El smishing: una amenaza en plena expansión

El smishing, contracción de «SMS» y «phishing», designa los intentos de suplantación de identidad realizados por mensaje de texto. Esta técnica de ingeniería social explota la confianza que los usuarios depositan en los SMS, percibidos como más fiables que los correos electrónicos. En España, las denuncias de smishing aumentaron un 45 % en 2024, convirtiendo esta amenaza en una de las más dinámicas del panorama cibercriminal.

Smartphone mostrando un mensaje sospechoso

A diferencia del phishing por correo electrónico, el smishing se beneficia de tasas de apertura excepcionales: más del 98 % de los SMS se leen en los tres minutos siguientes a su recepción. Los ciberdelincuentes lo han entendido bien e invierten masivamente en este canal de ataque.

Los escenarios de smishing más extendidos

Los estafadores despliegan una variedad de escenarios para engañar a sus víctimas. Estos son los más frecuentes en España:

La falsa entrega de paquete

«Su paquete está pendiente de entrega. Confirme sus datos: [enlace]». Con el auge del comercio electrónico, este escenario se ha convertido en el más común. El enlace redirige a un sitio falso que imita a Correos, SEUR o DHL, que recopila los datos bancarios de la víctima.

La estafa de la tarjeta sanitaria

«Su tarjeta sanitaria está a punto de caducar. Renuévela inmediatamente: [enlace]». Este mensaje juega con la urgencia y el desconocimiento de los procedimientos administrativos. El sitio fraudulento solicita información personal y bancaria con el pretexto de gastos de renovación.

El falso aviso de multa

«DGT: tiene una multa impagada de 35 €. Pague antes del recargo: [enlace]». La suplantación de la identidad de la Dirección General de Tráfico es particularmente eficaz porque combina urgencia, autoridad y un importe creíble.

La estafa de la Agencia Tributaria

«AEAT: tiene una devolución pendiente. Confirme sus datos bancarios: [enlace]». Aunque las autoridades han reforzado la lucha contra estas estafas, persisten bajo formas cada vez más sofisticadas.

El falso asesor bancario

«Actividad sospechosa detectada en su cuenta. Llame al [número] inmediatamente». La víctima se pone en contacto con un falso asesor que le incita a realizar transferencias o a comunicar sus códigos de acceso.

Cómo reconocer un SMS fraudulento

Varios indicios permiten identificar un smishing:

Alerta de seguridad en teléfono móvil
  • La urgencia artificial — El mensaje crea una sensación de urgencia para cortocircuitar su reflexión crítica
  • El enlace acortado o sospechoso — Las URL utilizan servicios de acortamiento (bit.ly, tinyurl) o nombres de dominio similares pero diferentes (correos-seguimiento.com en lugar de correos.es)
  • Las faltas de ortografía — Aunque los estafadores mejoran, a menudo persisten errores en los mensajes
  • La solicitud de información sensible — Ningún organismo legítimo solicita sus datos bancarios o contraseñas por SMS
  • El número remitente inusual — Los SMS provienen a menudo de números que empiezan por 6 o 7, o incluso de números internacionales

Los reflejos de protección

Ante un SMS sospechoso, adopte estos reflejos:

  1. Nunca haga clic en un enlace contenido en un SMS no solicitado
  2. Verifique directamente en el sitio oficial del organismo en cuestión escribiendo la dirección manualmente en su navegador
  3. Denuncie el SMS reenviándolo al 017, la línea de ayuda en ciberseguridad del INCIBE
  4. Bloquee el número remitente en su teléfono
  5. Nunca devuelva la llamada a un número indicado en un SMS sospechoso

Protección en la empresa

El smishing no solo se dirige a los particulares. Los empleados de las empresas reciben SMS dirigidos con el objetivo de obtener acceso a los sistemas de información profesionales. Para proteger su organización:

  • Integre el smishing en sus programas de concienciación
  • Despliegue soluciones de Mobile Threat Defense (MTD) en los terminales profesionales
  • Establezca un procedimiento de denuncia interna claro
  • Simule campañas de smishing para probar la vigilancia de sus equipos
  • Limite la información profesional accesible desde los terminales móviles

¿Qué hacer si es víctima?

Si ha hecho clic en un enlace o ha comunicado información:

Intento de fraude por mensaje
  1. Cambie inmediatamente todas sus contraseñas, empezando por la de su banco y su correo electrónico
  2. Contacte con su banco para bloquear la tarjeta si ha comunicado datos bancarios
  3. Presente denuncia en la comisaría o cuartel de la Guardia Civil
  4. Denuncie la estafa en el INCIBE (017 o incibe.es)
  5. Vigile sus cuentas bancarias durante las semanas siguientes

Conclusión

El smishing es una amenaza en constante evolución que explota nuestra confianza en las comunicaciones móviles. La vigilancia sigue siendo la mejor arma: tómese siempre unos segundos para analizar un SMS antes de reaccionar. En caso de duda, no haga clic. Los pocos segundos de verificación pueden ahorrarle meses de trámites y estrés.