Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI

Pretexting: ¿Cómo protegerse de este ciberataque?

En este artículo hablamos sobre:

El pretexting es una de las técnicas de ciberataque basadas en ingeniería social más comunes y peligrosas, tanto para empresas como para particulares. A través de este método, los ciberdelincuentes logran engañar a sus víctimas para obtener información confidencial, como credenciales de acceso o datos bancarios, e incluso persuadirlas para que realicen transferencias de dinero o ejecuten otras acciones fraudulentas. En este artículo, explicaremos en detalle qué es el pretexting, cómo funciona y, lo más importante, cómo puedes protegerte para evitar caer en sus trampas.

¿Qué es el pretexting?

El pretexting es un tipo de ciberataque en el que el delincuente construye una historia o pretexto falso para engañar a la víctima y hacer que revele información confidencial que, en condiciones normales, no compartiría. El Instituto Nacional de Ciberseguridad (INCIBE) define el pretexting como la base de cualquier ataque de ingeniería social, donde el atacante crea un escenario ficticio para obtener datos valiosos de la víctima, como números de tarjetas bancarias, contraseñas o credenciales de acceso.

Este ataque se basa en ganarse la confianza de la víctima y hacer que esta sienta que está proporcionando la información por un motivo legítimo, lo que lo convierte en una de las tácticas más efectivas y peligrosas para obtener datos confidenciales.

Objetivos del pretexting

El principal objetivo del pretexting es el robo de información sensible que luego se utilizará para otros fines fraudulentos. Entre los objetivos más comunes de este ataque se encuentran:

  • Obtener datos bancarios: Para acceder a las cuentas de la víctima o realizar transferencias fraudulentas.
  • Robar credenciales de acceso: Ya sea para suplantar la identidad de la víctima o para acceder a redes internas de empresas.
  • Suplantación de identidad: Utilizar la información obtenida para hacerse pasar por la víctima y cometer fraudes financieros o comerciales.

En el caso de las empresas, el pretexting suele ser solo la primera fase de un ataque más complejo, donde el delincuente busca acceder a sistemas internos o redes corporativas con fines maliciosos.

¿Cómo funciona el pretexting?

El pretexting utiliza un proceso gradual de engaño en el que el atacante crea un escenario creíble y bien elaborado que lleva a la víctima a compartir la información deseada o a realizar una acción determinada. A diferencia de otros ataques masivos como el phishing, el pretexting suele estar dirigido a una víctima en particular, y el delincuente dedica tiempo a estudiar el comportamiento de la persona o empresa antes de ejecutar el ataque.

Fases del ataque de pretexting:

  1. Recolección de información: El atacante investiga a la víctima a través de redes sociales, bases de datos filtradas o incluso robando correspondencia física. El objetivo es reunir suficientes datos para hacer creíble el pretexto.
  2. Creación del pretexto: Basado en la información recolectada, el ciberdelincuente elabora un escenario plausible. En muchos casos, se hace pasar por un empleado de atención al cliente o un representante de una empresa con la que la víctima tiene algún tipo de relación.
  3. Contacto con la víctima: El delincuente contacta con la víctima a través de un canal que parezca legítimo, como una llamada telefónica, correo electrónico o mensaje de texto, solicitando información bajo un pretexto falso, como resolver un problema de facturación o verificar una cuenta.
  4. Incremento de confianza: El atacante busca ganarse la confianza de la víctima. Rara vez pedirá la información sensible de manera inmediata, sino que irá solicitando datos de forma escalonada y, generalmente, añadiendo un sentido de urgencia para que la víctima no tenga tiempo de pensar o verificar la autenticidad de la solicitud.
  5. Obtención de la información: Una vez que la víctima ha caído en el engaño, el ciberdelincuente obtiene la información deseada o logra que la víctima realice la acción fraudulenta.

Pretexting y phishing: ¿en qué se diferencian?

Aunque ambos ataques utilizan la ingeniería social, existen diferencias clave entre el pretexting y el phishing:

  • Enfoque masivo vs. dirigido: El phishing es un ataque masivo, donde se envían correos electrónicos fraudulentos a miles de personas con la esperanza de que algunas caigan en la trampa. El pretexting, en cambio, es un ataque dirigido a una víctima específica, y el ciberdelincuente ha realizado una investigación previa para personalizar su ataque.
  • Proceso escalonado: Mientras que el phishing suele ser un intento inmediato de obtener información (por ejemplo, a través de un enlace que lleva a una página falsa), el pretexting es un ataque gradual, donde el atacante se toma su tiempo para ganarse la confianza de la víctima antes de solicitar datos confidenciales o acciones específicas.
  • Objetivos distintos: El phishing busca, principalmente, robar credenciales de acceso o instalar malware en el sistema de la víctima. El pretexting, por su parte, no solo busca información sensible, sino que también puede llevar a la víctima a realizar acciones como transferencias de dinero o cambios en los datos de pago de una cuenta.

¿Cómo evitar ser víctimas del pretexting?

Dado que el pretexting se basa en técnicas de engaño y manipulación psicológica, las herramientas de seguridad tradicionales, como los antivirus o los cortafuegos, no siempre son efectivas. Sin embargo, hay varias acciones que puedes tomar para protegerte de este tipo de ciberataques:

1. Desconfía de solicitudes inesperadas

Siempre que recibas una llamada o correo solicitando información confidencial o acciones relacionadas con dinero, es fundamental dudar de la solicitud. Si la persona al otro lado insiste en la urgencia del asunto, tómate el tiempo necesario para verificar su identidad.

2. Verifica la identidad del interlocutor

Si alguien te llama diciendo que es de una empresa, un banco o una institución con la que tienes relación, no dudes en colgar y llamar tú directamente al número oficial de atención al cliente. No proporciones información sensible sin haber confirmado la legitimidad de la solicitud.

3. No compartas tus credenciales ni códigos de verificación

Recuerda que ninguna empresa o banco legítimo te pedirá tus credenciales de usuario o el código de verificación de dos pasos. Si alguien lo hace, se trata de una señal clara de un intento de fraude.

4. Desconfía de la urgencia

El pretexting a menudo juega con el sentido de urgencia para evitar que pienses con claridad o verifiques la situación. Desconfía de cualquier solicitud que insista en que debes actuar de inmediato.

5. Educa a los empleados sobre ciberseguridad

En las empresas, formar a los empleados sobre los diferentes tipos de ciberataques, incluidos el pretexting y el phishing, es clave para evitar incidentes. Implementar políticas de verificación de solicitudes internas, especialmente cuando implican transferencias de dinero o cambios en los métodos de pago, puede prevenir muchos fraudes.

6. Revisa las políticas de seguridad interna

En el caso de las empresas, es fundamental tener protocolos de seguridad claros y efectivos, donde se especifique cómo deben proceder los empleados en situaciones en las que se solicite información confidencial o se hagan solicitudes financieras fuera de lo común.

Formación y educación

El pretexting es una amenaza real que utiliza la manipulación psicológica para engañar a las víctimas y obtener información valiosa o inducirlas a realizar acciones fraudulentas. A diferencia de otros ciberataques, como el phishing, el pretexting está dirigido a una víctima específica y es más sofisticado, lo que lo hace especialmente peligroso.

La mejor defensa contra el pretexting es mantener una actitud escéptica y cuidadosa ante cualquier solicitud de información confidencial, verificar siempre la identidad del interlocutor y nunca actuar precipitadamente. Además, la formación y educación en ciberseguridad, tanto a nivel individual como empresarial, es fundamental para estar siempre un paso adelante frente a estos cibercriminales.

Más artículos sobre cumplimiento normativo

Más de 20 años cumpliendo contigo

¿Necesitas ayuda?

Te asignaremos un consultor experto para buscar una solución a tu problema en menos de 24h. ¡Escríbenos!

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?
¿Necesitas un presupuesto a medida?

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com