S21sec alerta sobre los peligros de una técnica de ingeniería social que aprovecha el desconocimiento de los teleoperadores. Con el pretexto de obtener información personal o dañar su imagen, los ciberdelincuentes contactan con los servicios de atención al cliente.
Una simple llamada telefónica y la picardía de los ciberdelincuentes son suficientes para poner en peligro la vida digital y privada de cualquier individuo. Esta práctica delictiva de ingeniería social, cada vez más extendida, se denomina pretexting y consiste en la obtención de datos y documentos llamando a una compañía simulando ser una determinada persona, de cara a una posterior utilización con fines delictivos.
El modus operandi de estos hackers pasa por realizar una labor de recopilación de información suficiente antes de llamar al servicio de atención al cliente correspondiente (nombre y apellidos, domicilio, DNI, número de teléfono, etc.) para obtener aquellos datos personales que hagan creer al teleoperador que está hablando con el titular del servicio en cuestión. De ese modo, aprovechándose de la falta de concienciación y de los fallos en los procesos de seguridad en los trámites telefónicos, conseguirán aquello que están buscando.
Pero, ¿cómo llega el ciberdelincuente a conseguir tantos datos personales de una persona? Muchos de ellos están expuestos en las redes sociales de las que formamos parte, con lo que los tienen a mano. También resulta abordable otro tipo de información más confidencial como, por ejemplo, el número de cuenta bancaria. Muchas facturas ocultan los últimos cuatro dígitos sustituyéndolos por asteriscos mientras que otras hacen lo propio con las primeras cifras. De ese modo, si el ciberdelincuente dispone del acceso a diferentes facturas (agua, luz, teléfono, gas, etc.) domiciliadas en la misma cuenta, tiene las puertas abiertas para disponer de datos claves para llevar a cabo cualquier delito.
Antecedentes del pretexting
La tendencia del pretexting cada día se extiende más. Los hackers están accediendo a las mayores fortalezas digitales y este hecho puede traer graves implicaciones en términos económicos y de reputación.
Para entenderlo, tomemos en cuenta sus antecedentes. El pretexting se hizo notorio en el 2005 cuando se descubrió que una multinacional de tecnología contrató a unos detectives privados porque sospechaba que algunos de sus consejeros estaban pasando información confidencial a determinados periodistas. Para ello, los detectives por medio del pretexting, accedieron a los registros telefónicos de los consejeros, de los periodistas y de personas del círculo íntimo de todas ellas, pero se destapó el escándalo y la entonces presidenta se vio en la obligación de dimitir. Además, la compañía fue investigada por diversas autoridades americanas. Tal fue la repercusión que derivó en la aprobación por el Congreso de Estados Unidos de una ley federal que prohíbe el pretexting.
Recomendaciones de S21sec
Como empresa especializada en ciberseguridad, S21sec trabaja proporcionando servicios para evitar este tipo de prácticas, como el análisis de riesgos al respecto de los sistemas de autenticación en los canales telefónicos de atención al cliente, auditorías de ingeniería social y, sobre todo, servicios de concienciación y formación para empresas que no quieran ver en entredicho su seguridad. “Sin embargo, lo más importante es la concienciación que podamos tener todos ante este hecho”, asegura Álvaro del Hoyo, Service Marketing Manager de S21sec, quien además ofrece una serie de recomendaciones para evitar ser víctimas del pretexting:
Solicitar datos más específicos, poco probables de ser hallados en Internet para que el ciberdelincuente no pueda hacerse pasar fácilmente por el usuario ante los teleoperadores.
Precisar una autenticación doble, en especial, cuando se traten datos sensibles (tarjetas de crédito, datos de salud, geolocalización, perfiles…) o incluso combinar el acceso protegido mediante una contraseña inicial que tenga limitados los errores sucesivos de acceso y la solicitud de un pin parcial mediante teclado para autorizar transacciones. Si no fuera así, es recomendable que cualquier transacción u operación de gestión no esté disponible por teléfono, o que al menos no se pueda realizar de forma sucesiva a un cambio de domicilio.
Envío de las facturas por mail o a través de la descarga desde el portal de usuario. Si es posible, para la recuperación de contraseñas de acceso se debe recomendar el uso de correos electrónicos con soluciones de doble factor de autenticación.
Archivado en: