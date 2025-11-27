Publicado por Alejandro Baños 27 de noviembre, 2025

"Ya puede recoger su paquete en..." o "acceda aquí para terminar de completar su compra". Si alguna vez ha recibido o recibe estas comunicaciones o similares -que siempre están acompañados de una URL sospechosa- a través de mensajes de texto (SMS), aplicaciones de mensajería -como WhatsApp- o correos electrónicos es porque usted está a punto de ser víctima de smishing.

El smishing es un tipo de estafa cada vez más común. Y más en fechas señaladas en el calendario, como, por ejemplo, el Black Friday. Consiste en que los delincuentes suplantan la identidad de conocidas marcas, bancos, entidades gubernamentales o compañías de reparto -spoofing- y envían un mensaje a los consumidores, haciéndoles creer que una supuesta compra que han hecho ya la pueden recoger en un determinado lugar o solicitándoles que completen la adquisición de un producto respondiendo al mensaje o accediendo a través de una URL fraudulenta.

A veces, también recurren a llamadas de teléfono en las que una voz automática, previamente grabada, le da ciertas instrucciones.

El objetivo de los estafadores es que sus víctimas entren en el enlace y, acto seguido, descarguen un malware -software malicioso cuyo fin es obtener acceso no autorizado- o proporcionen datos personales y privados como, por ejemplo, contraseñas o números de tarjetas de débito o crédito.

Así se reconoce un 'smishing': ¿cómo son los mensajes enviados por los estafadores?

Por lo general, las comunicaciones que envían los delincuentes que recurren al smishing para estafar suelen incluir un texto, en el que puede aparecer -o no- el nombre de la compañía o entidad a la que están suplantando, junto con una pequeña frase escrita, normalmente, con un tono más comercial.

Las dos frases enunciadas al comienzo de este artículo se suman a otras como "tiene un aviso de..." o "haga click para ver las nuevas ofertas...", por poner algunos ejemplos.

El enlace incorporado en el mensaje suele asemejarse al oficial de la compañía o entidad suplantada. Puede variar en una letra, un carácter especial o en un número.

Además, no incluyen el protocolo HTTPS, que garantiza que la URL es la oficial y que los datos no son alterados e impide que terceros no autorizados la intercepten y accedan a todo el contenido.