Incluso en el mundo de las ciberestafas, muchas veces el peligro radica más en la psicología que en la tecnología; es decir, en las formas de manipulación a las que estafadores con mucha ‘mano izquierda’ recurren para obtener información confidencial de las víctimas. Hoy estamos hablando, concretamente, de la técnica conocida como ‘pretexting’.
El pretexting es (como su nombre indica) una estrategia de engaño basada en la creación de pretextos, es decir, una historia ficticia diseñada para ganarse la confianza de la víctima.
A diferencia de otras ciberamenazas que recurren a hackeos técnicos, el pretexting se centra en la explotación de emociones humanas como la confianza, la vulnerabilidad y el respeto a la autoridad. Los atacantes pueden hacerse pasar por empleados de soporte técnico, funcionarios o incluso familiares, dependiendo del objetivo del ataque.
Un aspecto clave del pretexting es la preparación. Los estafadores suelen investigar a fondo a sus víctimas utilizando redes sociales, bases de datos públicas y otros recursos online para construir una historia personalizada y convincente.
Técnicas comunes de ‘pretexting’
El pretexting siempre viene de la mano de toda una gama de métodos complementarios diseñados para diferentes objetivos. Entre las técnicas más comunes destacan:
- Phishing y sus variantes: Vishing (uso de llamadas telefónicas para solicitar datos personales o financieros), smishing (envío de mensajes SMS con enlaces o solicitudes engañosas) y whaling (ataques dirigidos específicamente a altos ejecutivos o empleados con acceso privilegiado).
- Suplantación de identidad: Los estafadores se hacen pasar por figuras de autoridad, como empleados de bancos o funcionarios gubernamentales, para persuadir a las víctimas de que compartan información sensible.
- ‘Tailgating’ y ‘piggybacking’: Estas técnicas se enfocan en obtener acceso físico a instalaciones restringidas, siguiendo a empleados autorizados o utilizando pretextos como entregas urgentes.
- Baiting / scareware: El baiting emplea recompensas falsas para inducir a las víctimas a descargar malware, mientras que el scareware genera pánico mediante mensajes alarmantes para forzar decisiones impulsivas, como instalar software malicioso.
Ejemplos reales de ataques de pretexting
Todas las fraudes del CEO‘ o los del ‘hijo en apuros‘, ambos casos de suplantación de identidad que buscan convencerte de que realices transferencias bancarias inesperadas.
Cómo reconocer y prevenir el pretexting
Reconocer un ataque de pretexting puede ser difícil debido a la sofisticación de las historias utilizadas. Sin embargo, existen señales de advertencia comunes (no suelen darse todas juntas):
- Urgencia: Solicitudes con frases como “de inmediato” o “lo antes posible”, o marcando un plazo límite que expira en pocas horas… todo con el objetivo de presionar a la víctima.
- Peticiones extrañas: Requerimientos de información confidencial o transferencias de fondos por parte de gente que normalmente no lo haría (al menos, no por e-mail / WhatsApp / redes sociales).
- Familiaridad engañosa: Mensajes que comienzan con tonos informales de personas y/o números desconocidos.
- Protocolo poco habitual: ¿Microsoft contacta contigo porque ‘ha detectado’ que tu ordenador está infectado? ¿La Policía te manda un e-mail para que acudas a un juicio? Aquí hay gato encerrado
Imagen | Marcos Merino mediante IA
En Genbeta | “Hasta yo he caído”: Tenemos que dejar culpar a las víctimas de ciberestafas, porque nadie está a salvo de ellas
(function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName(‘head’)[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement(‘script’); instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })();
–
La noticia La amenaza del ‘pretexting’: cuando el problema de las ciberestafas no es la tecnología, sino cuánto se ‘lo curra’ el timador fue publicada originalmente en Genbeta por Marcos Merino .
Más historias
Hay una guerra civil en el mundo del Open Source. Una en la que el futuro de WordPress está en juego
La industria europea de los residuos lleva años mintiéndonos: en 2018 todo saltó por los aires y aún no nos hemos recuperado
Mark Zuckerberg elimina las políticas de inclusión en Meta. Afirma que “la energía masculina es buena” en una empresa