Actualmente, los ciberdelincuentes han cambiado sus métodos para tratar de robar nuestros datos y claves. El smishing, que es el nombre que se utiliza para denominar el fraude a través de SMS, se ha consolidado como uno de los métodos más usados contra el ciudadano español, sobre todo imitando a entidades como Correos, empresas de reparto, tu entidad bancaria o la Agencia Tributaria.

Estos criminales intentan siempre generar pánico y necesidad de actuar en el usuario, con mensajes del tipo: «Tu cuenta ha sido bloqueada», «Tienes una multa pendiente» o «Tu paquete no ha podido entregarse». A partir de ahí, juegan con esta urgencia que el usuario percibe desde el primer momento, y hay varias señales que debes tener en cuenta antes de caer en sus redes.

Por qué usan SMS

A diferencia del correo electrónico, donde los filtros de spam son extremadamente eficientes, el SMS sigue siendo una vía de comunicación relativamente abierta. Los estafadores utilizan varios tipos de técnicas para lograr que sus mensajes aparezcan en el mismo hilo de conversación que los mensajes legítimos de tu banco real, lo que induce a una falsa sensación de seguridad. Pensamos que quien nos está enviando ese mensaje es el banco, cuando en realidad es una persona haciéndose pasar por él.

La clave para no caer en la trampa es entender que ninguna entidad oficial, ya sea Correos o un banco, utilizará jamás un SMS para solicitarte datos sensibles o claves de acceso. Estas personas tienen siempre el objetivo final de redirigirte a una web que clona la apariencia de la original para que introduzcas tus claves voluntariamente.

Un enlace de confianza siempre debe llevarte al dominio principal de la empresa. Los estafadores suelen utilizar acortadores de URL o dominios que parecen reales pero contienen ligeras variaciones (por ejemplo, «correos-entrega.com» en lugar de «correos.es»). Es clave, por tanto, aprender a leer la estructura de una dirección web.

Cómo evitar las estafas

Identificar una estafa no hace falta ser experto pero sí verificar algunas cosas. Sobre todo, esto es lo que debes hacer para protegerte:

• Lo más importante: Los bancos y las instituciones públicas nunca piden claves, PIN o datos personales por SMS. Si el mensaje te insta a introducir tu contraseña en un enlace para desbloquear la cuenta, es una estafa al 100 %. Ante la duda, cierra el mensaje y accede tú mismo a través de la aplicación oficial del banco o llama por teléfono al número de atención al cliente que figure en el reverso de tu tarjeta.
• Revisa la URL: Antes de hacer clic, observa detenidamente el enlace. El detalle en el que casi nadie se fija es el dominio principal, que es lo que aparece justo antes del «.es» o «.com». Si recibes un SMS de una entidad bancaria, pero la URL es algo parecido a «verificacion-usuario-banco.net», ignóralo. Las empresas no utilizan dominios genéricos ni extensiones extrañas para comunicaciones tan importantes.