En el ecosistema digital actual, donde las amenazas evolucionan casi a la misma velocidad que la tecnología, el smishing vuelve a situarse en el centro de las preocupaciones de los usuarios y las entidades financieras. El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre una nueva campaña de estafas bancarias a través de envío masivo de SMS fraudulentos que suplanta a bancos españoles y que ya ha puesto en riesgo a decenas de clientes.
Lo particular de esta oleada es que no se limita a engañar mediante enlaces fraudulentos, como venía siendo habitual, sino que redirecciona a las víctimas hacia un número de teléfono. Allí, tras una locución automatizada, se les atiende en falso nombre del banco para guiarles paso a paso hacia una trampa: transferir su dinero a una “cuenta de seguridad” que, en realidad, pertenece a los delincuentes.
Una campaña masiva con un guion bien diseñado
Los mensajes detectados llegan al teléfono móvil como si procedieran de la entidad bancaria habitual del usuario. Esta técnica de spoofing de remitente hace que los SMS fraudulentos se integren en el mismo hilo donde la persona suele recibir notificaciones legítimas de su banco, aumentando así su credibilidad.
El contenido de los mensajes sigue un patrón:
-
Alertan sobre una supuesta transferencia o cargo sospechoso por un importe elevado.
-
Facilitan un código asociado a la transacción.
-
Indican un número de teléfono al que llamar si el cliente no reconoce la operación.
Ejemplos recogidos por los analistas muestran errores ortográficos y ausencia de tildes, aunque estas señales no siempre son detectadas por las víctimas debido al contexto de urgencia que los delincuentes intentan generar:
“Se ha realizado un cargo por importe de XXXXEUR, si no reconoce este cargo, llame de inmediato a el: XXXX”
“Utiliza el codigo XXXX para realizar la transferencia por importe de XXXX EUR. Si no la ha realizado usted, contacte con nosotros al XXXX”
De la llamada a la estafa: cómo operan los delincuentes
El verdadero golpe llega una vez el usuario marca el número indicado. Primero escucha una grabación automática que simula pertenecer al banco, lo que refuerza la credibilidad del fraude. Poco después, un operador humano se presenta como agente del departamento de seguridad.
Este “asesor” tranquiliza a la víctima asegurando que no pedirá datos personales ni bancarios. En su lugar, le guía paso a paso para que acceda a la aplicación oficial de su banco o a la web corporativa. La manipulación psicológica es fina:
-
Se habla de una transacción sospechosa que debe ser bloqueada.
-
Se ofrece la opción de “proteger los fondos” mediante un traspaso a una “cuenta de respaldo de seguridad”.
-
Se presiona con la urgencia de evitar que el dinero “desaparezca” en cuestión de minutos.
El resultado: la persona realiza una transferencia real, desde su propia app, creyendo que blinda su dinero. En realidad, lo está entregando directamente a los estafadores.
¿Quién puede ser víctima?
Según INCIBE, cualquier cliente de una entidad bancaria que reciba este tipo de SMS puede caer en la trampa si decide llamar al número proporcionado. La campaña no discrimina por edad, nivel socioeconómico ni nivel de conocimientos digitales: la clave es la capacidad de los delincuentes para activar el miedo y la urgencia en el usuario.
No obstante, los colectivos más vulnerables son:
-
Personas mayores, menos familiarizadas con las técnicas de ingeniería social.
-
Usuarios que ya han tenido experiencias previas con cargos indebidos o fraudes online, y reaccionan rápido ante la alerta.
-
Clientes que confían plenamente en la comunicación vía SMS de su entidad.
La gravedad de esta campaña radica en que el fraude no se limita a robar credenciales —como ocurre en otros casos de phishing— sino que induce a la transferencia directa de fondos. Esto implica que las cantidades sustraídas pueden ser elevadas y difíciles de recuperar.
