Explicación del smishing: qué phishing por SMS y cómo protegerse contra él

Información clave

El smishing domina phishing móvil. Los ataques basados en SMS representan el 69,3 % de todo phishing dirigido a dispositivos móviles phishing mishing), y los incidentes han aumentado un 22 % con respecto al año anterior.
Las filtraciones en las empresas comienzan con un mensaje de texto. Los casos de seguridad de gran repercusión en Twilio, Uber y MGM Resorts se remontan todos a técnicas de ingeniería social basadas en SMS como vector de acceso inicial.
Las plataformasPhishing industrializan el smishing. Ecosistemas delictivos como Darcula y Lucid han registrado más de 194 000 dominios maliciosos desde enero de 2024 y ahora utilizan la IA generativa para crear señuelos en varios idiomas.
La autenticación multifactorial basada en SMS supone un riesgo. La CISA y el FBI desaconsejan expresamente el uso de la autenticación multifactorial basada en SMS e instan a las organizaciones a adoptar alternativas FIDO2/WebAuthn phishing.
La detección posterior a la intrusión es fundamental. Cuando un mensaje de smishing logra eludir los controles de prevención, el análisis de comportamiento y el análisis de señales basado en inteligencia artificial detectan los siguientes movimientos del atacante: el uso indebido de credenciales, el movimiento lateral y la sustracción de datos.

Cada día, miles de millones de mensajes de texto llegan a dispositivos móviles de todo el mundo. Los atacantes lo saben, y se aprovechan de la confianza que la gente deposita en los SMS para eludir los controles de seguridad del correo electrónico que las organizaciones han tardado años en desarrollar. Según el Informe de Investigaciones sobre Fugas de Datos 2025 de Verizon, el 16 % de las fugas comenzó con phishing el 60 % implicó una acción humana, lo que convierte a la ingeniería social en el vector de acceso inicial más persistente en materia de ciberseguridad. El smishing — phishing enviado a través de mensajes de texto— se ha disparado hasta convertirse en el canal dominante para los ataques dirigidos a dispositivos móviles, lo que, según la FTC, provocará pérdidas por valor de 470 millones de dólares a los consumidores solo en 2024. Para los equipos de seguridad, el smishing ya no es una simple molestia para los consumidores. Se trata de una amenaza de nivel empresarial que exige una estrategia de defensa por capas.

¿Qué es el smishing?

El smishing es un ataque de ingeniería social en el que los delincuentes envían mensajes de texto fraudulentos —a través de SMS, RCS o iMessage— para engañar a los destinatarios y que hagan clic en enlaces maliciosos, revelen información confidencial o instalen malware. El término combina «SMS» y «phishing» para describir este vector de ataque centrado en los dispositivos móviles.

El smishing forma parte de la taxonomía más amplia del «mishing», un término genérico acuñado por Zimperium para referirse a todos phishing dirigidos a dispositivos móviles, incluidos phishing por voz phishing vishing) y phishing mediante códigos QR phishing quishing). De todos los tipos de ataques de mishing, el smishing es, con diferencia, el más frecuente. Según el Informe global sobre amenazas móviles de Zimperium para 2025, el 69,3 % de todos phishing dirigidos a dispositivos móviles se realizan a través de SMS.

La magnitud del problema está aumentando rápidamente. Según un estudio de Zimperium, los incidentes de smishing aumentaron un 22 % interanual en 2025, y, según el informe «State of the Phish» de Proofpoint de 2024 —los datos de la encuesta anual más recientes disponibles sobre la prevalencia del smishing en las organizaciones—, el 75 % de las organizaciones sufrió ataques de smishing en 2023.

Por qué el smishing supone una amenaza para las empresas

La razón por la que el smishing funciona tan bien es sencilla: la gente confía en los mensajes de texto. Las tasas de clics en los SMS oscilan entre el 8,9 % y el 14,5 %, frente al 2 % aproximadamente phishing por correo electrónico. Los mensajes llegan a dispositivos personales que pueden carecer de controles de seguridad corporativos, y el tamaño reducido de la pantalla dificulta la comprobación de las URL antes de pulsar sobre ellas.

Las consecuencias para las empresas son graves. La filtración de Twilio en agosto de 2022, el ataque a Uber en septiembre de 2022 y el ataque a MGM Resorts en septiembre de 2023 comenzaron todos ellos con técnicas de ingeniería social basadas en SMS o en dispositivos móviles como vector de acceso inicial. No se trataba de estafas dirigidas a los consumidores, sino de campañas coordinadas por actores maliciosos muy sofisticados, que provocaron el compromiso de cientos de cuentas, el acceso a sistemas internos y pérdidas que superaron los 100 millones de dólares.

Cómo funcionan los ataques de smishing

Un ataque de smishing sigue una secuencia predecible, aunque el nivel de sofisticación de cada fase ha aumentado considerablemente con el auge de las plataformas phishing(PhaaS) y la IA generativa.

Flujo del ataque:

Creación del señuelo: el atacante redacta un mensaje de texto diseñado para provocar una sensación de urgencia, miedo o curiosidad. Los mensajes se hacen pasar por bancos, organismos gubernamentales, empresas o servicios de reparto.
Entrega de mensajes: el mensaje se envía a través de SMS tradicional, RCS o iMessage. Las plataformas PhaaS aprovechan ahora estos tres canales para eludir los filtros de los operadores.
Interacción con la víctima: el destinatario pulsa un enlace que le redirige a una página diseñada para suplantar un portal de inicio de sesión legítimo con el fin de robar sus credenciales, o que activa la malware .
Fuga de datos: las credenciales obtenidas se utilizan para apropiarse de cuentas, obtener acceso no autorizado o venderse en mercados clandestinos.
Actividad posterior a la intrusión: los atacantes utilizan las credenciales robadas para desplazarse lateralmente, escalar privilegios y penetrar más profundamente en la red.

Varias técnicas de envío emergentes hacen que el smishing sea más difícil de detectar. El iMessage de Apple desactiva por defecto los enlaces de remitentes desconocidos, pero ahora los atacantes indican a los destinatarios que «respondan Y» para volver a habilitarlos, una técnica documentada por BleepingComputer que elude eficazmente phishing integrada de Apple. En el Reino Unido, las autoridades detuvieron a personas que utilizaban «SMS blasters» montados en vehículos —dispositivos físicos que imitan las torres de telefonía móvil para enviar mensajes de smishing directamente a los teléfonos cercanos, eludiendo por completo el filtrado de los operadores (SecurityWeek). Investigadores de Sekoia también documentaron campañas de smishing silenciosas que aprovechaban vulnerabilidades en las API de los routers (CVE-2023-43261 en routers Milesight) para enviar mensajes sin el conocimiento del propietario del dispositivo (Sekoia).

¿Te pueden hackear por responder a un mensaje de texto? En muchos casos, sí. El simple hecho de responder a un mensaje de smishing confirma que el número está activo y puede dar lugar a nuevos ataques dirigidos. En el caso del iMessage «Responde Y», responder directamente desactiva un control de seguridad, lo que expone al usuario a enlaces maliciosos.

El ecosistema phishing

El cambio más significativo en el panorama del smishing es la aparición de plataformas phishing(PhaaS), que proporcionan una infraestructura delictiva llave en mano a escala industrial. Plataformas como Darcula, Lucid y Lighthouse ofrecen kits de smishing ya preparados —que incluyen plantillas de mensajes, páginas para la recopilación de credenciales, infraestructura de entrega y paneles de seguimiento— por tan solo 8 dólares por cada 1000 mensajes a través de servicios como Oak Tel (Resecurity).

Las cifras son abrumadoras. La investigación de Unit 42 identificó 194 345 dominios maliciosos vinculados a campañas de smishing con sede en China desde enero de 2024, con aproximadamente 600 grupos delictivos que utilizan dicha infraestructura. En un periodo de siete meses, se vieron comprometidas unas 884 000 tarjetas de pago solo a través de estas plataformas (Infosecurity Magazine).

La integración de la IA generativa hace que estas plataformas sean aún más peligrosas. En abril de 2025, Darcula incorporó capacidades de IA generativa para la generación automatizada phishing multilingües (The Hacker News), lo que permitió a los operadores crear señuelos convincentes en cualquier idioma sin necesidad de traducción humana. Las investigaciones indican que los mensajes de smishing generados por modelos de lenguaje grande (LLM) son un 24 % más eficaces que los redactados por personas, lo que reduce aún más las barreras de entrada para las campañas phishing basadas en IA.

A finales de 2025, Google presentó demandas en virtud de la ley RICO contra los operadores de Darcula y Lighthouse (NBC News), lo que supuso una intensificación de las acciones legales contra la infraestructura PhaaS. Sin embargo, el carácter descentralizado de estas plataformas hace que su cierre tenga un efecto duradero limitado.

Tipos de ataques de smishing

Los ataques de smishing varían según el tipo de señuelo y el objetivo. En la siguiente tabla se resumen las categorías más comunes, cada una de ellas respaldada por campañas reales observadas por investigadores de seguridad.

Tipos habituales de ataques de smishing y sus características distintivas:

Tipo	Señuelos habituales	Objetivo	Nivel de riesgo
Suplantación de identidad de una entidad financiera	«Actividad sospechosa en tu cuenta», «Cuenta bloqueada»	Datos bancarios, números de tarjeta	Alta
Suplantación de identidad de organismos públicos	Peajes pendientes de pago, devoluciones de impuestos, verificación de prestaciones	Datos personales, datos de pago	Alta
Notificaciones de envío/entrega	«No se ha podido entregar el paquete», actualizaciones del seguimiento	Datos de pago, credenciales	Medio
Suplantación de identidad de un empleador	Restablecimiento de contraseñas, recopilación de credenciales de SSO, actualizaciones de políticas	Credenciales corporativas, códigos de autenticación multifactorial	Crítica
Estafas relacionadas con premios o recompensas	Tarjetas regalo, premios de lotería, recompensas por fidelidad	Datos de pago, información de identificación personal	Medio
Robo del código MFA	«Verifica tu identidad», indican los mensajes falsos de autenticación multifactorial	Contraseñas de un solo uso, tokens de sesión	Crítica
Estafas telefónicas del tipo «número equivocado»	Mensajes amables, aunque mal dirigidos, que sirven para generar confianza	Explotación financiera (matanza de cerdos)	Alta

La suplantación de identidad de entidades financieras y organismos gubernamentales sigue siendo el tipo de engaño más habitual. La campaña del FBI sobre las tasas de peaje de 2025 —que se analiza en detalle más adelante— constituye un ejemplo a gran escala de la categoría de suplantación de identidad de organismos gubernamentales. Los ataques de suplantación de identidad relacionados con las tecnologías de la información y los empleadores suponen el mayor riesgo para las empresas, ya que tienen como objetivo las credenciales de inicio de sesión único (SSO) y pueden dar lugar directamente a filtraciones de datos que afecten a toda la organización.

Las campañas de smishing dirigidas comparten muchas tácticas con phishing spear phishing, ya que utilizan el reconocimiento a través de LinkedIn y señuelos personalizados para aumentar su credibilidad. La diferencia radica en el canal de distribución, así como en las tasas de clics más elevadas que ofrece el SMS.

Smishing, phishing vishing

Comprender las diferencias entre el smishing, phishing y el vishing es fundamental para crear una defensa integral. Aunque los tres son ataques de ingeniería social, se diferencian en el canal de distribución, la eficacia y los controles necesarios para detectarlos.

Comparación de los vectores de ataque phishing, el smishing y el vishing:

Tipo de ataque	Canal	Señuelos habituales	Defensa clave
Phishing	Correo electrónico	Fraude en facturas, robo de credenciales, malware	Pasarelas de seguridad de correo electrónico, DMARC, formación de usuarios
Smishing	SMS, RCS, iMessage	Tarifas de peaje, alertas de entrega, avisos de cuenta, solicitudes de autenticación multifactorial	Protección contra amenazas móviles, autenticación multifactorial FIDO2, filtrado de operadores
Vishing	Llamadas de voz	Estafas relacionadas con el soporte técnico, suplantación de identidad del servicio de asistencia técnica, fraude del IRS	Protocolos de verificación de llamadas, formación de los empleados
Quishing	Códigos QR	Parquímetros, menús de restaurantes, facturas falsas	Comprobación de URL, aplicaciones de seguridad para móviles

La tendencia más importante es la convergencia. Los autores de amenazas modernos rara vez se basan en un único canal. El Scattered Spider combina el smishing y el vishing en campañas coordinadas, y la operación ShinyHunters de enero-febrero de 2026 violó la seguridad de más de 15 organizaciones mediante vishing e ingeniería social, lo que provocó la filtración de más de 50 millones de registros (Help Net Security). Los defensores que traten el smishing, phishing y el vishing como problemas independientes pasarán por alto las cadenas de ataque multicanal.

El smishing en la práctica: ataques reales y advertencias del FBI

Los siguientes casos prácticos demuestran por qué el smishing es un vector de acceso inicial a nivel empresarial, y no una simple molestia para los consumidores.

Fallo de seguridad en Twilio (agosto de 2022). Scattered Spider mensajes SMS a empleados actuales y antiguos de Twilio haciéndose pasar por el departamento de TI, alegando que sus contraseñas habían caducado. Los empleados que hacían clic en el enlace eran redirigidos a un portal de inicio de sesión único (SSO) falso. El resultado: 209 cuentas de clientes comprometidas, además de 93 cuentas de usuarios finales de Authy. La lección: la recopilación de credenciales a través de SMS puede poner en peligro toda una base de clientes (The Hacker News).

Ataque de fatiga de la autenticación multifactorial (MFA) contra Uber (septiembre de 2022). Un atacante compró credenciales robadas de un empleado de Uber, se puso en contacto con él a través de WhatsApp y lo bombardeó con notificaciones push de MFA hasta que el empleado, frustrado, aprobó una de ellas. El atacante consiguió acceder a G-Suite, Slack y herramientas internas. La lección: la MFA basada únicamente en SMS y notificaciones push no es suficiente; las organizaciones necesitan una MFA con verificación de números y límites en los intentos de notificaciones push (UpGuard).

MGM Resorts y Caesars (septiembre de 2023). Scattered Spider el servicio de LinkedIn y técnicas de ingeniería social en el servicio de asistencia técnica para obtener contraseñas y restablecer la autenticación de dos factores (MFA). MGM sufrió pérdidas por valor de 100 millones de dólares en el tercer trimestre. Caesars pagó aproximadamente 15 millones de dólares en concepto de rescate. La lección: la ingeniería social elude los controles técnicos al centrarse en los procesos humanos; es necesario reforzar la verificación de identidad en el servicio de asistencia técnica (alerta de la CISA AA23-320A).

Campaña de smishing relacionada con peajes del FBI (marzo de 2025). El FBI recibió más de 2000 denuncias sobre mensajes de texto de smishing que se hacían pasar por organismos estatales de peajes en más de 10 estados. Palo Alto Networks identificó más de 10 000 dominios registrados para estas estafas, vinculados a grupos ciberdelictivos chinos (FBI de Atlanta). Esta campaña pone de manifiesto la magnitud con la que la infraestructura PhaaS permite suplantar la identidad de las autoridades gubernamentales.

Campaña multicanal de ShinyHunters (enero-febrero de 2026). ShinyHunters logró acceder a más de 15 organizaciones mediante una combinación de vishing e ingeniería social, lo que provocó la filtración de más de 50 millones de registros. La campaña pone de manifiesto la tendencia a la convergencia: el smishing, el vishing y la ingeniería social funcionan ahora como cadenas de ataque coordinadas, y no como tácticas aisladas.

Cada uno de estos incidentes pone de relieve la necesidad de contar con planes de respuesta ante incidentes que tengan en cuenta las intrusiones iniciadas desde dispositivos móviles y el movimiento lateral que se produce tras el acceso inicial.

Detección y prevención del smishing

Cómo identificar los mensajes de texto de smishing

Para detectar el smishing hay que ir más allá de los errores gramaticales: los mensajes generados por IA son cada vez más pulidos y no contienen errores. En su lugar, presta atención a estos indicadores de comportamiento:

Una urgencia inesperada. «Actúa ahora o se suspenderá tu cuenta» es una táctica de presión diseñada para impedir que se reflexione con calma.
Números de remitentes desconocidos. Las organizaciones legítimas rara vez inician comunicaciones delicadas por mensaje de texto desde números desconocidos.
URL acortadas o sospechosas. Los enlaces de Bit.ly, los dominios con errores ortográficos y los subdominios desconocidos son señales de alerta.
Solicitudes de credenciales o datos personales. Ningún banco, empresa o organismo público legítimo solicita contraseñas o números de la Seguridad Social por mensaje de texto.
Saludos genéricos. Expresiones como «Estimado cliente» o «Estimado usuario» en lugar de tu nombre suelen indicar que se trata de una campaña masiva.

Qué hacer si recibes un mensaje de texto de smishing

No hagas clic en ningún enlace ni respondas al mensaje
Reenvía el mensaje sospechoso al 7726 (SPAM) para denunciarlo a tu operador
Denuncia el mensaje en ReportFraud.ftc.gov y en IC3.gov
Borrar el mensaje
Si el mensaje parece legítimo, ponte en contacto con la organización directamente a través de su página web oficial o su número de teléfono
Si ya has hecho clic en un enlace, desconéctate de Internet, cambia las contraseñas de todas las cuentas en las que hayas iniciado sesión, activa la supervisión de cuentas y ponte en contacto con tu entidad financiera.

Para detectar eficazmente las amenazas a nivel organizativo no basta con concienciar a los usuarios. Las soluciones de análisis de comportamiento pueden identificar patrones de autenticación anómalos, intentos de acceso inusuales y el uso indebido de credenciales tras un ataque de smishing que haya tenido éxito, incluso cuando el mensaje inicial no haya sido interceptado.

Marco de defensa contra el smishing empresarial

Los consejos dirigidos a los usuarios —«no hagas clic en enlaces sospechosos»— son necesarios, pero insuficientes para la seguridad empresarial. Las organizaciones necesitan una arquitectura de defensa por capas que aborde el smishing a lo largo de todo el ciclo de vida del ataque.

Autenticación multifactorial (MFA)Phishing. Sustituya las contraseñas de un solo uso basadas en SMS por llaves de seguridad de hardware FIDO2/WebAuthn o por autenticación biométrica. La norma NIST SP 800-63 restringe la autenticación basada en SMS para los sistemas federales, y la Guía de buenas prácticas en comunicaciones móviles de la CISA, de diciembre de 2024, desaconseja explícitamente el uso de la MFA basada en SMS. Ya no se trata de una recomendación opcional, sino del nivel básico de seguridad. El documento CIO-IT Security-21-112 Rev 1 de la GSA, publicado en enero de 2026, exige la autenticación multifactorial phishing para los sistemas no federales que manejan información controlada no clasificada.

Defensa contra amenazas móviles (MTD). Implemente soluciones MTD en los dispositivos móviles de la empresa para detectar y bloquear enlaces maliciosos en tiempo real, tal y como recomienda la Guía complementaria sobre controles de seguridad móvil del CIS.

Aplicación de MDM/MAM. La gestión de dispositivos móviles y la gestión de aplicaciones móviles aplican políticas de seguridad, restringen la instalación de aplicaciones no autorizadas y permiten el borrado remoto de los dispositivos comprometidos.

Formación mediante simulaciones de smishing. Amplíe los programas phishing para incluir ejercicios basados en SMS. Las organizaciones que solo evalúan la concienciación sobre el correo electrónico pasan por alto un canal en el que las tasas de clics son entre cuatro y siete veces superiores (Hoxhunt).

Fortalecimiento del servicio de asistencia técnica. Las filtraciones de MGM y Caesars demostraron que la ingeniería social elude los controles técnicos al centrarse en los procesos humanos. Implemente una verificación de identidad en varias capas para todos los restablecimientos de credenciales, tal y como se recomienda en el aviso AA23-320A de la CISA.

SIEM. Unifique las alertas de amenazas móviles con los flujos de trabajo operativos existentes del SOC. Las intrusiones iniciadas mediante smishing generan los mismos comportamientos posteriores al acceso —uso indebido de credenciales, escalada de privilegios, movimiento lateral— que cualquier otro vector de acceso inicial. Su SOC necesita visibilidad en todos los canales.

MITRE ATT&CK para el smishing

Correlación del smishing con el MITRE ATT&CK permite a los equipos de ingeniería de detección crear análisis específicos y a los equipos de cumplimiento normativo documentar la cobertura. Actualmente, ningún competidor importante ofrece esta correspondencia, aunque es fundamental para las operaciones de seguridad empresarial.

MITRE ATT&CK relevantes para los ataques de smishing:

Técnica ID	Nombre de la técnica	Táctica	Relación con el smishing	Estrategia de detección
T1566	Phishing: Enlace sobre spearphishing	Acceso inicial (Empresa)	Mensajes SMS que contienen enlaces maliciosos dirigidos a las credenciales de las empresas	Supervisar si se producen autenticaciones anómalas procedentes de nuevos dispositivos tras introducir las credenciales
T1660	Phishing móvil)	Acceso inicial (móvil)	Incluye expresamente phishing por SMS phishing vector de acceso inicial a través del móvil	Soluciones MTD para la detección de URL maliciosas en dispositivos móviles
T1566.003	Spearphishing a través del servicio	Acceso inicial (Empresa)	Smishing enviado a través de iMessage, RCS o WhatsApp	Supervisar el tráfico de los servicios de mensajería de terceros en busca de indicios de robo de credenciales
T1636.004	Datos de usuario protegidos: mensajes SMS	Colección (Móvil)	Captura de mensajes SMS, incluidos los códigos de autenticación de dos factores, tras el compromiso del sistema	Detectar accesos no autorizados a las API de SMS o a los almacenes de mensajes en dispositivos móviles
T1582	Control por SMS	Command and Control móvil)	Malware las funciones de SMS de dispositivos comprometidos para propagar el smishing	Supervisar patrones anómalos en los SMS salientes desde dispositivos gestionados por la empresa

Contexto normativo y de cumplimiento

La defensa contra el smishing en las empresas se ajusta directamente a los marcos de cumplimiento establecidos:

Funciones del Marco de Seguridad Cibernética del NIST. Identificar (inventario de activos, incluidos los dispositivos móviles), proteger (autenticación multifactorialphishing), detectar (detección de amenazas móviles y análisis de comportamiento) y responder (respuesta a incidentes en caso de vulneraciones iniciadas desde dispositivos móviles).
NIST SP 800-63. Restringe la autenticación basada en SMS para los sistemas federales debido a los riesgos de suplantación de SIM e interceptación.
Directrices de la CISA y el FBI de diciembre de 2024. Se desaconseja expresamente el uso de la autenticación multifactorial (MFA) basada en SMS para todas las organizaciones, no solo para las agencias federales.
Control CIS 14. Formación en concienciación y habilidades de seguridad que abarque el smishing como un vector de ataque específico.
Guía complementaria de CIS Controls Mobile. Recomienda tecnologías de MDM, MTD y antivirus para dispositivos móviles destinadas a la protección de los dispositivos móviles de las empresas.

Enfoques modernos para la defensa contra el smishing

El sector de la seguridad está cambiando su enfoque respecto al smishing, pasando de centrarse únicamente en la prevención a combinar la detección y la respuesta. Los modelos de detección basados en IA alcanzan ahora una tasa de detección del smishing del 96,2 %, frente al 25-35 % de las herramientas de filtrado comerciales tradicionales, según datos agregados de investigaciones realizadas entre 2025 y 2026. Esta diferencia pone de manifiesto las limitaciones de los enfoques basados en reglas y en firmas a la hora de hacer frente a los señuelos multilingües generados por IA que se envían simultáneamente a través de los canales SMS, RCS e iMessage.

El análisis de comportamiento desempeña un papel fundamental en la defensa contra el smishing a nivel empresarial. En lugar de intentar bloquear todos los mensajes de texto maliciosos —una tarea cada vez más difícil—, las organizaciones se benefician de la detección de los comportamientos posteriores a la compromisión que siguen a un ataque de smishing exitoso: uso anómalo de credenciales, movimiento lateral a través de redes y cloud , escalada de privilegios y exfiltración de datos. La detección unificada en toda la superficie de ataque —red, identidad, cloud y SaaS— garantiza que se detecten las vulnerabilidades provocadas por el smishing, independientemente del canal de acceso inicial.

Las organizaciones que estén evaluando soluciones de detección y respuesta gestionadas (MDR) y de detección y respuesta en red (NDR) deben valorar si dichas soluciones ofrecen visibilidad sobre la cadena de actividades posteriores al ataque que inicia el smishing, y no solo sobre el envío del SMS en sí.

Cómo Vectra AI la defensa contra el smishing

El smishing suele ser el primer paso de un ataque en varias fases. La solución Attack Signal Intelligence Vectra AI Attack Signal Intelligence en detectar los comportamientos posteriores a la compromisión que siguen a un ataque de smishing exitoso —uso indebido de credenciales, movimiento lateral, escalada de privilegios y exfiltración de datos— en toda la red moderna, que abarca entornos locales, cloud, de identidad y SaaS. Este enfoque basado en la suposición de compromiso significa que, incluso cuando un mensaje de smishing elude los controles de prevención, las acciones posteriores del atacante se detectan y priorizan mediante un análisis de comportamiento impulsado por IA, en lugar de basarse únicamente en firmas. Al correlacionar las señales entre la detección y respuesta ante amenazas de identidad (ITDR) y la detección de red, Vectra AI los equipos de SOC Vectra AI detectar y detener los ataques que comienzan con un mensaje de texto.

Tendencias futuras y consideraciones emergentes

El panorama de las amenazas de smishing está evolucionando en múltiples frentes, y las organizaciones deben prepararse para varios cambios importantes que se producirán en los próximos 12 a 24 meses.

La adopción de RCS amplía la superficie de ataque. La adopción de RCS por parte de Apple en 2025 significa que las plataformas PhaaS disponen ahora de tres canales de mensajería —SMS, RCS e iMessage— que pueden ser objeto de ataques. Los mensajes RCS pueden incluir un formato más elaborado y elementos de marca que hacen que los señuelos de smishing resulten más convincentes, y el nivel de seguridad de las implementaciones de RCS varía según el operador y el fabricante del dispositivo.

La IA generativa acelera la sofisticación del smishing. La integración de la IA generativa en las plataformas PhaaS (tal y como demostró Darcula en abril de 2025) permite crear señuelos automatizados, multilingües y personalizados según el contexto a gran escala. Las organizaciones deben prepararse para que los mensajes de smishing sean cada vez más difíciles de distinguir de las comunicaciones legítimas, lo que hará que la detección basada en la gramática quede obsoleta.

El impulso normativo va en aumento. Se prevé que la norma NIST SP 800-63-4 se publique definitivamente en 2026, lo que probablemente reforzará las restricciones sobre la autenticación basada en SMS. La exigencia de la GSA, con fecha de enero de 2026, de que los sistemas que gestionan información no clasificada controlada cuenten con una autenticación multifactorial (MFA) phishing, es señal de una iniciativa federal más amplia a la que probablemente se sumarán las organizaciones del sector privado. Los responsables de seguridad deberían empezar a planificar la migración a FIDO2 ahora mismo, en lugar de esperar a que se impongan las obligaciones.

La infraestructura de PhaaS sigue descentralizándose. A pesar de las demandas presentadas por Google en virtud de la ley RICO y de las operaciones policiales, las plataformas de PhaaS regeneran su infraestructura con rapidez. Las organizaciones deberían invertir en la verificación de la reputación de las URL en tiempo real, en la detección basada en inteligencia artificial y en el análisis del comportamiento tras un ataque, en lugar de confiar únicamente en el filtrado a nivel de operador.

Conclusión

El smishing ha pasado de ser una simple molestia para los consumidores a convertirse en uno de los vectores de acceso iniciales más eficaces que amenazan la seguridad de las empresas. La combinación de las elevadas tasas de clics en los SMS, la infraestructura industrializada de PhaaS y la IA generativa hace que el volumen, la sofisticación y la tasa de éxito de los ataques de smishing sigan aumentando.

El camino a seguir no pasa únicamente por la prevención. Las organizaciones que asumen que se producirán brechas de seguridad —reconociendo que algunos mensajes de smishing llegarán a los empleados y que algunos de ellos harán clic en ellos— están mejor preparadas para detectar y detener los ataques antes de que causen daños. Para ello se requiere una autenticación multifactorial (MFA) phishing, defensa contra amenazas móviles, formación mediante simulaciones, procesos reforzados y detección de comportamientos que permita identificar a los atacantes tras el acceso inicial.

La mejor defensa contra el smishing es la misma que funciona contra cualquier vector de acceso inicial: visibilidad de toda la superficie de ataque, señales generadas por IA para filtrar el ruido y la capacidad de actuar antes de que los atacantes alcancen sus objetivos.

Descubre cómo Vectra AI amenazas posteriores a una intrusión en entornos de red, de identidad, cloud y SaaS.

Preguntas frecuentes

¿Qué es el smishing?

El smishing ( phishing por SMS) es un ataque de ingeniería social en el que los delincuentes envían mensajes de texto fraudulentos para engañar a los destinatarios y que estos hagan clic en enlaces maliciosos, revelen información confidencial o instalen malware. Se trata de una variante del phishing utiliza SMS, RCS o iMessage como canal de distribución en lugar del correo electrónico. El término combina «SMS» yphishing». El smishing se enmarca dentro de la taxonomía más amplia del «mishing», un término genérico que engloba todos phishing dirigidos a dispositivos móviles. Según el estudio de Zimperium de 2025, los ataques basados en SMS representan el 69,3 % de todo phishing dirigido a dispositivos móviles, lo que convierte al smishing en el vector de ataque móvil dominante. Para las empresas, el smishing supone un riesgo significativo, ya que las tasas de clics en los SMS oscilan entre el 8,9 % y el 14,5 %, superando con creces la tasa de aproximadamente el 2 % phishing por correo electrónico. Las violaciones de seguridad de gran repercusión en Twilio, Uber y MGM Resorts tuvieron como vector de acceso inicial la ingeniería social basada en SMS o en dispositivos móviles.

¿Cuál es la diferencia entre el smishing y phishing?

Phishing llegar por correo electrónico, mientras que el smishing se envía a través de mensajes de texto (SMS, RCS o iMessage). La diferencia fundamental radica en el canal de distribución, pero esta distinción tiene importantes implicaciones para la seguridad. Los mensajes de smishing alcanzan tasas de clics considerablemente más altas (entre el 8,9 % y el 14,5 %, frente al 2 % aproximado del correo electrónico), ya que las personas confían más en los mensajes de texto y los leen más rápidamente. phishing por correo electrónico phishing ser interceptado por las puertas de enlace de seguridad de correo electrónico corporativo, las políticas DMARC y las herramientas de sandboxing. El smishing suele llegar a dispositivos móviles personales que carecen de controles de seguridad equivalentes, lo que dificulta su detección y bloqueo por parte de las organizaciones. Ambos ataques utilizan tácticas de ingeniería social —urgencia, suplantación de autoridad y miedo— para manipular a los destinatarios. Los actores maliciosos más sofisticados combinan ahora ambos canales en campañas de varias fases, utilizando el smishing para el contacto inicial y phishing por correo electrónico phishing la recopilación posterior de credenciales.

¿Cómo puedo saber si un mensaje de texto es un intento de smishing?

Presta atención a estos indicios: urgencia inesperada («actúa ahora o se cerrará tu cuenta»), números de remitentes desconocidos, URL acortadas o sospechosas (enlaces bit.ly, dominios con errores ortográficos), solicitudes de información personal o credenciales, y saludos genéricos como «Estimado cliente». Sin embargo, es importante tener en cuenta que los mensajes de smishing generados por IA son cada vez más precisos, por lo que la gramática y la ortografía por sí solas ya no son indicadores fiables. Las campañas de smishing más sofisticadas utilizan datos personalizados recopilados de las redes sociales o de filtraciones de datos. En caso de duda, no hagas clic en ningún enlace. En su lugar, ponte en contacto con la organización directamente a través de su sitio web oficial o su número de teléfono. Las organizaciones legítimas no solicitan contraseñas, números de la Seguridad Social ni información de pago a través de mensajes de texto.

¿Qué debo hacer si recibo un mensaje de texto fraudulento?

No hagas clic en ningún enlace ni respondas al mensaje. Reenvía el mensaje de texto al 7726 (SPAM) para denunciarlo a tu operador, y denúncialo también en ReportFraud.ftc.gov e IC3.gov. Borra el mensaje después de denunciarlo. Si cree que el mensaje podría ser legítimo —por ejemplo, una notificación de entrega cuando está esperando un paquete—, póngase en contacto con la organización directamente a través de su sitio web oficial o su número de teléfono, no a través de ningún enlace del mensaje. Si trabaja para una organización que cuenta con un equipo de operaciones de seguridad, denuncie el mensaje también a su departamento de seguridad informática. Su denuncia ayuda al SOC a identificar si el mensaje forma parte de una campaña más amplia dirigida a la organización.

¿Qué pasa si haces clic en un enlace de smishing?

Al hacer clic en un enlace de smishing, normalmente se le redirige a una página diseñada para recopilar credenciales que imita un portal de inicio de sesión legítimo (su banco, el sistema de inicio de sesión único de su empresa, un sitio web de pago de peajes), o bien puede provocar la malware en su dispositivo. Si ha hecho clic, siga estos pasos inmediatamente: desconecte su dispositivo de Internet, cambie las contraseñas de cualquier cuenta en la que haya introducido sus credenciales, active la supervisión de cuentas y las alertas de fraude, póngase en contacto con su entidad financiera si se han expuesto datos de pago y denuncie el incidente a su equipo de seguridad informática. El tiempo es crucial: cuanto antes actúe, menos oportunidades tendrá el atacante de utilizar las credenciales robadas para hacerse con el control de la cuenta o desplazarse lateralmente a otros sistemas.

¿Es delito el smishing?

Sí. El smishing es una forma de fraude y es ilegal en la mayoría de las jurisdicciones del mundo. En Estados Unidos, el smishing puede ser objeto de acciones judiciales en virtud de las leyes federales contra el fraude electrónico (18 U.S.C. 1343), la Ley de Fraude y Abuso Informático (18 U.S.C. 1030) y diversas leyes estatales contra el fraude. El Reino Unido también ha procesado activamente a los operadores de smishing, incluido un caso de 2025 en el que se implicaba a personas que utilizaban dispositivos de envío masivo de SMS instalados en vehículos para enviar mensajes de smishing masivos. Google presentó demandas en virtud de la Ley RICO (Ley contra las Organizaciones Corruptas e Influenciadas por el Crimen Organizado) contra los operadores de las plataformas Darcula y Lighthouse PhaaS a finales de 2025, lo que demuestra que las acciones legales se extienden a los proveedores de infraestructura, y no solo a las personas que envían los mensajes.

¿Cuál es la mejor forma de protegerse contra el smishing?

Para las organizaciones, la defensa más eficaz combina múltiples capas: autenticación multifactorial (MFA) phishing(FIDO2/WebAuthn) en lugar de contraseñas de un solo uso basadas en SMS, soluciones de defensa contra amenazas móviles (MTD) en los dispositivos de la empresa, formación mediante simulaciones de smishing junto con phishing por correo electrónico, procedimientos reforzados de verificación de identidad en el servicio de asistencia técnica e integración con SIEM para unificar las alertas de amenazas móviles con los flujos de trabajo del SOC. La detección posterior a la compromisión mediante análisis de comportamiento es igualmente importante: detectar el uso indebido de credenciales, el movimiento lateral y la escalada de privilegios que siguen a un ataque de smishing exitoso. Para los particulares, nunca hagan clic en enlaces de mensajes de texto inesperados, verifiquen a los remitentes a través de canales oficiales, reenvíen los mensajes sospechosos al 7726 y denúncienlos a la FTC. Ningún control por sí solo es suficiente. Una defensa eficaz contra el smishing requiere controles técnicos en capas, personal formado y capacidades de detección que vayan más allá del mensaje inicial.

¿Qué es el mishing?

«Mishing» es un término genérico que engloba todos phishing dirigidos a dispositivos móviles. El término —acuñado por la empresa de seguridad móvil Zimperium— abarca el smishing ( phishing basado en SMS), el vishing ( phishing llamadas de voz), el quishing ( phishing códigos QR) y otros vectores de ataque móvil. Según el Informe Global sobre Amenazas Móviles 2025 de Zimperium, el smishing representa el 69,3 % de todos los ataques de mishing, lo que lo convierte en la subcategoría dominante. La taxonomía del mishing ayuda a los equipos de seguridad a reconocer que los dispositivos móviles se enfrentan a un espectro coordinado de amenazas de ingeniería social, y no solo a tipos de ataque individuales. Comprender esta taxonomía es importante porque los atacantes modernos combinan cada vez más múltiples vectores de mishing en una sola campaña; por ejemplo, enviando un mensaje de smishing seguido de una llamada de vishing para aumentar la credibilidad.

¿Cuál es la diferencia entre el «smishing» y el «quishing»?

El smishing envía phishing a través de mensajes de texto (SMS, RCS o iMessage), mientras que el quishing utiliza códigos QR para dirigir a las víctimas a sitios web maliciosos o provocar malware . phishing códigos QR phishing crecido a la par que el uso cada vez mayor de estos códigos en la vida cotidiana: parquímetros, menús de restaurantes y registros en eventos. Ambos son subcategorías del mishing ( phishing dirigido a dispositivos móviles) y suelen tener como objetivo el mismo tipo de información: credenciales, datos de pago y datos personales. La diferencia clave en cuanto a la defensa es que el smishing puede mitigarse parcialmente mediante el filtrado a nivel de operador y soluciones MTD, mientras que el quishing requiere herramientas de seguridad móvil capaces de inspeccionar los destinos de los códigos QR antes de que se carguen. Algunas campañas combinan ambos: envían un mensaje de texto de smishing que incluye un código QR en lugar de un enlace en el que se puede hacer clic.

¿Cómo se pueden prevenir los ataques de smishing en el lugar de trabajo?

La prevención del smishing en las empresas requiere un enfoque multicapa. En primer lugar, hay que pasar de la autenticación multifactorial (MFA) basada en SMS a alternativas phishing, como FIDO2/WebAuthn; tanto la CISA como el NIST lo recomiendan. En segundo lugar, hay que implementar una solución de defensa contra amenazas móviles en todos los dispositivos móviles de la empresa para detectar y bloquear URL maliciosas en tiempo real. En tercer lugar, hay que implementar programas de simulación de smishing junto con phishing existente phishing por correo electrónico para evaluar y mejorar la resiliencia de los empleados en todos los canales. En cuarto lugar, refuerce los procedimientos de verificación de identidad del servicio de asistencia técnica para evitar restablecimientos mediante ingeniería social, tal y como demostraron las brechas de seguridad de MGM y Caesars. En quinto lugar, integre las alertas de amenazas móviles en sus flujos de trabajo de SIEM y SOC para que las vulneraciones iniciadas por smishing reciban la misma respuesta rigurosa que cualquier otro vector de acceso inicial. Por último, invierta en detección posterior a la vulneración que pueda identificar el uso indebido de credenciales, el movimiento lateral y la exfiltración de datos, independientemente de cómo haya entrado el atacante.