¿Qué es el smishing? Definición del phishing por SMS

La gente confía en que las empresas con las que hace negocios van a proteger su información personal. Nuestro Estado de las comunicaciones con los clientes de 2025 indicaba que el 84 % de los estadounidenses cree que las empresas con las que interactúa son responsables de su privacidad digital.

Los ciberdelincuentes lo saben y se aprovechan de esta confianza mediante el smishing (phishing por SMS). Estas estafas basadas en mensajes de texto, en constante evolución, se hacen pasar por marcas para robar datos confidenciales, engañando a las víctimas para que revelen contraseñas, información financiera y otros detalles de carácter sensible que pueden dar lugar a robos de identidad y al vaciado de cuentas bancarias.

Tanto si eres el propietario de un negocio al que le preocupa la seguridad de sus empleados como si eres un particular que intenta proteger sus finanzas, entender en qué consiste el smishing es tu primera línea de defensa. Esto es lo que necesitas saber sobre cómo funciona el smishing y cómo detectarlo antes de que cause daños.

El smishing es un intento de engañar o manipular a particulares o empresas para que revelen información personal confidencial o valiosa, como contraseñas, credenciales bancarias y números de la seguridad social mediante SMS y otras formas de mensajería de texto.

El término en sí proviene de la combinación de «SMS» y «phishing», lo que da lugar a «smishing», es decir, una forma de phishing específica de los dispositivos móviles. Si bien los emails de phishing existen desde hace décadas, los estafadores de smishing se dirigen específicamente a las víctimas mediante mensajes de texto.

Estos estafadores envían mensajes de texto engañosos que parecen proceder de empresas legítimas, como instituciones financieras o contactos de confianza. Diseñan estos mensajes con el objetivo de manipular a los destinatarios para que revelen datos personales como:

• Contraseñas
• Números de tarjeta de crédito
• Números de la seguridad social
• Información bancaria
• Credenciales de acceso

Las estafas de phishing se centran principalmente en las credenciales de los usuarios y un 80 % de los ataques están diseñados para robar información de inicio de sesión a través de páginas falsas y formularios fraudulentos.

Una vez que los estafadores consiguen robar esta información, pueden utilizarla de múltiples formas. Pueden venderla en el mercado negro, cometer robos de identidad, vaciar cuentas bancarias o desviar los pagos a sus bolsillos.

Los estafadores también falsifican números de teléfono o utilizan herramientas de SMS a email para ocultar su origen real, lo que dificulta el rastreo de los ataques. La suplantación de identidad por SMS permite a los estafadores enmascarar su identidad y aparecer como remitentes legítimos.

El smishing se ha convertido en un método habitual para los estafadores, simplemente por el mero hecho de que los mensajes de texto dan resultados. Los SMS tienen una tasa media de apertura del 98 %, así que los timadores tienen una audiencia casi garantizada para sus planes fraudulentos si los destinatarios no saben en qué aspectos deben fijarse.

Un ataque de smishing se desarrolla con técnicas de ingeniería social, números de teléfono falsos y direcciones web maliciosas, diseñados para extraer credenciales de inicio de sesión, datos financieros e información de identificación personal (PII) de los usuarios de dispositivos móviles antes de ser detectados. A continuación tienes el desglose paso a paso de cómo pueden desarrollarse estas estafas:

Los números de teléfono se consiguen mediante filtraciones de datos, la compra de listas de contactos o, incluso, a veces simplemente con la predicción de números en códigos de zona densamente poblados.

La notificación está diseñada para que parezca que procede de una fuente fiable, como el banco de la víctima, un servicio de mensajería legítimo, una agencia gubernamental o, incluso, compañeros de trabajo. El número de teléfono o los datos de identificación del estafador suelen parecerse lo suficiente a los reales como para superar una inspección.

El texto transmite una sensación de urgencia mediante la ingeniería social e indica al destinatario que algo requiere una acción inmediata, como, por ejemplo:

• Tu cuenta ha sido objeto de un ataque
• No se te ha podido entregar un paquete
• Debes una cantidad de dinero
• Has ganado un premio

El objetivo es lograr que la víctima actúe rápidamente, sin pensar.

El mensaje indica al destinatario que haga clic en un enlace, rellene un formulario, verifique la información de una cuenta o responda con datos de carácter confidencial. Todas las solicitudes están diseñadas para robar información directamente o, en casos menos frecuentes, instalar malware en el dispositivo de la víctima.

Si el destinatario interactúa con el mensaje, este puede dirigirlo a una página web o un inicio de sesión falsos donde introduzca información, o llevarle a hacer clic en un enlace que instale malware como spyware o, incluso, ransomware en su teléfono móvil. Este software sigue las pulsaciones del teclado y roba las contraseñas.

Una vez se han hecho con las credenciales, los estafadores pueden acceder a cuentas bancarias, cometer robos de identidad o vender la información de la víctima a otros delincuentes. Cuanto más tarde la víctima en darse cuenta de lo ocurrido, más daño podrá hacer el estafador.

Las estafas de smishing utilizan diferentes tácticas según lo que el estafador quiera robar y a quién se dirija. Familiarizarte con los tipos más comunes de ataques de smishing y sus tácticas puede ayudarte a detectarlos antes de ser víctima de ellos. A continuación tienes los patrones con los que te encontrarás más a menudo:

• Estafas financieras y relacionadas con la seguridad de cuentas: los estafadores envían alertas falsas en las que indican que tu cuenta bancaria se ha visto comprometida, se ha detectado alguna actividad sospechosa o que tu tarjeta de crédito se ha utilizado para una compra no autorizada. Te presionan para que verifiques tus datos o cambies tu contraseña de forma inmediata.
• Estafas de entrega y logística: estos mensajes afirman que no se ha podido entregar un paquete y te piden que confirmes tu dirección o que pagues una cantidad para una nueva entrega. Los estafadores pueden intentar hacerse pasar por servicios de mensajería importantes, como UPS o FedEx, o minoristas, como Amazon.
• Estafas relacionadas con premios y recompensas: recibes un mensaje de texto que explica que has ganado una tarjeta regalo, un concurso o un sorteo. Solo tienes que reclamar tu premio rellenando un formulario o haciendo clic en un enlace para verificar tu información.
• Suplantación fiscal y gubernamental: los estafadores se hacen pasar por autoridades fiscales o agencias gubernamentales y alegan que debes dinero y que esta deuda puede acarrear graves consecuencias si no se subsana inmediatamente. O también pueden indicar que existe una devolución de impuestos que no has reclamado y está esperándote.
• Solicitudes de códigos de verificación: los estafadores pueden utilizar el phishing para engañar a los usuarios con la intención de que introduzcan códigos de verificación (como códigos de autenticación multifactor) en páginas web falsas. Para ello, indican que necesitas confirmar una transferencia de dinero, una compra o un cambio de contraseña que en realidad nunca se ha producido.
• Estafas relacionadas con facturas y pagos: las estafas de facturas están más documentadas en casos de phishing por email, pero ocasionalmente se envían por SMS. Estas pueden tomar la forma de una factura falsa de un servicio que afirma que debes dinero. Al pagar la factura les das tanto tu dinero como tu información de pago.
• Suplantación de contactos: si la información de alguien se ve comprometida, los estafadores pueden enviar mensajes que realmente procedan de su número de teléfono. En estos, afirman que tienen una urgencia o necesitan ayuda inmediata, y se aprovechan de tu confianza en esa persona.

El smishing no es la única forma que tienen los estafadores de robar información. La principal diferencia entre estos tres términos se debe al canal de comunicación que utilizan los defraudadores para contactar contigo.

A continuación te explicamos cómo funciona cada uno:

Los mensajes de smishing de parte de ciberdelincuentes que se hacen pasar por grandes marcas como Apple, FedEx, Walmart y otras marcas relevantes emplean direcciones web fraudulentas para robar credenciales de inicio de sesión e información de pago de los destinatarios de SMS. A continuación tienes tres ejemplos de situaciones que pueden ayudarte a mantenerte alerta.

Consultas tu teléfono durante el descanso de la comida y notas que has recibido un mensaje de texto, supuestamente, de Chase Bank. El remitente aparece como «Chase,» y el mensaje te advierte de que se ha detectado una actividad inusual de inicio de sesión en tu cuenta. Además, incluye un enlace para verificar tu identidad y proteger tu cuenta inmediatamente.

«Se ha detectado un inicio de sesión inusual en tu cuenta de Chase. Verifica tu identidad aquí: https://chase-seguridad-verifica.com/login»

El mensaje parece profesional y la urgencia real. Sin embargo, fíjate bien en la dirección web. Un enlace legítimo de Chase tendría la dirección chase.com, no un dominio como «chase-seguridad-verifica.com». Los estafadores añaden palabras que suenan oficiales para que las direcciones web falsas parezcan legítimas. Ese pequeño detalle es lo único que se interpone entre tu seguridad y entregar tus credenciales de acceso a un estafador.

Es época de vacaciones y esperas varias entregas. Te llega un mensaje de texto que dice que tu paquete de una importante empresa de transporte no ha podido entregarse debido a que tu dirección está incompleta. El mensaje te pide que hagas clic en un enlace y actualices tu información de envío para que puedan intentar realizar una nueva entrega.

«FedEx: no se ha podido entregar tu paquete debido a una dirección no válida. Actualiza tus datos de entrega aquí: https://fedex-seguimiento.com/update3847»

No recuerdas haber hecho ningún pedido recientemente, pero con tantas compras en esta época del año, es fácil que surjan las dudas. Los estafadores cuentan con esa confusión. Una vez haces clic en el enlace e introduces tu dirección, datos de pago e información de contacto, tienen todo lo que necesitan para robar tu identidad o realizar compras fraudulentas.

Te llega un mensaje de texto que anuncia que has ganado una tarjeta regalo de 500 € de un popular minorista. Lo único que tienes que hacer es reclamar tu premio haciendo clic en el enlace y rellenando una breve encuesta para confirmar que cumples los requisitos. El mensaje menciona que se te ha seleccionado con base en tu historial de compras recientes. El contenido puede ser algo así:

«¡Enhorabuena! Has sido seleccionado para recibir una tarjeta regalo de Target de 500 € por tu fidelidad. Reclámala aquí antes de que caduque: https://target-premios.net/reclamar?id=9847»

La promesa de dinero gratis resulta tentadora y la referencia a tu historial de compras hace que parezca personalizada. Pero no ha habido ningún concurso, ni proceso de selección, y tampoco existe ninguna tarjeta regalo. La «encuesta» está diseñada para recopilar tu información personal y, en algunos casos, los estafadores pueden, incluso, pedirte una pequeña tasa de tramitación para reclamar el premio, por lo que se hacen tanto con tus datos como con tu dinero.

Aquí tienes otros ejemplos del lenguaje que utilizan los estafadores en los ataques de smishing:

• Estafa de devolución de impuestos: "Alerta de devolución de la Renta: tienes derecho a una devolución de impuestos de 1847 €. Para evitar que caduque, verifica tus datos ahora: renta-devolucion.segura-verifica.com"
• Explotación de códigos de verificación: "El código de verificación de tu cuenta bancaria es 847293. Responde con este código para confirmar tu transferencia reciente de 2450 €".
• Factura falsa: "Se acaba de intentar realizar un cargo de 399,99 € por la renovación de tu suscripción a Norton. Si no está autorizado, dispútalo aquí: [enlace]"
• Suplantación de contacto de confianza: "Hola, soy Marcos, del trabajo. Mi tarjeta no funciona y necesito ayuda. ¿Puedes hacerme un Venmo de 200 € a @marcos.pay? Te los devuelvo mañana".
• Amenaza de suspensión de cuenta: "Tu cuenta de Netflix ha sido suspendida temporalmente por impago. Actualiza tu información inmediatamente o se cancelará el servicio: [enlace]"

Recuerda que, como empresa, existen dos formas en que el smishing puede perjudicarte. Puede afectar a tus empleados a título personal y perjudicar a toda la empresa. Depende de la naturaleza del ciberataque.

Si el ataque de smishing incluye un enlace que introduce malware o ransomware en los sistemas de tu empresa, los atacantes podrían acceder a los datos de contacto de tus empleados y a otra información de carácter confidencial.

Esa es una de las maneras en que los estafadores de smishing envían mensajes que parecen proceder de personas que conoces. Utilizan la información de esas personas y se aprovechan de tu confianza en ellas para intentar engañarte y que compartas datos personales valiosos.

Entonces, ¿qué puedes hacer para evitar los ataques de smishing? A continuación tienes los mecanismos de defensa más importantes que puedes poner en marcha.

• No hagas clic en enlaces de remitentes desconocidos: si no reconoces al remitente, no hagas clic en nada contenido en el mensaje. Borra inmediatamente los mensajes sospechosos y nunca respondas, ni siquiera para preguntar quién se pone en contacto contigo.
• Ponte en contacto con el remitente para verificar un mensaje SMS: ponte en contacto con la empresa con la información de contacto oficial que tú encuentres, no la que se proporciona en el mensaje. Llama al número que aparece en tu tarjeta de crédito, visita la página web oficial de la empresa o utiliza su aplicación móvil verificada para confirmar si el mensaje es real.
• Busca indicadores de alerta en el mensaje: los SMS de smishing suelen contener errores ortográficos, gramaticales o direcciones web sospechosas con faltas de ortografía o caracteres de más. Las empresas legítimas utilizan sus nombres de dominio oficiales y criterios profesionales de comunicación.
• Nunca compartas información confidencial mediante mensajes de texto: las empresas reales no van a pedirte contraseñas, números de tarjetas de crédito, números de la seguridad social ni credenciales de cuentas a través de mensajes de texto. Cualquier solicitud de datos confidenciales por SMS es una estafa.
• Activa la autenticación multifactor: la autenticación multifactor (AMF) añade una capa de seguridad que requiere una segunda verificación más allá de tu contraseña. Impide que los estafadores accedan a tus cuentas aunque se hayan hecho con tus credenciales de acceso.
• Mantén actualizado tu software: las actualizaciones de software incluyen parches de seguridad que protegen contra malware, spyware y demás amenazas. Actualiza el sistema operativo, las aplicaciones de mensajería y el software de seguridad de tu teléfono móvil en cuanto haya actualizaciones disponibles.

El smishing no solo es una amenaza para los particulares. Plantea graves riesgos para las empresas, cuyos empleados, clientes y sistemas se convierten en objetivos de fraude. Entender en qué consisten las tácticas de smishing ayuda a las organizaciones a crear unos mecanismos de defensa más sólidos frente a estas amenazas en constante evolución.

Tus empleados son tu primera línea de defensa contra los ataques de smishing. Las sesiones de formación periódicas deben incluir cómo identificar los mensajes sospechosos, qué tácticas utilizan los estafadores y por qué hacer clic en enlaces desconocidos en los dispositivos de la empresa genera vulnerabilidades de seguridad. Cuanto más sepa tu equipo sobre el smishing, menos probable será que caiga en la trampa.

Crea protocolos sencillos para que los empleados informen de los mensajes sospechosos sin miedo a que se les juzgue o a las consecuencias. Tu equipo de seguridad informática necesita conocer inmediatamente las amenazas potenciales para poder evaluar el riesgo, advertir a los demás y tomar medidas de protección. Haz que la presentación de informes sea sencilla y accesible.

Implementa herramientas de seguridad que detecten y bloqueen los enlaces maliciosos, controlen la actividad inusual de las cuentas y restrinjan el acceso a sistemas sensibles. La autenticación multifactor, las auditorías de seguridad periódicas y las actualizaciones de software crean capas de protección que dificultan que los estafadores puedan poner tu empresa en peligro.

Los mensajes verificados permiten a los clientes distinguir tus mensajes legítimos de las estafas que se hacen pasar por tu empresa. Más de la mitad de los consumidores afirma haber recibido en el último año mensajes legítimos de marcas que parecían sospechosos.

Por eso, algunas marcas recurren a canales como RCS o WhatsApp, que permiten la existencia de perfiles de remitente verificados que muestran el logotipo oficial de la marca, su nombre y color, y una marca de verificación dentro del hilo de mensajes. De este modo, los clientes saben al instante que están hablando con una marca de confianza.

Los estudios indican que el 59 % de los consumidores prefieren los mensajes RCS con ID del remitente verificada antes que los SMS básicos, ya que confían más en los primeros para la verificación de la cuenta y la seguridad.

Por último, pero no por ello menos importante, recuerda que el marketing por SMS debe ir acompañado de tus esfuerzos de marketing por email. Los mejores profesionales de marketing emplean los SMS y los emails de forma conjunta para lograr una estrategia equilibrada que genere confianza en los clientes.

Los SMS son una herramienta de comunicación extraordinaria para los negocios, ya que ofrecen una forma directa y eficaz de interactuar con clientes y empleados. Sin embargo, es importante que todos desconfiemos de los mensajes de texto que provienen de empresas desconocidas y nos mantengamos alerta ante la amenaza del smishing.

A continuación tienes algunas conclusiones clave que debes transmitir a tus empleados sobre el phishing por SMS:

• Verificar el remitente: verifica la autenticidad de los SMS, en particular la de los que solicitan información personal o financiera.
• Tener cuidado con los enlaces/archivos adjuntos: no hagas clic en ningún enlace dentro de SMS que no reconozcas. Ten cuidado incluso cuando estos mensajes parezcan proceder de un contacto conocido.
• Informar de los mensajes sospechosos: comunica rápidamente la existencia de cualquier mensaje que plantee dudas o parezca un intento de phishing.

Formar a tus empleados no es más que una de las múltiples acciones que puedes tomar como empresa para evitar el phishing por SMS. Esto implica educar tanto a los empleados como a los destinatarios sobre las tácticas empleadas por los estafadores, y mejorar las medidas de ciberseguridad para detectar y frustrar los intentos de smishing y demás estafas relacionadas, como el fraude de las granjas de SIM.

El smishing no es un problema únicamente de los consumidores: es un problema de confianza. La mensajería es un canal crítico para la interacción con el cliente, por lo que las empresas tienen la responsabilidad de proteger a los usuarios. Y cuando los clientes saben quién les contacta, es mucho menos probable que sean víctimas de una estafa.

Consulta nuestros recursos para ayudar a tu empresa a evitar el fraude en la mensajería para negocios. O infórmate sobre cómo los SMS para operadores de Sinch pueden ayudarte a mitigar el fraude por SMS.

Autor/a: Megan Libby Megan es responsable de Marketing de contenidos sénior en Sinch, donde dirige iniciativas relacionadas con liderazgo de opinión y contenidos sobre SMS/MMS, RCS y otros temas de mensajería omnicanal.