Cet article est affiché en espagnol car il n'est pas encore publié dans la langue que vous avez sélectionnée.
SmishingAmenazas

Smishing: estafas por SMS y cómo detectarlas a tiempo

El smishing usa SMS falsos de Correos, tu banco o Hacienda para robarte datos y dinero. Aprende a reconocer las señales y a protegerte.

N
Par NoCall
Rédaction NoCall
20 mai 20266 min de lecture
Smishing: estafas por SMS y cómo detectarlas a tiempo
#smishing#sms#phishing#estafa

El smishing es una de las estafas digitales que más ha crecido en España, precisamente porque un SMS parece inofensivo y lo abrimos casi por inercia. Detrás de un mensaje breve y aparentemente urgente se esconde un intento de robar tus credenciales bancarias, tus datos personales o tu dinero. Conocer cómo funciona y aprender a detectarlo a tiempo es la mejor defensa.

Qué es el smishing

El término "smishing" nace de la unión de "SMS" y "phishing". Es una técnica de fraude en la que el atacante te envía un mensaje de texto haciéndose pasar por una empresa o entidad de confianza —tu banco, una empresa de paquetería, la Agencia Tributaria— con un único objetivo: que pulses un enlace, introduzcas tus datos en una web falsa o instales una aplicación maliciosa en tu móvil.

A diferencia del correo electrónico, el SMS transmite una sensación de inmediatez y cercanía. Muchas personas confían más en un mensaje de texto que en un email, y los estafadores lo saben. Además, las pantallas pequeñas dificultan ver la dirección completa de un enlace, lo que juega a favor del fraude.

Ejemplos frecuentes de smishing

Las campañas de smishing suelen repetir los mismos patrones porque funcionan. Estos son los más habituales en España:

El paquete retenido

Probablemente el más extendido. Recibes un SMS que dice algo como: "Su paquete está retenido en aduanas. Abone 1,99 € para gestionar la entrega" o "Correos: no hemos podido entregar su envío, confirme su dirección aquí". El enlace lleva a una web idéntica a la de Correos, SEUR o una empresa de mensajería, donde te piden datos personales y, sobre todo, los de tu tarjeta para pagar una supuesta tasa ridícula. Esa cantidad pequeña es el cebo: lo que de verdad buscan son los datos de la tarjeta.

El falso aviso del banco

Mensajes que alertan de un "movimiento sospechoso", un "bloqueo de seguridad de su cuenta" o la necesidad de "verificar su identidad". El enlace conduce a una réplica de la web de tu banco. Lo más peligroso es que estos SMS a menudo aparecen en el mismo hilo de conversación que los mensajes legítimos de tu entidad, porque los delincuentes falsifican el remitente (una técnica llamada SMS spoofing).

La multa o sanción

"Tiene una multa de tráfico pendiente" o "Notificación de la DGT, pague antes de hoy para evitar recargos". Aprovechan el miedo a una sanción y el plazo para empujarte a actuar sin pensar.

Hacienda y la devolución

Especialmente activo en campaña de la Renta. SMS que prometen una "devolución pendiente de la Agencia Tributaria" y te piden los datos bancarios para "ingresar el importe". La Agencia Tributaria no comunica devoluciones ni solicita datos por SMS con enlaces.

Señales de alerta que delatan un fraude

Aunque cada campaña cambia el texto, casi todas comparten pistas que puedes aprender a detectar:

  • Enlaces acortados o dominios extraños. Direcciones tipo bit.ly, t.ly o dominios que imitan al original con pequeñas variaciones (correos-envio.info, seur-entrega.com, aeat-devolucion.net). Las entidades oficiales usan sus dominios propios y verificables.
  • Sensación de urgencia. "Últimas horas", "su cuenta será bloqueada hoy", "pague antes de las 23:59". La prisa es el arma psicológica favorita del estafador: busca que reacciones antes de razonar.
  • Faltas de ortografía y redacción rara. Tildes ausentes, frases mal construidas, traducciones automáticas. No siempre aparecen, pero cuando están, son una señal clarísima.
  • Peticiones de datos sensibles. Ningún banco, organismo público ni empresa de paquetería seria te pedirá por SMS el PIN, la contraseña completa, el CVV de la tarjeta o las claves de acceso.
  • Importes pequeños "para gestionar". Esa tasa simbólica de uno o dos euros existe solo para que introduzcas los datos de tu tarjeta.
  • Remitente sospechoso. Números largos, internacionales o alfanuméricos que no encajan con la comunicación habitual de la entidad.

Por qué nunca debes pulsar enlaces ni instalar apps desde un SMS

La regla de oro es simple: no pulses enlaces que lleguen por SMS y no instales aplicaciones que un mensaje te invite a descargar.

Al pulsar un enlace puedes acabar en una web fraudulenta diseñada para capturar tus credenciales en el momento en que las escribes. Y descargar una app desde un enlace de SMS —fuera de las tiendas oficiales— puede instalar malware que lee tus mensajes, intercepta los códigos de verificación de tu banco o toma el control del dispositivo. Algunas campañas de smishing distribuyen troyanos bancarios precisamente así.

Si un mensaje dice ser de tu banco o de Correos, no uses el enlace: abre tú mismo la aplicación oficial o teclea la dirección web a mano en el navegador. Esa diferencia de diez segundos es lo que separa estar protegido de entregar tus datos.

El filtrado de SMS sospechosos

Los teléfonos actuales incorporan herramientas que ayudan. En Android e iOS puedes activar el filtrado de mensajes de remitentes desconocidos, que los aparta en una bandeja aparte. También puedes marcar un SMS como spam o no deseado y, en muchos terminales, bloquear al remitente. Estas funciones no son infalibles frente a los remitentes falsificados, pero reducen el ruido y te ayudan a no abrir por costumbre lo que no deberías. Conviene revisar los ajustes de tu aplicación de mensajes y mantenerlos activados.

Qué hacer

Si recibes un SMS que encaja con estos patrones, actúa con calma:

  • No pulses el enlace ni descargues nada. Es el paso más importante.
  • No respondas al mensaje. Responder confirma que tu número está activo.
  • Verifica por tu cuenta. Entra en la app oficial de tu banco o en la web de Correos escribiendo la dirección tú mismo. Si tienes dudas, llama al teléfono de atención que figure en su web oficial, nunca al que aparezca en el SMS. Aprende también qué hacer ante una llamada sospechosa.
  • Elimina el mensaje después de marcarlo como spam.
  • Si has pulsado el enlace o has introducido datos, contacta de inmediato con tu banco para bloquear la tarjeta, cambia las contraseñas afectadas y vigila tus movimientos.
  • Pide ayuda gratuita. El INCIBE pone a disposición la línea de ayuda en ciberseguridad 017, donde te orientan sin coste si crees que has sido víctima de un fraude.

Recuerda que el smishing no viaja solo: a menudo se combina con llamadas fraudulentas. Si te llaman fingiendo ser tu banco para "confirmar" el SMS, estás ante un caso de vishing. Mantener una sana desconfianza ante mensajes y llamadas no solicitados es la mejor protección.

Protege también tu teléfono frente a llamadas

Las mismas redes que distribuyen SMS fraudulentos suelen estar detrás de campañas de llamadas spam. Por eso conviene saber cómo bloquear llamadas spam y revisar el directorio de números spam cuando recibas una comunicación sospechosa.

Consulta y reporta en NoCall

Si dudas de un número que te ha enviado un SMS o que te ha llamado tras él, búscalo en NoCall: la experiencia de otros usuarios puede confirmar de un vistazo si se trata de un fraude conocido. Y si tú has sido el objetivo, repórtalo para avisar a la comunidad. Empieza por nuestro directorio de números spam y ayúdanos a frenar a los estafadores entre todos.

Vous avez reçu un appel suspect ?

Recherchez le numéro dans NoCall avant de partager des données, de rappeler ou de cliquer sur un lien.

Recherchez un numéro de téléphone ou un nom d'entreprise (Engie, Proximus et Orange...) pour vérifier s'il a été signalé comme spam.