Smishing: el viejo SMS que se ha vuelto un truco muy actual
- Alex De los Llanos Dueñas
- Mayo 2025
Pocos lo vieron venir. Mientras todos los focos apuntaban a correos fraudulentos, enlaces maliciosos en redes sociales o llamadas automatizadas cada vez más creíbles, el SMS resurgió del olvido para convertirse en una de las herramientas preferidas por los ciberdelincuentes. No porque sea nuevo, ni sofisticado, ni particularmente técnico. Justamente lo contrario: por lo simple, por lo directo, por lo que cuesta bajarle la guardia.
El término “smishing” nace de la combinación de “SMS” y “phishing”, y define una práctica que a estas alturas no necesita grandes introducciones. Un mensaje de texto llega al móvil, normalmente con tono urgente. Puede decir que hay un paquete pendiente, que falta una firma digital, que se ha bloqueado una cuenta o que se ha detectado actividad sospechosa en una aplicación. Incluye un enlace corto y, por supuesto, una petición clara: pulsa aquí.
Eso es todo. No hay virus descargables, ni archivos adjuntos, ni complejas cadenas de ingeniería social. Solo un mensaje breve, un poco de prisa, y un enlace disfrazado. Pero con eso basta.
Porque el problema no está en el mensaje en sí. Está en el momento exacto en que se recibe. En medio de una reunión, de camino al trabajo, mientras se revisan otras notificaciones. Ese es el punto débil: la atención parcial. El entorno cotidiano en el que pulsar un enlace parece una decisión menor, un acto automático. Y ahí es donde el smishing consigue lo que necesita.
Lo que parece inofensivo… no lo es
Una de las razones por las que el smishing sigue funcionando tan bien en pleno 2025 es que los SMS siguen teniendo un aura de legitimidad. Quizá porque no se usan tanto como antes. Quizá porque muchos bancos, plataformas de envío, servicios públicos y empresas todavía lo utilizan como canal habitual. En cualquier caso, cuando llega un mensaje de texto, el primer reflejo no suele ser el de sospecha.
Además, no siempre el objetivo es instalar malware o robar información directamente. A veces, basta con engañar al usuario para que entregue sus credenciales voluntariamente. Se le redirige a una página que imita a la perfección a la de un banco, una operadora o un sistema de pagos. Introduce su usuario, su contraseña, su código de verificación... y ya está.
La información ya ha cambiado de manos. Lo siguiente es lo previsible: acceso a cuentas, movimientos no autorizados, modificaciones de seguridad y, si el atacante lo decide, nuevos intentos de fraude aprovechando la identidad ya robada.
Lo más preocupante no es solo que esto ocurra, sino lo difícil que puede ser detectarlo a tiempo. En muchas ocasiones, la víctima no se da cuenta del engaño hasta que algo falla: un acceso inesperado, un movimiento extraño, una alerta de seguridad que llega demasiado tarde.
Y no es algo que afecte solo a personas individuales. Las empresas también están en el radar. Empleados que reciben un mensaje en sus teléfonos corporativos, pulsos que abren puertas a redes internas, accesos a plataformas empresariales desde dispositivos comprometidos. Todo puede empezar con un SMS. Y eso lo convierte en una amenaza que no puede seguir viéndose como un problema menor.
Prevenir el smishing: un reto que empieza en la conciencia
No hay una solución mágica contra el smishing. No hay una aplicación definitiva que impida que estos mensajes lleguen, ni un sistema que bloquee automáticamente todas las variantes posibles. La protección real comienza antes, cuando se entiende cómo funciona el engaño y por qué puede colarse incluso en los entornos más protegidos.
El primer paso, por obvio que parezca, es hablar del tema. No asumir que todos saben lo que es el smishing, ni que todos sabrán detectarlo. Porque no siempre se recibe en un contexto ideal. A veces el mensaje llega en un momento de prisa, de confianza, de distracción. Y en ese punto, el conocimiento puede marcar la diferencia.
Hablarlo en el entorno laboral es especialmente importante. No con cursos eternos ni manuales técnicos, sino con ejemplos reales, conversaciones directas, comunicaciones que expliquen claramente qué se está viendo, cómo identificarlo y qué hacer si ocurre. No hay que crear paranoia, pero sí normalizar la vigilancia. Asumir que el SMS, como cualquier otro canal, puede ser un vector de ataque.
Otro aspecto clave es la forma en la que las propias empresas se comunican con sus usuarios o clientes. Cuanto más impersonales, genéricos o impersonales sean los mensajes legítimos, más difícil será para el receptor distinguir entre lo real y lo falso. La claridad, la coherencia y la transparencia ayudan a crear un marco de referencia. Si un cliente sabe exactamente cómo y desde dónde se le contactará, será más fácil que desconfíe cuando el mensaje no encaje.
En el plano técnico, existen medidas que pueden minimizar el impacto: limitar accesos desde dispositivos móviles sin controles, establecer sistemas de doble verificación independientes del propio móvil, implementar alertas de comportamiento anómalo. Pero ninguna tecnología sustituye a una persona que sabe lo que no debe hacer.
En última instancia, la ciberseguridad frente al smishing no se construye con una barrera infranqueable. Se construye con muchas pequeñas alertas encendidas al mismo tiempo. La del sistema, la del entorno, pero sobre todo, la de quien recibe el mensaje.
Conclusión
El smishing no es nuevo. No es complejo. Y no es inevitable. Pero sigue siendo efectivo, precisamente porque opera en un terreno que muchas veces se pasa por alto: el de los gestos automáticos, las respuestas rápidas y los canales que aún parecen confiables.
Prevenirlo no requiere grandes inversiones ni soluciones tecnológicas de vanguardia. Requiere, sobre todo, que se hable de ello, que se entienda cómo funciona y que se tomen medidas antes de que el enlace se pulse.
Y si tu empresa necesita ayuda para reforzar su seguridad frente a este tipo de amenazas, contacta con nosotros. Estamos para ayudarte a mantener la confianza en tu entorno digital.