Qué es el smishing: cómo detectar y evitar estafas por SMS
Aprende qué es el smishing, los patrones de estafa por SMS más comunes y las medidas prácticas para protegerte del phishing por mensaje de texto.
Qué es el smishing: cómo detectar y evitar estafas por SMS
Tu teléfono vibra. Un mensaje dice que tu paquete no pudo ser entregado, que tu cuenta bancaria ha sido bloqueada o que tienes un reembolso pendiente. Incluye un enlace para "solucionar el problema". Esto es smishing, y hacer clic en ese enlace es exactamente lo que el atacante espera.
El smishing se ha convertido en una de las formas de ciberdelincuencia que más rápido crece en los países hispanohablantes. A diferencia del correo electrónico, los mensajes de texto generan una sensación de urgencia más inmediata, lo que los hace peligrosamente efectivos.
Qué es exactamente el smishing
Smishing combina "SMS" y "phishing". Es un ataque de ingeniería social que se realiza a través de mensajes de texto. El atacante se hace pasar por una entidad de confianza — un banco, una empresa de paquetería, una agencia gubernamental — para que hagas clic en un enlace malicioso o envíes información personal.
El objetivo siempre es el mismo: robar tus credenciales, información financiera o instalar software malicioso en tu dispositivo.
Patrones de smishing más comunes
Avisos de entrega falsos
"Tu paquete no pudo ser entregado. Confirma tu dirección aquí: [enlace]"
Con el crecimiento del comercio electrónico, los avisos de entrega falsos son la táctica de smishing más extendida. Suplantan a Correos, MRW, SEUR, DHL y Amazon.
Alertas bancarias falsas
"Se ha detectado actividad inusual en tu cuenta. Verifica ahora o tu cuenta será bloqueada: [enlace]"
Estos mensajes explotan el miedo. Suplantan a bancos como BBVA, CaixaBank, Santander, o servicios de pago como Bizum y PayPal.
Mensajes de la Agencia Tributaria
"Tienes derecho a una devolución de 450 €. Reclámala antes de que expire: [enlace]"
Las agencias tributarias y organismos gubernamentales no envían mensajes de texto con enlaces para que introduzcas datos personales. La Agencia Tributaria de España comunica a través de su sede electrónica.
Premios y sorteos falsos
"¡Felicidades! Has ganado una tarjeta regalo de 500 €. Reclámala en 24 horas: [enlace]"
Si no participaste en un sorteo, no has ganado nada.
Verificación de cuentas
"Tu cuenta de WhatsApp necesita verificación inmediata. Pulsa aquí: [enlace]"
WhatsApp, tu banco o cualquier servicio legítimo nunca te pedirá que verifiques tu cuenta a través de un enlace en un SMS aleatorio.
Cómo identificar un SMS de smishing
Comprueba el número del remitente
Los mensajes de smishing suelen enviarse desde números de teléfono comunes o números internacionales. Si recibes un mensaje de un número desconocido que dice ser tu banco, no es tu banco.
Busca lenguaje de urgencia
Expresiones como "actúa ahora", "en 24 horas", "inmediatamente" o "tu cuenta será suspendida" son tácticas de manipulación diseñadas para que actúes sin pensar.
Examina el enlace
| Señal de alerta | Ejemplo |
|---|---|
| Dominio mal escrito | correos-entrega.com en vez de correos.es |
| Dominio sospechoso | bbva-seguridad.xyz |
| Dirección IP | http://192.168.1.1/verify |
| Subdominios extra | santander.com.verificar-ahora.net |
Fíjate en los saludos genéricos
"Estimado cliente" o "Estimado usuario" en lugar de tu nombre real. Las organizaciones legítimas que tienen tu número de teléfono normalmente también tienen tu nombre.
Qué hacer si recibes un SMS sospechoso
- No hagas clic en ningún enlace. Ni siquiera para "ver qué es".
- No respondas. Responder confirma que tu número está activo.
- Reporta el mensaje. En España puedes denunciar en el INCIBE (017). En Latinoamérica, contacta con tu operador.
- Bloquea al remitente. Usa la función de bloqueo de tu teléfono.
- Contacta directamente con la organización real. Abre la app oficial o escribe la URL directamente en tu navegador.
Qué hacer si ya hiciste clic
- Cambia tus contraseñas inmediatamente — especialmente las de las cuentas relacionadas.
- Activa la autenticación en dos pasos.
- Contacta con tu banco si introdujiste datos financieros.
- Revisa tus cuentas en busca de transacciones no autorizadas.
- Ejecuta un análisis de seguridad en tu dispositivo.
- Denuncia el fraude ante la Policía Nacional o la Guardia Civil (España) o la autoridad competente de tu país.
Lista de prevención contra el smishing
- Nunca hagas clic en enlaces de mensajes inesperados
- Verifica los mensajes contactando directamente con la organización a través de su app o web oficial
- Activa el filtro de spam en tu teléfono (tanto iOS como Android tienen opciones integradas)
- Usa un gestor de contraseñas — no autocompletará credenciales en sitios falsos
- Mantén el sistema operativo de tu teléfono actualizado
- Activa la autenticación en dos pasos en todas las cuentas importantes
Comparte enlaces de forma segura
Cuando necesites compartir información sensible por WhatsApp — una contraseña, un enlace privado, un memo confidencial — utiliza un servicio diseñado para compartir de forma segura. LOCK.PUB te permite crear enlaces protegidos con contraseña donde el destinatario siempre accede a través del dominio verificado lock.pub.
A diferencia de los enlaces de smishing que ocultan su verdadero propósito, los enlaces de LOCK.PUB no solicitan datos personales. El destinatario introduce la contraseña compartida y ve únicamente el contenido que decidiste compartir.
Palabras clave
También te puede interesar
Cómo entregar contraseñas y cuentas de trabajo de forma segura al dejar tu empleo
Guía práctica para transferir de forma segura decenas de credenciales de cuentas laborales a tu sucesor cuando dejas un trabajo, con instrucciones paso a paso y checklist.
Cómo compartir contraseñas de redes sociales de forma segura
¿Necesitas compartir el acceso a Instagram, Facebook o X con tu equipo o pareja? Aprende métodos seguros para compartir credenciales de redes sociales sin exponerlas.
Guía de configuración de tiempo de caducidad de enlaces: ¿Cuándo y cómo configurarlo?
Aprenda a configurar correctamente el tiempo de caducidad de enlaces protegidos con contraseña. Guía de mejores prácticas para diferentes escenarios.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis