[03/07/2020] El pretexting es una forma de ingeniería social, en la que un atacante intenta convencer a una víctima para que renuncie a información valiosa, así como al acceso a un servicio o sistema. La función distintiva de este tipo de ataque es que los artistas de las estafas vienen con una historia -o pretexto- con el fin de engañar a la víctima. Por lo general, el pretexto le asigna al atacante el papel de alguien con autoridad que tiene derecho a acceder a la información que se busca, o que puede usar la información para ayudar a la víctima.
El pretexting tiene una historia bastante larga. En el Reino Unido, donde también se le conoce como blagging, es una herramienta que los periodistas de los periódicos sensacionalistas han utilizado durante años para tener acceso a los trapos sucios de las celebridades y los políticos. Pero hoy es comúnmente utilizado por estafadores dirigidos a particulares y empresas para tratar de obtener acceso a sus cuentas financieras y datos privados. Y los pretexters pueden usar cualquier forma de comunicación, incluyendo correos electrónicos, mensajes de texto y llamadas telefónicas de voz, para ejercer su oficio.
Técnicas de pretexting
En las Pruebas de Penetración de Ingeniería Social, el ingeniero de seguridad, Gavin Watson, expone las técnicas que subyacen a cada acto de pretexting: "La parte clave... [es] la creación de un escenario, que es el pretexto utilizado para involucrar a la víctima. El pretexto establece la escena del ataque, junto con los personajes y la trama. Es la base sobre la cual se realizan muchas otras técnicas para lograr los objetivos generales”.
Watson afirma que existen dos elementos principales para un pretexting: un personaje interpretado por el estafador, y una situación plausible en la que ese personaje podría necesitar, o tener derecho a acceder, a la información que busca. Por ejemplo, todos sabemos que a veces existen errores que surgen con los sistemas de pago automático; por lo tanto, es plausible que algunas facturas recurrentes que hemos establecido para cargar a nuestra tarjeta de crédito o cuenta bancaria automáticamente puedan fallar misteriosamente; y como resultado, la compañía a la que teníamos que pagar podría comunicarse con nosotros. Un atacante podría asumir un personaje que esperaríamos encontrar en ese escenario: un representante de servicio al cliente amable y servicial, por ejemplo, que nos contacta para ayudar a solucionar el error, y asegurarse de que el pago se realice antes de que nuestra cuenta se atrase. A medida que se desarrolla el escenario, el atacante solicitaría información bancaria, o de tarjeta de crédito, para ayudar en el proceso -y esa es la información que necesitan para robar dinero directamente de nuestras cuentas.
En el escenario descrito anteriormente, la clave para hacer que la estafa funcione es que la víctima cree que el atacante es quien afirma ser. Eso requiere que el personaje sea tan creíble como la situación. En resumen, no es suficiente que pueda recibir una llamada telefónica de su compañía de cable informándole que su pago automático no se realizó; tiene que encontrar creíble que la persona en el teléfono en realidad es un representante de servicio al cliente de su compañía de cable. Por lo tanto, las técnicas de pretexting más importantes son aquellas que el estafador implementa para tranquilizarlo. Si un atacante ha obtenido de alguna manera su factura de cable, por ejemplo, al revisar su basura, estará armado con el nombre de su proveedor de cable y su número de cuenta cuando lo llamen, lo que hace que sea más probable que crea que realmente son el personaje que están interpretando.
Este ejemplo demuestra una especie de paradoja del pretexting: cuanto más específica sea la información que un pretexter sepa sobre usted antes de ponerse en contacto con usted, más valiosa será la información que puede convencerlo de renunciar a más. Es por eso por lo que una cuidadosa investigación es una técnica fundamental para los pretexters. Si bien el buceo en el contenedor de basura puede ser una buena fuente de inteligencia sobre una víctima, obviamente también requiere bastante trabajo desordenado en el mundo real, y puede no valer la pena para un objetivo de valor relativamente bajo. Pero los pretexters tienen disponibles una gran cantidad de otras técnicas de investigación más eficientes, incluyendo la llamada inteligencia de código abierto, información que se puede reconstruir a partir de información disponible públicamente que va desde registros gubernamentales hasta perfiles de LinkedIn. También existen gigabytes de datos de identificación personal en la web oscura como resultado de innumerables irrupciones en los datos, disponibles para la compra a un precio relativamente bajo, destinado a servir como esqueleto para un escenario de pretexting.
También existen algunos métodos más técnicos que los pretexters pueden usar para agregar credibilidad al escenario que están armando. Por ejemplo, pueden falsificar el número de teléfono o el nombre de dominio de correo electrónico de la institución a la que fingen representar para parecer legítimos.
Pretexting y phishing
La falsificación de una dirección de correo electrónico es una parte clave del phishing, y muchos intentos de phishing se basan en escenarios de pretexting, aunque puede que no impliquen una gran cantidad de investigación o detalles; por ejemplo, un atacante podría enviar un correo electrónico a un representante de recursos humanos. La variedad específica de phishing, conocida como spear phishing, caracterizada por tener como objetivo atrapar a una víctima específica de alto valor, generalmente conduce a un ataque de pretexting, en el que un ejecutivo de alto nivel es engañado para creer que se está comunicando con alguien más en la empresa o en una empresa asociada, con el objetivo final de convencer a la víctima de que realice una gran transferencia de dinero.
El pretexting también es una parte clave de vishing -un término que es un acrónimo de "voz” y "phishing” y que, en esencia, es phishing por teléfono. Muchos pretendientes obtienen el número de teléfono de su víctima como parte de una recopilación en línea de información de identificación personal antes mencionada, y usan el resto de los datos de la víctima para tejer el escenario creíble que los ayudará a alcanzar su objetivo (generalmente, una contraseña crucial o un número de cuenta financiera).
El modo de ataque Tailgating
Existe una técnica más de la cual hablar, que a menudo se agrupa en la categoría de pretexting: el tailgating. El tailgating es una técnica común para atravesar una puerta cerrada, simplemente seguir a alguien que pueda abrirla antes de que se cierre. Se puede considerar una especie de pretexting, ya que el tailgater a menudo alienta a la persona con la llave a dejarle entrar al edificio -por ejemplo, podrían usar un disfraz y afirmar que están allí para arreglar un problema de gasfitería o de calefacción o aire acondicionado, o tener una caja de pizza y decir que están entregando el almuerzo a otro piso. Como muchas técnicas de ingeniería social, esta se basa en el deseo innato de las personas de ser útiles o amigables; mientras exista alguna razón aparentemente buena para dejar entrar a alguien, la gente tiende a hacerlo, en lugar de confrontar al tailgater.
Ejemplos de pretexting
Como señalamos anteriormente, una de las primeras formas en que el pretexting se hizo notar en el mundo fue en una serie de escándalos que rodearon a los tabloides británicos a mediados de la década de los años 2000. Estos artículos, en una competencia desesperada entre sí por incluso primicias menores sobre celebridades y miembros de la realeza, utilizaron una variedad de técnicas para espiar el correo de voz de sus víctimas. En algunos casos, esto fue tan simple como probar si la víctima había cambiado el PIN predeterminado de su correo de voz (una cantidad sorprendente no lo había hecho), pero también utilizaron una variedad de técnicas de pretexting denominadas internamente como "blaging” para obtener acceso a la información, que incluyen a los representantes de servicio al cliente de la compañía telefónica, hurgando en la basura y alardeando engañosamente para permitir el acceso al buzón de correo de voz.
Para muchos estadounidenses, su primera introducción al pretexting se produjo en el 2006, cuando la lucha interna en Hewlett-Packard se convirtió en un escándalo abierto. La gerencia de HP contrató investigadores privados para averiguar si algún miembro de la junta había estado filtrando información a la prensa; los investigadores privados, a su vez, se hicieron pasar por esos miembros de la junta, en algunos casos usando sus números de Seguro Social, que HP había proporcionado, para engañar a las compañías telefónicas con el fin de que entregaran los registros de llamadas. Todo terminó cuando la presidenta de HP, Patricia Dunn, renunció en desgracia y se formalizaron acusaciones penales -algo sobre lo que profundizaremos más adelante-.
Aún así, el tipo de ataque de pretexting con mayor probabilidad de afectar su vida será aquel en el que estas técnicas le sean aplicadas personalmente. El blog KnowBe4 ofrece un gran ejemplo de cómo un estafador de pretexting logró derrotar la autenticación de dos factores para infiltrarse en la cuenta bancaria de una víctima. Se suponía que la víctima debía confirmar con un código de seis dígitos, enviado por mensaje de texto a través de su banco, si alguna vez intentaba restablecer su nombre de usuario y contraseña; los estafadores lo llamaron mientras restablecían esta información, pretendiendo ser su banco confirmando cargos inusuales, y le pidieron que leyera los códigos que el banco le estaba enviando, alegando que los necesitaban para confirmar su identidad. Con esos códigos en la mano, pudo obtener acceso fácilmente a su cuenta.
Pero es probable que los pretexters tengan más probabilidades de apuntar a compañías que a individuos, ya que las compañías generalmente tienen cuentas bancarias más grandes y tentadoras. A menudo, es más difícil averiguar los detalles de los ataques exitosos, ya que no es probable que las empresas admitan que han sido estafadas. Chris Tappin y Simon Ezard de VTRAC, que escriben para CSO Australia, describen una técnica de pretexting que llaman Spiked Punch, en la que los estafadores se hacen pasar por un proveedor al que una empresa envía pagos regularmente. Utilizando información obtenida de fuentes públicas y perfiles de redes sociales, pueden convencer al personal de cuentas por pagar de la compañía objetivo, a cambiar la información de la cuenta bancaria para los proveedores en sus archivos, y lograr enganchar bastante dinero antes de que alguien se dé cuenta.
En otro ejemplo, Ubiquiti Networks, fabricante de equipos de red, perdió casi 40 millones de dólares debido a una estafa de suplantación de identidad. Los pretexters enviaron mensajes a los empleados de Ubiquiti fingiendo ser ejecutivos corporativos y solicitaron que se enviaran millones de dólares a varias cuentas bancarias; una de las técnicas utilizadas fue la de "URL parecidas”: los estafadores registraron una URL que era solo una letra diferente de la de Ubiquiti y enviaron sus correos electrónicos desde ese dominio.
Ley de pretexting
El pretexting es, en general, ilegal en los Estados Unidos. Para las instituciones financieras cubiertas por la Ley Gramm-Leach-Bliley (GLBA) de 1999 -es decir, casi para todas las instituciones financieras-, es ilegal que cualquier persona obtenga, intente obtener, revele o haga revelar al cliente información de una institución financiera por medio de pretexting o engaños. Las instituciones reguladas por la GLBA también están obligadas a establecer normas para educar a su propio personal, destinadas a identificar los intentos de pretexting.
Sin embargo, una cosa que reveló el escándalo de HP fue que no estaba claro si era ilegal usar el pretexting para obtener información no financiera -recuerde, HP buscaba los registros telefónicos de sus directores, no su dinero. Los fiscales tuvieron que elegir qué leyes usar para hacer la acusación, ya que algunas de estas leyes no fueron diseñadas teniendo en cuenta este tipo de escenario. A raíz del escándalo, el Congreso aprobó rápidamente la Ley de registros telefónicos y protección de la privacidad del 2006, que amplió la protección a los registros en poder de las compañías de telecomunicaciones.
Cómo evitar el pretexting
Una de las mejores maneras de evitar la falsificación es simplemente darse cuenta de que es una posibilidad, y que las técnicas como la suplantación de identidad por correo electrónico o teléfono pueden dejar en claro quién se comunica con usted. Cualquier capacitación de concientización sobre seguridad a nivel corporativo debe incluir información sobre estafas de pretexting. Y para evitar situaciones como la de Ubiquiti, debe haber fuertes controles y balances internos cuando se trata de grandes transferencias de dinero, con múltiples ejecutivos que necesitan ser consultado para cerrar sesión en ellos.
A nivel personal, es importante tener cuidado cuando alguien que ha iniciado contacto con usted comienza a solicitar información personal. Recuerde, su banco ya sabe todo lo que necesita saber sobre usted, no debería necesitar que les diga su número de cuenta. Si sospecha de una conversación con una institución, cuelgue y llame a su número de teléfono disponible al público o escriba a una dirección de correo electrónico desde su página web.
Finalmente, si un repartidor de pizza intenta seguirle dentro del edificio de su oficina, indíquele que llame a la persona que lo ordenó para que lo dejen entrar. No se preocupe: si son legítimos, contarán con una caja especial que mantendrá la pizza se caliente durante los pocos minutos adicionales que necesitará para entregarla.
Josh Fruhlinger, CSO