguridad cibernética como Keeper para que sus datos sensibles estén protegidos en todo momento. Obtenga Keeper para su empresa hoy mismo.
