Qué es el smishing y cómo evitarlo

¿Qué es el smishing?

El smishing es phishing a través de un mensaje de texto SMS: es una estafa de ingeniería social donde alguien te envía un mensaje fingiendo ser alguien en quien podrías confiar, como tu banco o un ser querido, para engañarte y que reveles información personal, envíes dinero a los estafadores o hagas clic en vínculos peligrosos.

Hay muchas estafas de smishing, y pueden ser costosas. En 2024, los estadounidenses perdieron casi 500 millones de dólares en estafas de smishing. Y en la primera mitad de 2025, el número de informes de smishing se duplicó con creces en comparación con el mismo período en 2024. Por lo tanto, educarse sobre ellas es vital para tu bienestar financiero.

Cómo actúa el smishing

El smishing actúa engañando a los objetivos para que hagan clic en vínculos peligrosos incrustados en mensajes de texto. El propósito final es conseguir que reveles información personal, como tus credenciales de inicio de sesión, o que envíes dinero directamente a un estafador.

Para enviarte mensajes de smishing, todo lo que necesita un estafador es tu número de teléfono. Y a menudo es bastante fácil para ellos conseguirlo: tu número de teléfono podría aparecer en tus páginas de redes sociales, sitios de corredores de datos, o puede haberse filtrado en una fuga de datos.

Una vez que un estafador tiene tu número, redacta un mensaje para engañarte y que actúes sin pensar. Pueden usar tácticas emocionales como el miedo y la urgencia para lograrlo. Por ejemplo, podrían decirte que tu cuenta de Instagram se bloqueará permanentemente si no actúas ahora. O podrían decirte que se ha deducido una gran cantidad de dinero de tu cuenta bancaria.

Hacer clic en un vínculo en un mensaje de smishing puede enviarte a una página de inicio de sesión o portal de pago falso que captura tus credenciales o información de tarjeta de crédito. O podría desencadenar una descarga de malware que instala spyware en tu dispositivo, secuestrando tu información personal y enviándola al atacante. Como alternativa, un estafador de smishing puede hacerse pasar por un ser querido y pedirte que envíes dinero a través de Cash App o Venmo.

Los estafadores pueden falsificar su ID de remitente para que parezca que el mensaje es de una fuente de confianza. Esto se llama falsificación de teléfono; podría hacer que un mensaje de texto parezca que es de tu madre o de tu servicio de streaming favorito.

Tipos de estafas de smishing

Las estafas de smishing comunes incluyen mensajes bancarios falsos, engaños de verificación de cuenta, notificaciones de premios, estafas de entrega, peajes falsos y estafas de la agencia tributaria.

Suplantación de identidad de instituciones financieras

Los estafadores se hacen pasar por bancos, compañías de tarjetas de crédito, cobradores de deudas y otros para asustarte y que tomes medidas. Podrían informar de una transacción sospechosa en tu tarjeta o amenazar con cerrar tu cuenta a menos que actúes de inmediato.

En un caso reciente en Australia, los estafadores suplantaron a Commonwealth Bank, una importante institución financiera con millones de clientes. Los objetivos recibieron mensajes SMS informándoles de que sus puntos de recompensa estaban a punto de expirar. Para canjear los puntos, se instaba a las víctimas a hacer clic en un vínculo malicioso.

Amenazas de verificación de cuenta y cancelación de servicio

La mayoría de la gente está acostumbrada a los mensajes de verificación de cuenta, así que no parece fuera de lo común recibir uno de una cuenta de redes sociales, servicio de streaming u otra entidad de confianza. Los estafadores se aprovechan de tu tendencia a hacer clic automáticamente en los vínculos de estos mensajes.

También pueden enviar mensajes sobre la cancelación de servicios o suscripciones, que podrían ser de herramientas críticas que necesitas para trabajar o gestionar tus finanzas. O podrían ser advertencias que aparentemente provienen de apps de entretenimiento.

En 2025, Netflix advirtió a sus 90 millones de suscriptores en EE. UU. y Canadá sobre mensajes de smishing de cancelación de servicio. Los mensajes de texto fraudulentos amenazaban a los usuarios con cerrar sus cuentas si no actualizaban su información de pago.

Estafas de premios, lotería y recompensas

En lugar de usar el miedo, estas estafas de smishing usan la esperanza para convencer a las víctimas de hacer clic para obtener una recompensa. Los estafadores prometen cualquier cosa, desde tarjetas regalo de Starbucks hasta premios de lotería que te cambian la vida. El mensaje pide a las víctimas información personal o que paguen una tasa de tramitación o envío para reclamar un premio. Si el destinatario cumple, los estafadores cogen el dinero y desaparecen.

Textos de notificación de entrega y envío

Alrededor del 75 % de los estadounidenses reciben al menos un paquete a la semana por correo. Así que la mayoría de la gente está acostumbrada a recibir notificaciones de envío y entrega por SMS.

Para los estafadores, es fácil colar mensajes fraudulentos entre los legítimos. Se hacen pasar por USPS y mensajerías privadas como FedEx y UPS. A menudo los mensajes te informan de intentos de entrega fallidos, pidiéndote que hagas clic en un vínculo para actualizar tus datos personales o elegir una nueva fecha de entrega. O afirman que necesitas pagar una tasa pendiente para recibir el paquete.

Peajes de autopista falsos

Si recibes un mensaje de texto sobre peajes impagados o evasión, lo más probable es que sea una estafa. La mayoría de las autopistas de peaje no te contactarán por mensaje de texto sobre asuntos de pago. Estos mensajes fraudulentos suelen incluir un vínculo a una página de pago falsa. Si recibes uno y crees que podría ser legítimo, inicia sesión en tu cuenta desde el sitio web oficial o llama al centro de contacto para confirmar, y nunca hagas clic en un vínculo en el texto.

Estafas del gobierno y de la agencia tributaria

Recibir un mensaje del gobierno puede ser estresante, y los estafadores saben que es probable que hagas clic y leas estos mensajes con atención.

Algunos mensajes pueden amenazar con multas o auditorías, pidiéndote que hagas un pago para evitar medidas adicionales. Otros pueden informarte de incentivos fiscales no reclamados que puedes cobrar haciendo clic en un vínculo y revelando tu número de la seguridad social (SSN) o datos bancarios.

Las estafas fiscales del IRS suelen aumentar a principios de cada año cuando los estadounidenses empiezan a preparar sus impuestos. En 2025, estos mensajes de estafa aumentaron un 77 % en enero.

Estafas de soporte técnico y recuperación de cuenta

Los mensajes de smishing de soporte técnico imitan a empresas tecnológicas conocidas como Apple, Microsoft y PayPal.

Pueden afirmar que tu dispositivo tiene un virus o que tu cuenta está bloqueada por razones de seguridad. Las estafas de soporte técnico a menudo te aconsejan «contactar con soporte inmediatamente» o «hacer clic ahora para recuperar tu cuenta».

Fraude de suplantación de empresa o colega

A veces, los estafadores imitan a un empleado o gerente de la empresa para la que trabajas, solicitando información o un pago.

Estos ataques de smishing pueden ser muy dañinos si dan a los hackers acceso a los dispositivos de la empresa. Como resultado, los delincuentes podrían obtener acceso a grandes cantidades de datos de la empresa y de los clientes.

En un caso, un estafador se hizo pasar por el CEO de una corporación. Envió mensajes de texto a un empleado pidiendo trasladar la conversación a una plataforma cifrada. Luego, se le pidió a la víctima que hiciera grandes transferencias de efectivo a la cuenta del «CEO».

Estafas de número equivocado o de establecimiento de relaciones

Algunos estafadores intentarán ganarse tu confianza entablando una amistad contigo con el tiempo. Estas estafas se aprovechan de personas confiadas o solitarias.

Suelen empezar con un mensaje de texto de un número desconocido. Si respondes, el estafador se disculpa y admite haber enviado el mensaje de texto a la persona equivocada. Sin embargo, siguen chateando contigo e intentan entablar una amistad.

Esta amistad virtual (o romance falso) puede durar meses, mientras el estafador recopila datos gradualmente y extrae tu información confidencial o dinero.

Estafas de smishing «Hola mamá»

En las estafas «Hola mamá», los delincuentes envían mensajes de texto fingiendo ser un hijo con un teléfono nuevo o roto. Rápidamente pasan a pedir ayuda financiera urgente, a menudo alegando que no pueden hablar por teléfono.

Estas estafas funcionan explotando el instinto de un padre o madre de responder rápido. La presión emocional hace que la petición parezca creíble, empujando a las víctimas a enviar dinero antes de verificar que el mensaje es real.

Descargas de aplicaciones maliciosas gratuitas

A todo el mundo le gusta conseguir algo gratis. Los estafadores suelen ofrecer descargas de apps gratuitas por mensaje de texto, sin pedir nada a cambio. En algunos casos, la app es real. Pero las víctimas no saben que también están descargando malware.

En otros casos, la propia app es maliciosa. Por ejemplo, una app de privacidad falsa podría pedirte que introduzcas datos personales para poder «analizar internet» en busca de tu información. En su lugar, los estafadores usan tu información para robar tu identidad. Puedes ayudar a evitar estas estafas descargando apps solo de fuentes oficiales como la App Store y Google Play Store.

Estafas de smishing automatizadas e impulsadas por inteligencia artificial

La inteligencia artificial está facilitando a los estafadores perpetrar fraudes a gran escala. La inteligencia artificial puede escribir y enviar miles de mensajes de smishing en un instante. Incluso puede gestionar campañas enteras con poca intervención humana.

Algunos bots de chat de inteligencia artificial pueden entablar conversaciones realistas y a largo plazo por texto con humanos. Usan una gramática y ortografía perfectas, y pueden adaptar su tono para imitar a marcas, agencias gubernamentales y bancos.

Esto hace que las estafas de smishing por inteligencia artificial sean muy difíciles de detectar. Sin embargo, no es imposible protegerse. Reglas básicas simples como nunca dar información personal por texto o hacer clic en vínculos sospechosos pueden ayudarte a mantenerte a salvo. Los detectores de estafas por inteligencia artificial también pueden ayudar a atrapar el smishing por IA, lo que significa que ni siquiera interactúas.

Otras estafas de smishing emergentes

Las estafas de smishing están en constante evolución. Los estafadores siempre están buscando nuevas formas de engañar a la gente para que responda a sus mensajes de texto y haga clic en los vínculos. Algunos tipos emergentes de estafas involucran consejos de inversión en criptodivisas o solicitudes de donación falsas.

Las estafas de smishing oportunistas pueden hacer referencia a eventos actuales, como cierres del gobierno, despidos masivos o cambios en las prestaciones gubernamentales.

A medida que aumentan las estafas de smishing, mantén la cautela con cualquier SMS que solicite datos personales o te pida que hagas clic en un vínculo. Siempre es mejor ir sobre seguro y no interactuar. Si alguna vez tienes dudas, contacta al remitente a través de otro canal.

Smishing frente a phishing frente a vishing

Smishing, phishing y vishing son todas formas de ataques de ingeniería social que involucran a un estafador suplantando a alguien para manipular a las víctimas. La diferencia entre ellos radica en la forma en que el estafador se comunica. A continuación, se explica en qué se diferencian los tres ataques:

• Phishing: el phishing se refería originalmente a las estafas por correo electrónico. Hoy en día, el término también se usa como una categoría amplia que cubre muchas estafas de suplantación de identidad, incluyendo smishing, vishing, pharming, whaling y spear phishing.

• Smishing: el smishing (SMS + phishing) es un tipo de ataque donde un estafador envía mensajes de texto falsos imitando a alguien en quien confías, como una agencia gubernamental o un miembro de la familia.

• Vishing: el vishing (voz + phishing) es un tipo de fraude que involucra llamadas telefónicas o mensajes de voz. Los estafadores imitan la voz de una persona de confianza o fingen ser alguien que no son, como un representante de soporte al cliente o un colega de una oficina diferente.

Cómo identificar y prevenir ataques de smishing

Hay múltiples formas de protegerte contra los ataques de smishing. Algunas herramientas te advertirán de estos ataques o los bloquearán antes de que lleguen a tu teléfono. Para los que se cuelan por las grietas, aprender a identificarlos puede ayudarte a mantener las distancias.

Usa los siguientes consejos para identificar y protegerte contra los ataques de smishing.

Detecta mensajes sospechosos

Aprender a identificar mensajes sospechosos te ayudará a evitar las estafas que burlan la seguridad. Aquí hay algunos signos comunes de mensajes de smishing:

• Mensajes de remitentes desconocidos.

• Mensajes que contienen vínculos.

• Mensajes que usan lenguaje urgente o amenazante.

• Cualquier solicitud de información personal.

• Cualquier solicitud de pago.

• Cualquier solicitud para descargar algo.

• Ofertas demasiado buenas para ser ciertas.

• Premios, recompensas o reembolsos inesperados.

• Mala gramática y ortografía o frases antinaturales (aunque los estafadores también pueden usar inteligencia artificial para mejorar sus mensajes).

Si recibes un mensaje sospechoso de un remitente conocido, podría ser un mensaje de texto falsificado. Los atacantes pueden falsificar el ID del remitente, para que parezca provenir de un número o negocio que reconoces.

Verifica si es un mensaje de texto falso contactando al remitente usando otro medio como redes sociales o correo electrónico, o busca el número de teléfono en el sitio web oficial y llámale.

Usa las funciones de seguridad integradas de tu teléfono

Tu teléfono tiene funciones de seguridad integradas para ayudar a protegerte de los mensajes de texto de spam. Pero es posible que necesites activarlas.

En iPhone, puedes configurar tu dispositivo para filtrar mensajes de remitentes desconocidos. Estos mensajes se colocan en una bandeja de entrada separada, donde puedes verlos con más cuidado.

Para hacer esto, abre Ajustes en la app Mensajes y activa Filtrar desconocidos.

Los Android no incluyen esta función, pero puedes activar Protección contra estafas en la configuración de tu app de mensajería para ayudar a proteger tu bandeja de entrada de SMS. O usa una app especializada que filtre números desconocidos y spam, como SpamHound.

Si recibes un mensaje de texto falso, deberías denunciarlo. En la mayoría de los teléfonos, puedes tocar y mantener presionado el mensaje o el remitente para activar un menú emergente y denunciar el mensaje como spam. Esto impedirá que el mismo número llegue a tu teléfono de nuevo.

Para beneficiarte de la seguridad de tu dispositivo, es importante actualizar tu teléfono regularmente: configura las actualizaciones automáticas para que no se te olvide. Las actualizaciones incluyen parches de seguridad que pueden ayudar a prevenir las últimas estafas y solucionar vulnerabilidades.

Añade seguridad extra con autenticación en varios pasos

La autenticación en varios pasos (MFA) o autenticación en dos pasos (2FA) puede ayudar a proteger tus cuentas si eres víctima de un ataque de smishing.

La MFA es una medida de seguridad que requiere que proporciones dos formas de autenticación para iniciar sesión en una cuenta (p. ej., tu contraseña más un código enviado a tu teléfono).

Si accidentalmente entregas información confidencial a un estafador, como datos de inicio de sesión, los hackers no podrán acceder a tus cuentas todavía porque solo tienen una forma de autenticación. Según Microsoft, añadir MFA puede prevenir el 99,9 % de los ataques a las cuentas.

Usa apps antiphishing y de seguridad

Descargar apps de seguridad como software antiphishing y antivirus puede dar a tu teléfono una capa extra de seguridad más allá de sus funciones integradas.

Algunas apps pueden analizar, filtrar y bloquear mensajes maliciosos antes de que lleguen a tu bandeja de entrada. Otras pueden añadir alertas de estafa a mensajes sospechosos, incitándote a pensártelo dos veces antes de abrirlos.

Las herramientas de seguridad también pueden ayudarte a protegerte si, sin saberlo, interactúas con estafas de smishing. El acceso a sitios maliciosos puede ser bloqueado, y las descargas que contienen malware pueden ser analizadas y puestas en cuarentena antes de que puedan causar daño.

Protégete contra el smishing con Avast

Los ataques de smishing son comunes, y la nueva tecnología está haciendo que los mensajes de texto de estafa sean más difíciles de detectar. El smishing puede comprometer tus datos personales, tus dispositivos y tus finanzas. Avast Free Antivirus incluye protección contra malware y el Asistente de Avast basado en IA: simplemente carga un mensaje sospechoso y analizará si es una estafa o no.

Preguntas frecuentes

¿Cómo puedo reconocer un mensaje de texto de smishing?

Los mensajes de texto de smishing casi siempre intentan presionarte para que hagas clic en un vínculo o respondas con información personal. Suelen utilizar un lenguaje urgente, amenazante y emotivo. Otros signos reveladores de mensajes de smishing incluyen ofertas demasiado buenas para ser verdad, errores de ortografía y gramática, notificaciones inesperadas y regalos.

¿Qué debo hacer si soy víctima de un ataque de smishing?

Si eres víctima de smishing, lo primero que debes hacer es dejar de interactuar con el remitente y bloquearlo. Si has descargado algo o hecho clic en un vínculo, desconéctate de internet de inmediato y ejecuta un análisis de antivirus. A continuación, cambia tus contraseñas de cualquier cuenta que pueda haber sido comprometida. Si tus cuentas financieras están en riesgo, llama a tu banco para asegurarlas.

¿Hay alguna herramienta para ayudar a prevenir el smishing?

Sí, hay herramientas integradas en tu teléfono y apps de terceros para ayudar a prevenir el smishing. Puedes activar el filtrado de mensajes o la protección contra estafas desde el menú de configuración de las apps de mensajería. El Asistente de Avast basado en IA también puede ayudarte a identificar mensajes de estafa si alguna vez tienes dudas.