Seguridad I.X

Pretexting: qué es y cómo funciona realmente este ataque

Pretexting: cuando la mentira se disfraza de confianza

El pretexting es una técnica de ingeniería social en la que el atacante inventa una historia creíble para ganarse tu confianza y conseguir información sensible sin que te des cuenta.

1. ¿Qué es?

El Pretexting es una técnica de ingeniería social donde el atacante crea un pretexto, es decir, una historia o identidad falsa, para ganarse tu confianza y obtener información, acceso o acciones que normalmente no darías.

Es uno de los ataques más peligrosos porque:
    _ No depende de enlaces maliciosos
    _ No necesita malware
    _ Funciona solo con mentalidad humana
    _ Es extremadamente convincente cuando está bien preparado

2. Cómo opera un atacante que usa Pretexting

El atacante prepara un escenario creíble:
    _ Se hace pasar por un técnico de soporte
    _ Simula ser un empleado del banco
    _ Finge ser un proveedor
    _ Llama como “servicio de verificación”
    _ Se hace pasar por un supervisor o jefe

Suelen usar datos reales extraídos de:
    _ Redes sociales
    _ LinkedIn
    _ Fugas de datos
    _ Información pública de la empresa
    _ Correos anteriores (spoofing)

Luego crean una situación donde parecen confiables, urgentes o rutinarias.

3. Objetivos típicos del Pretexting

_ Obtener datos personales (DNI, dirección, fecha de nacimiento)
_ Robar credenciales de acceso
_ Conseguir códigos 2FA
_ Lograr acceso a cuentas bancarias
_ Obtener información interna de la empresa
_ Engañar para aprobar pagos o cambios de facturación
_ Conseguir acceso físico (edificios, oficinas, salas técnicas)

4. Ejemplos reales de Pretexting

1. “Soy del departamento de TI, necesito tu clave temporal”
    _ El atacante llama diciendo que hay un problema en tu cuenta.

2. “Somos la empresa eléctrica, necesitamos tus datos fiscales”
    _ Piden información confidencial bajo el pretexto de “actualización de datos”.

3. “Estamos verificando movimientos sospechosos”
    _ Usan identidad falsa de la policía, banco o seguridad.

4. Acceso físico a instalaciones
    _ Un atacante llega a la oficina con un chaleco diciendo:
        _ “Vengo a revisar el servidor, abran la sala.”
        _ Suelen funcionar sorprendentemente bien.

5. Cómo protegerte del Pretexting

1. Verifica la identidad por un canal distinto

Ejemplos:
    _ Si te llaman: cuelga y vuelve a llamar al número oficial.
    _ Si es un técnico: solicita identificación real.
    _ Si es un proveedor: verifica en la web oficial.

2. Nunca compartas información sensible por teléfono, SMS o email

Esto incluye:
    _ Contraseñas
    _ Códigos 2FA
    _ Datos bancarios
    _ Información interna

3. Desconfía de supuestas urgencias

La urgencia es una herramienta del atacante.

4. Usa contraseñas fuertes y MFA

Aunque obtengan datos personales, no podrán acceder.

5. Capacitación constante

El pretexting casi siempre funciona cuando la víctima no está informada.

6. Herramientas y medidas recomendadas

_ Llamadas oficiales siempre desde números verificables. Nunca devuelvas llamadas a números que te den ellos.

_ Gestión de identidades y accesos (IAM). Para evitar que empleados den datos innecesarios.

_ Política de “zero trust”. Siempre verificar, nunca asumir.

_ Registro de visitantes y control de acceso físico. Clave para evitar intrusos.

7. Consejos rápidos

_ Si alguien insiste demasiado en obtener datos → sospecha.
_ Un chaleco reflectante no convierte a nadie en técnico.
_ Los bancos jamás piden contraseñas ni códigos.
_ Si te hacen sentir presionado, probablemente es un ataque.