Probablemente hayas oído hablar de la suplantación de identidad – cuando los criminales intentan que hagas clic en enlaces, envíes datos sensibles o descargues malware a través del correo electrónico. Smishing es phishing... pero a través de mensajes de texto. En lugar de que un correo electrónico de estafa llegue a tu bandeja de entrada, llega como un SMS, iMessage, WhatsApp u otra notificación basada en texto en tu teléfono. El objetivo es el mismo: engañarte para que hagas clic en un enlace malicioso, compartas información personal o descargues malware. 

Al igual que el phishing, el smishing es un tipo de ataque de ingeniería social en el que un estafador manipula tus emociones para sortear tu mejor juicio. Caer en una estafa de smishing podría exponer información sensible como detalles bancarios, contraseñas o incluso permitir que un ciberdelincuente acceda a tu dispositivo. 

¿La buena noticia? No tienes que caer en ellas. Una vez que conoces las señales del smishing, se vuelve mucho más fácil detectar, evitar e informar sobre estas estafas. 

¿Cómo es un texto de smishing? 

El término "smishing" proviene de "SMS phishing" – SMS siendo un término arcaico para la mensajería de texto.  

Los mensajes de smishing son engañosos. A menudo se disfrazan como alertas urgentes de bancos, servicios de entrega, agencias gubernamentales o incluso tu jefe. El objetivo siempre es el mismo: hacer que actúes rápidamente antes de que pienses bien la solicitud.  

Aquí hay algunos de los tipos más comunes de textos de smishing: 

• Actualizaciones de entrega falsas. Puedes recibir un mensaje que diga, “Tu paquete está retrasado. Actualiza tu información de entrega aquí.” El enlace parece oficial, pero el sitio web es una estafa.     

• Alertas bancarias o de cuenta. Estos mensajes afirman que hay actividad sospechosa en tu cuenta. Te instan a hacer clic en un enlace o llamar a un número para “verificar” tu información. 

• Estafas de premios o sorteos. El texto podría decir, “¡Felicidades! Has ganado una tarjeta de regalo de $1,000. Haz clic para reclamar.” 

• Suplantaciones de agencias gubernamentales. Algunos textos fingen ser del IRS, Seguridad Social o incluso de las fuerzas del orden, exigiendo pagos inmediatos o información personal. Otra estafa común es afirmar que tienes un peaje o multa de tráfico impaga. 

• Estafas de trabajo o de ganar dinero. Mensajes como “Gana $500/día trabajando desde casa. ¡Aplica ahora!” se aprovechan de las personas que buscan trabajo. 

• Verificaciones de cuentas. Puedes recibir mensajes de texto que digan que tu cuenta de PayPal, Netflix, Amazon u otra está bloqueada. A menudo, los estafadores dirán que necesitas restablecer tu contraseña, y luego roban tu contraseña real cuando la ingresas en su falso formulario de "Restablecimiento de Contraseña".  

Estos textos a menudo incluyen enlaces que se ven un poco raros. Podrían tener dominios con números aleatorios, caracteres extra, o terminaciones extrañas como .xyz en lugar de .com. Y debido a que tendemos a confiar más en los textos que en los correos electrónicos, los estafadores saben que es más probable que hagas clic sin pensar. 

Por qué el smishing se siente más urgente 

Si los correos de phishing intentan apresurarte, el smishing lleva esa presión al siguiente nivel. Nuestros teléfonos siempre están en nuestras manos, y los textos se sienten más personales e inmediatos. Los estafadores son conscientes de esto, y lo explotan. 

Una táctica clásica de smishing es crear una sensación de urgencia, que puede ser negativa o positiva: 

• Urgencia negativa: “Tu cuenta bancaria está bloqueada.” “Hay una orden de arresto en tu contra.” “Inicio de sesión sospechoso detectado.” 

• Urgencia positiva: “¡Has ganado un premio!” “¡Reclama tu regalo gratis antes de medianoche!” “Oferta exclusiva solo para ti!” 

Estos mensajes están diseñados para hacerte entrar en pánico o emocionarte lo suficiente como para que toques el enlace antes de pensar bien. 

Tomarse unos segundos antes de tocar 

Una simple pausa puede ahorrarte muchos problemas. Si recibes un texto inesperado que te pide que hagas clic en un enlace, compartas información o actúes rápido, respira. 

Pregúntate: 

• ¿Esperaba este mensaje? 

• ¿El enlace parece sospechoso? (La mayoría de los enlaces en textos legítimos provendrán de dominios simples y reconocibles.) 

• ¿Tiene sentido el mensaje? ¿Realmente pedí un paquete? ¿Realmente tengo una cuenta con este servicio? 

Si todavía no estás seguro, verifica la situación a través de canales oficiales (es decir, un número de teléfono, correo electrónico de contacto o sitio web no incluido en el texto). Abre la aplicación directamente o escribe el sitio web tú mismo – no confíes en el enlace en el mensaje. 

Además, puedes mostrar el mensaje a un amigo o ser querido para recibir su opinión. ¡Un segundo par de ojos es una gran herramienta para detectar estafas!

Cuando el estafador sabe tu nombre 

Al igual que el spearphishing por correo electrónico, el smishing puede ser personalizado. Los estafadores pueden hacer referencia a tu nombre o tu lugar de trabajo. A menudo extraen esta información de filtraciones de datos públicas, redes sociales o directorios en línea. 

Si un texto incluye tu información personal, no significa que sea confiable; podría significar que un estafador ha hecho su tarea. Mantén la precaución siempre que recibas una solicitud urgente e inesperada.  

Qué hacer si recibes un texto de smishing 

Si recibes un texto sospechoso, una de las cosas más seguras que puedes hacer es nada. No respondas. No hagas clic. No interactúes. 

Incluso responder “STOP” indica que tu número está activo y puede llevar a más intentos de estafa. 

En su lugar, bloquea el número. Los teléfonos inteligentes tienen una función incorporada para bloquear números de teléfono y reportarlos como spam.  

Puedes tomar una captura de pantalla del texto y compartirla con el chat grupal de tu familia para advertirles de la estafa. Muchas estafas apuntarán a personas de tu grupo familiar y de amigos, así que difunde la advertencia. 

Finalmente, elimina el mensaje. Una vez que lo hayas reportado y bloqueado, elimina el mensaje de tu teléfono para evitar abrirlo accidentalmente más tarde. 

Buenas prácticas de seguridad en el teléfono  

Mientras que los filtros de spam atrapan mucha basura, ningún filtro es perfecto. Aquí hay algunas maneras de reducir tu vulnerabilidad. Los mismos buenos hábitos de seguridad cibernética que usas en tu computadora también funcionan para tu teléfono. 

• Activa la autenticación multifactor (MFA) para todas tus cuentas.      

• Usa contraseñas largas y únicas para cada cuenta, gestionadas con un administrador de contraseñas. 

• Mantén el sistema operativo y las aplicaciones de tu teléfono actualizados, ya que las actualizaciones incluyen las últimas correcciones de seguridad.      

• Habilita las funciones de bloqueo de llamadas o textos de spam y estafas de tu operador telefónico o dentro de la configuración de tu dispositivo. Habla con tu proveedor de servicios móviles para más información.  

Reportar smishing marca la diferencia 

Puede parecer que un reporte no importa, pero eso no es cierto. Los operadores de telefonía y el gobierno utilizan los reportes para cerrar operaciones de estafa, bloquear enlaces maliciosos y evitar que otros sean víctimas. 

Al reportar textos de smishing, no solo te estás protegiendo a ti mismo. Estás ayudando a detener la estafa para todos. 

Tienes algunas opciones para reportar smishing sospechoso: 

• Reenvía el mensaje a 7726 (SPAM). Esto funciona con la mayoría de las operadoras principales de EE.UU. y les ayuda a bloquear números de estafa. 

• Puedes reportar intentos de smishing a la Comisión Federal de Comercio (FTC) en reportfraud.ftc.gov. También puedes reportar el incidente al FBI en IC3.  

Pensar antes de tocar 

El smishing se basa en la rapidez. ¿Puede un estafador lograr que hagas clic antes de pensar? Evita caer en las trampas de smishing tomándote unos segundos para verificar el remitente, inspeccionar las URL de los enlaces y preguntarte si este texto parece legítimo. 

Recuerda: Ninguna organización legítima te pedirá información sensible o exigirá una acción urgente a través de texto. Si tienes dudas, elimínalo. 

Y para más consejos de seguridad en línea, ¡regístrate en nuestro boletín!