Qué es y por qué es tan efectivo
El smishing es una variante del phishing que se realiza por SMS (y, en la práctica, también por mensajes similares en móvil). El atacante envía un mensaje que aparenta ser de un banco, una empresa de paquetería, un proveedor o incluso un organismo oficial, y busca que la víctima haga clic en un enlace, descargue una app falsa o comparta códigos y credenciales. Funciona porque el móvil se percibe como un canal “más personal” y porque los mensajes suelen apelar a la urgencia: “cargo bloqueado”, “entrega pendiente”, “verifica tu cuenta”.
Cómo se ejecuta el ataque
Los mensajes suelen incluir enlaces a webs clonadas para robar usuarios y contraseñas, formularios para capturar datos personales o instrucciones para instalar malware. Otra variante común es pedir códigos OTP o datos de verificación para tomar control de cuentas. En empresas, el smishing también se usa para acceder a correo corporativo o herramientas internas si el usuario reutiliza contraseñas o cae en la suplantación.
Cómo prevenirlo en empresa
La prevención combina hábitos y controles: no abrir enlaces desde SMS, verificar por canal oficial, usar MFA, bloquear instalaciones no autorizadas y reportar mensajes sospechosos. Es clave entrenar al equipo con ejemplos reales y un protocolo simple de verificación, especialmente en perfiles con acceso a pagos o datos sensibles. Este refuerzo encaja muy bien con programas de formación y concienciación.
