Smishing y vishing
Variantes del phishing: el smishing usa SMS/mensajería ("tu paquete está retenido, paga aquí") y el vishing usa llamadas de voz ("le llamo del banco, hay un cargo sospechoso"). El objetivo es el mismo: robar datos, dinero o credenciales.
Qué es Smishing y vishing
Smishing (SMS + phishing) es el fraude que llega por mensaje de texto o apps de mensajería; vishing (voice + phishing) es el que llega por llamada telefónica. Son hermanos del phishing por email, adaptados a canales donde la gente suele estar más confiada y con menos pistas para detectar el engaño (un SMS no tiene "remitente sospechoso" tan evidente; una voz suena humana y urgente).
Cómo funciona
Smishing: un SMS con un enlace ("Hacienda le debe una devolución", "su paquete no se ha podido entregar", "movimiento sospechoso en su cuenta") que lleva a una web falsa que clona la del banco, la del servicio de paquetería o la de la Administración. Vishing: una llamada de alguien que dice ser del banco, de soporte de Microsoft, de la policía o de tu operador, con un pretexto alarmante, que te pide datos, que instales una app de control remoto o que muevas tu dinero "a una cuenta segura". A menudo el número aparece falseado (spoofing) para que parezca el oficial.
Cómo protegerte
Los bancos, Hacienda y las empresas serias NUNCA piden por SMS o por teléfono tus claves completas, códigos de un solo uso, ni que muevas dinero. No hagas clic en enlaces de SMS no esperados: entra tú a la web/app oficial. Si te llaman, cuelga y llama tú al número oficial que figura en su web o en el reverso de tu tarjeta. Nunca instales programas de "asistencia remota" a petición de alguien que te ha llamado. Y nunca des el código de verificación que te llega por SMS: ese código es para ti, no para "confirmárselo" a nadie.
Datos curiosos
- El smishing se ha disparado con el auge del comercio online: el SMS de "tu paquete está retenido" es uno de los cebos más usados del mundo.
- En el vishing, los estafadores a menudo usan ruido de "centralita" de fondo y nombres y datos reales tuyos (sacados de filtraciones) para sonar creíbles.
- Algunos ataques combinan canales: primero un SMS, luego una llamada "del banco" para "ayudarte con el problema del SMS". Es una orquestación deliberada.
- Falsear el número que aparece en la llamada o el SMS (spoofing de identidad de llamada) es relativamente sencillo, así que ver "tu banco" en pantalla no garantiza nada.
Preguntas frecuentes
¿Cómo distingo un SMS del banco de un smishing?
Lo más seguro: no decidirlo. Ningún SMS o llamada legítima necesita que hagas clic en su enlace ni que des claves. Entra tú a la app oficial del banco para comprobar si hay algo real.
Me ha llamado "mi banco" y sabía mi nombre y mis últimos movimientos, ¿es de fiar?
No necesariamente. Esos datos pueden venir de una filtración previa. Cuelga y llama tú al número oficial. Un banco real nunca te pedirá por teléfono claves completas, códigos OTP ni mover tu dinero.
¿Qué hago si he picado?
Si has dado datos bancarios o has hecho una transferencia: llama de inmediato a tu banco para bloquear la tarjeta/cuenta, cambia las contraseñas afectadas y denuncia. Cuanto antes, más posibilidades de frenar el fraude.