DESGLOSANDO LA TECNOLOGÍA

GUÍAS, COMPARATIVAS Y MUCHO MÁS

Qué es el phishing por SMS y cómo reconocerlo fácilmente

13 nov 2025 Tono
Qué es el phishing por SMS y cómo reconocerlo fácilmente

¿Has recibido un mensaje de texto inesperado que te pide verificar un pago, actualizar tus datos o descargar un archivo? Es probable que estés ante un intento de smishing, una modalidad de estafa que utiliza SMS para robar información personal y financiera. En este artículo aprenderás qué es el phishing por SMS, cómo reconocerlo a simple vista, qué hacer si lo recibes y cómo configurar tu móvil para reducir riesgos. Sigue leyendo para dominar las señales de alerta y protegerte con confianza.

Qué es el phishing por SMS (smishing)

El phishing por SMS, también llamado smishing (SMS + phishing), es una técnica de ingeniería social en la que ciberdelincuentes envían mensajes de texto suplantando a empresas, bancos, servicios de mensajería o instituciones públicas. El objetivo es que la víctima haga clic en un enlace, comparta códigos de verificación o descargue aplicaciones maliciosas para robar credenciales, datos bancarios o incluso tomar control del dispositivo.

La eficacia del smishing se apoya en la urgencia y la confianza: mensajes breves, directos y con apariencia oficial que presionan para actuar rápido. Saber identificar sus señales es la mejor defensa.

Señales claras para reconocer un SMS fraudulento

1) Dirección del remitente y nombre del contacto

  • Remitentes alfanuméricos sospechosos: nombres genéricos o alterados (p. ej., "Ban.co", "Corre0s").
  • Números desconocidos o internacionales cuando no esperas mensajes de ese origen.
  • Mensajes que aparecen en hilos legítimos: los estafadores pueden suplantar el ID del remitente. Que el SMS se una a una conversación previa no garantiza su legitimidad.

2) Enlaces y dominios

  • Enlaces acortados (bit.ly, tinyurl, etc.) que ocultan el destino real.
  • Dominios parecidos con letras cambiadas o subdominios engañosos ("banco-seguro.ejemplo.com" en lugar de ejemplo.com).
  • HTTPS no es garantía: el candado indica cifrado, no que el sitio sea auténtico.

3) Urgencia, amenazas y presión

  • Frases como "último aviso", "cuenta bloqueada", "evita sanciones" que fuerzan una reacción impulsiva.
  • Ofertas demasiado buenas para ser verdad: premios, devoluciones o cupones inesperados.

4) Solicitudes de datos o acciones inusuales

  • Petición de códigos OTP, contraseñas o PIN. Ninguna entidad legítima te pedirá compartirlos por SMS.
  • Descarga de aplicaciones fuera de la tienda oficial o perfiles de configuración.
  • Pago de tasas pequeñas para liberar paquetes o confirmar una entrega.

5) Calidad del lenguaje y formato

  • Faltas de ortografía, gramática extraña o traducciones literales.
  • Uso de mayúsculas, signos y emojis para llamar la atención.

Ejemplos típicos de smishing

"Su cuenta será bloqueada hoy. Verifique sus datos aquí: https://mi-banco-seguro.info"

"Tenemos un paquete a su nombre. Pague 1,50 € de gestión para entregarlo: https://correosexpres-servicio.com"

"Detectamos un intento de inicio de sesión. Si no fue usted, confirme ahora: https://seguridad-app.net"

"Ha recibido un reembolso de impuestos. Reclámelo hoy: https://agenciatributaria-check.com"

Estos textos apelan a la emoción y la urgencia. Recuerda: las instituciones reales no solicitan datos sensibles por SMS ni piden pagos a través de enlaces no verificados.

Cómo verificar si un SMS es legítimo

  • No hagas clic directamente. Escribe manualmente la dirección oficial en el navegador o usa la app oficial de la entidad.
  • Comprueba el dominio: mira el nombre de la empresa y la extensión (p. ej., .com, .es). Cuidado con subdominios largos y variaciones de letras.
  • Contrasta por otro canal: llama al número oficial del banco o empresa (no al del SMS) o verifica desde tu área de cliente.
  • Busca indicios en tu cuenta: ¿aparecen notificaciones dentro de la app oficial? Si no, probablemente sea falso.
  • Desconfía de descargas: instala apps solo desde Google Play o App Store. Nunca desde enlaces de mensajes.
  • Sospecha de solicitudes de códigos: los códigos de un solo uso son privados. Nadie debería pedirte que los compartas.

Qué hacer al recibir un SMS sospechoso

  • No respondas al mensaje ni interactúes con el enlace.
  • Bloquea el remitente desde la app de Mensajes.
  • Reporta el SMS a tu banco, empresa suplantada y operador. En España, puedes solicitar ayuda en el 017 (INCIBE).
  • Elimina el mensaje después de reportarlo para evitar pulsaciones accidentales.
  • Informa a familiares o compañeros si crees que también podrían recibirlo.

Protege tu información personal frente al smishing

Buenos hábitos que marcan la diferencia

  • Activa la autenticación en dos pasos (2FA) en banca, correo y redes. Usa apps de autenticación en lugar de SMS cuando sea posible.
  • Usa un gestor de contraseñas para crear claves únicas y robustas. Si el gestor no autocompleta en una web, sospecha del sitio.
  • Separa correos y números: mantén un email/numero para registros y otro para asuntos críticos (banca, salud).
  • Minimiza la exposición: evita publicar tu número en redes y revoca permisos de marketing innecesarios.
  • Activa alertas bancarias dentro de la app oficial para movimientos y pagos.
  • Actualiza sistema y apps para corregir vulnerabilidades explotables.
  • Desactiva la vista previa de SMS en pantalla bloqueada para reducir el riesgo de interacción accidental.

Ajustes útiles en Android e iOS para filtrar SMS

Android

  • Usa Mensajes de Google y activa Protección contra spam: Ajustes > General > Protección contra spam.
  • Habilita Filtro de spam en la app de Mensajes del fabricante si está disponible.
  • Bloquea y reporta números desde el hilo: Menú > Detalles > Bloquear y reportar como spam.
  • Permite actualizaciones automáticas del sistema y servicios de Google Play.

iPhone (iOS)

  • Activa Filtrar remitentes desconocidos: Ajustes > Mensajes > Filtrar remitentes desconocidos.
  • En Ajustes > Mensajes, habilita Filtrado de SMS y considera un filtro adicional de confianza si está disponible en tu región.
  • Bloquea y reporta desde el mensaje: toca el número > Información > Bloquear contacto.
  • Mantén iOS actualizado y usa la app oficial de tu banco.

Cómo actúan los estafadores: tácticas comunes

  • Suplantación del remitente (spoofing): hacen que el SMS parezca provenir de un contacto o marca real.
  • Enlaces a clones perfectos de páginas oficiales para capturar usuario, contraseña y OTP.
  • Malware para móviles distribuido por enlaces fuera de la tienda, capaz de leer SMS, interceptar códigos y superponer pantallas falsas.
  • Cadena de persuasión: SMS inicial, llamada de “soporte” y confirmación por correo para aumentar credibilidad.

Qué hacer si ya has hecho clic o compartido datos

  • Si solo hiciste clic y no introdujiste datos: activa modo avión, cierra el navegador, limpia caché y reinicia. Cambia contraseñas si tuviste autocompletado.
  • Si introdujiste credenciales: cambia la contraseña de inmediato desde el sitio/app oficial. Habilita 2FA y revoca sesiones activas.
  • Si compartiste datos bancarios: contacta al banco por su canal oficial para bloquear tarjetas o cuentas y activar vigilancia antifraude.
  • Si instalaste una app desde el enlace: desinstala, analiza con una solución de seguridad confiable y considera restablecer a valores de fábrica tras copia de seguridad.
  • Monitorea movimientos de tus cuentas y configura alertas. Si observas cargos no autorizados, repórtalos de inmediato.
  • Conserva evidencia (capturas del SMS, números, fechas) para facilitar la denuncia ante tu entidad y autoridades competentes.

Preguntas frecuentes sobre smishing

¿Un SMS en el hilo oficial de mi banco es siempre auténtico?

No. La suplantación del remitente puede hacer que un SMS fraudulento aparezca junto a mensajes legítimos. Valida siempre por la app oficial o el teléfono verificado de la entidad.

¿El candado del navegador garantiza que la web es real?

No. El candado solo indica cifrado. Los estafadores también usan HTTPS. Fíjate en el dominio exacto y accede siempre de forma manual o mediante marcadores guardados.

¿Me pueden robar con solo abrir el SMS?

Abrir un SMS, por sí mismo, no debería infectar el dispositivo. El riesgo aparece al hacer clic en enlaces, descargar archivos o proporcionar datos.

¿Debo compartir códigos de verificación si me llama “soporte técnico”?

Nunca. Los códigos de un solo uso (OTP) son personales. No los compartas con nadie, aunque te llamen diciendo ser de tu banco o servicio.

¿Cómo diferencio un aviso de mensajería real de uno falso?

Si esperas un paquete, verifica el seguimiento en la web o app oficial introduciendo el número de envío. Desconfía de pagos pequeños para “liberar” el paquete y de enlaces acortados.

Checklist rápida para detectar smishing

  • ¿Esperabas ese SMS? Si no, sospecha.
  • ¿El enlace es acortado o raro? No pulses.
  • ¿Te piden códigos o contraseñas? Es fraude.
  • ¿Te meten prisa o amenazan? Señal de smishing.
  • ¿Puedes verificar por otro canal oficial? Hazlo antes de actuar.

Consejos extra para empresas y equipos

  • Formación periódica en detección de smishing y simulaciones controladas.
  • Política clara: nunca solicitar credenciales por SMS; define canales oficiales.
  • Gestión de dispositivos (MDM): obliga a instalar apps solo desde tiendas oficiales, aplicar parches y activar protección antiphishing.
  • Canal interno de reporte para escalar incidentes en minutos y aislar dispositivos comprometidos.

Herramientas y hábitos que ayudan en el día a día

  • Marcadores en el navegador de los sitios que más usas (banco, mensajería, administración) para evitar teclear dominios falsos.
  • Autenticadores (TOTP) como alternativa al 2FA por SMS cuando la plataforma lo permita.
  • Revisión periódica de permisos de apps y desinstalación de las que no uses.
  • Copias de seguridad automáticas y cifradas para recuperar datos si debes restaurar el dispositivo.

Posts relacionados