Person holding a smartphone displaying a text message about a party event indoors.

SMISHING: Guía Completa sobre Estafas por SMS en 2025

¿Qué es el Smishing? Origen y Definición

Smishing es una palabra compuesta que hace referencia a SMS y phishing, debido a su similitud con este ataque tan popular. El smishing es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico.

 

La palabra «smishing» es la contracción de «SMS» y «phishing». Es una técnica de phishing que utiliza un mensaje de texto en lugar del correo electrónico. Los ciberdelincuentes envían mensajes de texto engañosos para inducir a las víctimas a compartir información personal o financiera, hacer clic en enlaces malintencionados o descargar software o aplicaciones dañinas.

Estadísticas Alarmantes del Smishing en 2025

Crecimiento Exponencial de Ataques

Según el informe 2024 State of the Phish de Proofpoint, 3 de cada 4 organizaciones sufrieron ataques de smishing en 2023. Y esta cifra no hará más que aumentar a medida que pasen los años.

 

España: País Más Afectado

El patrón de fraude más denunciado entre los que aseguran haber sido objetivo fue el smishing o mensajes de texto al móvil en los que se solicitan, de forma fraudulenta, datos personales. Así lo reconoce un 35%, un porcentaje que salta hasta el 47% entre los miembros de la generación de los Baby Boomers.

 

Eficacia Superior al Email

Los estudios demuestran que es más probable que la gente haga clic en los enlaces de los mensajes de texto. Klaviyo informa de que las tasas de clics por SMS oscilan entre el 8,9 % y el 14,5 %. En comparación, los correos electrónicos tienen una tasa media de clics del 2 %.

la tasa de clic por SMS, es decir, de quienes pasan el cursor por el enlace externo, oscila entre 8,9% y 15%, según un análisis de la tecnológica IBM. Este porcentaje es muy alto en comparación del 1,3% de quienes dan clic en un enlace externo de un correo electrónico.

Por Qué el Smishing es tan Efectivo en 2025

Confianza en los SMS

Una de las razones por las que el smishing sigue funcionando tan bien en pleno 2025 es que los SMS siguen teniendo un aura de legitimidad. Quizá porque no se usan tanto como antes. Quizá porque muchos bancos, plataformas de envío, servicios públicos y empresas todavía lo utilizan como canal habitual.


Frecuencia de Uso

Los usuarios de móviles cuya edad oscila entre los 18 y 24 años, envían más de 2022 textos al mes (alrededor de 67 al día) y reciben 1831 mensajes. La popularidad de los SMS hace que los usuarios confían en que una compañía seria está siempre detrás de los mensajes que recibe en el teléfono.


Detección Limitada en Móviles

es más difícil detectar enlaces peligrosos en los móviles. En un ordenador, los usuarios pueden pasar el cursor sobre un enlace para ver a dónde conduce. En los smartphones, no tienen esa opción.

Tipos Más Comunes de Estafas Smishing

1. Falsas Notificaciones Bancarias

Los estafadores se hacen pasar por bancos alertando sobre:

  • Actividad sospechosa en la cuenta
  • Necesidad de “verificar” credenciales urgentemente
  • Bloqueo temporal que requiere acción inmediata

Ejemplo real: “Se ha iniciado sesión desde un nuevo dispositivo. Si no fuiste tú, verifica ahora”


2. Paquetería Fantasma

Los ciberdelincuentes se hacen pasar por empresas de paquetería como Amazon, DHL o Mercado Libre:

  • Paquetes pendientes por falta de dirección
  • Problemas con la entrega que requieren pago adicional
  • Enlaces para “seguir el paquete”

3. Estafas de Puntos y Recompensas

Los ciberdelincuentes se hacen pasar por empresas reconocidas como Aeroméxico, Amazon, Oxxo, Telcel y AT&T para engañar a los usuarios con mensajes que alertan sobre la supuesta caducidad de puntos:

  • “Tus puntos están por caducar”
  • “Caja Misteriosa de Shein” con descuentos exclusivos
  • Ofertas laborales remotas falsas

4. Suplantación de Servicios Públicos

  • Alertas falsas de Hacienda sobre impuestos atrasados
  • Multas de tráfico que requieren pago inmediato
  • Ayudas gubernamentales que solicitan datos personales

5. Estafas Románticas por SMS

Otra estafa por smishing es enviar un mensaje de texto a un contacto equivocado, que obviamente no es la víctima. Puede ser un SMS ‘amigable’ o con la intención de dar un cumplido, e incluso fingen ser un reclutador laboral.

Casos Reales de Smishing en 2025

Caso OCBC Bank – Singapur (2022-2025)

En 2022, el OCBC Bank de Singapur informó de que se habían robado aproximadamente 10 millones de dólares a un total de 790 clientes debido a un ataque avanzado de smishing. Los atacantes utilizaron técnicas avanzadas de ingeniería social para engañar a los clientes y hacerles entregar datos confidenciales.


Caso Bank of New Zealand (2022)

una campaña de smishing lanzó un ataque contra una mujer de Nueva Zelanda. Los estafadores se hicieron pasar por su banco (BNZ – Bank of New Zealand), redirigiéndola a un sitio web perfectamente clonado pero falso.


Caso Empresarial Español – Malware FluBot

Martín había sido víctima de un smishing. En este caso, había recibido un SMS por parte de un ciberdelincuente simulando ser una entidad legítima, con el fin de que se descargase una aplicación maliciosa. La instalación de la aplicación en el móvil de Martín lo infectó con el malware FluBot.


Caso American Express

Los piratas informáticos simulaban ser de American Express y enviaban mensajes de texto a sus víctimas diciéndoles que necesitaban atender sus cuentas. El mensaje decía que era urgente, y si la víctima hacía clic, sería llevada a un sitio falso donde ingresaría su información personal.

Medidas de Prevención Efectivas

Antes de Actuar

  • Nunca haga clic en un enlace que reciba a través de un SMS
  • Ante la duda, no respondas a los SMS
  • Verifique de forma independiente: póngase en contacto directamente con esa entidad utilizando la información de contacto conocida

Configuración del Dispositivo

  • Bloquear como spam los mensajes dudosos
  • No guardes información bancaria en tu dispositivo móvil
  • Mantén tus dispositivos actualizados
  • Utiliza un filtro de spam como TrueCaller

Políticas Empresariales

Contar con políticas de seguridad que protejan los dispositivos móviles corporativos, estableciendo un sistema de control centralizado para definir, por ejemplo, las configuraciones establecidas, actualizaciones periódicas, aplicaciones permitidas, etc.

Qué Hacer si Eres Víctima de Smishing

Acciones Inmediatas

  1. Contactar con la entidad financiera para bloquear operaciones
  2. Modificar contraseñas de acceso a banca electrónica
  3. Escanear el dispositivo con antivirus actualizado
  4. Eliminar archivos descargados del SMS fraudulento
  5. Desinstalar aplicaciones solicitadas por el SMS

Recuperación de Seguridad

  • Eliminar cualquier archivo con extensión .apk descargado
  • Cambiar todas las credenciales que pudieron estar comprometidas
  • Revisar movimientos bancarios de los últimos días
  • Activar alertas de seguridad en todas las cuentas