Cargando...
Estás aquí:  Inicio  >  Opinión  >  Gestión  >  Artículo actual

Evitar el peligro del “pretexting”

Por   /   13 noviembre, 2014  /   Sin Comentarios

Por S21sec, firma española de servicios y productos de seguridad digital.

 

Una simple llamada telefónica y la picardía de los ciberdelincuentes pueden ser suficientes para poner en peligro la vida digital y privada de cualquier individuo. Esta práctica delictiva de ingeniería social, cada vez más extendida y denominada “pretexting”, consiste en la obtención de datos y documentos llamando a una compañía simulando ser una determinada persona, de cara a una posterior utilización con fines delictivos.

Pretexting, de PixabayEl “modus operandi” de estos “hackers” pasa por realizar una labor de recopilación de información suficiente antes de llamar al servicio de atención al cliente correspondiente (nombre y apellidos, domicilio, DNI, número de teléfono, etc.) para obtener aquellos datos personales que hagan creer al teleoperador que está hablando con el titular del servicio en cuestión. De ese modo, y aprovechándose también de la falta de concienciación y de los fallos en los procesos de seguridad en los trámites telefónicos, conseguirán aquello que están buscando.

Pero, ¿cómo llega el ciberdelincuente a conseguir tantos datos personales de una persona? Pues lo cierto es que hay bastantes posibilidades: En primer lugar, hay que tener en cuenta que muchos de esos datos están expuestos en las redes sociales de las que formamos parte, con lo que los tienen a mano. Pero también resulta abordable otro tipo de información más confidencial como, por ejemplo, el número de cuenta bancaria. Y es que muchas facturas ocultan los últimos cuatro dígitos, sustituyéndolos por asteriscos, mientras que otras hacen lo propio con las primeras cifras, por lo que, de ese modo, si el ciberdelincuente dispone del acceso a diferentes facturas (agua, luz, teléfono, gas, etc.) domiciliadas en la misma cuenta, tiene las puertas abiertas para disponer de datos claves para llevar a cabo cualquier delito.

Este problema comenzó a hacese notorio en el 2005, cuando se descubrió que una multinacional de tecnología contrató a unos detectives privados al sospechar que algunos de sus consejeros estaban pasando información confidencial a determinados periodistas. Para ello, los detectives por medio de técnicas del “pretexting”, accedieron a los registros telefónicos de los consejeros, de los periodistas y de personas del círculo íntimo de todas ellas. Sin embargo, se destapó el escándalo y la entonces presidenta se vio en la obligación de dimitir, al margen de que la compañía fue investigada por diversas autoridades americanas. Tal fue la repercusión, que derivó en la aprobación por el Congreso de Estados Unidos de una ley federal que prohíbe el “pretexting”.

La cuestión es que la tendencia al “pretexting” se extienda cada día más, dado que los “hackers” están accediendo a las mayores fortalezas digitales, lo que puede suponer graves implicaciones en términos económicos y de reputación.

Porque es preciso señalar que este tipo de ingeniería social no sólo se utiliza con fines económicos, sino también para hacerse, por ejemplo, con un usuario de Twitter por capricho de los “hackers”. Ese fue el caso de Mat Honan, un periodista que vio toda su vida digital destruida en apenas una hora. En primer lugar, su cuenta de Amazon fue usurpada, lo que permitió acceder a su cuenta de Apple y poder recibir el correo de recuperación de contraseñas de su cuenta de GMail, tras lo cual pudieron apropiarse de su usuario de Twitter, cuya cuenta se utilizó entonces para difundir mensajes racistas y homófobos. Además, a través del acceso a la cuenta de Apple, se borraron de forma remota todos los datos de sus iPhone, iPad y MacBook, así como todos los correos electrónicos de la cuenta de GMail tras haberla comprometido. Eso sí, el propio Honan consideró que: “en muchos sentidos, fue mi culpa. Al entrar en Amazon, los delincuentes tuvieron acceso a mi cuenta de ID de Apple, que a su vez les ayudó a entrar en Gmail, lo que les daba acceso a Twitter. Si hubiera utilizado dos factores de autenticación para mi cuenta de Google, ofrecido gratuitamente por Google, es posible que nada de esto hubiera pasado, ya que su objetivo final era siempre entrar en mi Twitter y causar estragos”.

En cualquier caso, lo cierto es que el éxito del “pretexting” depende siempre del acceso previo a los datos, de la falta de concienciación de los teleoperadores y de los fallos en los procesos, si bien, en ocasiones, sí es posible llegar a averiguar quién se esconde detrás de estos actos delictivos. El adolescente de 15 años “Cosmo”, “hacker” del grupo norteamericano UG Nazi, fue pionero en las técnicas de ingeniería social que le permitieron acceder a las cuentas de usuario en Amazon, PayPal y muchas otras compañías, así como a realizar otros delitos, aunque finalmente fue arrestado en junio de 2012 como parte de una operación encubierta del FBI.

Por todo ello, conviene seguir algunas recomendaciones para evitar ser víctimas del “pretexting” y que consisten fundamentalmente en:

– Solicitar datos más específicos, de modo que sean poco probables de ser hallados en Internet, para que el ciberdelincuente no pueda hacerse pasar fácilmente por el usuario ante los teleoperadores.

– Precisar una autenticación doble, en especial, cuando se traten datos sensibles (tarjetas de crédito, datos de salud, geolocalización, perfiles…) o incluso combinar el acceso protegido mediante una contraseña inicial que tenga limitados los errores sucesivos de acceso y la solicitud de un “pin” parcial mediante teclado para autorizar transacciones. Si no fuera así, es recomendable que cualquier transacción u operación de gestión no esté disponible por teléfono, o que al menos no se pueda realizar de forma sucesiva a un cambio de domicilio.

– Envío de las facturas por mail o a través de la descarga desde el portal de usuario. Además, si es posible, para la recuperación de contraseñas de acceso se debe recomendar el uso de correos electrónicos con soluciones de doble factor de autenticación.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *