El 98% de los SMS se leen en los primeros tres minutos. Los atacantes lo saben hace años. Tú, probablemente, no actuaste en consecuencia.

¿Qué es el smishing?

El smishing (combinación de SMS y phishing) es un ciberataque en el que los delincuentes envían mensajes de texto fraudulentos para engañar a las víctimas y robar sus credenciales bancarias, información personal o dinero. A diferencia del phishing por correo, opera en un canal que la mayoría de personas todavía considera confiable, el SMS y las aplicaciones de mensajería como WhatsApp o Telegram.

El canal que el filtro de spam nunca cierra

El correo electrónico lleva dos décadas entrenándonos para ignorar mensajes sospechosos. Spam, promociones, carpeta de no deseados, desarrollamos un músculo defensivo casi inconsciente. El SMS no tiene ese músculo todavía.

Un mensaje de texto llega y lo abres. La tasa de lectura ronda el 98%, contra el 20% promedio de un correo electrónico. La tasa de respuesta es del 45%, casi diez veces superior al mejor email de marketing corporativo. Los atacantes no descubrieron esto, llevan más de una década construyendo kits de smishing industrializados sobre esta asimetría.

El término viene de SMS + phishing. La mecánica es idéntica a la del correo, el objetivo es el mismo, pero el vector es radicalmente más efectivo. Y en 2026, con WhatsApp, Telegram y Messenger incluidos en la ecuación, la superficie de ataque se triplicó.

No te hackean el teléfono. Te hackean la emoción

El smishing no explota vulnerabilidades técnicas. Explota cómo funciona tu sistema nervioso cuando recibes una alerta inesperada a las once de la noche.

El mensaje llega con urgencia fabricada: tu cuenta será bloqueada, hay un movimiento no autorizado, tu paquete no pudo ser entregado y debes pagar antes de que lo devuelvan. La ingeniería social opera sobre el mismo principio en todos los vectores, como ya hemos documentado en los ataques de ingeniería social en LATAM: comprimir el tiempo de decisión hasta que el cerebro prefiere actuar por miedo a analizar con calma.

El 75% de las organizaciones reportó haber recibido ataques de smishing en 2025. La mayoría no requirió ninguna vulnerabilidad de software. Solo requirió que alguien leyera un SMS mientras estaba apurado.

En 2026, la IA generativa empeoró el panorama de forma concreta, los kits modernos usan modelos de lenguaje para redactar mensajes sin errores de ortografía, con registro formal y terminología bancaria auténtica. El SMS que antes se delataba por una tilde mal puesta ahora pasa todos los filtros de credibilidad que el usuario aplica intuitivamente.

Los guiones que ya circulan en Colombia y LATAM

Los kits de smishing modernos son plantillas industrializadas. Se venden en foros cerrados, se actualizan con cada temporada fiscal y se localizan por país con una precisión que debería incomodar.

En Colombia, los guiones más activos son:

• Suplantación bancaria (Bancolombia, Nequi, Daviplata): alertas de acceso no autorizado que redirigen a réplicas visuales del portal bancario. El monto pequeño de los cobros es intencional: nadie llama al banco por 4.800 pesos.
• Fraude fiscal (DIAN): falsas devoluciones de renta o citaciones urgentes, especialmente activas entre marzo y mayo. El estrés de la temporada fiscal es combustible ideal para este engaño.
• Paquetería falsa (Servientrega, Coordinadora, FedEx): cobros de aduana por montos entre 3.000 y 8.000 pesos. La urgencia del "tu paquete será devuelto hoy" reduce la resistencia de la víctima.
• Pig butchering (matanza de cerdos): el atacante escribe al "número equivocado" para entablar una relación que puede durar semanas, y termina con una invitación a invertir en una plataforma falsa de criptomonedas. Las pérdidas promedio por víctima superan los 10.000 dólares. En LATAM, donde el fraude bancario digital creció un 155%, este vector concentra los casos de mayor cuantía individual.
• Redirección de llamadas: el mensaje instruye a marcar un código en el teclado del móvil para "activar un beneficio". Ese código desvía todas las llamadas entrantes al teléfono del atacante, incluidas las verificaciones de voz de los bancos.

Smishing, phishing, vishing: la misma estafa con distinto disfraz

La confusión entre estos tres términos no es inocente. Hace que la gente asuma que el phishing ocurre por correo y que el SMS es un canal más seguro. No lo es.

Los tres comparten el mismo motor, la ingeniería social, y el mismo objetivo: robar credenciales, dinero o datos sensibles. La diferencia está en el canal.

1. El phishing usa correo electrónico, tiene filtros, carpetas de spam y años de entrenamiento del usuario.
2. El vishing usa llamadas de voz, es efectivo por la presión en tiempo real pero logísticamente costoso para el atacante.
3. El smishing usa SMS y aplicaciones de mensajería: sin filtros de contenido, sin entrenamiento previo, con tasa de apertura casi perfecta.

El smishing tomó el liderazgo porque escala barato y llega a un canal que la víctima todavía considera confiable.

Por qué responder "STOP" es exactamente lo que el atacante necesita

La reacción intuitiva ante un SMS no deseado es responder para darse de baja. "STOP", "NO GRACIAS", "QUITAR DE LA LISTA". Es lo que hacemos con el marketing legítimo y asumimos que funciona igual en todos los contextos.

No funciona. En un ataque de smishing, cualquier respuesta confirma que el número está activo, es leído por una persona real y responde a estímulos. Es la señal más valiosa que puedes entregarle al operador del kit: marca ese número para campañas futuras y lo vende en lotes a otros grupos criminales.

La regla es no responder nada. Ni para reclamar, ni para insultar, ni para preguntar quién es. Silencio total y bloqueo inmediato.

El SMS como vector de ataque contra tu segundo factor

El smishing es una de las herramientas más efectivas para eludir la autenticación de dos factores basada en SMS y pocas guías lo abordan con suficiente claridad.

El flujo es simple. El atacante ya tiene tus credenciales, compradas en un marketplace del mercado negro o robadas en una brecha anterior. El único obstáculo es el código OTP que llega a tu teléfono. Entonces te envía un SMS urgente: "Hemos detectado un intento de acceso sospechoso. Para proteger tu cuenta, comparte el código de verificación que acabas de recibir con nuestro agente de seguridad."

El código que "no debes compartir con nadie" es exactamente el que el atacante necesita. Y un porcentaje considerable de personas lo comparte. Como analizamos en detalle en por qué el tipo de MFA que usas importa, el 2FA por SMS es el método de segundo factor más débil disponible, precisamente porque puede ser comprometido mediante smishing o SIM swapping. Si tienes información crítica protegida solo con código SMS, migrar a una app autenticadora no es opcional en 2026.

El protocolo cuando ya caíste

Parte de quienes leen esto ya hicieron clic en algún momento. La pregunta relevante no es si fue un error, sino qué tan rápido actúas después.

Los primeros 30 minutos son críticos. Si entregaste credenciales bancarias o datos de tarjeta, llama al banco de inmediato y solicita el bloqueo. No esperes a "ver si pasa algo". En fraude bancario digital, el daño promedio ocurre en menos de 20 minutos desde que el atacante obtiene acceso a las credenciales.

Si entregaste contraseñas, cámbialas todas, priorizando correo electrónico y aplicaciones bancarias. Activa alertas de movimiento en todas las cuentas. Denuncia el incidente a la Policía Nacional a través del CAI Virtual en caivirtual.policia.gov.co y ante la Superintendencia de Industria y Comercio al 87277. No es burocracia: los patrones de denuncia permiten rastrear kits activos y prevenir nuevas víctimas.

Cómo blindarse antes de que llegue el siguiente mensaje

La defensa no es compleja. Es disciplina aplicada de forma consistente:

• No hagas clic en enlaces de SMS o mensajería que no esperabas recibir, sin importar qué tan oficial parezca el remitente. Si el banco tiene algo urgente que decirte, entra directamente a la aplicación oficial o llama al número del reverso de tu tarjeta.
• Verifica por canal oficial: si el mensaje dice ser de Bancolombia, Nequi, la DIAN o cualquier entidad, cierra el SMS y accede al portal escribiendo la dirección manualmente. Nunca uses el enlace del mensaje ni el número que aparece en él.
• Migra el 2FA a una app autenticadora: Google Authenticator, Authy o Microsoft Authenticator generan códigos que no viajan por el canal que el smishing puede interceptar ni pueden ser redirigidos por SIM swapping.
• Reporta al 87277: en Colombia puedes reenviar el SMS sospechoso a este número de la SIC antes de bloquearlo. Tarda diez segundos y contribuye a cerrar kits activos.

¿Cuántos mensajes de texto no esperados abriste esta semana sin pensarlo dos veces?