Algunas de las estafas más habituales en Facebook Messenger incluyen las solicitudes de códigos de autenticación, las páginas benéficas falsas que piden donaciones, los mensajes que
Un ataque de pretexting es un tipo de ataque de ingeniería social en el que el atacante disuade a su objetivo para que revele información confidencial o le envíe dinero tras inventarse una historia, de ahí la palabra «pretexto». Estos ataques pueden presentarse de muchas formas diferentes, como una llamada telefónica, un mensaje de texto, un correo electrónico o incluso en persona. Antes de llevar a cabo un ataque de pretexting, el atacante recopilará toda la información posible sobre su objetivo para convencerlo fácilmente de que es alguien que conoce.
Siga leyendo para obtener más información sobre el pretexting y lo que puede hacer para protegerse de este tipo de ataque cibernético.
Pretexting frente a phishing: ¿cuál es la diferencia?
El pretexting y el phishing son dos tipos de ataques de ingeniería social, lo que los hace bastante similares entre sí. En ambos casos, un atacante reúne información sobre su potencial objetivo y trata de convencerlo de que revele información confidencial o le envíe dinero mediante manipulación psicológica.
Sin embargo, el pretexting y el phishing tienen una diferencia clave. El pretexting se basa en la creación de una narrativa falsa para que el cibercriminal parezca creíble. Por ejemplo, alguien que inicie un ataque de pretexting podría hacerse pasar por alguien importante, como un miembro del equipo de TI, en un intento de obtener acceso físico a un edificio. Por el contrario, un ataque de phishing se basa en la urgencia y el miedo. Por ejemplo, las estafas por correo electrónico de phishing suelen incluir mensajes como «tome medidas ahora», con la amenaza de graves consecuencias, como «se le bloqueará permanentemente la cuenta bancaria». Esta urgencia impulsa a las víctimas a tomar medidas rápidas sin dudar.
Es importante tener en cuenta que las estafas de phishing suelen aprovechar el pretexting y viceversa. Por ejemplo, los correos electrónicos y los mensajes de texto de phishing a menudo afirman ser alguien que conoce, como un compañero de trabajo o un amigo.
Cómo funcionan los ataques de pretexting
El pretexting, como muchos ataques de ingeniería social, empiezan por una investigación cibercriminal. Analizarán el lugar de trabajo de la víctima potencial, los perfiles de las redes sociales y mucho más para saber de quién se trata. Una vez que tenga la información que necesita para llevar a cabo el ataque, planifica por quién se va a hacer pasar y la historia que va a narrar para convencer a su potencial víctima.
Ataques de pretexting más comunes
A continuación, le presentamos algunos de los tipos de ataques de pretexting más comunes.
Estafas de abuelos
Las estafas de abuelos se han vuelto más sofisticadas a medida que la tecnología avanza. En este tipo de estafa, un atacante se hace pasar por el nieto u otro familiar cercano de la víctima e intenta convencerlo de que está en crisis. Por ejemplo, pueden afirmar que están en la cárcel y necesitan dinero para la fianza. El atacante puede falsificar el identificador de llamadas y hacer que la llamada entrante parezca que proviene de alguien conocido. Si la víctima cae en la estafa, el atacante le dará instrucciones para que envíe el dinero.
Las estafas de abuelos se han vuelto más sofisticadas debido a las funciones avanzadas de la inteligencia artificial (IA). Con la IA, un atacante puede clonar la voz de un ser querido para que la estafa parezca más realista.
Estafas románticas
Las estafas románticas se producen cuando los atacantes muestran interés amoroso en línea para ganarse la confianza de la víctima. Este tipo de estafa de pretexting puede tardar semanas, meses o incluso años. En el transcurso de la estafa, el atacante comenzará a pedir cosas poco a poco, como préstamos para una emergencia o regalos caros.
En 2022, el Centro de denuncias de delitos en Internet (IC3) del FBI recibió más de 19 000 denuncias sobre estafas románticas, con pérdidas estimadas en casi 740 millones de dólares.
El fraude del CEO
El fraude del CEO se produce cuando un cibercriminal se hace pasar por el CEO de su objetivo para que envíe dinero, a menudo en forma de una tarjeta de regalo, o comparta información confidencial. Para llevarlo a cabo, el atacante aprovecha las técnicas de phishing para que el asunto parezca urgente.
En algunos casos de fraude del CEO, el atacante envía un mensaje o un correo electrónico a la víctima varias veces antes de realizar la solicitud. Les ayuda a ganar credibilidad y la confianza de la víctima.
Técnicas utilizadas en los ataques de pretexting
A continuación, le presentamos algunas de las técnicas que utilizan los cibercriminales para llevar a cabo ataques de pretexting.
Suplantación
La suplantación es exactamente lo que su nombre sugiere: hacerse pasar por alguien que la víctima conoce. Al suplantar a alguien como un amigo o un compañero de trabajo, un atacante puede ganarse la confianza de la víctima. Esa confianza es clave para convencer a la víctima de que siga las instrucciones y el ataque tenga éxito.
Phishing
El phishing tiene como objetivo persuadir a la víctima para que revele información confidencial a través de correos electrónicos urgentes que parecen provenir de fuentes legítimas. El phishing es la técnica de pretexting más común porque las personas tienden a caer en ella con facilidad. Los correos electrónicos de phishing a menudo incluyen enlaces y archivos adjuntos maliciosos, por lo que cuando la víctima hace clic en ellos, el dispositivo se infecta con malware. El malware es un tipo de software malicioso que puede dar a los atacantes acceso a datos sensibles en el dispositivo de la víctima.
Piggybacking
El piggybacking es una técnica de pretexting en la que un atacante intenta acceder a un sistema, una red o una ubicación física haciendo que otra persona lo ayude inconscientemente. Por ejemplo, para obtener acceso a un edificio físico, el atacante puede seguir de cerca a alguien mientras abre la puerta y colarse justo cuando la puerta esté a punto de cerrarse.
Otro ejemplo de piggybacking se da cuando alguien deja el dispositivo desatendido sin tomar precauciones, como bloquearlo o cerrar la sesión. Dejar un dispositivo desatendido y desbloqueado facilita a cualquier atacante la vulneración del dispositivo, así como de cualquier dato que contenga. Por ejemplo, si deja la computadora desbloqueada en una cafetería y se aleja, otro cliente podría acceder fácilmente a datos sensibles como su cuenta bancaria mientras esté ausente.
Cómo protegerse de los ataques de pretexting
A continuación, le presentamos algunas de las formas de protegerse ante los ataques de pretexting.
Fortalezca sus cuentas
Si cayera en un ataque de pretexting tras hacer clic en un correo electrónico de phishing, una de las cosas más importantes que le protegerá será tener configurada una sólida seguridad en las cuentas. Esto significa tener contraseñas seguras y únicas para cada una de sus cuentas y tener habilitada la autenticación multifactor (MFA).
Un gestor de contraseñas facilita el fortalecimiento de sus cuentas, ya que le ayuda a generar, gestionar y almacenar de forma segura las contraseñas. Un gestor de contraseñas también le facilita añadir la autenticación de dos factores (2FA) a las cuentas, ya que autocompletará sus códigos de 2FA sin tener que utilizar una aplicación o un dispositivo separados para encontrarlo ni escribirlo manualmente.
Tenga cuidado con la información que comparte en línea
Para llevar a cabo ataques de pretexting, los cibercriminales profundizan en su vida personal y laboral. La información que encuentran sirve de base para la técnica que emplean para convencerlo de que revele información confidencial. Para protegerse de este tipo de ataque, debe tener cuidado con lo que publica en línea e intentar limpiar su huella digital. La limpieza de su huella digital dificultará que los atacantes encuentren detalles sobre su vida, lo que a su vez dificultará amenazarle con ataques cibernéticos personalizados.
Aprenda a detectar los ataques de phishing
Aprender a detectar las estafas de phishing puede resultar complicado, ya que se han vuelto más avanzadas con los años, pero no es imposible. A continuación, le presentamos algunas señales que le permitirán detectar si un correo electrónico, un mensaje de texto o una llamada telefónica son una estafa de phishing.
- Solicitudes repentinas de información personal
- Errores gramaticales y errores ortográficos en correos electrónicos o mensajes de texto
- Lenguaje que transmite urgencia
- Envío de enlaces y archivos adjuntos no solicitados
No haga clic en enlaces ni en archivos adjuntos no solicitados
Hacer clic en enlaces y archivos adjuntos que no haya solicitado puede provocar que se infecte la computadora con malware, lo que pondría todos sus datos en riesgo de verse comprometidos o robados. Antes de hacer clic en un enlace que no haya solicitado, compruebe si el enlace es seguro. Para comprobar la seguridad, pase el ratón sobre el enlace para ver la dirección real del sitio web o copie y pegue el enlace en un comprobador de direcciones URL como Informe de transparencia de Google.
En cuanto a los archivos adjuntos no solicitados, lo mejor es no hacer clic en ningún adjunto que no espere. Si dice que proviene de alguien que conoce, pregúntele por otro método de comunicación antes de abrirlo.
Instale un software antimalware y un antivirus
El software antimalware es similar al antivirus, pero el antimalware puede actualizar sus reglas más rápido, lo que significa que protege mejor contra versiones más nuevas de malware y virus. Para una seguridad óptima, lo mejor es tener instalado un software antimalware y un antivirus en la computadora para protegerse contra las amenazas tanto antiguas como nuevas que acechan en Internet.
Manténgase a salvo de los ataques de pretexting
Los ataques de pretexting no solo pueden provocar el robo de sus datos, sino también pérdidas económicas, por lo que es fundamental aprender a protegerse frente a este tipo de ataque. El primer paso para protegerse es asegurar sus cuentas, lo que puede hacer con facilidad gracias a la ayuda de un gestor de contraseñas. Comience hoy mismo con una prueba gratuita de 30 días de Keeper Password Manager para adelantarse a los ataques de pretexting.