Smishing: ¿Qué es el phishing por SMS y cómo protegerse en 2025?
Vivimos en una era de conexión móvil constante, pero esta comodidad tiene una cara oculta: el smishing. Este término, que combina "SMS" y "Phishing", se ha convertido en una de las ciberamenazas más crecientes y engañosas. ¿Alguna vez has recibido un mensaje de texto inesperado de tu "banco" alertándote de una actividad sospechosa, o de una "empresa de mensajería" sobre un paquete que no puedes entregar? Si es así, es probable que te hayas topado con un intento de smishing.
Las estadísticas son contundentes: en 2023, el 75% de las organizaciones experimentaron ataques de smishing, y según Forbes, la pérdida financiera promedio por víctima en 2024 fue de $800 . Este post te guiará para entender qué es el smishing, cómo identificarlo y, lo más importante, cómo protegerte.
¿Qué es exactamente el Smishing?
El smishing es un ciberataque que utiliza mensajes de texto (SMS) fraudulentos para engañar a las personas . El objetivo del atacante es que la víctima haga clic en un enlace malicioso, revele información confidencial (como contraseñas o datos bancarios) o descargue software malicioso en su dispositivo móvil .
La razón de su efectividad es simple: los usuarios tienden a confiar más en un mensaje de texto que en un correo electrónico, y los teléfonos móviles se han convertido en un complemento indispensable de la vida cotidiana . Además, en un smartphone es más difícil inspeccionar un enlace sin hacer clic, a diferencia de en un computador donde se puede pasar el cursor por encima para ver la URL real .
¿Cómo funciona un ataque de Smishing?
La anatomía del engaño, un ataque de smishing sigue generalmente estos pasos:
- Selección de víctimas: Los ciberdelincuentes pueden enviar mensajes de forma masiva a listas de números de teléfono o dirigirse a individuos específicos usando información filtrada en brechas de datos.
- Elaboración del mensaje: Crean un mensaje de texto que suplanta la identidad de una organización de confianza (un banco, una agencia gubernamental, Amazon, etc.) e invoca emociones como el miedo, la urgencia o la curiosidad.
- Llamada a la acción: El mensaje incluye una instrucción clara, como "haga clic en este enlace para verificar su cuenta", "responda con su contraseña" o "llame a este número para evitar una multa".
- Interacción y consecuencias: Si la víctima interactúa, es dirigida a un sitio web falso donde introduce sus datos, que son robados inmediatamente, o descarga malware en su teléfono.
| Tipo de Estafa | Ejemplo de Mensaje | Objetivo del Atacante |
|---|---|---|
| Suplantación de Banco | "Banco XYZ: Detectamos actividad inusual en su cuenta. Bloquéela inmediatamente aquí: [enlace malicioso]" | Robar credenciales de banca en línea y datos de la tarjeta. |
| Problemas de Entrega | "USPS: No pudimos entregar su paquete. Actualice su dirección en: [enlace malicioso]" | Obtener información personal o instalar malware. |
| Estafas de Premios | "¡Felicidades! Ha ganado un iPhone. Haga clic aquí para reclamar su premio." | Obtener datos personales o solicitar un "pago por adelantado". |
| Alertas de Peajes | "EZPass: Tiene peajes impagados. Pague ahora para evitar cargos adicionales: [enlace falso]" | Robar detalles de pago e información financiera . |
| Soporte Técnico Falso | "Microsoft: Detectamos un virus en su dispositivo. Llame al [número falso] para obtener ayuda." | Engañarle para que pague por un servicio innecesario o dar acceso remoto. |
¿Por qué el Smishing es una amenaza creciente en 2025?
El smishing no solo sigue existiendo, sino que está evolucionando y volviéndose más peligroso por varias razones:
-
El uso de la IA: Los ciberdelincuentes están utilizando inteligencia artificial para crear mensajes más personalizados y convincentes, sin los errores gramaticales que antes delataban las estafas .
-
"Smishing-as-a-Service": En la dark web se ofrecen "kits de smishing" que permiten incluso a delincuentes con poca experiencia técnica lanzar campañas a gran escala .
-
Mayor dependencia del móvil: Con el aumento del trabajo remoto y el uso de dispositivos personales para asuntos laborales (BYOD), los teléfonos se han convertido en una puerta de entrada privilegiada a las redes corporativas .
-
Ataques combinados: El smishing se combina a menudo con otras técnicas como el "vishing" (phishing por voz) o el "quishing" (phishing por códigos QR) para crear amenazas multicapa más difíciles de detectar .
Cómo protegerte del Smishing: Tu escudo digital
La buena noticia es que, con conciencia y unas prácticas sencillas, puedes reducir enormemente el riesgo de caer en estas estafas. Sigue esta checklist de protección:
-
Desconfía y verifica: Si recibes un mensaje urgente o sospechoso, nunca hagas clic en los enlaces ni respondas. Contacta a la organización directamente usando un número de teléfono o sitio web oficial que conozcas de antemano .
-
Revisa el número y la URL: Un número de teléfono que no parece legítimo o enlaces acortados y sospechosos son señales de alerta . En un computador, puedes pasar el cursor sobre un enlace para ver la URL real; en el móvil, mantén presionado el enlace para ver la dirección completa.
-
Activa la autenticación multifactor (MFA): Utiliza una aplicación de autenticación (como Google Authenticator o Microsoft Authenticator) en lugar de códigos por SMS siempre que sea posible. Esto protege tus cuentas incluso si un atacante obtiene tu contraseña .
-
Instala una aplicación de seguridad: Un buen software de seguridad para tu móvil puede ayudarte a identificar y bloquear mensajes de spam y enlaces maliciosos.
-
Mantente informado y educa a tu entorno: Comparte esta información con tu familia y colegas. La concienciación es la primera línea de defensa .
-
No descargues archivos adjuntos de remitentes desconocidos: Un mensaje de texto puede contener archivos maliciosos. Si no esperabas un archivo, no lo abras .
-
No proporciones información personal por SMS: Los bancos y empresas legítimas nunca te pedirán contraseñas, PINs o números de la Seguridad Social a través de un mensaje de texto .
