Canales en expansión: al SMS tradicional se suman RCS, WhatsApp, Telegram e iMessage. Los atacantes rotan de canal según los filtros: cuando las operadoras bloquean remitentes SMS fraudulentos, la campaña migra a mensajería con cifrado de extremo a extremo, donde ningún filtro de red la inspecciona.
Qué es smishing
El smishing es phishing a través de SMS y aplicaciones de mensajería como RCS o WhatsApp. El atacante envía un mensaje corto que suplanta a una entidad de confianza —la empresa de paquetería, el banco, la DGT, incluso un familiar— y empuja a la víctima a pulsar un enlace, devolver una llamada o enviar dinero. El nombre combina "SMS" y "phishing", pero el canal ya no se limita al SMS clásico: cualquier aplicación de mensajes sirve. Como el móvil es a la vez el dispositivo personal, el segundo factor de autenticación y, cada vez más, una herramienta de trabajo, un mensaje que triunfa ahí puede abrir la puerta tanto a la cuenta bancaria del empleado como a la red de la empresa mediante ingeniería social.
Por qué importa
Los usuarios llevan años entrenados para desconfiar del correo, pero el SMS conserva un aura de legitimidad: es el canal por el que llegan los códigos del banco y los avisos de entrega reales. En España los ganchos están muy rodados: el paquete retenido a falta de pagar unas tasas, el "cargo no reconocido" del banco que pide verificar la cuenta, la multa pendiente de la DGT, el Bizum recibido por error o el clásico "mamá, se me ha roto el móvil, escríbeme a este número". En pantalla pequeña las señales que delatarían el fraude desaparecen: la URL se muestra acortada o truncada, no hay ratón con el que previsualizar el destino, y el contexto de uso —andando, con prisa, entre notificaciones— juega a favor del atacante. Para la empresa el riesgo va más allá del fraude al empleado: el smishing corporativo busca credenciales de acceso y códigos OTP para saltarse la autenticación multifactor, y el móvil personal desde el que se lee ese SMS suele estar fuera del alcance de las herramientas de seguridad corporativas.
Puntos clave
Ganchos locales muy afinados: paquetería (Correos, SEUR, GLS) con "tasas de aduana" pendientes, banco con cargos sospechosos, DGT con multas, Bizum recibidos "por error" que hay que devolver, y la estafa del hijo con móvil nuevo. Funcionan porque replican mensajes legítimos que la víctima sí recibe a menudo.
El móvil recorta las defensas visuales: URLs acortadas o truncadas, imposibilidad de hacer hover para ver el destino real, navegadores que ocultan la barra de direcciones y páginas clonadas que en pantalla pequeña son indistinguibles de la original.
Smishing corporativo: mensajes que suplantan al equipo de IT o a la plataforma de identidad de la empresa para robar credenciales y el código OTP en tiempo real, o que bombardean con avisos falsos para inducir a aprobar un acceso. Es el equivalente móvil del spear phishing y suele combinarse con vishing: primero el SMS, luego la llamada que "confirma" la historia.
El robo de OTP es el objetivo estrella: la página clonada pide usuario, contraseña y el código de un solo uso, y el atacante los reenvía a la web legítima en segundos. La MFA basada en SMS o en códigos tecleables no resiste este esquema; las passkeys y FIDO2 sí.
Defensas para empresas: MFA resistente a phishing, políticas de gestión de dispositivos móviles, canal oficial único para comunicaciones de IT (nunca por SMS), formación con simulaciones de smishing y un procedimiento claro para reportar mensajes sospechosos sin miedo a equivocarse.
Ejemplo: el SMS de paquetería que acabó en la banca de empresa
Viernes por la tarde. La administradora única de una asesoría recibe un SMS: "SEUR: su paquete está retenido. Abone 1,99 € en tasas para programar la entrega". Espera de verdad un paquete —material de oficina pedido el martes—, así que pulsa el enlace desde el móvil. La página, idéntica a la de la empresa de paquetería, pide los datos de la tarjeta para el "pago de tasas". Al introducirlos, una segunda pantalla solicita el código que "su banco le enviará para confirmar la operación". El código llega por SMS real del banco, porque en ese instante los atacantes están dando de alta la tarjeta de la víctima en un monedero digital desde su propio dispositivo; el código de confirmación que la víctima teclea es justo el que necesitan para terminar el alta.
Durante el fin de semana se suceden pagos presenciales con esa tarjeta en otra ciudad. El lunes, al revisar los movimientos, la administradora descubre además otro problema: la tarjeta comprometida era la de la empresa, vinculada a la cuenta profesional. El banco devuelve parte de los cargos, pero la reclamación se complica porque los pagos fueron autenticados "correctamente" con el código. Una política tan simple como pagar supuestas tasas solo desde la web oficial de la empresa de paquetería —tecleando la dirección, nunca desde el enlace del SMS— habría cortado la cadena en el primer paso.
Errores habituales
- Creer que el smishing es un problema personal, no corporativo. El mismo móvil que recibe el SMS fraudulento almacena el correo de empresa, la aplicación de autenticación y las conversaciones con clientes; comprometer al empleado es comprometer a la organización.
- Confiar en que la MFA por SMS protege la cuenta. Es precisamente el factor que el smishing sabe robar: la página clonada pide el código y el atacante lo usa en tiempo real. Si la MFA puede teclearse, puede phishearse.
- Pulsar el enlace 'solo para mirar'. Las páginas de smishing modernas no necesitan que la víctima escriba nada para ser útiles: confirman que el número está activo, identifican el dispositivo y en algunos casos explotan navegadores desactualizados.
- No dar a los empleados un canal claro para reportar. Si reportar un SMS sospechoso es engorroso o se percibe como admitir un error, nadie avisa, y el mismo señuelo que un empleado esquivó engancha al siguiente.
- Comunicarse con la plantilla por SMS desde números variables. Si IT o RRHH envían avisos legítimos por SMS sin remitente fijo ni formato consistente, los empleados no tienen forma de distinguir el mensaje real del fraudulento. El canal oficial debe ser único y predecible.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Por qué funciona mejor el smishing que el phishing por correo?
Por el canal y el contexto. El SMS conserva credibilidad porque por él llegan códigos bancarios y avisos reales; apenas existe filtrado comparable al del correo; y la pantalla del móvil oculta las señales de fraude: la URL se ve acortada, no se puede previsualizar el destino y la página clonada ocupa toda la pantalla. Además, el móvil se consulta con prisa, entre notificaciones, con la guardia baja.
¿Qué debo hacer si un empleado ya ha pulsado el enlace?
Actuar rápido y sin culpabilizar. Si introdujo credenciales corporativas, cambiarlas de inmediato y revocar las sesiones activas; si tecleó un código OTP, asumir que la cuenta o la tarjeta están comprometidas y bloquear. Revisar accesos recientes en las plataformas afectadas, avisar al banco si hubo datos de pago y reportar el incidente. Cuanto antes se notifique, más margen hay para cortar el fraude en curso.
¿Los mensajes por WhatsApp o RCS también cuentan como smishing?
Sí. El término nació con el SMS, pero hoy cubre cualquier mensajería móvil: WhatsApp, RCS, Telegram o iMessage. De hecho los atacantes migran hacia esas aplicaciones porque el cifrado de extremo a extremo impide que operadoras o filtros de red inspeccionen el contenido, y porque permiten conversaciones sostenidas, útiles para estafas largas como la del familiar con móvil nuevo o los fraudes de inversión.
¿Cómo protejo a mi empresa del smishing dirigido a empleados?
Combinando técnica y hábito. MFA resistente a phishing (passkeys o FIDO2) para que un código robado no sirva de nada; gestión de dispositivos móviles en los terminales con acceso corporativo; un canal oficial único y predecible para comunicaciones de IT; y simulaciones periódicas de smishing que entrenen el reflejo correcto: no pulsar el enlace y verificar por el canal oficial tecleando la dirección.