Hoy en día convivimos con el móvil pegado a la mano y eso tiene una cara B: los ciberdelincuentes aprovechan SMS y WhatsApp para colarnos estafas, robar nuestros datos o incluso vaciarnos la cuenta bancaria. Cada vez son más creativos, más rápidos y utilizan trucos muy bien pensados para que piquemos cuando estamos despistados.
La buena noticia es que, con algo de práctica, es relativamente fácil reconocer estos intentos de fraude y saber cómo reaccionar. Aprender qué hacer cuando recibes mensajes raros por SMS o WhatsApp no solo te protege a ti, también ayuda a frenar la ciberdelincuencia si reportas los casos a los organismos adecuados.
Qué es el phishing por SMS (smishing) y por WhatsApp
Cuando hablamos de phishing solemos pensar en correos electrónicos, pero el mismo engaño se ha trasladado a los SMS y a las apps de mensajería. En el caso de los SMS se conoce como smishing, y en WhatsApp simplemente hablamos de estafas o suplantaciones a través de chats.
En el smishing, el estafador envía un mensaje que aparenta venir de una entidad legítima: un banco, una empresa de mensajería, una compañía eléctrica, una institución pública, una marca conocida, etc. El mensaje te empuja a hacer algo rápido: pulsar en un enlace, descargar un fichero, llamar a un número o responder con datos personales.
Estos SMS muchas veces incluyen un enlace corto o una URL que imita muy bien a la original. La web a la que te llevan suele ser una copia casi perfecta de la página real y te pide introducir usuario, contraseña, datos bancarios o de tarjeta. En cuanto lo haces, esa información pasa directa a manos de los delincuentes.
En WhatsApp el esquema base es el mismo, pero la variedad de timos es mucho mayor. Aprovechan que se pueden enviar audios, fotos, códigos, enlaces, contactos, etc., y que solemos confiar más porque “si llega por WhatsApp” parece que viene de alguien cercano o de una fuente más informal.
Cómo funcionan estas estafas: técnicas habituales
Detrás de casi todos estos fraudes hay tres ideas clave: suplantación de identidad, enlaces de phishing e ingeniería social. Con esa combinación consiguen que personas normales hagan cosas que jamás harían en frío.
En la suplantación de identidad, el estafador finge ser una entidad de confianza: tu banco, Correos, una compañía eléctrica, la Seguridad Social, Hacienda, una ONG o incluso un familiar o el jefe de tu empresa. Usa el nombre, el logo, el lenguaje y, en algunos casos, incluso consigue que el mensaje aparezca en el mismo hilo que los SMS auténticos del banco.
Los enlaces de phishing son el gancho técnico. El SMS o mensaje de WhatsApp contiene un link a una web falsa que parece totalmente real. Puede ser una “banca online”, un panel de empresa de mensajería, una web de ofertas o sorteos, un panel de verificación de cuenta, etc. Ahí es donde te piden la información sensible o te intentan colar la descarga de un malware.
La ingeniería social es el truco psicológico. Los delincuentes juegan con emociones como el miedo, la urgencia, la avaricia o la preocupación por un familiar. Mensajes del tipo “actividad sospechosa en su cuenta”, “último aviso antes de cortar el suministro”, “tu hijo ha tenido un accidente” o “has ganado un premio increíble”. Quieren que actúes deprisa, sin pensar ni comprobar nada.
Además, aprovechan la tecnología para que todo parezca más creíble. Pueden modificar el remitente del SMS, falsificar números de teléfono (spoofing) e incluso conseguir que te llegue un mensaje aparentemente enviado desde tu propio número.
Ejemplos frecuentes de smishing por SMS
Aunque hay infinitas variantes, hay patrones que se repiten. Reconocer los ejemplos típicos ayuda mucho a levantar la ceja a tiempo cuando te llega un mensaje sospechoso.
Uno de los clásicos es el SMS que dice venir del banco. Te avisan de un acceso raro, de que van a bloquear la cuenta o de que debes “verificar” tus datos. Te piden que pulses en un enlace para introducir número de tarjeta, fecha de caducidad, PIN o claves de banca online. Ningún banco serio hace esto por SMS ni te pide esos datos de esa manera.
Otro muy habitual son los mensajes de supuestas empresas de mensajería. Te informan de un paquete retenido, de una entrega pendiente o de una tasa adicional que debes pagar. El enlace te lleva a una web que copia el aspecto de empresas como Correos, UPS o similares, donde acabas poniendo tus datos o instalando una app maliciosa.
También proliferan los SMS de compañías eléctricas o de servicios. Te dicen que tu factura está lista, que debes actualizar datos o que tienes derecho a una promoción o reembolso. De nuevo, todo pasa por un enlace que redirige a una web fraudulenta con posible malware o un formulario para robar información financiera.
Otra variante son los mensajes de supuestas organizaciones benéficas. Se aprovechan de guerras, catástrofes o emergencias humanitarias para pedir donaciones, a menudo por Bizum o transferencia a un número de móvil. Detrás no hay ninguna ONG real, solo alguien que quiere tu dinero y tus datos.
Principales estafas a través de WhatsApp
WhatsApp es terreno fértil para los timos porque mezcla contactos personales, grupos, trabajo y la sensación de que todo es más informal. Esta mezcla hace que bajemos la guardia con facilidad.
Una estafa muy popular es la del “hola, ¿cómo estás?” desde un número desconocido. El estafador inicia una conversación aparentemente inocente, a veces con el gancho de una oferta o promoción de una marca conocida y un enlace a una web donde te piden datos personales o bancarios. Esa información luego la utilizan en fraudes más elaborados.
La estafa del código de verificación de WhatsApp es especialmente peligrosa. Primero te llega por SMS un código de verificación de WhatsApp que no has solicitado. Justo después, alguien te escribe por WhatsApp diciendo que se lo has recibido por error y te pide que se lo reenvíes. Si lo haces, el atacante toma el control de tu cuenta, accede a tus contactos, conversaciones, copias de seguridad, documentos y puede utilizar tu identidad para engañar a otros.
En el ámbito empresarial es cada vez más frecuente el llamado “fraude del CEO” por WhatsApp. Un delincuente se hace pasar por un directivo o responsable de la empresa y contacta con alguien del área financiera o administrativa. Con mucha urgencia y confidencialidad, pide hacer una transferencia para cerrar un supuesto negocio. Se apoya en halagos, presión y prisa para que la persona no contraste nada por otros canales.
Relacionado con el plano personal está el timo del “familiar en el extranjero” o “móvil perdido”. El atacante dice ser tu hijo, tu sobrino o un pariente que ha perdido el teléfono, que tiene problemas en otro país o que necesita dinero para arreglar un lío urgente. Evita dar su nombre, te hace adivinar quién es, y utiliza tus propias respuestas para montar la historia. El objetivo es que acabes enviando dinero o datos bancarios.
En WhatsApp también circulan sorteos falsos, supuestas cuentas premium, actualizaciones de la propia app o chollos imposibles. Mensajes que dicen venir de WhatsApp ofreciendo cuentas WhatsApp Gold, verificaciones especiales o renovaciones de pago son un foco clásico de estafa y nunca son oficiales.
Cómo identificar si un mensaje es sospechoso
Hay una serie de señales que, combinadas, te permiten sospechar y frenar a tiempo. La primera pista es que el mensaje sea completamente inesperado y te pida datos personales o que pulses en un enlace.
También es clave fijarse en el contenido. Si el texto tiene faltas de ortografía, expresiones raras, tono poco profesional o traducciones extrañas, es muy posible que estés ante una estafa. Las entidades serias rara vez cometen errores gordos en sus comunicaciones oficiales.
Pregúntate siempre si el mensaje encaja con tu realidad. Si te hablan de una entrega de paquete, piensa si realmente esperas algo. Si te dicen que has ganado un premio, recuerda si te apuntaste a algún concurso. Si aseguran que hay una factura o reembolso, valora si tiene sentido con tus servicios actuales.
Otro punto clave es la forma de contacto. Los bancos, administraciones públicas y muchas empresas no envían enlaces para que introduzcas contraseñas o datos bancarios vía SMS o WhatsApp. Tampoco te piden nunca PIN, códigos de verificación o claves completas por mensaje ni por llamada.
Por último, sospecha siempre de los mensajes que te meten prisa o que usan miedo, amenazas o premios increíbles. Si algo suena demasiado bueno o demasiado dramático para ser verdad, suele serlo. Tómate unos segundos, respira y verifica por otros medios antes de hacer nada.
Cómo evitar caer en estafas por SMS
La primera línea de defensa es sencilla: no pulses en enlaces que te lleguen por SMS si no tienes total seguridad de quién los envía. El simple hecho de recibir el mensaje no supone un peligro, el problema empieza cuando interactúas.
Si dudas de un SMS que parece de tu banco, de una empresa de paquetería o de un servicio que usas, no utilices nunca los teléfonos ni enlaces que aparezcan en el propio mensaje. Acude a la app oficial, a la web que tengas guardada en favoritos o al número de atención al cliente que conoces de antemano.
Evita a toda costa facilitar datos personales o financieros como respuesta a un SMS. Ni bancos, ni empresas de mensajería, ni administraciones públicas piden contraseñas, números de tarjeta o códigos de verificación por este canal. Si alguien te los pide, ya tienes la prueba de que es un fraude.
También puedes apoyarte en fuentes oficiales de información. En España, la Oficina de Seguridad del Internauta (OSI) y el INCIBE publican alertas de fraudes recurrentes y permiten suscribirse a sus avisos para estar al día de nuevas campañas de smishing.
Cómo protegerte de las estafas por WhatsApp
En WhatsApp es fundamental configurar bien la seguridad. Activa la verificación en dos pasos en tu cuenta para que, aunque alguien consiga tu código SMS, no pueda tomar el control sin ese segundo factor. También revisa los ajustes de privacidad (foto de perfil, última hora, info, etc.) para limitar la información que ven desconocidos.
Si recibes un mensaje pidiéndote dinero o datos de parte de un contacto conocido, verifica siempre por otra vía que realmente es esa persona. Llama a su número habitual, envíale un audio a otro chat o pregúntale en persona cuando sea posible. Muchas estafas de WhatsApp se apoyan precisamente en haber robado antes la cuenta de otro.
Cuando el mensaje procede de un número que no tienes guardado, sé tajante. No entables conversación si percibes que quieren llevarte a un terreno económico o de datos sensibles, y bloquea y reporta el número si huele a timo. Cuanto menos interactúes, menos información revelas.
Jamás reenvíes códigos de verificación que recibas por SMS o por la propia app, ni aunque la otra persona insista mucho. Esos códigos son llaves de acceso a tus cuentas y compartirlos equivale a entregar el control a un desconocido.
Cuando te lleguen mensajes supuestamente de WhatsApp anunciando cuentas premium, renovaciones de pago o versiones “especiales”, ignóralos. La descarga de la app y las gestiones de cuenta solo se hacen a través de la tienda oficial de aplicaciones o del propio sitio oficial, nunca desde enlaces que pululan por chats.
Qué hacer si recibes un mensaje de spam o phishing
Si recibes un SMS o un WhatsApp que huele mal, lo primero es mantener la calma y no tocar nada. No respondas, no pulses enlaces y no llames a los números que salen en el mensaje. Esa inacción inicial es tu mejor escudo.
Después, borra el mensaje para evitar que, en un despiste, alguien de tu entorno lo abra o pulse en el enlace. Borrar el mensaje no evita el fraude si ya has hecho clic, pero sí reduce el riesgo de interacción accidental en el futuro.
A continuación, bloquea el número desde el que te ha llegado el SMS o el WhatsApp. Bloquear el remitente dificulta que te sigan molestando desde esa misma línea, aunque puedan intentarlo desde otras. En la mayoría de móviles el bloqueo se hace desde la propia conversación, en el menú de opciones.
Siempre que puedas, reporta el caso. En WhatsApp puedes denunciar el contacto o grupo desde la ventana de chat, y en el caso de SMS algunos operadores permiten reenviar el mensaje a un número corto (como el 7726, SPAM, en determinados países) para ayudar a filtrar futuras campañas.
Si el mensaje finge ser de una empresa o institución concreta (banco, mensajería, administración, marca), es muy útil contactar con ellos por su canal oficial y avisarles. Las entidades utilizan estos avisos para detectar campañas activas y tomar medidas, además de confirmar a los usuarios si se trata de un fraude.
Qué hacer si ya has caído en la trampa
Si has hecho clic en un enlace, enviado datos o instalado algo sospechoso, hay que actuar rápido. Si introdujiste tus claves bancarias o de tarjeta, llama de inmediato a tu banco para bloquear la tarjeta, revisar movimientos y seguir las instrucciones de seguridad que te den.
En cuanto a contraseñas, cambia de inmediato las claves de las cuentas afectadas: banca online, correo electrónico, redes sociales, tiendas online y cualquier otro servicio donde uses datos similares. Si sueles repetir contraseña (algo nada recomendable), cambia también en todos esos sitios.
Si crees que tu móvil podría tener malware porque descargaste un archivo o una app desde un enlace sospechoso, lo más seguro es hacer una copia de tus datos importantes y restaurar el dispositivo a estado de fábrica. Restablecer el móvil elimina aplicaciones y ficheros maliciosos que puedan estar robando información.
Comprueba también si te han suscrito a servicios de SMS premium o a plataformas de pago que no recuerdas haber contratado. Revisa la factura de tu operador y las suscripciones desde la tienda de aplicaciones, y cancela cualquier alta que no reconozcas lo antes posible.
Por último, es muy recomendable denunciar. En España puedes acudir a la Policía Nacional, Guardia Civil o juzgado para interponer denuncia si ha habido perjuicio económico o robo de datos. Y también puedes pedir ayuda y orientación a INCIBE a través de su línea gratuita 017, WhatsApp (900 116 117) y Telegram (@INCIBE017).
Recursos y medidas adicionales para protegerte
Más allá de reaccionar ante cada intento de phishing, merece la pena reforzar la protección de fondo. Mantén siempre tu sistema operativo y tus apps actualizados, porque muchas actualizaciones corrigen fallos de seguridad que los ciberdelincuentes explotan.
Instalar una solución de seguridad reconocida en el móvil puede ser también una buena idea. Algunas apps de seguridad ayudan a bloquear enlaces peligrosos, detectar malware y filtrar mensajes sospechosos, reduciendo así la probabilidad de que algo se te cuele sin querer.
Controla dónde das tu número de teléfono. Cuantos más formularios, sorteos y servicios online tengan tu móvil, más posibilidades hay de que acabe en bases de datos que se venden o se filtran. Evita publicar tu número en redes sociales abiertas o foros públicos.
Y, sobre todo, trabaja la parte de concienciación, tanto a nivel personal como en tu empresa o familia. Compartir ejemplos reales de estafas, hacer pequeños recordatorios y comentar los casos que salen en medios ayuda a que todos desarrollen ese “radar” interno que hace saltar las alarmas a tiempo.
Los estafadores afinan cada día sus técnicas, pero también lo hacemos los usuarios cuando sabemos qué mirar, qué desconfiar y a quién acudir. Con algo de desconfianza sana, buenas prácticas básicas y la costumbre de verificar por canales oficiales, es mucho más complicado que un SMS o un WhatsApp fraudulento consiga su objetivo.
