De qué se trata el smishing: cómo puedo protegerme de esta estafa vía mensajes de texto

El smishing es una modalidad de estafa que se realiza a través de mensajes de texto.

Consiste en el envío de un SMS por parte de un ciberdelincuente que se hace pasar por una entidad legítima, como una red social, un banco o una institución pública, con el objetivo de obtener información privada del usuario o generarle un cargo económico.

Por lo general, el mensaje invita a llamar a un número de tarificación especial o a ingresar a un sitio web falso, utilizando algún pretexto para captar la atención de la víctima.

El Instituto Nacional de Ciberseguridad de España presentó un caso de un mensaje de texto en el que se simula una comunicación oficial del Estado en relación con una supuesta ayuda económica destinada a ciudadanos por la pandemia de Covid-19.

El texto menciona un monto entre 350 y 700 euros y dirige al usuario a un enlace que aparenta ser legítimo.

El objetivo del mensaje es invitar al receptor a ingresar en ese enlace, que conduce a un sitio web falso.

Una vez en la página, la víctima podría ser inducida a entregar datos personales sensibles, como nombre, dirección, número de identificación, correo electrónico e incluso información financiera como datos de tarjetas de crédito.

Este tipo de engaño se apoya en el uso de un pretexto creíble y urgente, como una ayuda estatal, para generar confianza y hacer que el usuario actúe sin verificar la autenticidad del mensaje.

Al hacerlo, el atacante obtiene información que puede ser utilizada de manera fraudulenta o revendida en la red oscura. Este ejemplo demuestra cómo el smishing combina ingeniería social con suplantación de identidad para comprometer la seguridad del usuario.

Identificar un SMS de smishing (phishing vía mensajes de texto) requiere prestar atención a varios elementos que suelen estar presentes en este tipo de estafas. Estas son las señales más comunes:

• Mensajes urgentes o alarmantes.

Los ciberdelincuentes apelan a la urgencia para provocar una reacción inmediata. Suelen incluir frases como “tu cuenta será bloqueada”, “tienes un reembolso pendiente” o “último aviso”.

• Solicitudes de información personal.

Ninguna entidad legítima solicita datos sensibles —como contraseñas, números de tarjeta, PIN o documentos de identidad— a través de un SMS. Si el mensaje lo hace, es sospechoso.

• Enlaces sospechosos o acortados.

Los mensajes de smishing suelen incluir enlaces que imitan sitios oficiales, pero con variaciones mínimas en la dirección (por ejemplo, gov-es.net en lugar de gov.es). También se utilizan enlaces acortados para ocultar el destino real.

• Errores gramaticales o de redacción.

Muchos mensajes fraudulentos presentan faltas de ortografía, puntuación incorrecta o construcciones extrañas, lo cual es indicio de una fuente no confiable.

• Números desconocidos o remitentes genéricos.

El mensaje puede llegar desde un número no identificado o desde un remitente con nombre genérico, sin relación clara con una entidad oficial o reconocida.

• Ofertas demasiado buenas para ser verdad.

Promesas de premios, bonos o ayudas económicas sin haberlo solicitado suelen ser ganchos para atraer a la víctima.

Si una persona recibe un SMS sospechoso que podría ser un intento de smishing, lo primero que debe hacer es evitar cualquier tipo de interacción con el mensaje.

No se debe ingresar en enlaces, responder al remitente ni proporcionar información personal, financiera o de acceso. Aunque el mensaje parezca provenir de una fuente legítima, como un banco o una institución pública, es fundamental actuar con cautela.

El siguiente paso es bloquear el número desde la propia aplicación de mensajes para evitar futuros contactos. Una vez bloqueado, es recomendable eliminar el mensaje para prevenir cualquier acceso accidental.