Artículo patrocinado por Surfshark
Pese a que han caído en desuso, los mensaje de texto siguen siendo una de las principales herramientas de comunicación al no depender exclusivamente de una conexión a Internet. También se han convertido en un canal frecuente para estafas y fraudes, con un importante aumento de casos de un tiempo a esta parte. En 2023, se registraron 426.744 fraudes informáticos en España, lo que supone un incremento del 27% respecto al año anterior. De hecho, más del 50% de los españoles ha sido objetivo de intentos de fraude online en el último año.
Durante los primeros nueve meses de 2024, se denunciaron 347.047 ciberdelitos, representando el 18,7% del total de infracciones penales registradas en ese periodo. El phishing, que incluye técnicas como el smishing, sigue siendo uno de los vectores más habituales de ciberataques en nuestro país. Con estos datos sobre la mesa, ¿cómo podemos protegernos ante este tipo de estafas, las cuales se perpetúan, entre otras vías, por SMS? Eso es lo que trataremos de responder a lo largo de este artículo.
Entendiendo el funcionamiento del smishing
¿Alguna vez has recibido un SMS supuestamente de la Agencia Tributaria alertando sobre un reembolso pendiente y pidiéndote que accedas a un enlace? ¿Te ha llegado un aviso de una empresa de mensajería notificándote sobre un paquete que no esperabas y pidiéndote que pagues alguna tasa? ¿O tal vez un mensaje de tu banco informándote de un supuesto problema con tu cuenta y solicitando que verifiques tu identidad? Todos estos casos tienen un nombre en común: smishing, una de las estafas más comunes en 2025 que llegan prácticamente a todos los teléfonos móviles del país en un momento u otro.
¡SUSCRIBETE A NUESTRO NEWSLETTER!
Cada semana mandamos un único e-mail con el resumen de las noticias a +4.000 suscriptores.
El smishing es una variante del phishing que utiliza mensajes de texto para engañar a las víctimas. Los ciberdelincuentes envían SMS que parecen provenir de fuentes legítimas, como bancos, instituciones gubernamentales o empresas reconocidas con el objetivo de obtener información confidencial o inducir a la víctima a realizar acciones perjudiciales. Uno de los métodos más comunes es el envío de mensajes que alertan sobre un problema urgente como una factura pendiente, un paquete retenido o una actividad sospechosa en una cuenta bancaria.
El mensaje suele incluir un enlace que redirige a una página falsa diseñada para robar datos cuya interfaz es calcada a la de la institución que está intentando suplantar. En otros casos, el SMS puede contener un archivo adjunto que, al descargarse, instala malware en el dispositivo. La efectividad de las estafas por SMS radica precisamente en su simplicidad y en la psicología humana. Los mensajes de texto son breves, directos y suelen leerse rápidamente, y al incluir un enlace es probable que por la urgencia del mensaje muchas personas terminen accediendo a ellos.
A menudo, los ciberdelincuentes aprovechan emociones como el miedo, la curiosidad o la urgencia para manipular a sus víctimas. Por ejemplo, un mensaje que dice «Su cuenta bancaria ha sido bloqueada por seguridad. Haga clic aquí para reactivarla» puede generar ansiedad y llevar a la persona a actuar sin pensar. Otro factor que contribuye a la efectividad de estas estafas es la facilidad con la que este tipo de grupos organizados pueden falsificar números de teléfono, consiguiendo aparecer como teléfonos móviles situados en el mismo país que el usuario.
Utilizando técnicas como el spoofing pueden hacer que un mensaje parezca proceder de una fuente confiable, como un banco o una empresa reconocida. Esto dificulta aún más la identificación de mensajes fraudulentos, incluso para una persona experimentada que tenga conocimientos avanzados de informática.
Cómo identificar un SMS fraudulento
Identificar un SMS fraudulento puede ser complicado, pero hay varias señales que pueden ayudarte a detectar un intento de estafa. En primer lugar, presta atención al contenido del mensaje. Los mensajes fraudulentos suelen contener errores gramaticales, un lenguaje poco profesional o un tono excesivamente urgente. Por ejemplo, «Su cuenta será bloqueada en 24 horas».
Otra señal de alarma es la presencia de enlaces o archivos adjuntos. Los ciberdelincuentes suelen incluir enlaces acortados o direcciones URL que parecen legítimas, pero que redirigen a páginas falsas. Si recibes un mensaje con un enlace, desliza el dedo sobre este, sin hacer clic, para ver la dirección completa. Si la dirección parece sospechosa o no coincide con la página web oficial de la empresa, es probable que sea una estafa, tales como correos-es.com en lugar de correos.com o banco-santander.info en vez de bancosantander.es.
Por otro lado, las empresas legítimas nunca te pedirán que envíes contraseñas, números de tarjetas de crédito o datos bancarios a través de un mensaje de texto. Lo ideal es contactar directamente con la entidad a través de sus canales oficiales, como su página web o el número de atención al cliente disponible en el apartado correspondiente. Nunca utilices los datos de contacto proporcionados en el mensaje sospechoso, ya que podrían ser falsos.
Por último, presta atención al número de teléfono desde el que se envía el mensaje. Aunque los ciberdelincuentes pueden falsificar números de teléfono para que parezcan legítimos, a menudo utilizan números internacionales o que no coinciden con los formatos habituales en tu país. Si recibes un mensaje de un número desconocido o que no reconoces, es mejor ser cauteloso y no interactuar con este ni ningún otro de similares características.
Consejos prácticos para protegerte de las estafas por SMS
En primer lugar, es fundamental mantener tu dispositivo actualizado con las últimas versiones del sistema operativo y las aplicaciones. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades explotadas por los ciberdelincuentes. Otra medida importante es habilitar la autenticación de dos factores en todas tus cuentas importantes mediante aplicaciones como Google Authenticator.
De esta forma, incluso si los estafadores obtienen tu contraseña, no podrán acceder a tu cuenta sin el segundo factor de autenticación, que suele ser un código enviado a tu teléfono o generado por una aplicación. También es recomendable instalar una VPN como Surfshark para proteger tu conexión a internet y evitar que los delincuentes intercepten tus datos. Además de cifrar el tráfico cuando te conectas a redes Wi-Fi públicas, incluye herramientas para bloquear anuncios sospechosos y detectar malware en tu dispositivo
Asimismo, dispone de un sistema de alertas que te notifica cuando una de tus credenciales ha sido filtrada en Internet, como el correo electrónico, el número de tarjeta de crédito o las contraseñas asociadas a una cuenta. Eso por no hablar de las innumerables ventajas que supone simular la conexión en más de un centenar de países diferentes a golpe de clic para acceder a contenido bloqueado geográficamente, por ejemplo, en plataformas como Netflix, Max o Prime Video, entre otras.
También puedes crear una identidad digital alternativa, con un número de teléfono y correo electrónico diferentes al tuyo, para navegar de forma segura por Internet, así como con aplicaciones de terceros. Junto a las funciones de detección de spam de iOS y Android, puedes instalar aplicaciones como Lista Spam o TrueCaller para disponer de un registro actualizado de los números de teléfono reportados por la comunidad. Ambas identificarán en tiempo real a quién pertenece y si se trata de un intento de fraude.
Por último, educa a tus familiares y amigos sobre los riesgos de las estafas por SMS. Muchas personas, sobre todo las de mayor edad, pueden no estar familiarizadas con estas prácticas y son más vulnerables a caer en la trampa, por lo que mantenerlas informadas sobre este tipo de riesgos es más importante si cabe que hacerlo por cuenta propia.
Qué hacer si has sido víctima de una estafa por SMS
Si sospechas que has caído en una estafa por SMS, mantén la calma y no entres en pánico. Si has proporcionado información bancaria, como números de tarjetas de crédito o contraseñas, contacta inmediatamente con tu banco. La mayoría de los entidades cuentan con líneas de atención al cliente disponibles 24/7 para estos casos. Explícales la situación y solicita el bloqueo de tus cuentas y tarjetas para evitar transacciones no autorizadas.
Además de contactar con tu banco, es recomendable cambiar todas tus contraseñas, más aún si utilizas la misma en varias cuentas. Asegúrate de crear contraseñas seguras, combinando letras, números y caracteres especiales, o recurre a gestores de contraseñas, como los de Apple y Google. En cualquier caso, evita usar información personal que pueda ser fácilmente adivinada. Y si es posible, activa la autenticación de dos factores en todas tus cuentas importantes.
Una vez que hayas tomado estas medidas, deberás informar del incidente a las autoridades competentes. En España, existen varios canales oficiales para denunciar estafas por SMS. Puedes acudir a la Policía Nacional o a la Guardia Civil, que cuentan con unidades especializadas en ciberdelitos. Si bien existen plataformas para denunciar los hechos telemáticamente, lo ideal es acudir a la comisaría más cercana para formalizar la denuncia cuanto antes.
Otra opción es contactar con el Instituto Nacional de Ciberseguridad (INCIBE), que gestiona la Oficina de Seguridad del Internauta (OSI). Se trata de un organismo público que ofrece asistencia gratuita en casos de ciberdelincuencia. Puedes reportar el incidente a través de su página web oficial (www.incibe.es) o llamando a su línea de ayuda en el número de teléfono 017, disponible las 24 horas del día, los 365 días del año.
