Así te roban y se hacen pasar por ti utilizando tu número de teléfono y mucha astucia

Así te roban y se hacen pasar por ti utilizando tu número de teléfono y mucha astucia
NOTICIA de Javi Navarro
05.06.2013 - 11:45h    Actualizado 13.03.2023 - 12:37h

Una simple llamada telefónica y la picardía de los ciberdelincuentes son suficientes para poner en peligro la vida digital y privada de cualquier individuo. Esta práctica delictiva de ingeniería social, cada vez más extendida, se denomina pretexting y consiste en la obtención de datos y documentos llamando a una compañía simulando ser una determinada persona, de cara a una posterior utilización con fines delictivos.

El modus operandi de estos hackers pasa por realizar una labor de recopilación de información suficiente antes de llamar al servicio de atención al cliente correspondiente (nombre y apellidos, domicilio, DNI, número de teléfono, etc.) para obtener aquellos datos personales que hacen creer al teleoperador que está hablando con el titular del servicio en cuestión. De ese modo, aprovechándose de la falta de concienciación y de los fallos en los procesos de seguridad en los trámites telefónicos, conseguirán aquello que están buscando.

Pero, ¿cómo llega el ciberdelincuente a conseguir tantos datos personales de una persona? Muchos de ellos están expuestos en las redes sociales de las que formamos parte, con lo que los tienen a mano. También resulta abordable otro tipo de información más confidencial como, por ejemplo, el número de cuenta bancaria. Muchas facturas ocultan los últimos cuatro dígitos sustituyéndolos por asteriscos mientras que otras hacen lo propio con las primeras cifras. De ese modo, si el ciberdelincuente dispone del acceso a diferentes facturas (agua, luz, teléfono, gas, etc.) domiciliadas en la misma cuenta, tiene las puertas abiertas para disponer de datos claves para llevar a cabo cualquier delito.

Antecedentes del pretexting
La tendencia del pretexting cada día se extiende más. Los hackers están accediendo a las mayores fortalezas digitales y este hecho puede traer graves implicaciones en términos económicos y de reputación.

Para entenderlo, tomemos en cuenta sus antecedentes. El pretexting se hizo notorio en el 2005 cuando se descubrió que una multinacional de tecnología contrató a unos detectives privados ya que se sospechaba que algunos de sus consejeros estaban pasando información confidencial a determinados periodistas. Para ello, los detectives por medio del pretexting, accedieron a los registros telefónicos de los consejeros, de los periodistas y de personas del círculo íntimo de todas ellas, pero se destapó el escándalo y la entonces presidenta se vio en la obligación de dimitir. Además, la compañía fue investigada por diversas autoridades americanas. Tal fue la repercusión que derivó en la aprobación por el Congreso de Estados Unidos de una ley federal que prohíbe el pretexting.

También en Twitter
Cabe señalar también que este tipo de ingeniería social no sólo se utiliza con fines económicos, sino también para hacerse con un usuario de Twitter por capricho de los hackers. Ése fue el caso de Mat Honan, un periodista que vio toda su vida digital destruida en apenas una hora. En primer lugar, su cuenta de Amazon fue usurpada, lo que permitió acceder a su cuenta de Apple y poder recibir el correo de recuperación de contraseñas de su cuenta de GMail, tras lo cual pudieron usurpar su usuario de Twitter. Después, la cuenta de Twitter se utilizó para difundir mensajes racistas y homófobos.

A través del acceso a la cuenta de Apple se borraron de forma remota todos los datos de sus iPhone, iPad y MacBook y se borraron todos los correos electrónicos de la cuenta de GMail tras haberla comprometido. Eso sí, el propio Honan consideró que “en muchos sentidos, fue mi culpa. Al entrar en Amazon, los delincuentes tuvieron acceso a mi cuenta de ID de Apple, que a su vez les ayudó a entrar en Gmail, lo que les daba acceso a Twitter. Si hubiera utilizado dos factores de autenticación para mi cuenta de Google –Google Authenticator, ofrecido gratuitamente por Google-, es posible que nada de esto hubiera pasado, puesto que su objetivo final era siempre entrar en mi Twitter y causar estragos”, reconoció posteriormente.

El éxito del pretexting depende del acceso previo a los datos, de la falta de concienciación de los teleoperadores y de los fallos en los procesos, pero en ocasiones, es posible llegar a averiguar quién se esconde detrás de estos actos delictivos. El adolescente de 15 años “Cosmo”, hacker del grupo norteamericano UG Nazi, fue pionero en las técnicas de ingeniería social que le permitieron acceder a las cuentas de usuario en Amazon, PayPal y muchas otras compañías, así como a realizar otros delitos. Fue arrestado en junio de 2012 como parte de una operación encubierta del FBI.

Recomendaciones
Como empresa especializada en ciberseguridad, S21sec trabaja proporcionando servicios de seguridad para evitar este tipo de prácticas, como el análisis de riesgos al respecto de los sistemas de autenticación en los canales telefónicos de atención al cliente, auditorías de ingeniería social y, sobre todo, servicios de concienciación y formación para empresas que no quieran ver en entredicho su seguridad. “Sin embargo, lo más importante es la concienciación que podamos tener todos ante este hecho”, asegura Álvaro del Hoyo, Service Marketing Manager de S21sec, quien además ofrece una serie de recomendaciones para evitar ser víctimas del pretexting:

Solicitar datos más específicos, poco probables de ser hallados en Internet para que el ciberdelincuente no pueda hacerse pasar fácilmente por el usuario ante los teleoperadores.

Precisar una autenticación doble, en especial, cuando se traten datos sensibles (tarjetas de crédito, datos de salud, geolocalización, perfiles…) o incluso combinar el acceso protegido mediante una contraseña inicial que tenga limitados los errores sucesivos de acceso y la solicitud de un pin parcial mediante teclado para autorizar transacciones. Si no fuera así, es recomendable que cualquier transacción u operación de gestión no esté disponible por teléfono, o que al menos no se pueda realizar de forma sucesiva a un cambio de domicilio.

Envío de las facturas por mail o a través de la descarga desde el portal de usuario. Si es posible, para la recuperación de contraseñas de acceso se debe recomendar el uso de correos electrónicos con soluciones de doble factor de autenticación.



WhatsApp Casacochecurro