¿Qué es el smishing y cómo puede afectarle? El smishing es una combinación de SMS y phishing. Una forma de phishing por mensaje de texto, el smishing puede ser utilizado por los ciberdelincuentes para obtener sus datos financieros o acceder a su ordenador de forma remota. El smishing funciona enviando un SMS o un mensaje de texto que parece legítimo, en el que se le pide que proporcione información personal, como el número de su tarjeta de crédito.

"Hoy en día, los ciberdelincuentes realizan con frecuencia ataques de smishing porque se confía más en los mensajes de texto que en los correos electrónicos. Esta fe equivocada puede haber contribuido al aumento de más del 300% de los fraudes de smishing en los dos últimos años".

¿Le resulta familiar cuando alguien le dice que le ha tocado la lotería? ¿O un regalo? ¿Se ha planteado alguna vez si esa llamada era exacta o cumplía la normativa? Si es así, probablemente haya recibido un smishing(SMS phishing). Por eso hay que saber qué es el smishing y cómo evitar caer en esta trampa.

Puntos clave

El smishing combina tácticas de SMS y phishing para engañar a las personas con el fin de que faciliten información personal.
Los mensajes de texto suelen percibirse como más fiables que los correos electrónicos, lo que contribuye a un aumento significativo de los ataques de smishing.
Los ciberdelincuentes suelen utilizar mensajes urgentes para obtener respuestas inmediatas de las víctimas potenciales.
Para protegerse, evite responder a SMS sospechosos y verifique los mensajes directamente con su banco o comercio.
Implantar la autenticación de dos factores puede añadir una capa adicional de seguridad contra posibles ataques de smishing.

Ataques recientes de smishing

Las estafas de smishing han tenido como objetivo varios bancos minoristas irlandeses y sus clientes, especialmente desde el verano de 2020 y el inicio de COVID-19.

Las comunicaciones de smishing suelen asustarle diciendo que debe responder inmediatamente para evitar sufrir consecuencias catastróficas.

Su banco puede informarle a través de un mensaje de texto, por ejemplo, de que su tarjeta bancaria, su cuenta o su acceso en línea han sido suspendidos o bloqueados debido a una "actividad extraña" o a actividades fraudulentas.

Un mensaje SMS le notificará que debe hacer clic en un enlace para desbloquear o descongelar su cuenta.

¡Protéjase contra el Smishing con PowerDMARC!

Prueba de 15 días Agendar demo

Métodos comunes para el smishing

Más de siete de cada diez encuestados en un estudio de profesionales de TI realizado en 2020 y 2021 declararon que se habían encontrado con ataques de smishing durante el año anterior examinado. Esta cifra es superior al 61% de los encuestados que afirmaron haber sufrido smishing en 2020.

Los piratas informáticos utilizan la ingeniería social para tramar un smishing:

Malware - Puede ser engañado para descargar un malware o abrir un enlace a un sitio web malicioso que contenga un virus o un programa espía.
Compartir sus cre denciales bancarias - Los atacantes pueden instarle a enviar sus credenciales bancarias en un sitio web falso y vaciar completamente sus ahorros accediendo a su cuenta.
Compartir su información de inicio de sesión corporativa: Los atacantes pueden pedirte que inicies sesión con tus datos de acceso corporativos para acceder a los sistemas internos de tu empresa y a las bases de datos sensibles.

¿Cómo funciona el Smishing?

Las operaciones de smishing se llevan a cabo de manera bastante sencilla. Echemos un vistazo a ello:

Para hacerle creer que su comunicación es auténtica, un hacker le envía un mensaje de texto utilizando técnicas de ingeniería social.
O bien hace clic en el enlace malicioso adjunto a este SMS o les proporciona acceso a datos personales como nombres de usuario, contraseñas, correos electrónicos, etc.
Una vez que su información es pirateada, el hacker la utiliza para cometer fraudes o vender la información robada en la web oscura.

¿Por qué es cada vez más frecuente el Smishing?

El smishing está aumentando por diversas causas. El hecho de que sea un engaño sencillo de llevar a cabo es una de las principales. El estafador sólo necesita unos cuantos números de teléfono y un método astuto para conseguir que los individuos devuelvan los mensajes de texto para reunir la información necesaria.

La gente también adora los mensajes de texto. En tres minutos, el 95% de los mensajes de texto se abren y responden. Se puede ver cómo las estafas por mensajes de texto pueden ser más atractivas para un ladrón, dado que sólo el 20% de los correos electrónicos se abren, y mucho menos se responden.

Tipos de ataques de smishing

Hay varios tipos de ataques de smishing. Entre ellos se encuentran:

Smishing de Covid-19: El smishing de Covid-19 es una estafa de phishing que utiliza la aplicación de redes sociales de WhatsApp para enviar mensajes a las víctimas. Los mensajes afirman que el usuario ha ganado un regalo y le animan a hacer clic en un enlace. Al hacer clic en el enlace se descarga el virus en el ordenador.

Gift Smishing: El Gift smishing es otro tipo de estafa de phishing que utiliza aplicaciones de redes sociales como Facebook, Instagram o WhatsApp para enviar mensajes a las víctimas. El mensaje afirma que el destinatario ha ganado un regalo y le anima a hacer clic en un enlace. Al hacer clic en el enlace, se descargará un malware en su ordenador.

Smishing de servicios falsos: El ataque de smishing de servicios falsos consiste en que un atacante envía correos electrónicos en los que afirma que puede solucionar problemas con ordenadores o dispositivos, como virus u otros problemas con el software o el hardware. Estos correos electrónicos suelen incluir archivos adjuntos que contienen software malicioso que puede instalar troyanos u otras formas de malware en su dispositivo sin su conocimiento.

Smishing de factura o confirmación de pedido: Una empresa envía una simple factura o confirmación de pedido a través de un mensaje de texto. El usuario introduce sus datos de pago en un sitio web falso al hacer clic en el enlace de la factura que aparece en el mensaje. El objetivo es conseguir que descarguen malware en su dispositivo.

Smishing de servicios financieros: Se envían mensajes a los usuarios desde su banco o compañías de tarjetas de crédito alertando de una actividad sospechosa en sus cuentas. Creen que podrán comprobar sus cuentas, pero en lugar de ello, descargan malware en sus dispositivos.

¿Qué es la prevención del smishing?

¿Cómo detener los ataques de smishing?

Saber lo que hay que evitar le ayudará a no convertirse en una víctima. Estos son algunos consejos que pueden ayudarle a protegerse de las estafas de smishing:

Nunca responda

No responder nunca a los SMS de smishing es la primera regla a seguir. Podrías confirmar un número de trabajo para el hacker, además de provocar potencialmente la instalación del malware en tu dispositivo. Luego, pueden emplearlo en más esquemas de fraude o incorporarlo a una lista para revenderlo con fines de lucro en la web oscura.

Contacte directamente con los bancos o los minoristas

Los ciberdelincuentes intentan a menudo hacerse pasar por empresas y organizaciones bancarias de buena reputación en los SMS de smishing. La mejor acción es ponerse en contacto con el banco o la tienda inmediatamente si recibe un texto y se pregunta sobre su veracidad. Muy a menudo, los sitios web de los bancos disponen de un servicio de denuncia de smishing, por lo que puede enviar al instante un informe sobre un intento de smishing.

Usar 2FA

La autenticación de dos factores puede proporcionar una capa adicional de seguridad si eres víctima de una estafa de smishing y revelas una de tus credenciales. Cuando intentas iniciar sesión, la tecnología biométrica emplea tecnologías de reconocimiento facial y de huellas dactilares para confirmar tu identidad.

Conclusión

Así que si estás confundido sobre lo que es el smishing, es un poco como el phishing, excepto que recibes SMS en lugar de correos electrónicos, pero, al final, es todo lo mismo ya que es tu información y tus activos los que están en juego.

Para prevenir el phishing en el correo electrónico, le recomendamos que instale un analizador DMARC en su organización para proteger su dominio contra el uso no autorizado. Los expertos en DMARC también le proporcionarán información sobre el estado de la postura de seguridad de su dominio de correo electrónico y le ayudarán a formular una estrategia para el futuro.

Acerca de
Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

Microsoft refuerza las reglas de remitentes de correo electrónico: Actualizaciones clave que no debe perderse - 3 de abril de 2025
Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025

¿Qué es el Smishing?