El pretexto es un tipo de ataque de ingeniería social que implica una situación, o pretexto , creado por un atacante para atraer a una víctima a una situación vulnerable y engañarla para que brinde información privada, específicamente información que la víctima normalmente no daría fuera del contexto del pretexto. [1] En su historia, el pretexto se ha descrito como la primera etapa de la ingeniería social y ha sido utilizado por el FBI para ayudar en las investigaciones. [2] Un ejemplo específico de pretexto es la ingeniería social inversa, en la que el atacante engaña a la víctima para que se comunique con el atacante primero.
Una razón para la prevalencia del pretexting entre los ataques de ingeniería social es su dependencia de la manipulación de la mente humana para obtener acceso a la información que el atacante desea, en lugar de manipular un sistema tecnológico. Al buscar víctimas, los atacantes pueden estar atentos a una variedad de características, como la capacidad de confiar, la baja percepción de amenaza, la respuesta a la autoridad y la susceptibilidad a reaccionar con miedo o excitación en diferentes situaciones. [3] [4] A lo largo de la historia, los ataques de pretexting han aumentado en complejidad, habiendo evolucionado desde la manipulación de operadores por teléfono en la década de 1900 hasta el escándalo de Hewlett Packard en la década de 2000, que involucró el uso de números de seguridad social , teléfonos y bancos . [5] Los marcos educativos actuales sobre ingeniería social se utilizan en las organizaciones, aunque los investigadores en el ámbito académico han sugerido posibles mejoras a esos marcos. [6]
La ingeniería social es una táctica de manipulación psicológica que provoca una respuesta involuntaria o inconsciente del objetivo/víctima. [7] Es una de las principales amenazas a la seguridad de la información en el mundo moderno, que afecta a las organizaciones, la gestión empresarial y las industrias. [7] Los ataques de ingeniería social se consideran difíciles de prevenir debido a su raíz en la manipulación psicológica. [8] Estos ataques también pueden alcanzar una escala más amplia. En otros ataques de seguridad, una empresa que posee datos de clientes puede ser vulnerada. Con los ataques de ingeniería social, tanto la empresa (específicamente los trabajadores dentro de la empresa) como el cliente directamente son susceptibles de ser atacados. [8]
Un ejemplo sería el sector bancario, donde no sólo los empleados del banco pueden ser atacados, sino también los clientes. Los delincuentes de ingeniería social atacan directamente a los clientes o empleados para eludir el intento de piratear un sistema puramente tecnológico y explotar las vulnerabilidades humanas. [8]
Aunque su definición en relación con la ciberseguridad ha sido distorsionada en diferentes publicaciones, un tema común es que la ingeniería social (en ciberseguridad) explota las vulnerabilidades humanas para violar entidades como computadoras y tecnología de la información. [2]
Actualmente, hay poca literatura e investigación sobre ingeniería social. Sin embargo, una parte principal de la metodología al investigar la ingeniería social es crear un pretexto inventado. Al evaluar qué ataques de ingeniería social son los más peligrosos o dañinos (por ejemplo, phishing , vishing , water-holing ), el tipo de pretexto es un factor en gran medida insignificante, ya que algunos ataques pueden tener múltiples pretextos. Por lo tanto, el pretexto en sí mismo se usa ampliamente, no solo como un ataque en sí mismo, sino como un componente de otros. [9]
En materia de ciberseguridad, el uso de pretextos puede considerarse una de las primeras etapas de la evolución de la ingeniería social. Por ejemplo, mientras que el ataque de ingeniería social conocido como phishing se basa en elementos modernos como tarjetas de crédito y se produce principalmente en el espacio electrónico, el uso de pretextos se implementó y se puede implementar sin tecnología. [10]
El pretexto fue uno de los primeros ejemplos de ingeniería social. El concepto de pretexto, acuñado por el FBI en 1974, se utilizaba a menudo para ayudar en sus investigaciones. En esta fase, el pretexto consistía en que un atacante llamara a la víctima simplemente para pedirle información. [2] Los ataques de pretexto suelen consistir en tácticas de persuasión. Después de esta fase inicial de la evolución de la ingeniería social (1974-1983), el pretexto dejó de ser solo una táctica de persuasión para convertirse en una táctica de engaño. A medida que la tecnología se desarrollaba, los métodos de pretexto se desarrollaban junto con ella. Pronto, los piratas informáticos tuvieron acceso a una audiencia más amplia de víctimas gracias a la invención de las redes sociales. [2]
La ingeniería social inversa es un ejemplo más específico de pretexto. [11] Es una forma no electrónica de ingeniería social en la que el atacante crea un pretexto con el que se manipula al usuario para que se ponga en contacto con el atacante primero, en lugar de al revés.
Por lo general, los ataques de ingeniería inversa implican que el atacante anuncie sus servicios como un tipo de ayuda técnica, lo que genera credibilidad. Luego, se engaña a la víctima para que se comunique con el atacante después de ver anuncios, sin que el atacante se comunique directamente con la víctima en primer lugar. Una vez que un atacante logra realizar con éxito un ataque de ingeniería social inversa, se puede establecer una amplia gama de ataques de ingeniería social debido a la confianza falsificada entre el atacante y la víctima (por ejemplo, el atacante puede darle a la víctima un enlace dañino y decirle que es una solución al problema de la víctima. Debido a la conexión entre el atacante y la víctima, la víctima se inclinará a creerle al atacante y hacer clic en el enlace dañino). [12]
El uso de pretextos se ha considerado y sigue considerándose una táctica útil en los ataques de ingeniería social. Según los investigadores, esto se debe a que no dependen de la tecnología (como la piratería de sistemas informáticos o la violación de la tecnología ). El uso de pretextos puede ocurrir en línea, pero depende más del usuario y de los aspectos de su personalidad que el atacante puede utilizar en su beneficio. [13] Los ataques que dependen más del usuario son más difíciles de rastrear y controlar, ya que cada persona responde a los ataques de ingeniería social y de pretextos de manera diferente. Sin embargo, atacar directamente una computadora puede requerir menos esfuerzo para resolverse, ya que las computadoras funcionan de manera relativamente similar. [13] Hay ciertas características de los usuarios que los atacantes identifican y atacan. En el ámbito académico, algunas características comunes [14] son:
Si la víctima es “valorada”, significa que tiene algún tipo de información que el ingeniero social desea. [3]
La confianza va de la mano con la simpatía, ya que, por lo general, cuanto más simpatía despierta una persona, más confianza despierta en ella. [14] De manera similar, cuando se establece confianza entre el ingeniero social (el atacante) y la víctima, también se establece credibilidad. Por lo tanto, es más fácil para la víctima divulgar información personal al atacante si es más fácil confiar en ella. [4]
La facilidad con la que una persona reacciona a los acontecimientos y en qué medida puede utilizarse a favor de un ingeniero social. En particular, emociones como la excitación y el miedo se utilizan a menudo para persuadir a las personas a que divulguen información. Por ejemplo, se podría establecer un pretexto en el que el ingeniero social proponga un premio emocionante para la víctima si acepta darle su información bancaria. La sensación de excitación se puede utilizar para atraer a la víctima hacia el pretexto y persuadirla de que le dé al atacante la información que se busca. [14]
A pesar de comprender que existen amenazas al hacer cualquier cosa en línea, la mayoría de las personas realizarán acciones que van en contra de esto, como hacer clic en enlaces aleatorios o aceptar solicitudes de amistad desconocidas. [14] Esto se debe a que la persona percibe la acción como de baja amenaza o consecuencia negativa. Esta falta de miedo/amenaza, a pesar de ser consciente de su presencia, es otra razón por la que los ataques de ingeniería social, especialmente los pretextos, son frecuentes. [15]
Si la víctima es sumisa y dócil, entonces es más probable que el atacante tenga éxito en el ataque si se presenta un pretexto en el que la víctima piensa que el atacante se hace pasar por algún tipo de figura autoritaria. [14]
El artículo de octubre de 1984 Switching centres and Operators detallaba un ataque de pretextos común en esa época. Los atacantes solían contactar con operadores que trabajaban específicamente para personas sordas mediante teletipos. La lógica era que estos operadores solían ser más pacientes que los operadores normales, por lo que era más fácil manipularlos y persuadirlos para que les dieran la información que deseaban. [2]
Un ejemplo notable es el escándalo de Hewlett Packard . La empresa Hewlett Packard quería saber quién estaba filtrando información a los periodistas. Para ello, proporcionó a investigadores privados información personal de los empleados (como números de seguridad social), y los investigadores privados a su vez llamaron a las compañías telefónicas haciéndose pasar por esos empleados con la esperanza de obtener registros de llamadas. Cuando se descubrió el escándalo, el director ejecutivo dimitió. [16]
En general, los socialbots son perfiles falsos de redes sociales operados por máquinas que emplean atacantes de ingeniería social. En sitios de redes sociales como Facebook, los socialbots se pueden utilizar para enviar solicitudes de amistad masivas con el fin de encontrar tantas víctimas potenciales como sea posible. [5] Mediante técnicas de ingeniería social inversa, los atacantes pueden utilizar socialbots para obtener cantidades masivas de información privada sobre muchos usuarios de redes sociales. [17] En 2018, un estafador se hizo pasar por el empresario Elon Musk en Twitter , alterando su nombre y foto de perfil. Procedió a iniciar una estafa engañosa de obsequios, prometiendo multiplicar la criptomoneda enviada por los usuarios. Posteriormente, el estafador retuvo los fondos que se le enviaron. Este incidente sirve como ejemplo de cómo se empleó el pretexto como táctica en un ataque de ingeniería social. [18]
Los marcos educativos actuales sobre el tema de la ingeniería social se dividen en dos categorías: concientización y capacitación. La concientización es cuando se presenta la información sobre ingeniería social a la parte destinataria para informarla sobre el tema. La capacitación es específicamente enseñar las habilidades necesarias que las personas aprenderán y usarán en caso de que se vean envueltas en un ataque de ingeniería social o puedan encontrarse con uno. [6] La concientización y la capacitación se pueden combinar en un proceso intensivo al construir marcos educativos.
Si bien se han realizado investigaciones sobre el éxito y la necesidad de los programas de capacitación en el contexto de la educación en ciberseguridad, [19] hasta el 70% de la información se puede perder cuando se trata de capacitación en ingeniería social. [20] En un estudio de investigación sobre la educación en ingeniería social en bancos de Asia Pacífico , se descubrió que la mayoría de los marcos solo abordaban la concientización o la capacitación. Además, el único tipo de ataque de ingeniería social que se enseñaba era el phishing. Al observar y comparar las políticas de seguridad en los sitios web de estos bancos, las políticas contienen un lenguaje generalizado como "malware" y "estafas", al tiempo que omiten los detalles detrás de los diferentes tipos de ataques de ingeniería social y ejemplos de cada uno de esos tipos. [6]
Esta generalización no beneficia a los usuarios que reciben formación a través de estos marcos, ya que se pierde una profundidad considerable cuando el usuario sólo recibe formación en términos generales como los ejemplos anteriores. Además, los métodos puramente técnicos para combatir la ingeniería social y los ataques de pretexto, como los cortafuegos y los antivirus , son ineficaces. Esto se debe a que los ataques de ingeniería social suelen implicar la explotación de la característica social de la naturaleza humana, por lo que combatir únicamente la tecnología es ineficaz. [21]