Smishing: cómo reconocer un SMS falso de tu banco

TL;DR: tu banco nunca te pide claves, PIN ni códigos por SMS, ni te manda enlaces para “verificar” tu cuenta con prisa. Si un mensaje hace eso, es smishing. No pulses el enlace: entra a tu banco por su app de siempre.

El smishing (estafa por SMS) es uno de los engaños que más cuela en España. Y no es por descuido tuyo: estas estafas están diseñadas para engañar a cualquiera. Vamos a ver por qué funcionan tan bien y cómo cazarlas.

Qué es el smishing

El smishing es un SMS falso que se hace pasar por tu banco (o por otra empresa). Te cuenta un problema urgente y te empuja a pulsar un enlace.

Ese enlace lleva a una web falsa, calcada a la de tu banco. Si metes ahí tus claves, se las estás dando al estafador sin saberlo.

Por qué cuela tan fácil

El smishing es traicionero por un motivo concreto. A veces el mensaje falso aparece en el mismo hilo que los SMS reales de tu banco.

Eso pasa porque los estafadores falsean el nombre del remitente. En tu móvil, el mensaje falso se cuela junto a los avisos verdaderos de “BBVA”, “Santander” o tu banco. Verlo ahí da una falsa sensación de confianza.

Por eso no basta con mirar quién lo envía. Hay que fijarse en el contenido.

Señales de alerta

Sospecha si el SMS hace alguna de estas cosas:

• Te mete prisa: “tu cuenta será bloqueada”, “tienes 24 horas”, “actividad sospechosa”.
• Trae un enlace para que entres a “verificar” o “confirmar” tus datos.
• Te pide claves: el PIN, la clave de acceso o un código que te llega aparte.
• La dirección del enlace es rara y no es la web oficial de tu banco.
• Tiene faltas de ortografía o un tono que no encaja con tu banco.

Si ves una o varias de estas señales, párate. La prisa es justo lo que busca el estafador.

La regla de oro

Quédate con una sola frase: tu banco nunca te pide tus claves por SMS.

Tampoco te manda enlaces para que “verifiques” la cuenta con urgencia. Ni te pide que muevas tu dinero a una “cuenta segura”. Si un mensaje hace eso, es falso, por muy oficial que parezca.

Ante la duda, no pulses nada. Entra a tu banco como siempre: abre tú su app o escribe tú la dirección en el navegador. Si hubiera un problema real, lo verás ahí dentro.

Qué hacer si ya has pulsado o dado datos

Que hayas picado no te convierte en un descuidado. Lo importante ahora es actuar rápido:

• Si solo pulsaste el enlace y no metiste nada, cierra la web. El riesgo es bajo. Aun así, vigila tu cuenta los próximos días.
• Si metiste tus claves o datos de la tarjeta, llama a tu banco ya y pide bloquear la cuenta y la tarjeta.
• Cambia la contraseña del banco y de cualquier sitio donde uses la misma.
• Guarda capturas del SMS antes de borrarlo. Te servirán para reclamar y denunciar.

Tienes todos los pasos, por orden y por tiempo, en He caído en una estafa: qué hacer.

Cómo reducir el riesgo a futuro

Dos hábitos te ayudan a detectar y frenar estos ataques:

• Activa la verificación en dos pasos. Aunque tengan tu contraseña, sin el segundo código no entran.
• Usa contraseñas distintas para cada sitio con un gestor de contraseñas. Así, si cae una, no caen todas.

Si tienes dudas o necesitas ayuda, llama gratis al 017 de INCIBE. Y echa un vistazo a nuestra página de ayuda para más recursos.