Una bona definició del terme la trobem a la Wikipedia:
Pretexting is the act of creating and using an invented scenario (the pretext) to persuade a target to release information or perform an action and is typically done over the telephone. It's more than a simple lie as it most often involves some prior research or set up and the use of pieces of known information (e.g. for impersonation: date of birth, Social Security Number, last bill amount) to establish legitimacy in the mind of the target. [3]
This technique is often used to trick a business into disclosing customer information, and is used by private investigators to obtain telephone records, utility records, banking records and other information directly from junior company service representatives. The information can then be used to establish even greater legitimacy under tougher questioning with a manager (e.g., to make account changes, get specific balances, etc).
As most U.S. companies still authenticate a client by asking only for a Social Security Number, date of birth, or mother's maiden name, the method is effective in many situations and will likely continue to be a security problem in the future.
Pretexting can also be used to impersonate co-workers, police, bank, tax authorities or insurance investigators — or any other individual who could have perceived authority or right-to-know in the mind of the target. The pretexter must simply prepare answers to questions that might be asked by the target. In some cases all that is needed is a voice of the right gender, an earnest tone and an ability to think on one's feet.
Voice over IP programs are starting to become a standard in pretexting, as it is harder to track an IP address than a phone number, making the pretexter less vulnerable to capture.[citation needed]
Referent al mateix assumpte, el consultor de S21sec, Alvaro del Hoyo, va escriure dos interessants articles:
El "pretexting" en la legislación española
05/03/2008 - Alvaro del Hoyo - S21sec
El "pretexting" en la legislación española (II)
6/03/2008 - Alvaro del Hoyo - S21sec
Tracta el tema des d'un punt de vista legal i, especialment, considerant la legislació en matèria de protecció de dades. Quant als detectius privats, afirma:
Como decíamos en el anterior post el "pretexting" es una práctica habitualmente empleada por detectives privados, aunque puede ser utilizada por cualquiera. Huelga decir que, abstrayéndonos de los casos en los que el atacado fuera una persona jurídica, los datos personales que fueran obtenidos fraudulentamente y las demás informaciones que gracias a ellos se consiguieran habrán de ser apreciadas como nulas por un Juez en caso de que le fueran presentadas como pruebas (art. 11.1 LOPJ). Aparte se daría el hecho de que los detectives privados que hicieran uso de esta técnica podrían ser sancionados por las condiciones ilícitas en que se produce el tratamiento por estos de los datos personales obtenidos por medio del "pretexting".És a dir, que estaríem davant del que tradicionalment s'ha anomenat utilització d'un subterfugi adequat per obtenir la informació...
Pero el "pretexting" no sólo está regulado por la legislación en materia de protección de datos de carácter personal, ya que al mismo tiempo este tipo de prácticas pueden suponer, según los casos (por ejemplo, acceso a datos de una póliza de seguros de salud o de vida) una intromisión ilegítima en el derecho a la intimidad personal y familiar (artículo 7.2 Ley Orgánica 1/1982) e incluso pueden caber en el tipo del delito de descubrimiento y revelación de secretos (Capítulo 1 del Título X del Libro II del Código Penal).
Comentaris