Cómo prevenir ataques de pretexting
Table of Contents
¿Qué es pretexting?
Pretexting es otra forma de ingeniería social en la que los piratas informáticos intentan crear un buen pretexto, o un escenario ficticio, que pueden usar para intentar robar a sus objetivos sus datos privados. Pretexting generalmente toma la forma de un estafador que asume una identidad falsa para adquirir información específica de sus víctimas. Por lo general, actúan como si necesitaran a sus víctimas para confirmar su identidad dándoles los datos que desean los atacantes.
¿Cómo sucede?
Los pretexters usualmente se hacen pasar por compañeros de trabajo, autoridades, bancos, clérigos, investigadores de seguros u otras instituciones o negocios oficiales. Esencialmente cualquier persona que pueda tener algún tipo de autoridad o un derecho a saber sobre el objetivo. El atacante solo necesita preparar respuestas a las preguntas que su víctima pueda hacer. Por lo general, todo lo que necesitan es el tono correcto y algunas habilidades de improvisación para engañar a la mayoría de las personas.
Los ataques de texto previo a menudo se utilizan para obtener datos confidenciales y no confidenciales. El año pasado, por ejemplo, un grupo de estafadores se hizo pasar por representantes de agencias de modelos y servicios de acompañantes. Fabricaron fondos falsos y preguntas de entrevistas para convencer a las mujeres y las adolescentes de que les enviaran fotos de ellas mismas desnudas. Luego, vendieron esas fotos a negocios pornográficos por dinero.
El ingrediente clave de la ingeniería social es la confianza. Los estafadores deben inspirar confianza en sus víctimas, de lo contrario, probablemente fracasarán. Un buen pretexto es una parte fundamental para generar confianza. Si el alias, la historia o la identidad del atacante tienen agujeros o carecen de credibilidad o incluso de la percepción de credibilidad, lo más probable es que la víctima lo descubra.
Cómo defenderse contra el pretexto.
Como cualquier otra buena defensa, debe ser proactivo en lugar de reactivo. Si, por ejemplo, recibe un correo electrónico de alguien que dice que un trabajador de mantenimiento se presentará en su lugar, comuníquese con la compañía del remitente, no con el remitente. Llámalos y asegúrate de que realmente están enviando a alguien. Si está en casa cuando se presenten, exija hablar con su superior, en lugar de simplemente tomar su palabra. Pídales el número corporativo de la compañía y el nombre de su supervisor, para que pueda llamarlos para confirmar la identidad de la persona en su hogar.
Lo mismo ocurre con los sitios web en línea, especialmente cualquier cosa que quiera su tarjeta de crédito o pay-pal. Siempre busca la fuente, porque ahí es donde el pretexto se desmorona con más fuerza.
