Español | English
rss facebook linkedin Twitter

El "pretexting" en la legislación española

El "pretexting" es un tipo de ingeniería social realizada por teléfono que consiste en la creación del pretexto suficiente para hacer creer que se está ante una determinada persona a un teleoperador del servicio de atención al cliente de la compañía que posee los datos personales de la persona objetivo.

Antes de llamar al servicio de atención al cliente del responsable del fichero, el atacante ha realizado una labor de recopilación de información suficiente -nombre y apellidos, domicilio, DNI, número de teléfono,...- que le ayude a obtener otros datos personales adicionales haciéndole creer al teleoperador que está ante la persona que el atacante finge ser o, más grave aún, sin hacerse pasar por él o ella argumentando que necesita esos datos para cualquier fin que cree empatía en el teleoperador como para que los revele. Esta práctica del "pretexting" se diferencia del "phishing" en que el ataque va dirigido contra una persona en concreto, pero aprovechando la deficiencia de los procedimientos de seguridad de los servicios de atención al cliente de operadores de telecomunicaciones, bancos, aseguradoras,... o la posible candidez o la solidaridad de los teleoperadores.

Este tipo de ingeniería social se hizo notorio cuando se descubrió que unos detectives privados contratados por HP habían empleado el "pretexting" para acceder a los registros telefónicos de varios de sus consejeros, ya que se sospechaba que estaban pasando información confidencial a determinados periodistas. Los detectives privados accedieron a los registros telefónicos fijos y móviles de los consejeros, los periodistas y de personas del círculo íntimo de todas ellas. Una vez se destapó el escándalo la entonces presidenta de HP, Patricia Dunn, se vio en la obligación de dimitir y la compañía fue investigada por diversas autoridades americanas y no tuvo más remedio que celebrar acuerdos de transacción con los consejeros y los periodistas y personas relacionadas que fueron investigados y con el Fiscal General de California. El escándalo derivó finalmente en la aprobación por el Congreso de una ley federal que prohibe el "pretexting".

Nuestro Tribunal Constitucional declaró que "el derecho a la protección de datos personales atribuye a su titular una haz de facultades, a saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales". Cuando los clientes de compañías de telecomunicaciones, compañías eléctricas, bancos y cajas de ahorro, compañías de seguros,... recurren a los servicios de atención telefónica por estas entidades provistos se produce un tratamiento de datos personales que han sido recabados con la finalidad de mantener una relación negocial entre ambas partes. Relaciones a lo largo de las cuales los clientes de estas compañías podrán ejercer los derechos de acceso, rectificación, cancelación y oposición que la LOPD les reconoce. Es precisamente en la existencia del derecho de acceso en la que se basa la técnica del "pretexting", ya que su objetivo final es conocer o hacerse con los datos personales en poder de estas compañías, ya sea suplantando la identidad de la persona o sin ni siquiera ello tratando de aprovechar la ingenuidad o la compasión de los teleoperadores.

En el sector financiero, y más en concreto en los bancos y cajas de ahorros, se ha decidido implantar sistemas de autenticación telefónica basados en el conocimiento de ciertos datos personales (nombre, apellidos, DNI, número de tarjeta,...), y adicionalmente de claves personales de los que se solicitan al menos dos caracteres para poder acceder a los datos que obran en poder del responsable del fichero (los denominados "PINes parciales") o de coordenadas solicitadas aleatoriamente y que se encuentran impresas en tarjetas provistas previamente a los clientes (conocidas como "tarjetas de barcos"). Para ordenar o autorizar operaciones se suele exigir una clave personal diferente o unas nuevas coordenadas. Es por ello que ante estos tipo de sistemas de autenticación telefónica el éxito de quienes hacen uso del "pretexting" depende del acceso previo a datos diferentes a aquellos que pueden ser obtenidos de informaciones públicas o fácilmente accesibles en Internet, guías telefónicas,... Sin embargo, por lo general en los servicios de atención telefónica de compañías del sector de las comunicaciones, el sector eléctrico o las compañías de seguros emplean sistemas de autenticación telefónica basados en el desafío-respuesta en torno a datos personales que pueden ser fácilmente accesibles para cualquier persona. Ello puede tener especial relevancia en el caso de los operadores de telecomunicaciones que puedan ser objeto de prácticas de "pretexting", dado el nivel de información que sobre una persona se puede acceder conociendo sus datos de facturación telefónica.

En el próximo post veremos de qué manera el Derecho español incide en la figura del "pretexting".

Álvaro Del Hoyo
Departamento de Consultoría

2 comentarios:

enriqued dijo...

En mi opinion "pretexting" se refiere a la presentacion ante la victima de un escenario (pretexto) para convencerla de que lleve a cabo una accion contraria a sus intereses.Es una muy antigua tecnica de los estafadores que ahora se usa mediante la tecnologia moderna

Álvaro Del Hoyo dijo...

Enrique,

Precisamente eso es lo que decimos.

Aparte de la persona objeto de las pesquisas tendentes a conocer su intimidad, la víctima en este caso es el responsable del fichero en el que figuran los datos de la persona en cuestión. Cuando el operador cae en el engaño o decide saltarse los controles establecidos por su empleador en protección de los datos personales de sus clientes, es la empresas propietaria de la base de datos la que se convierte en vícitma al poder ser sancionada conforme a la legislación.

Un saludo


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login