Sign in

Entender, detectar y evitar ataques de Smishing

Entender, detectar y evitar ataques de Smishing

Smishing cotidiano: entender, detectar y evitar ataques (SMS, WhatsApp, Telegram)

Un mensaje en el móvil parece pequeño, pero puede abrir una puerta grande: a tu dinero, a tu correo institucional, a tus conversaciones y a datos de la Universidad.

Introducción

El smishing es uno de esos fraudes que funcionan porque llegan por el canal que más usamos y menos cuestionamos: el móvil. En abril de 2026 se ha vuelto a hablar en España de una oleada que suplanta a bancos con mensajes muy creíbles, sin faltas y, en algunos casos, insertados en hilos previos; es una referencia útil de mercado y conviene leerla como benchmark externo, no como estadística oficial [Kaspersky/Cinco Días, 2026].

En un entorno universitario esto importa mucho. Un estudiante puede caer por un supuesto pago de matrícula o beca. Una persona del PAS, por una actualización administrativa. Un miembro del PDI, por un aviso de acceso bloqueado o por una supuesta validación urgente de una cuenta. Cambia el pretexto, no el truco.

Además, hay una precisión importante. En sentido estricto, smishing es el engaño por SMS. Pero en la práctica conviene reconocer la misma maniobra cuando salta a WhatsApp o Telegram: el canal cambia, la manipulación es la misma.

Qué es el smishing y por qué importa

Dicho de forma sencilla: es un engaño enviado al móvil para que hagas algo que no deberías hacer. Pulsar un enlace, llamar a un número, entregar una clave, compartir un código o instalar algo. El atacante no empieza “rompiendo” un sistema; empieza empujando a una persona.

Ese empujón tiene un nombre técnico: ingeniería social. Significa manipular a alguien para que coopere sin darse cuenta. Es como disfrazarse de alguien de confianza y aprovechar un momento de prisa.

Funciona porque el móvil tiene un efecto psicológico especial. Muchos usuarios sospechan más del correo que del teléfono. INCIBE recuerda que los mensajes de texto suelen percibirse como más confiables y por eso este fraude resulta tan eficaz [INCIBE, 2026].

En la Universidad el impacto no es solo individual. Una sola cuenta comprometida puede arrastrar correo, ficheros compartidos, mensajería, calendarios, tutorías, documentos de trabajo o accesos a servicios internos. No hace falta imaginar un desastre cinematográfico: basta con una credencial robada y una persona que actúa demasiado rápido.

Qué se ve desde fuera: señales útiles y límites

La primera señal suele ser la prisa. “Hazlo ahora”, “tu cuenta será bloqueada”, “confirma en 10 minutos”, “si no eres tú, llama ya”. La urgencia no demuestra por sí sola que un mensaje sea falso, pero sí obliga a frenar.

La segunda es la acción que te empujan a hacer. Si un mensaje te saca de tu rutina y te lleva a un enlace, a un número de teléfono o a una petición de código, ya merece verificación aparte. El Banco de España insiste en una idea muy clara: un banco no te pedirá claves por correo o SMS [Banco de España, 2025].

La tercera es el cambio de canal. Un SMS te lleva a WhatsApp. Un WhatsApp te lleva a una llamada. Una llamada te lleva a una web. Ese salto encadenado es muy habitual porque cada paso intenta reforzar el anterior.

La cuarta es la apariencia de normalidad. Aquí está el problema de 2026: ya no puedes confiar en las faltas de ortografía como detector principal. Los mensajes son más limpios, más cortos y mejor escritos. Incluso pueden entrar en una conversación previa cuando se manipula el identificador del remitente; no hay un estudio público español reciente que cuantifique ese patrón en universidad, pero sí avisos y cobertura reciente que lo describen en campañas bancarias [Kaspersky/Cinco Días, 2026].

Ahora bien, estas señales tienen límites. Un mensaje bien redactado puede ser falso. Uno torpe puede ser real, aunque raro. Un número conocido puede estar suplantado. Un contacto de WhatsApp puede ser una cuenta tomada por otra persona. Por eso conviene pensar en capas.

Capa 1: lo que ves. Un aviso urgente, un enlace, un número que llama, un mensaje que parece venir de alguien conocido.

Capa 2: lo que puede estar pasando. Intentan que entregues una credencial, un código temporal o que inicies tú mismo la puerta de entrada.

Capa 3: cómo ayuda el STIC. Si avisas pronto, puede orientarte para contener el problema, revisar accesos, recomendar cambios y reducir el daño. No todo se resuelve igual, pero avisar rápido siempre mejora la respuesta.

Qué ocurre por dentro (sin jerga)

Detrás de un mensaje de este tipo suelen pasar tres cosas muy simples.

Primera: te piden la credencial. Es la combinación de usuario y contraseña. Piensa en ella como nombre y llave. Si entregas ambas en una web falsa, el atacante ya no necesita “adivinar” nada: le has dado la entrada.

Segunda: te piden un código de verificación. Ese código es una segunda cerradura, pensada para confirmar que eres tú. Si lo compartes o lo escribes donde no debes, la protección extra deja de proteger.

Tercera: buscan el control de la cuenta. El término técnico es account takeover: toma de control de la cuenta. Una vez dentro, pueden leer mensajes, pedir restablecimientos, entrar en servicios conectados o escribir a otras personas haciéndose pasar por ti.

En WhatsApp o Telegram el patrón puede cambiar un poco. A veces no quieren tu contraseña institucional, sino tu cuenta de mensajería o tu confianza. Si una cuenta comprometida te escribe “necesito ayuda urgente” o “te paso un código”, la trampa ya no se apoya en una marca conocida, sino en una persona conocida. INCIBE ha advertido campañas que empiezan por SMS y desplazan la conversación a WhatsApp para cerrar el engaño [INCIBE, 2025].

Otra microexplicación útil: recuperación de cuenta. Muchos servicios permiten restablecer acceso mediante correo, SMS o códigos temporales. Si el atacante consigue que le entregues ese paso de recuperación, puede adelantarse a ti y dejarte fuera.

Qué está en juego en la Universidad

En la Universidad no solo está en juego una contraseña. Está en juego el trabajo cotidiano. Para el alumnado, puede afectar a matrículas, becas, expedientes, plataformas docentes, correo, almacenamiento en la nube o citas. Para el PAS, a trámites, documentación de gestión, calendarios, listados, procedimientos y comunicación interna. Para el PDI, a tutorías, materiales, proyectos, convocatorias, investigación, movilidad y colaboración con terceros.

También hay una diferencia importante respecto a otros entornos. Aquí convivimos con mucha prisa y muchos cambios: inicio de curso, cierres de actas, solicitudes, viajes, congresos, pagos, altas y bajas, nuevas herramientas, trabajo híbrido y dispositivos personales. Ese contexto no “causa” el fraude, pero sí crea el momento perfecto para que un mensaje falso suene razonable.

Y hay otra consecuencia menos visible. Cuando una cuenta cae, el problema puede expandirse por confianza. El atacante no solo busca lo que hay dentro; busca a quién más puede escribir desde ahí. Un mensaje enviado desde una cuenta conocida encuentra menos resistencia.

Cómo ayuda el STIC

El papel del STIC no es esperar a que todo encaje solo, sino acompañar. Primero, ayudar a contener: cortar accesos, revisar qué cuenta puede estar afectada, orientar sobre cambios de contraseña y comprobaciones básicas. Después, ayudar a recuperar: volver a poner bajo control la cuenta, revisar sesiones abiertas, valorar impacto y recomendar pasos siguientes. Y, además, ayudar a aprender: convertir el incidente en una mejora práctica, no en una culpa permanente.

Conviene tener expectativas realistas. A veces el aviso llega antes de hacer clic y todo queda en un susto. Otras veces hay que actuar más rápido porque ya se ha compartido una clave, un código o un pago. En ambos casos, reportar pronto marca la diferencia.

En la Universidad Pontificia Comillas, igual que en cualquier organización, avisar a tiempo protege no solo a quien ha recibido el mensaje, sino también al resto de personas que podrían recibir después una comunicación parecida.

Lo que ha cambiado en 2025–2026

Han cambiado tres cosas de forma muy clara.

Primera: los mensajes están mejor escritos y afinados. La mala redacción ya no es una señal suficiente. Esto obliga a pasar de “detectar errores” a “verificar por otro canal”.

Segunda: los fraudes se mezclan más. Empiezan por SMS, siguen por llamada y se rematan en una web falsa o en una conversación de mensajería. El spoofing telefónico, es decir, la suplantación del número que ves en pantalla, también refuerza el engaño [INCIBE, 2024].

Tercera: en España se han movido piezas regulatorias para reducir parte del problema. La Orden TDF/149/2025 introdujo medidas contra llamadas y mensajes fraudulentos [BOE, 2025]. Después, la CNMC reguló el Registro de alias para SMS, MMS y RCS. Alias significa el nombre o marca que aparece como remitente del mensaje. Desde el 7 de junio de 2026, los operadores deben bloquear mensajes con alias no registrados o enviados por proveedores no habilitados [CNMC, 2026].

Esto ayuda, pero no lo resuelve todo. Reduce una vía de suplantación, no la manipulación humana. El mensaje puede mutar, saltar de canal o apoyarse en una llamada posterior. La regla práctica sigue siendo la misma: un mensaje no se valida por lo bien que parece hecho, sino por cómo lo compruebas.

Datos recientes en contexto

No hay un estudio público reciente centrado solo en smishing universitario en España, así que conviene situar el problema con cifras de ciberfraude y phishing más amplias, y leerlas como contexto nacional.

  • INCIBE registró 122.223 incidentes de ciberseguridad en 2025 [INCIBE, 2026].
  • De ellos, 45.445 fueron fraudes online, lo que supone 4 de cada 10 incidentes y un 19% más que el año anterior [INCIBE, 2026].
  • Dentro de ese bloque, el phishing lideró con 25.133 casos [INCIBE, 2026].
  • En colaboración con Red.es, se cerraron 4.600 dominios .es potencialmente fraudulentos [INCIBE, 2026].
  • La AEPD recibió 2.765 notificaciones de brechas de datos personales en 2025; muchas de las más masivas estuvieron ligadas a ransomware o intrusiones con exfiltración de datos [AEPD, 2026].
  • ENISA analizó 4.875 incidentes en su panorama de amenazas 2025 para la UE, señal de que el problema sigue siendo sostenido y amplio [ENISA, 2025].

La conclusión útil es simple: aunque el smishing sea “solo un mensaje”, el daño final puede acabar en dinero, datos personales, acceso no autorizado y trabajo interrumpido.

Checklist en 30 segundos

  • Para 10 segundos antes de actuar. Porque la prisa es la herramienta favorita del engaño.
  • No pulses el enlace del mensaje. Porque te lleva al terreno del atacante y te hace reaccionar donde él quiere.
  • Abre tú mismo la app o la web oficial. Porque cambia la fuente de verdad: ya no sigues el camino que te marcan.
  • No compartas códigos de verificación. Porque ese código suele ser la segunda llave de tu cuenta.
  • No llames al número que trae el propio mensaje. Porque puede formar parte del fraude aunque parezca de soporte.
  • Desconfía también si viene de un contacto conocido. Porque una cuenta robada puede escribir con total normalidad.
  • Usa contraseñas distintas y un gestor de contraseñas. Porque limita el daño si una cuenta cae.
  • Activa el segundo factor cuando el servicio lo permita. Porque añade una barrera extra frente al robo de credenciales.
  • Revisa sesiones y dispositivos conectados de vez en cuando. Porque una cuenta tomada no siempre da señales evidentes al principio.
  • Reporta el mensaje sospechoso. Porque así se protege también a otras personas del campus.

Qué hacer si ya ha pasado (sin tecnicismos)

Si ya has pulsado, llamado, entregado una clave o compartido un código, no pierdas tiempo intentando “arreglarlo solo” en silencio. Haz esto, por orden.

  • Corta la acción. Cierra la web, termina la llamada y no sigas conversando con quien te escribió.
  • Cambia la contraseña desde el canal oficial. No desde el enlace recibido, sino entrando tú a la app o servicio real.
  • Revisa y cierra sesiones abiertas. Especialmente en correo, mensajería y servicios institucionales.
  • Si compartiste un código o confirmaste un acceso, avisa de inmediato. Ahí el tiempo cuenta mucho.
  • Si hay dinero de por medio, contacta con tu entidad bancaria cuanto antes. El Banco de España recomienda actuar rápido y verificar siempre con la entidad por canal oficial [Banco de España, 2025].
  • Guarda pruebas. Mensaje, capturas, número, enlace y hora aproximada. Ayudan a contener y a denunciar.
  • Advierte a tus contactos si crees que tu cuenta puede estar enviando mensajes. Así se corta la cadena de confianza falsa.
  • Reporta al STIC y, si procede, denuncia. INCIBE recuerda además que dispone de ayuda gratuita en el 017 y canales de mensajería para orientación general [INCIBE, 2026].

Privacidad y trato respetuoso

Una cultura de seguridad útil no humilla a quien duda ni a quien se equivoca. Reportar pronto no debería dar vergüenza. Al contrario: es una señal de responsabilidad. En incidentes de este tipo conviene trabajar con proporcionalidad, compartir solo los datos necesarios para gestionar el caso y evitar detalles identificables fuera del circuito de ayuda.

También es importante recordar que no toda incidencia implica una brecha grave, pero algunas sí pueden afectar a datos personales y exigir una gestión cuidadosa. La AEPD insiste en que notificar y comunicar bien forma parte de la diligencia de una organización [AEPD, 2026].

Mantente alerta

El smishing no gana porque sea muy técnico. Gana porque aparece en un mal momento, con un mensaje convincente y una acción que parece pequeña. En 2026 el problema no es solo el SMS: es la mezcla de canales, la mejor redacción y la sensación de normalidad.

La buena noticia es que la defensa práctica sigue siendo asequible. Parar. No pulsar. Verificar por la vía habitual. Pedir ayuda pronto. En el campus, eso protege a la persona y también al conjunto.

Quédate con esta idea final: un mensaje puede parecer verdadero; la verificación es lo que lo hace fiable.

Read next