Un SMS parece más cercano que un correo: más corto, más personal, más pegado al día a día. Justo eso aprovechan los delincuentes. El fraude por mensaje de texto —en la jerga, smishing (de SMS y phishing)— se ha convertido en los últimos años en la forma de estafa más frecuente por teléfono. Un mensaje corto, un enlace, un motivo bien puesto, y alguien ya ha perdido datos o dinero.
La buena noticia: no hay muchas variantes. Quien conoce cinco tretas típicas reconoce de inmediato la mayoría de los SMS fraudulentos. Y las pocas señales que de verdad cuentan son las mismas en todas.
Por qué el SMS es especialmente arriesgado
Tres motivos lo convierten en el canal favorito de los estafadores.
Poco espacio para la desconfianza. Un SMS es corto. Quien lee un mensaje breve tiene menos ocasión de notar saltos de estilo, un saludo extraño o frases raras que en un correo extenso. Lo corto parece neutral.
Confianza en el medio. Mucha gente cree que el SMS es más seguro que el correo. No lo es: cualquiera puede enviar un SMS con el remitente que quiera, también con la palabra «Correos», «PayPal» o el nombre de un gran banco en el campo del remitente.
Línea directa con el móvil. Un SMS aparece al instante en la pantalla, a menudo con sonido. Interrumpe. Un correo se puede leer luego; un SMS pide reacción.
Estas tres cosas hacen cada SMS fraudulento más peligroso que el correo equivalente, pero también más fácil de reconocer en cuanto se conocen los patrones.
Los cinco SMS fraudulentos más frecuentes
1. El SMS de paquetería
La variante más habitual. «Su paquete no se ha podido entregar, confirme aquí su dirección», y un enlace. A veces como supuesto aviso de aduana: «Hay que pagar una pequeña tasa.» El enlace lleva a una página idéntica al seguimiento real que pide dirección, tarjeta o claves.
Señales: no ha pedido nada. O ha pedido algo, pero no conoce la empresa que se menciona. Falta el número de envío, está inventado o no aparece en la web real. Se pide una tasa: las empresas reales no cobran una tasa por SMS para una entrega nacional.
2. El SMS del banco
«Movimiento sospechoso en su cuenta. Confírmelo en el siguiente enlace.» O: «Su cuenta ha sido bloqueada, desbloquéela aquí.» A veces con un supuesto código que se debe introducir en una página falsa.
Señales: los bancos reales no mandan estas peticiones por SMS. Si un banco comunica un bloqueo, suele ser por la app o por carta. El enlace no lleva a la web real del banco: tiene un dominio desconocido, como seguridad-banco-info.com. Y otra señal clara: si piden PIN, código o datos de la cuenta, ningún banco hace eso.
3. El SMS de un organismo público
«De la Agencia Tributaria: tiene una devolución pendiente, confirme aquí su cuenta.» O: «Aviso de cobro: pague 89 € o habrá embargo.» También hay falsos avisos de la policía o de aduanas. La amenaza cambia; el mecanismo es siempre el mismo: presión más enlace.
Señales: Hacienda y los organismos no le piden por SMS datos bancarios o de tarjeta, ni anuncian así una devolución. Las reclamaciones reales llegan por carta o por la sede electrónica oficial, no por mensaje de texto.
4. El SMS de buzón de voz
«Tiene un nuevo mensaje de voz. Escúchelo aquí.» El enlace lleva a una página con un supuesto reproductor que pide claves o instalar una app.
Señales: los mensajes de voz reales llegan al buzón del propio móvil, no como enlace por SMS. Si un SMS le manda a una web o a instalar una app para oír un mensaje de voz, siempre es falso.
5. El SMS del «número equivocado»
«Hola mamá, este es mi número nuevo.» Quizá la conozca de WhatsApp, pero también llega por SMS clásico. O como supuesto contacto de amistad: «Hola, cuánto tiempo, soy Ana.» Sin apellido, sin contexto, con una petición de respuesta para entablar conversación.
Señales: no conoce el número y el remitente no sabe quién es usted. No hay un saludo con su nombre. El supuesto familiar no escribe con un tono que usted reconocería. La petición de dinero llega tras un breve calentamiento. El mecanismo es idéntico al del falso hijo por WhatsApp.
Las tres reglas para reconocerlos
Sea cual sea la treta, todo SMS fraudulento se desenmascara con tres comprobaciones. Sustituyen a todos los consejos de detalle.
Regla uno: ¿lo esperaba? Un aviso de paquete real llega cuando ha pedido algo. Un mensaje real del banco tiene un motivo plausible. Un SMS que llega de la nada es, con alta probabilidad, fraude, aunque el remitente parezca convincente.
Regla dos: ¿adónde lleva el enlace? En el móvil, mantenga el dedo sobre el enlace hasta que salga una vista previa. No mire el principio de la dirección, sino la parte justo antes de la primera barra. En https://correos.info-seguimiento.com/abc123 no es Correos, sino info-seguimiento.com, un desconocido que solo ha puesto «correos» de prefijo. Quien lo entiende una vez, ve la mayoría de los enlaces al instante.
Regla tres: ¿se pide actuar deprisa? «En 24 horas», «o se bloqueará su cuenta», «último aviso». Bancos, empresas de paquetería y organismos no le ponen plazos de una hora por SMS. La prisa es la señal más fiable de fraude.
Si solo una de estas comprobaciones le deja mala sensación: no pulse, no introduzca nada, no responda.
Qué debe hacer y qué no
Qué debe hacer: borrar el SMS sospechoso. Casi siempre basta. Si duda de si era real, contacte usted mismo con el supuesto remitente, no por el SMS, sino por la web oficial, el teléfono del reverso de su tarjeta o la app real. Una llamada al banco real aclara cualquier SMS bancario en dos minutos.
Qué no debe hacer: pulsar el enlace «solo para ver». Una página aparentemente inofensiva puede instalar software dañino en segundo plano o, al menos, confirmar que su número está activo, con lo que recibirá más mensajes. Tampoco responda para quejarse: también confirma que el número se usa.
No reenvíe a números de «STOP» ni conteste «STOP» como con la publicidad. Con los SMS fraudulentos no sirve y, según el remitente, hasta confirma que el número está activo.
Qué hacer si ya ha hecho clic
Si pulsó el enlace de un SMS fraudulento e introdujo datos, ahora cuenta la rapidez.
Cambie de inmediato las contraseñas de las cuentas cuyos datos puso en la página falsa. No entre por el enlace, sino por la web o la app oficial.
Con datos bancarios o de tarjeta, llame de inmediato a su banco. En España no hay un número central único: use el teléfono de su entidad (en el reverso de la tarjeta o en su web oficial) y pida bloquear la tarjeta o la cuenta.
Active la verificación en dos pasos si no la tenía. Así el atacante necesita además su segundo factor —normalmente un código de una app— y no avanza solo con la contraseña.
Si instaló una app desde el SMS: desinstálela enseguida. Si el móvil va raro después —batería que se agota, ventanas desconocidas, mucho consumo de datos—, conviene un restablecimiento de fábrica. Una tienda de móviles o un familiar con maña pueden ayudar.
Denuncie, sobre todo si hubo dinero. Sin denuncia no se persigue. Para orientación gratuita, INCIBE (línea 017). Pasos detallados en Cuenta hackeada: qué hacer.
Qué hacer con tantos SMS fraudulentos
Hoy es casi imposible librarse del todo. Los números se recopilan y se comercian, y una vez que el suyo está en una lista, llegan mensajes de vez en cuando.
Lo que ayuda: borrar siempre, no responder, no pulsar enlaces. Con el tiempo suelen disminuir, porque los vendedores de listas descartan números inactivos. Si la carga es mucha, los móviles modernos pueden bloquear números: en iPhone y Android, mantenga pulsado el SMS y elija Informar y bloquear remitente. No frena al siguiente número nuevo, pero sí las repeticiones del mismo origen.
Una regla básica sencilla
Si solo quiere recordar una cosa, que sea esta: un SMS que contiene un enlace y le mete prisa es, con muchísima probabilidad, fraude. Aunque el remitente suene de fiar. Aunque el logotipo encaje. Aunque hace poco haya pedido algo de verdad. En la duda: bórrelo. Si el mensaje era real, el remitente verdadero volverá a aparecer por otra vía.
Preguntas frecuentes
¿Cómo consiguen mi número? De filtraciones antiguas, de pedidos en línea, de directorios públicos, o simplemente probando. Un número que entra en esas listas ya casi no se puede sacar. Es normal y no significa que usted haya hecho nada mal.
¿Y si pulsé el enlace sin querer, pero no escribí nada? El riesgo es mucho menor, pero no nulo. Algunos enlaces intentan instalar software dañino o confirman que el número está activo. Si no escribió nada y el móvil va normal, casi seguro que no pasó nada. Obsérvelo unos días e instale las actualizaciones del sistema en cuanto salgan.
¿Puedo denunciar los SMS fraudulentos? Sí. Su operador suele tener un canal de denuncia (el número está en su web), y para orientación gratuita está INCIBE (017). No es obligatorio; si no lo hace, no le pasa nada.
¿Están las personas mayores especialmente expuestas? Algunas tretas —avisos falsos de organismos o el «mamá, soy yo»— se dirigen más a personas mayores. Se reconocen con los mismos patrones que cualquier otro SMS fraudulento. Las tres reglas valen a cualquier edad.
¿Corren el mismo riesgo iPhone y Android? Sí. El SMS es igual en ambos. La diferencia está en lo estricto que es cada tienda de apps con programas ajenos: el iPhone protege algo más, porque las apps solo vienen de la App Store. Quien pulsa un enlace y escribe datos en una web falsa es igual de vulnerable en los dos.
Artículos relacionados: Contraseñas seguras sin estrés · Reconocer el phishing · Cuenta hackeada: qué hacer