Volver al blog Ciberseguridad

¿Qué es el smishing y el fraude por SMS o WhatsApp?

26 de junio de 2026 3L Systems

Contenido del artículo

El smishing es un fraude que llega a tu móvil por SMS o por aplicaciones de mensajería como WhatsApp, en el que alguien se hace pasar por una entidad de confianza —tu banco, una empresa de paquetería, la Agencia Tributaria o incluso un compañero de trabajo— para que pulses un enlace falso, entregues tus claves o hagas un pago. El nombre viene de unir «SMS» y «phishing»: es la versión por mensajería del clásico engaño por correo electrónico. Funciona muy bien porque en el teléfono leemos deprisa, los enlaces aparecen acortados y nos cuesta más comprobar si la dirección es real. A continuación te explicamos cómo es el engaño, los ejemplos más habituales, cómo reconocerlo y cómo proteger a tu empresa.

Smishing y suplantación: cómo funciona el engaño

La mecánica es casi siempre la misma. Recibes un mensaje breve que suplanta a una marca o institución conocida y que busca activar dos resortes: la urgencia («tu cuenta será bloqueada hoy») y la confianza (un logo, un tono oficial, un nombre que reconoces). El mensaje incluye un enlace que lleva a una página clonada, muy parecida a la real, donde te piden introducir credenciales, datos de tarjeta o un código de verificación. En otros casos no hay enlace, sino una conversación: alguien escribe por WhatsApp diciendo ser un familiar o un directivo de la empresa que necesita un pago urgente.

Lo que hace peligroso al smishing es que el atacante no necesita «entrar» en ningún sistema: le basta con que una persona, de buena fe, le entregue la llave. Por eso la primera barrera no es solo técnica, sino humana: saber reconocer el patrón.

Ejemplos habituales que conviene conocer

Casi todas las campañas de smishing reutilizan unos cuantos guiones. Estos son los que más se ven en España:

  • El falso banco: un SMS avisa de un «cargo sospechoso» o de que tu cuenta «será suspendida» y te pide confirmar tus datos en un enlace. A veces el mensaje aparece en el mismo hilo que los SMS legítimos del banco, lo que lo hace más creíble. Ningún banco pide por SMS claves completas, códigos de un solo uso ni datos de tarjeta.
  • La paquetería: «Tu paquete está retenido en aduanas, paga 1,99 € de tasa aquí». El importe pequeño es deliberado: bajas la guardia por un par de euros y acabas en una pasarela de pago falsa que captura tu tarjeta.
  • El mensaje del «hijo» o «familiar»: «Hola mamá, se me ha roto el móvil, escríbeme a este número». Tras ganar confianza, piden una transferencia urgente.
  • El fraude del CEO en la empresa: un mensaje que dice venir de un directivo solicita a un empleado una transferencia o el cambio de la cuenta bancaria de un proveedor. Es una de las variantes más costosas para las empresas.
  • Avisos de organismos oficiales: supuestos mensajes de la Agencia Tributaria, la Seguridad Social o la DGT anunciando una devolución, una multa o una notificación que «caduca hoy».

La regla de oro: ninguna entidad seria te va a pedir por SMS o WhatsApp tus contraseñas, un código de verificación o los datos completos de tu tarjeta. Si un mensaje te mete prisa y te enlaza para «confirmar» algo, trátalo como sospechoso por defecto.

Cómo reconocer un mensaje fraudulento

No siempre es fácil, porque los atacantes cuidan cada vez más los detalles, pero hay señales que se repiten. Antes de pulsar nada, fíjate en lo siguiente:

  • Urgencia y amenaza: plazos imposibles, bloqueos inminentes o multas que «vencen hoy». La prisa es la herramienta favorita del fraude.
  • Enlaces extraños: direcciones acortadas, dominios que imitan al real con pequeñas variaciones (letras cambiadas, guiones, terminaciones raras) o que no coinciden con la web oficial.
  • Remitente sospechoso: números de móvil para asuntos «oficiales», números internacionales o un contacto de WhatsApp que no es el que conoces.
  • Petición de datos sensibles: cualquier mensaje que te pida claves, códigos o datos de tarjeta es, casi con seguridad, un fraude.
  • Pequeños fallos: errores de redacción, saludos genéricos o un tono que no encaja con cómo se comunica normalmente esa entidad.

La pauta más segura es sencilla: no uses nunca el enlace del mensaje. Si te preocupa que pueda ser real, entra tú mismo a la web oficial escribiendo la dirección, abre la app de tu banco o llama al teléfono oficial que aparece en tu tarjeta o en su web.

Cómo protegerse, en casa y en la empresa

La buena noticia es que con hábitos sencillos y algo de tecnología se reduce muchísimo el riesgo. A nivel personal y de equipo, estas son las medidas que más ayudan:

  • Desconfía por defecto de la prisa y verifica siempre por un canal distinto al del mensaje.
  • Activa la verificación en dos pasos (MFA) en el correo, la banca y los accesos importantes: aunque alguien consiga tu contraseña, no podrá entrar sin el segundo factor.
  • No reutilices contraseñas y apóyate en un gestor de contraseñas.
  • Mantén el móvil y las apps actualizados y no instales nada que llegue por un enlace de un mensaje.
  • Reporta y bloquea: marca el contacto como spam, repórtalo a tu operadora y avisa a tus compañeros para que nadie caiga en la misma campaña.

En el ámbito de empresa, el smishing deja de ser un problema individual: si un solo empleado entrega sus credenciales, el atacante puede llegar al correo corporativo, a documentos compartidos o a sistemas internos, y desde ahí intentar fraudes mayores. Por eso conviene combinar tres frentes: formación del equipo para reconocer estos mensajes, verificación en dos pasos en todos los accesos y una buena protección de los equipos que detecte y frene las amenazas en los dispositivos. Si quieres una visión de conjunto por dónde empezar, te puede ser útil nuestra guía de ciberseguridad para pymes, y para el segundo factor de acceso, el artículo sobre qué es la verificación en dos pasos (MFA).

Conviene ser honestos: ninguna herramienta elimina el riesgo al cien por cien, porque el smishing ataca a las personas, no solo a los sistemas. Lo que sí funciona es reducir mucho la probabilidad de caer y, sobre todo, limitar el daño cuando alguien se equivoca. Ese equilibrio entre concienciación, tecnología y un plan de respuesta es lo que marca la diferencia, y es donde un acompañamiento profesional ayuda a no dejar cabos sueltos.

Preguntas frecuentes

¿Qué diferencia hay entre smishing y phishing?

Es el mismo tipo de engaño con un canal distinto. El phishing llega normalmente por correo electrónico; el smishing llega por SMS o por mensajería como WhatsApp. La técnica es la misma: suplantar a una entidad de confianza para que pulses un enlace o entregues datos. El smishing suele funcionar bien porque en el móvil leemos rápido, los enlaces salen acortados y cuesta más ver la dirección real.

¿He pulsado un enlace de smishing, qué hago ahora?

Si solo has abierto el enlace pero no has introducido datos ni descargado nada, el riesgo es menor: cierra la página y no rellenes nada. Si has metido credenciales, cambia esa contraseña cuanto antes y activa la verificación en dos pasos. Si era un dato bancario, avisa a tu banco. En el ámbito de empresa, comunícalo al responsable de sistemas para que valore el alcance; cuanto antes se sepa, menos daño.

¿Mi banco o una empresa de paquetería me piden datos por SMS o WhatsApp?

Como norma general, no. Los bancos no piden por SMS ni por WhatsApp claves completas, códigos de un solo uso ni datos de tarjeta, y nunca te enlazan para que metas tus credenciales. Las empresas de paquetería no cobran tasas por mensaje con un enlace de pago urgente. Ante la duda, no uses el enlace del mensaje: entra tú mismo a la web oficial o usa la app, o llama al teléfono oficial.

¿Cómo afecta el smishing a una empresa y no solo a una persona?

En una empresa, un único empleado que entregue sus credenciales puede abrir la puerta al correo corporativo, a documentos compartidos o a sistemas internos. A partir de ahí, los atacantes pueden intentar fraudes mayores, como el del CEO o el cambio de cuenta en facturas. Por eso conviene combinar formación del equipo, protección de los dispositivos y verificación en dos pasos en los accesos.

¿Sirve de algo denunciar o reenviar estos mensajes?

Sí. Puedes reportar los mensajes fraudulentos a tu operadora y bloquear el número, marcar el contacto como spam en WhatsApp y, si ha habido fraude económico, presentar denuncia. Reenviar el aviso a tus compañeros también ayuda a que nadie del equipo caiga en la misma campaña. No interactúes con el mensaje más allá de reportarlo.

¿Quieres proteger a tu equipo
frente al fraude por mensajería?

Revisamos cómo están protegidos tus equipos y accesos, formamos a tu equipo y te ayudamos a poner las barreras adecuadas. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)