El phishing es uno de los principales problemas de seguridad a los que se enfrentan empresas y particulares. Los intentos anteriores consistían en sitios web y correos electrónicos falsos que recopilaban información personal. Estos intentos siguen siendo graves y arriesgados. Sin embargo, los nuevos enfoques, como las estafas de pretexto, son ahora más frecuentes.
Como la mayoría de la gente, es posible que se pregunte qué son las estafas de pretexto. Estos métodos de ingeniería social se producen cuando los hackers convencen a las víctimas para que compartan datos privados. A diferencia de otras opciones comunes, estas estafas son selectivas, lo que hace muy difícil que las víctimas reconozcan la amenaza. Los casos de estas estafas han aumentado a medida que ciberatacantes utilizan ataques de ingeniería social para explotar las vulnerabilidades humanas y perfeccionar sus métodos.
Puntos clave
- Las estafas de pretexto son ataques de ingeniería social en los que los estafadores crean historias de fondo o escenarios convincentes para manipular a las personas para que compartan información confidencial.
- Estas estafas van en aumento debido a los avances tecnológicos, la disponibilidad de datos en línea y el cambio al trabajo a distancia.
- Algunos ejemplos habituales de estafas con pretextos son hacerse pasar por empleados bancarios, agentes de soporte técnico o funcionarios públicos.
- Las consecuencias incluyen pérdidas financieras, daños a la reputación y angustia emocional, y las organizaciones se enfrentan a violaciones de datos y pérdida de confianza.
- Las estrategias de mitigación incluyen la formación de los empleados, herramientas avanzadas de seguridad del correo electrónico y la autenticación multifactor (MFA).
¿Qué son las estafas de pretexto?
Las estafas de pretexto consisten en que los atacantes envían mensajes de texto engañosos para manipular a las personas con el fin de que revelen datos privados. A diferencia de otras estafas, se centran en la psicología humana. Los atacantes se hacen pasar por personas de confianza, como empleados de banco.
Se centran en crear historias convincentes. Esto les hace peligrosos porque se aprovechan de tu confianza. Los atacantes pueden utilizar información disponible públicamente o información recopilada de infracciones anteriores para hacer creíbles sus historias.
Ejemplos de estafas con pretextos
Algunos ejemplos comunes de estas estafas son:
- Impersonalización de personas conocidas: Pueden hacerse pasar por personas conocidas, como policías o funcionarios de Hacienda. Por ejemplo, pueden llamarle diciendo que son de Hacienda.
- Estafas al soporte técnico: Estos estafadores suelen hacerse pasar por empleados de conocidas empresas de tecnología. Suelen afirmar que tu dispositivo tiene un virus y se ofrecen a arreglarlo.
- Llamadas de fraude bancario: Los estafadores también pueden hacerse pasar por funcionarios de su banco. Pueden reclamar alguna actividad sospechosa en su cuenta.
¿Por qué aumentan las estafas con pretextos?
Los siguientes factores han provocado el aumento de estas estafas:
1. Nuevas innovaciones
Las innovaciones tienen repercusiones tanto positivas como negativas en la seguridad de las empresas. Los nuevos sistemas han permitido a las empresas proteger mejor los datos y las redes. Por desgracia, también traen consigo problemas. Varias innovaciones tecnológicas están detrás del creciente número de ataques con éxito. Han facilitado que los atacantes obtengan información personal y convenzan a los usuarios.
Un avance clave que potencia estas estafas es la presencia de información personal en línea. El aumento del número de personas que acceden a Internet significa que se dispone de grandes cantidades de datos de los usuarios. Esto facilita a los piratas informáticos la obtención de detalles sobre sus objetivos y les ayuda a elaborar textos convincentes. Por ejemplo, un estudiante puede compartir sin saberlo información personal en plataformas de redes sociales, que luego pueden utilizar los estafadores para hacerse pasar por amigos o profesores y solicitar información confidencial, como credenciales de acceso o datos financieros, bajo falsos pretextos. Esto podría implicar peticiones como "por favor, haz mi trabajo" o "necesito tu ayuda con un favor rápido".
La IA y el aprendizaje automático también han permitido a los atacantes perfeccionar sus estrategias. Estas herramientas pueden analizar grandes volúmenes de datos en cuestión de segundos. Los hackers también utilizan estas soluciones para crear mensajes falsos que se adapten a personas concretas. Estos avances aumentan las posibilidades de que las víctimas accedan a las peticiones del atacante.
Las plataformas de comunicación también desempeñan un papel en el aumento de los casos de estafa con pretexto. Cada vez más personas las utilizan para llevar a cabo sus asuntos personales y empresariales. Esto crea oportunidades para que los atacantes accedan a las redes personales y empresariales. Estos métodos carecen del toque humano que proporcionan las opciones en persona. Por ello, es fácil para los atacantes hacerse pasar por personas de confianza.
2. Adopción del trabajo a distancia
Trabajar fuera de las oficinas físicas no es un concepto nuevo en el entorno laboral. Comenzó como una opción temporal durante la pandemia. Ahora, la mayoría de las empresas han adoptado este modelo de trabajo. Aunque conlleva varias ventajas, este cambio ha introducido nuevos retos de seguridad.
Trabajar desde casa significa que ya no se trabaja en redes de oficina seguras. En lugar de eso, dependes de las redes de Internet domésticas y de aplicaciones en la nube para completar tus tareas. La mayoría de los empleados también prefieren utilizar dispositivos personales. Este cambio ha expuesto a las empresas a diversos ataques. Los piratas informáticos se aprovechan de la ausencia de pruebas en persona. Con ello, pueden convencer a los empleados remotos para que confíen en solicitudes fraudulentas.
La falta de interacciones personales permite a los delincuentes hacerse pasar por personal de la empresa. Esto significa que pueden convencer a los empleados para que compartan sus datos de acceso. El trabajo a distancia también implica depender de opciones de comunicación en línea y de la nube. Aunque estas herramientas son cómodas, crean oportunidades perfectas para las estafas con pretextos.
Las estafas de pretexto suelen basarse en mensajes convincentes que parecen proceder de personas conocidas. Por ejemplo, los atacantes pueden enviar correos electrónicos haciéndose pasar por departamentos de Recursos Humanos. Los empleados que trabajan desde casa no pueden verificar estas solicitudes y es probable que accedan.
Aparte de eso, los trabajadores remotos se enfrentan a mucha presión y estrés debido al aislamiento. Los piratas informáticos se aprovechan de estas presiones, creando una sensación de urgencia en sus estafas. Por ejemplo, pueden hacerse pasar por empleados de TI o supervisores de la empresa. Pueden pedir acceso remoto a los dispositivos de los empleados para realizar actualizaciones de seguridad urgentes. La sensación de urgencia puede convencer a los empleados para actuar sin confirmar su legitimidad. Los empleados tampoco pueden verificar estas solicitudes en persona.
Las empresas deben considerar varias estrategias para mitigar estos riesgos. Estrategias como la AMF, la formación periódica y la mejora de la CSPM son eficaces. Las estrategias adecuadas pueden ayudar a las empresas a adoptar modelos de trabajo a distancia sin estos riesgos.
¿Cuál es el impacto de los pretextos?
Estas estafas afectan significativamente a particulares, organizaciones y gobiernos. El impacto de las estafas exitosas incluye:
- Pérdidas financieras: Estos ataques suelen provocar pérdidas directas de dinero. Los hackers utilizan información robada para autorizar transacciones.
- Daños a la reputación: Los objetivos sufren graves daños a su reputación. La filtración de datos provoca la pérdida de confianza de los clientes y daños a largo plazo para la marca.
- Estrés emocional: Las víctimas de estas estafas experimentan ansiedad y se sienten violadas. Recuperarse de la estafa es emocionalmente agotador.
Cómo mitigar las estafas de pretextos
El pretexto son muy difíciles de detectar. Sin embargo, las empresas pueden considerar varias estrategias para mitigar estos ataques. Entre ellas se incluyen:
Sensibilización y formación de los empleados
La formación de los empleados es crucial para cualquier estrategia de seguridad de redes y sistemas. Sus empleados deben estar preparados para identificar estafas y otras amenazas. La formación debe centrarse en garantizar que los empleados identifiquen las distintas tácticas que utilizan los hackers.
Los ataques de phishing se centran en los fallos humanos en lugar de en los problemas técnicos. Esto convierte a los empleados en el eslabón más débil de la cadena de seguridad, y los atacantes se dirigen a ellos por este motivo. Los delincuentes pueden influir en los empleados para que compartan información personal o accedan a sistemas restringidos. Los empleados que carecen de formación suficiente pueden ser víctimas de estas estafas. Esto pone en peligro su información personal y los datos de la empresa.
Una formación eficaz empieza por enseñar a los empleados las distintas formas de ataque. Cada tipo tiene características únicas, pero se basa en jugar con sus emociones. La mayoría de los ataques se centran en infundir miedo o una sensación de urgencia. Los empleados deben aprender a identificar los signos comunes de estos ataques.
Utilice soluciones avanzadas de seguridad del correo electrónico
El correo electrónico es uno de los métodos de comunicación más utilizados. Esto lo convierte en un vector principal de ataques. Las empresas deben adoptar soluciones avanzadas de seguridad del correo electrónico que ofrezcan capas de defensa.
Las soluciones avanzadas utilizan la IA para detectar y bloquear los intentos de pirateo. Estas soluciones tecnológicas pueden analizar grandes cantidades de datos de correo electrónico en cuestión de minutos. Las empresas pueden aprender patrones que indican actividades fraudulentas. Por ejemplo, la IA puede identificar variaciones en las cabeceras de los correos electrónicos o en los archivos adjuntos. La IA también sigue aprendiendo nuevos trucos, adaptándose a las tácticas cambiantes de los hackers.
Utilice la autenticación multifactorial
Las opciones anteriores, basadas en contraseñas, no bastan para proteger cuentas y datos sensibles. La autenticación multifactor (AMF) requiere que los usuarios verifiquen su identidad de muchas maneras. Por ejemplo, los usuarios necesitan una contraseña y un token de seguridad o un identificador facial. Este enfoque reduce el riesgo de acceso de extraños.
La mejora de la seguridad es una de las principales ventajas de la AMF. Incluso con contraseñas, siguen siendo necesarias más credenciales para acceder. Esto hace que la AMF sea segura contra todos los ataques, incluidos los intentos de fuerza bruta. La AMF presenta algunos retos. Por ejemplo, algunos usuarios se resisten a ella debido a la complejidad percibida.
Nota final
El auge de los ataques de pretexto demuestra lo complicados que son. Por desgracia, los atacantes son cada vez más hábiles a la hora de ejecutar sus artimañas. Debe tomar medidas proactivas para proteger su información. Aplicar políticas de seguridad sólidas reduce el riesgo de ser víctima de estas estafas.
Preguntas frecuentes sobre los pretextos
¿Cuál es la diferencia entre pretexting y phishing?
Aunque ambos son métodos de estafa, tienen enfoques diferentes. El pretexto consiste en utilizar mensajes de texto falsos para convencer a alguien de que facilite información privada. Por otro lado, el phishing utiliza la comunicación masiva, como los correos electrónicos, para engañar a las víctimas y hacer que descarguen o hagan clic en enlaces dañinos.
¿Cuál es un ejemplo de pretexto en el phishing?
Un ejemplo perfecto es cuando los atacantes se hacen pasar por técnicos informáticos a través de correos electrónicos. A menudo afirman que necesitan acceder a su cuenta para corregir un problema.
¿Qué es la regla del pretexto?
Se trata de disposiciones de una ley que protege a los consumidores del acceso no autorizado a sus datos privados. Según estas normas, es ilegal utilizar pretextos falsos para obtener datos de personas u organizaciones inocentes.
¿Cuál es la diferencia entre suplantación de identidad y pretexto?
Ambas son estafas relacionadas. Pero la suplantación consiste en hacerse pasar directamente por otra persona para ganarse su confianza. Por ejemplo, un estafador se hace pasar por un funcionario de un banco cuando habla con usted.
¿Es un pretexto llevar uniforme o usar la autoridad?
Llevar uniforme forma parte de estas estafas. Sin embargo, el pretexto va más allá de las apariencias. Consiste en crear situaciones creíbles.
- Caso práctico de MSP: Hubelia simplificó la gestión de la seguridad del dominio del cliente con PowerDMARC - 31 de enero de 2025
- Las 6 mejores soluciones DMARC para MSP en 2025 - 30 de enero de 2025
- El papel de los protocolos de autenticación en el mantenimiento de la exactitud de los datos - 29 de enero de 2025