El smishing es la version SMS del phishing tradicional: mensajes de texto fraudulentos que suplantan a bancos, empresas de paqueteria o administraciones publicas para robar credenciales, datos bancarios o instalar malware. La tecnica funciona porque el SMS conserva un aura de legitimidad que el email perdio hace años. La pantalla del movil ademas esconde detalles que en un ordenador saltarian a la vista. Si has recibido un sms falso de Correos pidiendo unos euros de aduanas, o un mensaje fraudulento de tu banco avisando de un cargo sospechoso, ya conoces el patron. La estafa sms acumula perdidas millonarias anuales en España y el phishing sms sigue creciendo porque apenas requiere infraestructura: un panel SMS, un dominio similar al original y una pizca de urgencia artificial.
Como funciona el smishing paso a paso
El atacante alquila un servicio de envio SMS masivo, a veces con spoofing de remitente para que aparezca el nombre del banco real en la conversacion. El mensaje incluye un enlace corto (bit.ly, tinyurl o dominios efimeros) que redirige a una web clonada.
La victima introduce sus credenciales, el panel del atacante las captura en tiempo real y, en muchos casos, lanza una sesion paralela contra el banco legitimo. Si hay 2FA por SMS, el delincuente pide el codigo en la misma web falsa o llama haciendose pasar por el departamento antifraude.
El truco mas sucio es el SIM swapping combinado con smishing: con tus datos personales filtrados de alguna brecha previa, el atacante duplica tu tarjeta SIM en la operadora y recibe los SMS de verificacion. Puedes comprobar si tu numero o email aparece en filtraciones conocidas en Have I Been Pwned.
Los timos por SMS mas habituales en España
El catalogo se repite con variaciones estacionales. Estos son los mas vistos segun la Oficina de Seguridad del Internauta (OSI) y el INCIBE durante los ultimos años:
- Falso aviso de paquete: Correos, SEUR, DHL o MRW reclaman una tasa simbolica para liberar un envio que nunca pediste. El enlace lleva a una pasarela de pago clonada.
- Fraude bancario: BBVA, Santander, CaixaBank o ING avisan de un "acceso sospechoso" y piden verificar la identidad. La web replica el diseño exacto del banco.
- Agencia Tributaria y DGT: notificaciones de devolucion pendiente o multas a punto de prescribir. La AEAT y la DGT nunca envian enlaces de pago por SMS.
- Suplantacion de Bizum: "Has recibido un Bizum, confirma aqui". La supuesta confirmacion es en realidad un envio que tu autorizas.
- Falsas multas de trafico: pago urgente con descuento si lo haces en 24 horas. Apelan a la urgencia para evitar que verifiques.
- Suscripciones falsas a Netflix, Amazon o HBO: aviso de pago rechazado y enlace para "actualizar el metodo de pago".
El denominador comun es siempre la urgencia y un enlace acortado. Si te pones nervioso, el atacante ha ganado la mitad de la batalla. Esta tecnica de manipulacion es la misma que se usa en otros ataques como el Browser-in-the-Browser phishing, donde las ventanas falsas imitan logins reales.
Señales de alerta para detectar un SMS fraudulento
El smishing tiene huellas que cualquiera puede aprender a reconocer. Memoriza este checklist mental antes de tocar cualquier enlace:
| Señal | Que significa |
|---|---|
| Remitente con numero largo o internacional | Tu banco usa cabeceras alfanumericas registradas, no moviles aleatorios |
| Dominio raro tras el enlace acortado | "bbva-seguridad-cliente.com" no es BBVA. Mira el dominio principal |
| Saludo generico o ausente | "Estimado cliente" sin tu nombre indica envio masivo |
| Urgencia extrema | "En 2 horas se bloquea tu cuenta" es manipulacion clasica |
| Errores ortograficos sutiles | Acentos mal puestos, mayusculas raras, espaciado extraño |
| Peticion de credenciales completas | Ningun banco pide PIN, CVV o claves por SMS |
Antes de pulsar cualquier enlace, copia la URL y pegala en VirusTotal o urlscan.io. Ambas herramientas analizan dominios y enseñan capturas del destino sin que tu navegador llegue a cargar nada peligroso.
Que hacer si has picado en una estafa por SMS
La velocidad lo es todo. Si has introducido datos en una web falsa, el reloj corre contra ti. Sigue este orden estricto:
- Llama a tu banco inmediatamente al telefono oficial impreso en la tarjeta, no al que pueda aparecer en el SMS. Bloquea tarjetas y revoca accesos de banca online.
- Cambia la contraseña del servicio afectado y de cualquier cuenta donde uses la misma clave. Si reutilizas contraseñas, este es el momento de dejar de hacerlo.
- Activa 2FA con app autenticadora (Google Authenticator, Authy, Aegis) en lugar de SMS. El segundo factor por SMS es vulnerable al SIM swapping.
- Denuncia ante la Policia Nacional o Guardia Civil. El Grupo de Delitos Telematicos acepta denuncias en comisaria o mediante atestado del banco.
- Reporta el numero al 7726, el servicio gratuito antiSMS-fraude operado por las operadoras españolas desde 2023. Reenvia el SMS sospechoso a ese numero y bloquearan al remitente.
- Avisa al INCIBE a traves del telefono 017 o por su web. Documentan patrones y emiten alertas publicas.
Si el ataque incluyo instalacion de una APK fuera de Google Play (tipico en falsos avisos de Correos para Android), formatea el movil. El malware bancario tipo FluBot, TeaBot o Anatsa se esconde con permisos de accesibilidad y no basta con desinstalar la app. Tienes mas detalles sobre como opera este tipo de amenaza en nuestra guia sobre malware en el movil.
Prevencion: herramientas y habitos que si funcionan
La defensa contra el phishing sms mezcla tecnologia y disciplina. Estos son los controles con mejor relacion esfuerzo-beneficio:
- Filtro nativo de SMS: iOS tiene "Filtrar remitentes desconocidos" en Ajustes > Mensajes. Android ofrece proteccion antispam en Google Mensajes desde 2022.
- Apps de verificacion de URL: Bitdefender Mobile Security, Malwarebytes y ESET incluyen escaneo de enlaces en SMS en sus versiones moviles.
- Gestor de contraseñas: Bitwarden, 1Password o KeePassXC autocompletan solo en el dominio real. Si el gestor no rellena, sospecha del sitio.
- Llaves fisicas FIDO2: YubiKey o SoloKeys eliminan el riesgo del SMS como segundo factor. Bancos como Revolut o N26 ya las admiten.
- Cuenta separada para servicios sensibles: un numero de telefono distinto, no publicado, para banca y administracion. Operadoras virtuales como Pepephone o Simyo lo permiten por pocos euros al mes.
El paso siguiente es entender como se mueven tus datos. El cifrado de extremo a extremo protege el contenido de tus mensajes, pero el SMS clasico viaja en claro por la red de la operadora. Para conversaciones sensibles, usa Signal o, como minimo, WhatsApp con verificacion en dos pasos activada.
Marco legal y denuncia en España
El smishing esta tipificado en el Codigo Penal español como estafa informatica (articulo 248.2) con penas de seis meses a tres años de prision, agravadas si hay organizacion criminal o victimas vulnerables. El Reglamento General de Proteccion de Datos (RGPD) y la LOPDGDD permiten denunciar tambien la base de datos ilegitima desde la que se envio el SMS.
Desde diciembre de 2023, la CNMC y las operadoras españolas implementaron el codigo corto 7726 para reportar SMS fraudulentos, alineandose con el modelo britanico que ha reducido el volumen de envios fraudulentos segun los datos publicados por las propias telcos. La normativa europea reciente, mediante el reglamento eIDAS 2 y la directiva NIS2, tambien apunta a endurecer los requisitos de identificacion del remitente SMS para operadoras y empresas que envian comunicaciones masivas.
Si gestionas una empresa que envia SMS legitimos, registra un sender ID alfanumerico con tu operadora. Reduce la probabilidad de que tus clientes confundan tus avisos con fraudes y mejora la entregabilidad. Si necesitas montar una web corporativa o una app movil con comunicaciones seguras, asegurate de que el proveedor implemente DKIM, SPF y cabeceras alfanumericas registradas.
Preguntas frecuentes sobre smishing
¿Es peligroso solo abrir un SMS fraudulento?
Abrir el SMS no infecta el movil. El peligro empieza al pulsar el enlace o descargar un archivo adjunto. Borra el mensaje sin tocarlo y, si quieres ayudar, reenvialo al 7726 antes de eliminarlo.
¿Por que los SMS fraudulentos llegan con el nombre real de mi banco?
Algunos paneles SMS permiten suplantar el sender ID alfanumerico mediante SMS spoofing. Esto agrupa el fraude en la misma conversacion que los mensajes legitimos del banco, lo que confunde mucho. Las operadoras españolas trabajan en filtros desde 2023, pero la cobertura no es total.
¿Mi banco me devuelve el dinero si pico en un smishing?
Depende del caso. Si el banco demuestra negligencia grave del cliente (entregar credenciales, ignorar avisos de seguridad), puede negarse a reembolsar. Si hay un fallo de autenticacion robusta por parte del banco, la directiva PSD2 obliga a devolver. Reclama por escrito y, si te dicen que no, escala al Banco de España.
¿Como bloqueo un numero que me envia smishing constantemente?
En Android, manten pulsado el mensaje y selecciona "Bloquear y reportar spam". En iPhone, abre el contacto y elige "Bloquear este interlocutor". Reenviar al 7726 ademas ayuda a que las operadoras tumben el origen para todos los usuarios.
¿Existe smishing dirigido a empresas?
Si, se llama spear smishing y suele suplantar al CEO o a Recursos Humanos. Pide transferencias urgentes, cambios de cuenta de nomina o instalacion de "herramientas internas". Forma a tu equipo y establece un canal de verificacion interno para cualquier peticion economica que llegue por SMS o WhatsApp.
El siguiente paso
Coge el movil ahora, abre la app de tu banco principal y activa la verificacion en dos pasos mediante app autenticadora en lugar de SMS. Cinco minutos de configuracion hoy te ahorran el susto de mañana.
