El smishing se está convirtiendo en una de las amenazas cibernéticas más comunes de los últimos años. Este tipo de estafa utiliza mensajes de texto falsos para engañar a las víctimas y lograr que compartan datos personales, descarguen malware o incluso transfieran dinero a los delincuentes. El término combina las palabras SMS y phishing, y representa una de las variantes más efectivas de la ingeniería social digital.

Según el informe State of the Phish 2024 de Proofpoint, el 75% de las organizaciones sufrió al menos un intento de smishing durante 2023. La tendencia sigue en aumento, impulsada por la confianza que los usuarios aún depositan en los mensajes de texto, especialmente cuando aparentan provenir de bancos, empresas o repartidores. A diferencia de los correos electrónicos, los SMS se leen más rápido y generan más clics, lo que los convierte en el canal ideal para los ciberdelincuentes.

Cómo operan los ataques de smishing

Los estafadores envían mensajes que parecen legítimos: alertas bancarias, notificaciones de envíos o supuestos premios. Al hacer clic en los enlaces, las víctimas son dirigidas a sitios falsos que roban contraseñas o datos financieros. En otros casos, el mensaje descarga malware directamente al teléfono, comprometiendo la seguridad del dispositivo y, en entornos laborales, también la de la red corporativa.

Entre los engaños más frecuentes están los que se hacen pasar por:

Bancos o entidades financieras: alertan sobre supuestos bloqueos de cuenta o movimientos sospechosos.

Organismos del gobierno: simulan multas, beneficios o reclamos de impuestos.

Empresas de mensajería: informan sobre entregas pendientes o pagos de envío.

Atención al cliente de marcas populares: prometen reembolsos o beneficios falsos.

Jefes o colegas de trabajo: piden transferencias urgentes o datos sensibles.

Mensajes “enviados por error”: buscan generar confianza para luego pedir dinero o información.

Cómo protegerte del smishing

Si bien los proveedores de telefonía móvil implementan filtros para detectar mensajes sospechosos, ninguna medida es infalible. Por eso, los expertos recomiendan:

No abrir enlaces desconocidos ni descargar archivos desde SMS.

Evitar compartir contraseñas o datos personales por mensaje.

Verificar siempre la autenticidad del remitente antes de responder.

Usar las funciones de bloqueo y reporte de spam del teléfono.

Mantener el sistema operativo y las apps actualizadas.

Las empresas, además, pueden reforzar su seguridad mediante políticas de gestión de dispositivos móviles, simulaciones de smishing y capacitaciones en ciberseguridad que enseñen a los empleados a identificar señales de fraude.

En un contexto donde los ciberdelincuentes se vuelven cada vez más creativos, la mejor defensa sigue siendo la educación digital y la desconfianza ante cualquier mensaje inesperado.