Privacidad Online

¿Qué es el Pretexting? Definición y Ejemplos

Internxt Team

7 min read
pretexting

El pretexting es una historia ficticia que los actores de amenazas utilizan para engañarte y conseguir acceso a información sensible. Es una estafa popular que puede ocurrir en línea o en persona, y emplea técnicas comunes de phishing para ayudar a los actores de amenazas a tener éxito en su estafa.

En este artículo, cubrimos: qué es el pretexting, cómo funciona, ejemplos, y cómo prevenirlo con la ayuda de Internxt Drive y aumentando tu concienciación cibernética en línea.

¿Qué es el pretexting?

El pretexting es un ataque de ingeniería social que utiliza una historia inventada para ganarse la confianza de una persona y engañarla para que comparta información personal, descargue malware, envíe dinero o robe contraseñas para acceder a cuentas corporativas.

Una historia de pretexting puede variar dependiendo de la identidad del objetivo, la información que el ciberatacante desea obtener y el sector en el que trabaje la víctima.

¿Cómo funciona el pretexting?

Los ataques comienzan con una historia o identidad falsa; ejemplos comunes son empleados de banco que intentan robar dinero, o un empleado de soporte técnico que engaña a la víctima para que descargue ransomware en su dispositivo.

Esta historia falsa puede crearse mediante

  • Spear phishing: un ataque dirigido a una persona específica.
  • Whale phishing: dirigido a trabajadores corporativos a través de correos electrónicos, mensajes de texto o llamadas telefónicas.
  • Business Email Compromise (BEC): Son correos electrónicos de spear phishing están diseñados para robar información sensible.

También se basa en dos aspectos clave: el personaje y la situación.

  1. El personaje es quien interpreta al estafador en su historia. El propósito del personaje es ganarse la confianza del objetivo haciéndose pasar por alguien con más autoridad, como su jefe, o cualquier rol que el objetivo probablemente confíe de inmediato. El personaje puede ser cualquiera que crean que pueda engañar a su víctima, por ejemplo, soporte técnico, personal de IT o incluso un amigo o ser querido. En algunos casos, incluso se hacen pasar por una persona famosa o celebridad, con la que crean un vínculo amoroso y en un futuro piden transferencias de dinero, información personal, etc.

  2. La situación es el argumento de la historia del personaje, y es la razón por la que el personaje contacta con su objetivo. La historia puede ser genérica, como: “Necesitas actualizar tu información de pago”, o más específica, como: “Tom, hay un problema con la última factura que envió tu empresa y necesitamos que confirmes tus datos bancarios para procesar el pago”.

Ahora que conocemos los fundamentos al responder a la pregunta: ¿Qué es el pretexting?, puede que te estés preguntando, pero ¿cómo saben estos estafadores suficiente información para crear una historia convincente?

En realidad, es más fácil de lo que crees.

Internxt es un servicio de almacenamiento en la nube basado en el cifrado y la privacidad.

Si estás activo en redes sociales como Facebook, Twitter, LinkedIn, Instagram, etc., los estafadores pueden usar tus fotos, publicaciones e información de tu perfil para crear una narrativa convincente con la que intentarán engañarte.

Los informes sugieren que esto lleva una media de 100 minutos. Sin embargo, puede ser incluso más rápido, ya que una vez que el estafador tiene suficiente información de su investigación, puede usar IA como Gemini o ChatGPT para crear una historia convincente y aumentar así sus probabilidades de éxito.

Por último, esa estafa utiliza técnicas de spoofing (copiar direcciones de correo electrónico o números de teléfono) para hacer que el mensaje o correo parezca más creíble. Un hacker con experiencia también podría secuestrar el correo electrónico de un empleado para enviar dicho mensaje.

Las estafas con IA también suponen una gran amenaza en términos de pretexting, ya que ha habido un aumento significativo de cibercriminales que usan IA para clonar voces, sobre lo que puedes aprender más en nuestro artículo sobre estafas con IA.

Técnicas de pretexting

Phishing

Como mencionamos antes, las historias de pretexting se basan en spear o whale phishing al dirigirse a sus víctimas e intentar acceder a información confidencial como datos personales o corporativos, registros financieros o contraseñas.

Pero no se limita a estos tipos de técnicas, también puede enviar un mensaje genérico por texto o correo electrónico a cientos de miles de clientes de bancos, haciéndose pasar por un empleado.

El mensaje podría ser algo como: “Tu cuenta se ha quedado sin fondos.” Incluso si este método “spray-and-pray” tiene éxito con un pequeño porcentaje de personas, puede generar grandes beneficios para el estafador.

Baiting

Los ataques de baiting tienen como objetivo engañar al usuario con una oferta atractiva o una advertencia.

Un correo de phishing podría enviarte un enlace que te dirige a una oferta para tentarte a hacer clic y saber más. El anzuelo podría ser algún tipo de oferta especial, como descargas de medios gratuitas, aunque en realidad está instalado con ransomware u otro malware.

Y no se limita solo al baiting en línea; también puede ser un USB dejado en una zona de oficina con malware instalado. Un estafador podría dejarlo esperando que despierte la curiosidad de alguien por ver qué contiene. Una vez utilizado, instalará malware en el dispositivo o robará información confidencial.

Tailgaiting

El tailgaiting es una estafa presencial similar al shoulder surfing.

Esta estafa ocurre cuando personal no autorizado sigue a un trabajador a una zona que requiere acceso restringido, como una oficina u otras áreas limitadas. También podrían hacerse pasar por un repartidor y pedir a un empleado que les permita entrar en zonas restringidas.

Internxt VPN gratuita encripta su conexión para una mayor privacidad en línea.

Ejemplos de pretexting

Según la Comisión Federal de Comercio (FTC), las personas que se hacen pasar por otros individuos, son el tipo de fraude más común, causando pérdidas de 2.700 millones de dólares.

Estos son los tipos más comunes de estafas de pretexting

  • Estafas de actualización de cuenta: un correo electrónico o mensaje que contiene un enlace malicioso diciendo al objetivo que hay un problema con su cuenta.
  • Estafas de compromiso de correo electrónico empresarial: un personaje se hace pasar por un ejecutivo para influir en el objetivo.
  • Estafas de abuelos: son estafas en las que el estafador se hace pasar por la abuela del objetivo y dice que la víctima está en peligro o herida y necesita dinero para ayudar.
  • Estafas de facturas: se envía una factura falsa por un producto que contiene un enlace malicioso pidiendo información como correo electrónico, número de teléfono o números de seguridad social.
  • Estafas de ofertas de trabajo: se publica una oferta de trabajo falsa en línea. Si alguien se postula, proporciona al actor de la amenaza información personal, que puede usarse en su contra.
  • Estafas románticas: se crea un perfil falso y el estafador intenta ganarse el corazón de la víctima. Si tiene éxito, pedirá dinero para visitarla o para que le ayude con problemas financieros o de salud.
  • Estafas de scareware: asustan a la víctima con algún tipo de problema, ya sea un virus o un problema con la cuenta, y contienen un enlace malicioso o una descarga con malware.

En 2023, la plataforma para desarrolladores Retool fue objetivo de una estafa cuando actores maliciosos enviaron mensajes SMS a sus empleados afirmando que había problemas con su nómina.

Desafortunadamente, un empleado hizo clic en el enlace, dando acceso a los estafadores y causando que robaran casi 15 millones de dólares en criptomonedas.

Leyes contra el pretexting

La UE tiene muchas leyes para ayudar a las empresas a proteger la privacidad de los usuarios, lo que ayudará a limitar estafas.

El RGPD, por ejemplo, aunque no menciona explícitamente el pretexting, establece que las empresas deben implementar medidas técnicas para proteger los datos contra accesos no autorizados, incluyendo técnicas de estafa.

Otras leyes provienen de la FTC, que prohíbe formalmente la suplantación de agencias gubernamentales o empresas, como copiar el logo o el sitio web de una empresa sin permiso..

Otra ley es la Ley de Protección y Privacidad de Registros Telefónicos de 2006, que prohíbe explícitamente el pretexting como un medio para acceder a la información de clientes que posee un proveedor de telecomunicaciones.

Cómo Internxt puede ayudar a prevenir las estafas de pretexting

Internxt está dedicado a ayudar a todos a mantenerse protegidos en línea. Aquí te mostramos cómo nuestra suite segura de productos y herramientas gratuitas puede ayudarte a prevenir estafas en línea.

Internxt Drive, VPN, y Antivirus

Internxt Drive es un servicio de almacenamiento en la nube privado, conforme al RGPD, que utiliza cifrado post-cuántico y de conocimiento cero para almacenar y hacer copias de seguridad de tus documentos, fotos y más con total privacidad.

Cualquier información que quieras guardar y mantener segura frente a los estafadores estará totalmente protegida con Internxt Drive.

Internxt Antivirus protege tu dispositivo de malware

Además, los planes de pago de Internxt también incluyen una VPN, que puede evitar que los estafadores intercepten tu red y roben tu información personal.

Si sospechas que has sido objetivo de una estafa o que has descargado malware accidentalmente, Internxt Drive también incluye un Antivirus. Con él, puedes realizar escaneos personalizados o completos para eliminar malware de tu dispositivo y mantener tus archivos seguros.

Internxt también cuenta con Autenticación de Dos Factores para evitar que estafadores u otros intentos de hackeo accedan a tu cuenta. Además, si compras cualquier plan Premium o Ultimate, también tendrás acceso a los futuros productos de Internxt, Mail y Meet, una vez que se lancen.

Comienza con Internxt por sólo 9,99 € al mes desde nuestra web, o elige cualquiera de nuestros planes de por vida. Es decir, un único pago y puedes disfrutar de tu almacenamiento en la nube durante toda la vida.

Herramientas gratuitas

Internxt también ofrece herramientas gratuitas para aumentar tu privacidad en línea y ayudar a prevenir estafa. Desde la página web de Internxt, navega a “Herramientas gratuitas” al final de la página y utiliza cualquiera de estas herramientas de privacidad en línea sin coste:

  • Generador de contraseñas: crea contraseñas o frases de paso seguras para proteger tus cuentas.
  • Comprobador de contraseñas: asegúrate de que tu contraseña es lo suficientemente fuerte para evitar ataques de fuerza bruta o de diccionario.
  • Correo temporal: mantén tu correo personal seguro creando un correo temporal para mantener tu email libre de spam.
  • Monitor de la dark web: comprueba si tu contraseña, correo u otra información se ha filtrado en línea.
  • Blog de Internxt: cientos de artículos sobre privacidad en línea, tendencias tecnológicas y estafas en internet para aumentar tu conocimiento en ciberseguridad.

Subscríbete a Internxt hoy para recibir todas las últimas noticias tecnológicas, actualizaciones de productos y consigue el primer almacenamiento en la nube con criptografía post-cuántica.

Protege tu privacidad con Internxt!