Smishing: estafas por SMS en España y cómo protegerte
Smishing: la amenaza creciente de las estafas por SMS
El smishing (combinación de SMS y phishing) es una de las formas de ciberestafa que más ha crecido en España en los últimos años. Los delincuentes envían mensajes de texto que suplantan la identidad de bancos, empresas de paquetería, organismos públicos y otras entidades para engañarte y robarte datos personales o dinero.
Lo que hace al smishing especialmente peligroso es que los SMS generan más confianza que los emails. Estamos acostumbrados a recibir comunicaciones legítimas de nuestro banco o de Correos por SMS, lo que baja nuestras defensas. Además, en los móviles es más difícil verificar enlaces antes de hacer clic.
Cómo funciona el smishing
El proceso de un ataque de smishing sigue un patrón predecible:
- El anzuelo: recibes un SMS con un mensaje urgente que requiere acción inmediata.
- El enlace: el mensaje incluye un enlace corto o un enlace que parece legítimo.
- La trampa: el enlace lleva a una web falsa que imita a la entidad suplantada.
- El robo: introduces tus datos (bancarios, personales, contraseñas) que van directamente al estafador.
- La explotación: con tus datos, realizan compras, transferencias o roban tu identidad.
Lo más sofisticado del smishing actual es que los mensajes pueden aparecer en el mismo hilo de conversación que los SMS legítimos de tu banco, gracias a técnicas de spoofing del remitente. Esto es parte de las estafas online más avanzadas que vemos actualmente.
Ejemplos reales de smishing en España
Estos son algunos de los mensajes fraudulentos más frecuentes en España:
Suplantación de bancos
- "CaixaBank: Se ha detectado un acceso no autorizado a su cuenta. Verifique su identidad en: [enlace]"
- "BBVA: Su tarjeta ha sido bloqueada por seguridad. Reactive aquí: [enlace]"
- "Santander: Operación sospechosa de 890,00 EUR. Si no la reconoce, cancele aquí: [enlace]"
Suplantación de paquetería
- "Correos: Su paquete no ha podido ser entregado. Gestione la entrega: [enlace]"
- "SEUR: Tiene un paquete pendiente. Pague 1,99 EUR de gastos de aduana: [enlace]"
- "Amazon: Su pedido ha sido retenido en aduanas. Confirme datos: [enlace]"
Suplantación de organismos públicos
- "Agencia Tributaria: Le corresponde una devolución de 438,20 EUR. Confirme datos bancarios: [enlace]"
- "Seg. Social: Su tarjeta sanitaria necesita actualización. Gestione aquí: [enlace]"
- "DGT: Tiene una multa pendiente de pago. Evite recargos: [enlace]"
Tabla: campañas de smishing más frecuentes
| Entidad suplantada | Gancho habitual | Dato que buscan | Frecuencia |
|---|---|---|---|
| Bancos (CaixaBank, BBVA, Santander) | Bloqueo de cuenta o tarjeta | Credenciales bancarias completas | Muy alta |
| Correos / Empresas de paquetería | Paquete pendiente | Datos de tarjeta (pago de "tasas") | Muy alta |
| Agencia Tributaria | Devolución de impuestos | Datos bancarios | Alta (picos en campaña de renta) |
| Seguridad Social | Tarjeta sanitaria caducada | Datos personales y bancarios | Media |
| DGT | Multa pendiente | Datos de tarjeta | Media |
| Energéticas | Factura impagada o bonificación | Datos bancarios | Media-baja |
Pero hay algo mas. Algo que cambia completamente el enfoque.
Por qué el smishing es tan efectivo
- Confianza en los SMS: asociamos los SMS con comunicaciones importantes y legítimas.
- Spoofing del remitente: los estafadores pueden hacer que el SMS aparezca como enviado por "CaixaBank" o "Correos".
- Pantalla pequeña: en el móvil es más difícil verificar URLs completas.
- Urgencia: los mensajes crean sensación de emergencia que impulsa a actuar sin pensar.
- Volumen: enviar miles de SMS es barato y solo necesitan que un pequeño porcentaje caiga en la trampa.
Cómo protegerte del smishing
- Nunca hagas clic en enlaces de SMS: si tu banco necesita algo de ti, accede a su web o app directamente, no a través de un enlace.
- Verifica el remitente: aunque el remitente aparezca como tu banco, puede ser suplantado. Llama al número oficial de la entidad para confirmar.
- Desconfía de la urgencia: ninguna entidad legítima te amenaza con bloquear tu cuenta si no actúas en minutos.
- No proporciones datos sensibles: tu banco nunca te pedirá tu contraseña completa, PIN o CVV por SMS.
- Instala filtros antispam: tanto Android como iOS tienen funciones de filtrado de SMS. Actívalas.
- Reporta los SMS fraudulentos: reenvía el SMS al 017 del INCIBE y reporta como spam en tu móvil.
- Mantén tu móvil actualizado: las actualizaciones incluyen parches de seguridad que protegen contra malware.
Consultar con profesionales de seguridad digital puede ayudar a empresas a implementar protocolos de comunicación que eviten que sus clientes sean víctimas de smishing con su marca suplantada.
Qué hacer si has caído en un smishing
- Si has facilitado datos bancarios: llama a tu banco inmediatamente para bloquear tarjetas y cuentas. Solicita nuevas credenciales de acceso a la banca online.
- Si has instalado una app maliciosa: desinstálala inmediatamente, ejecuta un análisis con un antivirus fiable como Norton 360 y considera restaurar el móvil a valores de fábrica.
- Si has facilitado datos personales: monitoriza posibles usos fraudulentos de tu identidad y alerta a la AEPD si es necesario.
- Denuncia: acude a la policía con capturas del SMS, del enlace y de cualquier dato que hayas facilitado. Sigue nuestra guía de denuncia.
- Cambia contraseñas: de todas las cuentas que pudieran estar comprometidas.
Preguntas frecuentes
Cómo puede un estafador enviar un SMS que parece de mi banco?
Mediante técnicas de spoofing del remitente. Los protocolos de SMS no verifican la identidad del remitente de forma robusta, lo que permite a cualquiera enviar un SMS que aparezca como "Santander" o "Correos" en tu móvil.
Mi banco me envía SMS legítimos. Cómo distingo los falsos?
Los SMS legítimos de tu banco nunca incluyen enlaces para introducir datos. Pueden informarte de operaciones o incluir códigos de verificación, pero nunca te pedirán que hagas clic en un enlace para verificar tus datos.
Puedo bloquear los SMS de estafa?
Puedes marcarlos como spam y bloquear los números, pero los estafadores cambian de número constantemente. Los filtros antispam del sistema operativo y de algunas apps de seguridad ayudan, pero no son infalibles.
Es ilegal el smishing en España?
Sí. El smishing constituye un delito de estafa (artículo 248 del Código Penal) y puede implicar también delitos de suplantación de identidad, acceso ilícito a sistemas informáticos y revelación de secretos.
Conclusión
El smishing es una amenaza seria que afecta a millones de españoles. La regla más importante es sencilla: nunca hagas clic en enlaces de SMS. Si necesitas gestionar algo con tu banco, empresa de paquetería u organismo público, accede directamente a su web o app oficial. Esa simple costumbre te protegerá del 99% de los ataques de smishing.
Comparte este artículo con familiares y amigos, especialmente con personas mayores que pueden ser más vulnerables. Y no olvides visitar nuestro blog para mantenerte al día de las últimas amenazas.
Protege tu móvil con Norton 360
Bloquea apps maliciosas, enlaces de smishing y protege tus datos personales en el móvil
Ver ofertas de Norton 360Articulos Relacionados
Aviso de transparencia: Este articulo puede contener enlaces de afiliado. Mas informacion.