cuando el problema de las ciberestafas no es la tecnología, sino cuánto se 'lo curra' el timador

Incluso en el mundo de las ciberestafas, muchas veces el peligro radica más en la psicología que en la tecnología; es proponer, en las formas de manipulación a las que estafadores con mucha 'mano izquierda' recurren para obtener información confidencial de las víctimas. Hoy estamos hablando, concretamente, de la técnica conocida como 'pretexting'.

El pretexting es (como su nombre indica) una logística de patraña basada en la creación de pretextos, es proponer, una historia ficticia diseñada para ganarse la confianza de la víctima.

A diferencia de otras ciberamenazas que recurren a hackeos técnicos, el pretexting se centra en la explotación de emociones humanas como la confianza, la vulnerabilidad y el respeto a la autoridad. Los atacantes pueden hacerse ocurrir por empleados de soporte técnico, funcionarios o incluso familiares, dependiendo del objetivo del ataque.

Un aspecto esencia del pretexting es la preparación. Los estafadores suelen investigar a fondo a sus víctimas utilizando redes sociales, bases de datos públicas y otros posibles online para construir una historia personalizada y convincente.

Técnicas comunes de 'pretexting'

El pretexting siempre viene de la mano de toda una grado de métodos complementarios diseñados para diferentes objetivos. Entre las técnicas más comunes destacan:

• Phishing y sus variantes: Vishing (uso de llamadas telefónicas para solicitar datos personales o financieros), smishing (remisión de mensajes SMS con enlaces o solicitudes engañosas) y whaling (ataques dirigidos específicamente a altos ejecutivos o empleados con llegada privilegiado).

• Suplantación de identidad: Los estafadores se hacen ocurrir por figuras de autoridad, como empleados de bancos o funcionarios gubernamentales, para persuadir a las víctimas de que compartan información sensible.
• 'Tailgating' y 'piggybacking': Estas técnicas se enfocan en obtener llegada físico a instalaciones restringidas, siguiendo a empleados autorizados o utilizando pretextos como entregas urgentes.
• Baiting / scareware: El baiting emplea recompensas falsas para inducir a las víctimas a descargar malware, mientras que el scareware genera pánico mediante mensajes alarmantes para forzar decisiones impulsivas, como instalar software desconfiado.

Ejemplos reales de ataques de pretexting

Todas las estafas románticas, en las que los estafadores diseñan completas biografías para sus personajes (acompañadas de toda una serie de excusas de por qué nunca pueden encender la webcam ni visitarte, pero sí que les prestes urgentemente cuartos) caen en esta categoría.

Igualmente lo hacen los 'fraudes del CEO' o los del 'hijo en apuros', los dos casos de suplantación de identidad que buscan convencerte de que realices transferencias bancarias inesperadas.

Cómo distinguir y alertar el pretexting

Registrar un ataque de pretexting puede ser difícil correcto a la sofisticación de las historias utilizadas. Sin confiscación, existen señales de advertencia comunes (no suelen darse todas juntas):

• Emergencia: Solicitudes con frases como "de inmediato" o "lo antaño posible", o marcando un plazo final que expira en pocas horas... todo con el objetivo de presionar a la víctima.
• Peticiones extrañas: Requerimientos de información confidencial o transferencias de fondos por parte de multitud que normalmente no lo haría (al menos, no por e-mail / WhatsApp / redes sociales).
• Confianza engañosa: Mensajes que comienzan con tonos informales de personas y/o números desconocidos.
• Protocolo poco habitual: ¿Microsoft contacta contigo porque 'ha detectado' que tu ordenador está infectado? ¿La Policía te manda un e-mail para que acudas a un seso? Aquí hay micho encerrado

Imagen | Marcos Merino mediante IA

En Genbeta | "Hasta yo he caído": Tenemos que dejar culpar a las víctimas de ciberestafas, porque nadie está a omitido de ellas