Pretexting: la amenaza escondida tras una historia creíble

Aprende a protegerte de esta técnica de engaño empleada por los ciberdelincuentes.

08/10/2025

En el mundo digital, las amenazas no siempre provienen de códigos maliciosos o virus complejos. El pretexting es una técnica de ingeniería social que consiste en inventar una historia o escenario falso para obtener información privada de las personas o conseguir que realicen operaciones bancarias. Los ciberdelincuentes investigan previamente a las víctimas para lograr que el ataque sea personalizado y convincente.

El pretexting es un recordatorio de que la seguridad digital no solo depende de la tecnología, sino del sentido común y del escepticismo de cada uno. Al estar atentos y verificar cada solicitud, podemos frustrar los intentos de los ciberdelincuentes y proteger nuestra información.

¿Cómo funciona un ataque de pretexting?

  1. Investigación exhaustiva. El ciberdelincuente recopila información sobre su objetivo a través de sus perfiles en redes sociales, de la página web de su empresa, etc. para recabar toda la información posible: datos personales, lugar de residencia, estructura de una compañía, nombres de empleados, fechas de vacaciones, proyectos en curso, eventos, etc.
  2. Creación del pretexto. Con toda esta información el ciberdelincuente elabora una historia convincente, aparentemente legítima y basada en argumentos que justifican la petición que va a realizar a la víctima.
  3. Puesta en escena. El ciberdelincuente comienza la comunicación con su objetivo transmitiéndole, habitualmente, que se trata de un asunto urgente y/o confidencial. El ataque es aún más creíble cuando utilizan herramientas de Inteligencia Artificial para, por ejemplo, clonar la voz de la persona por la que se están haciendo pasar.
pretexting

Ejemplos comunes de pretexting

  • El directivo que necesita ayuda. Un ciberdelincuente suplanta la identidad de un directivo y solicita a un empleado del departamento financiero que realice una operación confidencial y urgente. Habitualmente realiza el ataque cuando el directivo está de viaje o en un evento fuera de la empresa.
  • El hijo en apuros. El ciberdelincuente se hace pasar por el hijo de su objetivo y escenifica una situación de urgencia para conseguir que realice una transferencia. El pretexto inicial utilizado suele ser la pérdida o ruptura del dispositivo móvil habitual.

Consejos de seguridad para protegerte del pretexting

  1. Ante una petición urgente, confidencial o fuera de lo común, contacta con la persona que dice ser a través de un canal alternativo de confianza para comprobar la veracidad de dicha petición. 
  2. No compartas en redes sociales información personal y privada como, por ejemplo, dirección, DNI, datos de contacto, ubicaciones en tiempo real, etc. Asimismo, evita publicar direcciones de correo electrónico corporativas o información relativa al organigrama de tu empresa. Los ciberdelincuentes usan esta información para hacer sus historias más creíbles. 
  3. No descargues archivos adjuntos en correos electrónicos alarmantes, sospechosos o no solicitados.
  4. Aplica siempre los procedimientos de autorización de operaciones establecidos en tu empresa.
  5. Activa el doble factor de autenticación en todos los servicios online que lo permitan. Este sistema añade una capa extra de seguridad a tus cuentas. 

Contacta con BBVA en el 900 102 801 si sufres un incidente de seguridad relacionado con tus cuentas o tarjetas.