Incluso en el mundo de las ciberestafas, muchas veces el peligro radica más en la psicología que en la tecnología; es decir, en las formas de manipulación a las que estafadores con mucha 'mano izquierda' recurren para obtener información confidencial de las víctimas. Hoy estamos hablando, concretamente, de la técnica conocida como 'pretexting'.
El pretexting es (como su nombre indica) una estrategia de engaño basada en la creación de pretextos, es decir, una historia ficticia diseñada para ganarse la confianza de la víctima.
A diferencia de otras ciberamenazas que recurren a hackeos técnicos, el pretexting se centra en la explotación de emociones humanas como la confianza, la vulnerabilidad y el respeto a la autoridad. Los atacantes pueden hacerse pasar por empleados de soporte técnico, funcionarios o incluso familiares, dependiendo del objetivo del ataque.
Un aspecto clave del pretexting es la preparación. Los estafadores suelen investigar a fondo a sus víctimas utilizando redes sociales, bases de datos públicas y otros recursos online para construir una historia personalizada y convincente.
Técnicas comunes de 'pretexting'
El pretexting siempre viene de la mano de toda una gama de métodos complementarios diseñados para diferentes objetivos. Entre las técnicas más comunes destacan:
- Phishing y sus variantes: Vishing (uso de llamadas telefónicas para solicitar datos personales o financieros), smishing (envío de mensajes SMS con enlaces o solicitudes engañosas) y whaling (ataques dirigidos específicamente a altos ejecutivos o empleados con acceso privilegiado).
- Suplantación de identidad: Los estafadores se hacen pasar por figuras de autoridad, como empleados de bancos o funcionarios gubernamentales, para persuadir a las víctimas de que compartan información sensible.
- 'Tailgating' y 'piggybacking': Estas técnicas se enfocan en obtener acceso físico a instalaciones restringidas, siguiendo a empleados autorizados o utilizando pretextos como entregas urgentes.
- Baiting / scareware: El baiting emplea recompensas falsas para inducir a las víctimas a descargar malware, mientras que el scareware genera pánico mediante mensajes alarmantes para forzar decisiones impulsivas, como instalar software malicioso.
Ejemplos reales de ataques de pretexting
Todas las estafas románticas, en las que los estafadores diseñan completas biografías para sus personajes (acompañadas de toda una serie de excusas de por qué nunca pueden encender la webcam ni visitarte, pero sí que les prestes urgentemente dinero) caen en esta categoría.
También lo hacen los 'fraudes del CEO' o los del 'hijo en apuros', ambos casos de suplantación de identidad que buscan convencerte de que realices transferencias bancarias inesperadas.
Cómo reconocer y prevenir el pretexting
Reconocer un ataque de pretexting puede ser difícil debido a la sofisticación de las historias utilizadas. Sin embargo, existen señales de advertencia comunes (no suelen darse todas juntas):
- Urgencia: Solicitudes con frases como "de inmediato" o "lo antes posible", o marcando un plazo límite que expira en pocas horas... todo con el objetivo de presionar a la víctima.
- Peticiones extrañas: Requerimientos de información confidencial o transferencias de fondos por parte de gente que normalmente no lo haría (al menos, no por e-mail / WhatsApp / redes sociales).
- Familiaridad engañosa: Mensajes que comienzan con tonos informales de personas y/o números desconocidos.
- Protocolo poco habitual: ¿Microsoft contacta contigo porque 'ha detectado' que tu ordenador está infectado? ¿La Policía te manda un e-mail para que acudas a un juicio? Aquí hay gato encerrado
Imagen | Marcos Merino mediante IA
En Genbeta | "Hasta yo he caído": Tenemos que dejar culpar a las víctimas de ciberestafas, porque nadie está a salvo de ellas
Ver 0 comentarios