¿Qué es el SMS Spoofing? Definición, ejemplos y riesgos
por
Tiempo de lectura: 6 min
Puntos clave
- La suplantación de identidad en SMS consiste en alterar la información del remitente para hacerse pasar por una fuente legítima con fines fraudulentos.
- El aumento de los ataques a la ciberseguridad pone de manifiesto los peligros tanto de la suplantación de identidad por SMS como del smishing, técnicas habituales utilizadas por los ciberdelincuentes.
- Entre los usos legítimos de la suplantación de identidad por SMS figuran la mensajería masiva para empresas y las comunicaciones oficiales de organismos gubernamentales.
- Para protegerse de la suplantación de identidad por SMS, los usuarios deben tener cuidado con los mensajes no solicitados y abstenerse de abrir enlaces o facilitar información personal.
- Informar de los incidentes de spoofing a los operadores de telefonía móvil y a las fuerzas de seguridad puede ayudar a mitigar el impacto de estos ataques en el futuro.
La falsificación de SMS consiste en alterar la información del remitente con fines fraudulentos, como el número de teléfono y el nombre del contacto. No se puede responder ni bloquear un mensaje falso. La suplantación de identidad por SMS se basa totalmente en la suplantación.
Recibes un mensaje de texto falso de alguien a quien crees conocer, pero hay algo que no encaja. El nombre y el número de móvil no son idénticos a los de la lista de contactos de la persona, sólo son parecidos.
Los ataques a la ciberseguridad aumentan rápidamente. El phishing y el spoofing fueron los tipos más frecuentes de ciberdelincuencia denunciados al Centro de Denuncias de Delitos en Internet de Estados Unidos en 2024, afectando a casi 193.000 personas.
¿Interesante? Tal vez, sí. Sin embargo, por muy emocionante que parezca, esta capacidad es incuestionablemente perjudicial cuando se utiliza de forma incorrecta.
¿Qué es el SMS Spoofing?
Suplantación de SMS es una técnica utilizada para cambiar el ID del remitente de un mensaje de texto para que parezca proceder de otra persona (como un banco, una empresa o incluso un amigo) y no del remitente real.
En los mensajes de texto normales, la red móvil adjunta automáticamente el número del remitente (como un número de teléfono o un código corto). Con la suplantación de SMS, una persona o programa envía el mensaje a través de un software especial o pasarelas que le permiten configurar manualmente el nombre o el número del remitente.
| Diferencia entre la suplantación de identidad y los mensajes de texto normales | ||
| Característica | Mensaje de texto normal | Mensaje de texto falso |
| ID del remitente | Establecido por tu operador de telefonía móvil | Falso o personalizado por el remitente |
| Fuente del mensaje | Teléfono real vinculado al remitente | A menudo se envían a través de herramientas de terceros |
| Propósito | Comunicación personal o empresarial | Puede utilizarse para fraude, phishing o marketing |
| Trazabilidad | Fácil de rastrear hasta el remitente | A menudo es difícil rastrear el origen |
¿Cómo funciona el SMS Spoofing?
Podría pensar que la falsificación de SMS es un problema del siglo XXI, pero le sorprendería saber que se cree que sus orígenes se remontan a muchas décadas atrás. Un comandante egipcio llamado Sultán Baybars logró tomar el poderoso Krak des Chevaliers en 1271 dando a los caballeros asediados una carta falsa de su comandante y ordenándoles que se sometieran. Al final, los caballeros se rindieron y descubrieron que la carta era falsa.
La suplantación de identidad por SMS consiste en disfrazar el número de teléfono del remitente real en un mensaje de texto SMS para que parezca proceder de un dispositivo diferente. Hay dos formas de hacerlo:
- Puedes enviar un mensaje SMS desde el teléfono de tu víctima a alguien con quien quieras comunicarte. De este modo, el destinatario creerá que el mensaje procede de alguien conocido, como un amigo o un colega.
- Puedes enviar un mensaje SMS desde el número de teléfono de otra persona a alguien con quien quieras comunicarte. Esto también engañará al destinatario haciéndole creer que el mensaje viene de otra persona, como un amigo o un colega.
¡Simplifique la seguridad con PowerDMARC!
Diferencias entre SMS Spoofing y Smishing
El SMS spoofing y el smishing son dos tipos de estafa que utilizan mensajes de texto falsos para obtener información confidencial de víctimas desprevenidas. Ambos se basan en técnicas de ingeniería social, pero difieren en la forma en que se dirigen a usted.
Suplantación de identidad por SMS
La suplantación de identidad por SMS se produce cuando un hacker envía un mensaje SMS desde un número irreconocible. El mensaje puede parecer que proviene de alguien conocido, o puede proceder de una empresa u organización de confianza. El objetivo de estos ataques es engañarle para que responda o haga clic en un enlace que descargará malware en su teléfono u ordenador.
Smishing
Los ataques de smishing son similares a la suplantación de identidad por SMS, pero los hackers envían correos electrónicos falsos con enlaces maliciosos incrustados en lugar de utilizar mensajes de texto. Si haces clic en el enlace, intentarán instalar malware en tu dispositivo o te llevarán a un sitio web falso donde te pedirán información personal, como números de tarjetas de crédito y de la seguridad social.
Tipos de falsificación de SMS
Hay muchos tipos diferentes de suplantación de identidad por SMS, entre ellos:
1. Identificadores de remitente falsos
El tipo más común de suplantación de identidad consiste en sustituir la identificación real del remitente por otro número o nombre. Esto permite a los ciberdelincuentes hacerse pasar por entidades como el banco o la entidad emisora de la tarjeta de crédito, engañando al usuario para que divulgue información personal o descargue software dañino. También pueden falsear el identificador de llamadas realizando llamadas falsas, además de falsificar mensajes de texto.
2. Mensajes masivos no solicitados (UBM)
Los UBM son mensajes de texto no solicitados que parecen proceder de alguien conocido, pero que proceden de una fuente desconocida. Estos mensajes pueden incluir enlaces a sitios web maliciosos, mensajes de phishing y otras estafas diseñadas para robar información personal de los dispositivos móviles.
3. Acoso
Este tipo de suplantación de identidad por SMS suele consistir en el envío de mensajes amenazadores o inapropiados a otras personas. Algunos acosadores utilizan este método para intentar extorsionar a sus víctimas amenazándolas con consecuencias si no pagan.
4. Transferencias de dinero falsas
Puede tratarse del envío de un correo electrónico en el que se afirma que has ganado un premio para que transfieras algo de dinero a una cuenta con el fin de donarlo a una organización benéfica, por ejemplo. O puede tratarse de una estafa más siniestra en la que los piratas informáticos intentan robar su información personal afirmando que ha ganado un premio, pero luego le piden sus datos bancarios para poder ingresarlo en su cuenta.
5. Espionaje empresarial
En este ataque, un hacker enviará un mensaje SMS a su teléfono móvil con un enlace a un sitio web malicioso. Cuando hagas clic en ese enlace, te redirigirá a otro sitio y robará tu información personal y tus credenciales, que el atacante puede utilizar para acceder a recursos de la empresa o robarte dinero.
Cómo protegerse de la suplantación de identidad por SMS
Para mantenerte a salvo de la suplantación de identidad por SMS, sigue estos importantes consejos:
- No te fíes sólo de la identificación del remitente: Un mensaje puede parecer de alguien que conoces o de una empresa de confianza, pero la identificación del remitente puede ser falsa.
- Evite hacer clic en enlaces de textos no solicitados: Los enlaces en mensajes inesperados pueden conducir a sitios de phishing o a la descarga de programas maliciosos.
- Utilice aplicaciones de autenticación de dos factores en lugar de SMS: Las aplicaciones de autenticación ofrecen mayor seguridad que los códigos SMS, que pueden ser interceptados.
- Denuncia la suplantación de identidad a los operadores o a las autoridades: Informa a tu operador de telefonía móvil o a las autoridades pertinentes para ayudar a detener a los estafadores y proteger a los demás.
- Instala herramientas de filtrado de spam y antiphishing: Estas herramientas ayudan a detectar y bloquear mensajes sospechosos antes de que te lleguen.
Usos legítimos de la suplantación de identidad en SMS
Entre los usos legítimos de la suplantación de identidad por SMS figuran los servicios de mensajería masiva, los mensajes oficiales y la protección de la identidad.
Servicios de mensajería masiva
La suplantación de identidad por SMS permite enviar mensajes masivos a varios destinatarios a la vez. Esto es especialmente útil para las empresas que quieren utilizar el software de SMS masivos para llegar a los clientes de forma rentable.
Mensajes oficiales
Los organismos públicos también utilizan la suplantación de identidad por SMS para enviar notificaciones importantes, como plazos de pago de impuestos o avisos sobre catástrofes naturales. Al enviar estos mensajes, deben proceder de una fuente oficial para que la gente sepa que son legítimos y no una estafa.
Protección de la identidad
Empresas como Equifax utilizan esta tecnología para proteger la identidad de sus clientes. Supongamos que alguien intenta llamarle o enviarle un correo electrónico fingiendo ser de Equifax con un número de devolución de llamada. En ese caso, puede verificar fácilmente si es real o no llamando al número en su teléfono en lugar de introducir cualquier información personal por teléfono o Internet.
¿Qué deben hacer los usuarios para protegerse del SMS Spoofing?
- Desconfíe de los mensajes de texto no solicitados que reciba en su dispositivo móvil y no abra los enlaces que contengan. Si abre un enlace, asegúrese de visitar el sitio web real del que dice proceder escribiendo la URL en su navegador. Para garantizar la autenticidad de las comunicaciones, la verificación eficaz de la identidad del remitente es crucial para establecer una conexión segura entre el remitente y el destinatario.
- No respondas a mensajes de texto en los que te pidan información personal, como números de cuenta o contraseñas. Si recibe uno de estos mensajes, bórrelo inmediatamente sin responder.
- Ponte en contacto con tu proveedor de servicios de telefonía móvil si recibes un mensaje SMS solicitando dinero o información personal.
Conclusión
Nadie está completamente a salvo de la suplantación de identidad. Siempre debes denunciar a los estafadores que te acosen o utilicen tu número para la suplantación de identidad a tu operador y a la policía para que puedan averiguar el origen de los mensajes. De este modo, se puede evitar la suplantación de identidad por SMS en el futuro. Para asegurarte de que no volverás a recibir un SMS del estafador, puedes utilizar bloqueadores de SMS de descarga.
Además, es necesario ser consciente y protegerse contra otros riesgos de suplantación de identidad, incluidos los ataques de suplantación de identidad de correo electrónico y de dominio directo que podrían dañar su reputación. Consulte nuestra guía completa sobre seguridad contra la suplantación de identidad para estar a salvo de futuros ataques.
Preguntas más frecuentes (FAQ)
¿Se puede rastrear un SMS falsificado?
Rastrear un SMS falsificado suele ser difícil porque el remitente disfraza su número real utilizando herramientas de terceros, lo que dificulta a los operadores y a las autoridades la identificación del verdadero origen.
¿Es lo mismo la suplantación de identidad que el phishing?
No, el spoofing es el acto de falsificar la identificación del remitente de un mensaje, mientras que el phishing es un tipo de estafa que intenta robar tu información personal. El spoofing se utiliza a menudo como técnica dentro de los ataques de phishing para hacerlos más convincentes.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Integración de PowerDMARC con Microsoft Sentinel: visibilidad SIEM nativa en la nube para la seguridad del correo electrónico - 15 de enero de 2026
- Integración de PowerDMARC con Splunk: visibilidad unificada para la seguridad del correo electrónico - 8 de enero de 2026
- ¿Qué es el doxxing? Una guía completa para comprenderlo y prevenirlo - 6 de enero de 2026
