Seguridad I.VI

2.5. Smishing (Mensajes SMS engañosos)

Los métodos más utilizados, cómo funcionan y cómo protegerse.

Smishing: cuando el engaño llega directo a tu móvil

El smishing es una estafa digital que utiliza mensajes SMS para hacerse pasar por empresas, bancos o servicios conocidos. Con textos urgentes y aparentemente legítimos, los ciberdelincuentes buscan que pinches en un enlace o facilites tus datos personales sin darte tiempo a pensar. Un mensaje corto, una excusa creíble… y el fraude está servido si no sabes detectarlo a tiempo.   

El smishing es una técnica de ingeniería social en la que los ciberdelincuentes utilizan mensajes SMS (o mensajes móviles como RCS, iMessage o WhatsApp Business falsos). Suelen avisar de “actividad sospechosa en tu router” o que “tu línea será suspendida” para engañarte y conseguir:
        _ datos personales,
        _ contraseñas,
        _ números de tarjeta,
        _ acceso a servicios online,
        _ instalación de malware.

El objetivo es crear confianza, generar urgencia y conseguir que hagas clic en un enlace fraudulento.

Cómo funciona el smishing. Los atacantes envían un SMS que parece legítimo, normalmente de:
    _ bancos,
    _ empresas de paquetería,
    _ operadores móviles,
    _ Hacienda/Seguridad Social,
    _ servicios como PayPal, Amazon o Correos.

Dentro del mensaje suelen incluir un enlace para:
    _ “confirmar un envío”,
    _ “recuperar tu cuenta”,
    _ “evitar un bloqueo”,
    _ “pagar tasas”,
    _ “ver una factura”.

Cuando haces clic, te llevan a una web falsa (phishing) o intentan instalar malware.

Cómo protegerte del smishing

1. Desconfía de cualquier SMS con enlace. Los bancos y organismos oficiales casi nunca envían enlaces directos. Si tienes dudas:
    _ Entra desde la app oficial
    _ O escribe tú mismo la dirección en el navegador

2. No respondas al SMS. Responder confirma al atacante que tu número está activo y te enviarán más intentos.

3. Revisa el enlace antes de abrirlo. Sospecha si la URL contiene:
    _ dominios raros,
    _ números en exceso,
    _ faltas de ortografía,
    _ dominios muy largos,
    _ subdominios sospechosos.

Ejemplo fraudulento:
    https://banco-seguro-verificacion123.info/login

4. Ten activada la verificación en dos pasos (2FA). Aunque roben tu contraseña, no podrán acceder a tus cuentas sin el segundo factor. Usa apps como:
    _ Google Authenticator
    _ Microsoft Authenticator
    _ Authy
    _ YubiKey (modo físico)

5. Activa las alertas bancarias oficiales. De esta forma podrás detectar operaciones no autorizadas rápidamente.

6. Mantén tu móvil actualizado. Las actualizaciones cierran vulnerabilidades que los atacantes pueden explotar vía SMS o enlaces maliciosos.

Herramientas y medidas recomendadas

_ Bloqueadores de SMS sospechosos
_ Función nativa de Android (SPAM Protection)
_ Filtro de mensajes de iPhone
_ Truecaller (opcional)
_ Navegación segura. Google Safe Browsing o usar navegadores con protección antiphishing

Apps oficiales. Siempre instala la app desde Google Play o App Store para evitar versiones falsas.

Consejos rápidos

_ Si un mensaje te mete prisa, probablemente es fraude.
_ Nunca pagues tasas de aduanas desde un enlace sospechoso.
_ Las empresas no amenazan por SMS con bloquearte de inmediato.
_ Cuando dudes, elimina el SMS y consulta por canales oficiales.