Las estafas de smishing están en auge 2025: Le explicamos cómo protegerse

El smishing es un ataque de ingeniería social basado en mensajes SMS, y está en pleno auge en 2025.

Así que en esta guía vamos a explorar:

• Qué es un ataque de smishing y qué aspecto tiene.
• Qué puede hacer para protegerse de los ataques de smishing.
• Qué hacer si cae víctima.

¡Vamos a explorar!

Estafas de Smishing: ¿Qué aspecto tienen?

Lo primero es lo primero, definamos qué es el smishing.

La palabra «smishing» es la contracción de «SMS» y «phishing». Es una técnica de phishing que utiliza un mensaje de texto en lugar del correo electrónico.

En otras palabras, el smishing es una ciberamenaza cuyo objetivo es enviarle un virus o lograr que haga algo perjudicial para usted a través de un mensaje de texto.

Según el informe 2024 State of the Phish de Proofpoint, 3 de cada 4 organizaciones sufrieron ataques de smishing en 2023. Y esta cifra no hará más que aumentar a medida que pasen los años.

Los teléfonos móviles son ahora parte integrante de nuestra vida personal y profesional. Piense en la última vez que no tuvo su móvil al alcance de la mano. Según estudios recientes, los estadounidenses consultan sus teléfonos 144 veces al día.

Los estafadores lo saben y ahora han desarrollado y desplegado tácticas para explotar nuestra adicción a los smartphones. Muchos ataques de smishing utilizan una «falsa sensación de urgencia» para aprovechar esta tendencia con mayor eficacia. El SMS malicioso enviado transmite una sensación de emergencia para atraer a las víctimas a que actúen aún más rápido.

Además, la gente sabe muy bien que debe tener cuidado con los enlaces de los correos electrónicos. «Nunca hagas clic en un enlace sin comprobarlo dos veces» suele ser lo primero que se aprende en un nuevo trabajo. Sin embargo, la gente es mucho menos consciente de que debe tener cuidado con los mensajes de texto.

A los atacantes les gusta especialmente el smishing porque es un ataque de bajo coste. Los números de teléfono desechables son baratos de comprar, y el coste de un SMS tiende a cero. Además, cada vez hay más números de teléfono filtrados en la red, lo que es perfecto si lo que se busca es lanzar un ataque de smishing.

Ejemplos de ataques de Smishing

Entonces, ¿cómo es un ataque de smishing en la práctica?

Un SMS de smishing siempre le incitará a realizar una acción: llamar a un número o pulsar sobre un enlace.

Huelga decir que nunca debe devolver la llamada a un número mencionado en un mensaje de texto ni hacer clic en un enlace sin comprobarlo dos veces. Pero volveremos a los métodos de prevención más adelante en esta entrada del blog. Por ahora, veamos algunos ejemplos de ataques de smishing.

1. La «entrega falsa»

Este tipo de ataque de smishing adopta la forma de un mensaje que «le informa de que hay un problema con su entrega». A continuación, se le pide que siga un enlace para resolver el problema.

En otro caso, recibe un enlace «para seguir la entrega de su paquete».

En ambos casos, los estafadores aprovechan la creciente tendencia a comprar por Internet para disimular su ataque, con la esperanza de que realmente tenga usted una entrega en curso.

Si no ha solicitado un número de seguimiento, ¡no haga clic en el enlace! Es probable que se trate de un ataque de phishing. Del mismo modo, no llame al número solicitado si no espera una entrega: es probable que caiga en un centro de llamadas de estafadores.

Para saber más sobre este tipo de ataque de smishing, consulte este anuncio del Servicio de Inspección Postal de EEUU.

2. La falsa «suspensión de cuenta»

Otro escenario es cuando recibes un mensaje de texto alertándole de que «su cuenta se enfrenta a una suspensión inmediata», y que tiene que seguir un enlace o llamar a un número para resolverlo.

Estos ataques de smishing suelen hacerse pasar por instituciones financieras de proveedores de pagos como Mastercard o Paypal.

Si recibe un mensaje de este tipo, conéctese a su cuenta a través de los medios habituales (aplicación móvil, sitio web oficial…). Si no ve ninguna notificación allí, entonces puede descartar con seguridad el mensaje de texto como un intento de smishing.

3. La falsa «alerta de seguridad»

Estamos acostumbrados a recibir correos electrónicos de Google o Facebook alertándonos de «actividad de conexión sospechosa»:

Los estafadores lo saben, y aprovechan este hábito para enviar mensajes similares a través de SMS. Sin embargo, tenga en cuenta que estas plataformas nunca le enviarán un mensaje de texto para este tipo de alerta, sino que siempre se pondrán en contacto con usted por correo electrónico o directamente a través de su app.

Riesgos de los ataques de Smishing

Como muchas ciberamenazas, un ataque de smishing pretende robar sus datos personales: datos de cuentas bancarias, contraseñas, número de la seguridad social, etc.

A veces, los ataques de smishing también intentan engañarle para que haga algo: transferir dinero, descargar malware, dar acceso a su ordenador.

El smishing puede llevarle a visitar un sitio web malicioso destinado a robar sus credenciales o datos personales. Alternativamente, podrían inducirle a llamar a un número de teléfono fraudulento. A partir de ahí, los ciberdelincuentes telefónicos también podrían lanzar un ataque Quid Pro Quo o un ataque de pretexting contra usted para conseguir información sensible. Para ello, se harían pasar por un directivo de su empresa, un policía, un guardia de seguridad para pedirle que les dé sus credenciales.

Pero el riesgo más común es descargar un virus a través del mensaje de texto, o cualquier otro tipo de malware, como un troyano.

Esto podría convertir su teléfono en un zombi, permitiendo a los hackers controlarlo. Como dispositivo zombi, podría pasar a formar parte de una red de bots, y utilizarse para lanzar un ataque distribuido de denegación de servicio (DDoS), o para enviar spam, etc.

¿Cómo reconocer un ataque de Smishing?

Éstas son algunas de las señales comunes de los mensajes de texto que en realidad son smishing.

Números de teléfono sospechosos

Cualquier SMS procedente de un número de teléfono que no parezca un número de teléfono, como «0420», podría ser señal de que este mensaje de texto es en realidad un correo electrónico enviado a un teléfono. Esto también podría significar que se trata de un ataque de smishing, y que el texto enviado podría contener un virus.

De hecho, algunos hackers utilizan un servicio de correo electrónico a texto para enviar su virus de mensajes de texto o cualquier otro tipo de SMS malicioso para ocultar sus números de teléfono reales.

Errores ortográficos

Lenguaje informal, errores gramaticales, erratas… Todos estos son signos de un ataque de smishing. No sólo es raro que una institución oficial se ponga en contacto con usted por SMS, sino que es poco probable que cometa faltas de ortografía.

Enlace sospechoso

¿El mensaje de texto le redirige con una URL acortada? ¿Están ocultando voluntariamente el destino final del enlace? Entonces es muy probable que se trate de un ataque de smishing.

Urgencia

La urgencia es una técnica habitual en las estafas de ingeniería social. Los atacantes quieren hacerle creer que tiene que actuar muy deprisa.

El objetivo es impedir que la víctima utilice el pensamiento crítico sobre las consecuencias de sus actos. Por tanto, tenga cuidado con cualquier mensaje de texto que te exija una acción urgente.

Cómo protegerse de los intentos de Smishing

¿Cree que ha recibido un intento de smishing? Entonces estos son los pasos que debe seguir:

1. Nunca haga clic en un enlace que reciba a través de un SMS. La única excepción es si conoce personalmente al remitente (y está esperando recibir ese enlace). Incluso entonces, debería confirmar que el enlace es seguro directamente con el remitente.
   
2. ¿El SMS le pide que actúe de inmediato? Entonces debe tomar precauciones adicionales. Las organizaciones legítimas nunca le presionarán para que emprenda una acción «inmediata», aunque se trate de algo urgente.
   
3. Tenga cuidado con los números de teléfono inusualmente cortos. Pueden ser emitidos por servicios de correo electrónico a texto, utilizados por hackers para ocultar sus números de teléfono reales.
   
4. Nunca instale ninguna aplicación haciendo clic en un mensaje de texto. Utilice siempre la tienda de aplicaciones oficial para instalar aplicaciones.
   
5. Nunca dé información personal o financiera por SMS o llamada telefónica.
   
6. No responda a mensajes de texto de personas que no conozca.
   
7. Evite registrar cualquier información bancaria o número de tarjeta en su teléfono. Aunque su teléfono sea presa de un virus creado mediante un ataque de smishing, los hackers no podrán robarlos.
   
8. Si es una organización, capacite a su personal para que siga nuestros consejos y reconozca todas las ciberamenazas y aplique las normas de ciberseguridad. Deben abstenerse de enviar datos confidenciales por teléfono o correo electrónico.
   
9. Aprenda estos 10 consejos para proteger su ordenador y minimizar el impacto que un ataque podría tener en usted o en su empresa.
   
10. Si ha sido víctima de smishing o descubre que alguien ha utilizado su nombre para un ataque de smishing, también puede denunciar el robo de identidad en: https://www.identitytheft.gov/.
    
11. Si sigue sin estar seguro, simplemente ignore los mensajes de texto. Si el asunto es realmente urgente, el banco o la organización encontrarán la forma de ponerse en contacto con usted.

Casos famosos de Smishing

Ahora que hemos cubierto la teoría, veamos algunos ejemplos reales de smishing y lo que podemos aprender de ellos.

La estafa de la falsa alerta bancaria

En 2022, una campaña de smishing lanzó un ataque contra una mujer de Nueva Zelanda. Los estafadores se hicieron pasar por su banco (BNZ – Bank of New Zealand), redirigiéndola a un sitio web perfectamente clonado pero falso.

Allí, proporcionó sus datos de acceso, pensando que se estaba conectando a su cuenta. En lugar de eso, vio cómo se transfería dinero de su cuenta.

En total, le estafaron 42.000 dólares. Otro hombre que cayó en la misma trampa perdió 37.300 dólares.

La falsa notificación de entrega de FedEx

A finales de 2022, un ataque de smishing disfrazado de falsa notificación de entrega de FedEx se propagó por Europa. Esta estafa engañaba a los usuarios para que hicieran clic en un enlace para «rastrear su paquete», pero en lugar de eso, descargaba el malware FluBot en sus dispositivos.

El malware FluBot se detectó por primera vez en 2020, y luego se extendió por Europa en 2021 y 2022.

Una vez instalado (bajo el disfraz de una «aplicación de rastreo»), el malware pedía permisos de accesibilidad, antes de robar las credenciales de la aplicación bancaria o los datos de las cuentas financieras relacionadas.

Para saber más sobre este tipo de ataque de smishing, consulte este anuncio de la Comisión Federal de Comercio, así como este desglose del malware FluBot por EuroPol.

Estafa Smishing del OCBC Bank

En 2022, el OCBC Bank de Singapur informó de que se habían robado aproximadamente 10 millones de dólares a un total de 790 clientes debido a un ataque avanzado de smishing.

Los atacantes utilizaron técnicas avanzadas de ingeniería social para engañar a los clientes y hacerles entregar datos confidenciales. En particular, los mensajes parecían muy auténticos, con marcas de aspecto oficial y lenguaje urgente.

Una vez redirigidas a un sitio de phishing, las víctimas facilitaban sus credenciales bancarias online y sus PIN. Esto permitía a los estafadores apoderarse de sus cuentas bancarias y realizar transacciones fraudulentas.

Dada la dificultad de recuperar los fondos perdidos, OCBC accedió a reembolsar personalmente a los clientes afectados.

¿Qué podemos aprender de estos ataques?

• Nunca haga clic en enlaces de mensajes SMS inesperados de bancos o instituciones financieras como PayPal.
• Nunca instale ninguna aplicación que te proporcionen en un SMS no solicitado.
• En caso de duda, conéctese a su banco por los medios habituales (app oficial, web oficial).
• Además, llame directamente a su banco para verificar e informar de cualquier actividad sospechosa.
• Por último, active la 2FA para impedir el acceso no autorizado a sus cuentas.

Conclusión

Con esto terminamos esta guía sobre los ataques de smishing. Esperamos que le haya resultado útil y que pueda detectar los ataques de smishing en el futuro.

Como recordatorio final, nunca debe fiarse de mensajes de texto no solicitados procedentes de su banco, su empresa o incluso un amigo que incluyan enlaces a una aplicación o sitio web.

Si quiere llevar su ciberseguridad más allá, entonces el primer paso debería ser conseguir un proveedor de correo electrónico privado y seguro. En Mailfence estamos orgullosos de ofrecer:

• Herramientas de seguridad avanzadas: Cifrado de extremo a extremo, cifrado simétrico, firmas digitales y mucho más.
  
• Sin seguimiento ni publicidad. No utilizamos ningún rastreador de publicidad o marketing de terceros. No rastreamos su actividad en la aplicación. Mailfence está completamente libre de anuncios.
  
• Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a revelar datos.

¿Le interesaría llevar su privacidad y ciberseguridad al siguiente nivel? ¡Cree su cuenta gratuita hoy mismo!