EDUARDO TAMBIÉN ESTÁ EN:

¿Te llegó un SMS del banco? Podría ser Smishing

El Smishing—Phishing mediante SMS o mensajes móviles—está escalando rápidamente en México y América Latina. Tan solo en México, los ataques aumentaron un alarmante 220% entre julio de 2023 y julio de 2024. La región enfrentó aproximadamente 697...

4 de agosto, 2025

Jose Luis Garcia

En 2023, México sufrió 43 millones de intentos de Smishing y, en 2024, el país alcanzó los 6 millones de fraudes digitales, generando pérdidas superiores a los $20 mil millones de pesos. Cada víctima sufrió en promedio pérdidas de $8,750 pesos, según datos oficiales. Los sectores financiero, gubernamental y comercio electrónico son los más atacados.

Casos destacados en México

Multas falsas en CDMX: En 2024, mensajes masivos simularon provenir de la Secretaría de Finanzas de Ciudad de México, notificando multas inexistentes. Los mensajes incluían enlaces a sitios web falsos que capturaban los datos bancarios al intentar realizar pagos. La campaña fue tan exitosa que requirió la intervención pública del gobierno.
Estafa de paquetería: Este fraude creció un 222% en los primeros meses de 2024. Los atacantes se hacían pasar por empresas de logística como Amazon o DHL, solicitando pagos urgentes o códigos de verificación, causando pérdidas individuales de hasta $50,000 pesos.

Fraude Cibernético vs Tradicionales, 2018 – 2024

(Millones)

Gráfico, Gráfico de líneas

El contenido generado por IA puede ser incorrecto.

¿Por qué caemos en estos engaños?

Desde una perspectiva conductual, existen factores claros que explican por qué tantas personas, incluso ejecutivos y usuarios experimentados, siguen cayendo en el Smishing:

Urgencia e impulsividad: Los delincuentes crean situaciones que requieren una respuesta inmediata, tales como alertas de seguridad falsas o pagos urgentes. Bajo estrés, nuestra capacidad de análisis crítico se reduce considerablemente.
Autoridad aparente: Los mensajes suelen provenir supuestamente de entidades legítimas como bancos o gobiernos, aprovechando nuestro respeto automático hacia figuras de autoridad y marcas conocidas.
Atracción hacia recompensas: Las ofertas tentadoras, premios falsos o promociones “imperdibles” explotan nuestro deseo natural de obtener beneficios fáciles, llevando a ignorar señales obvias de fraude.
Exceso de confianza personal: Curiosamente, individuos que confían demasiado en su capacidad para detectar fraudes suelen bajar la guardia, creyendo que “a ellos no les sucederá”. Esta sobre confianza es particularmente peligrosa porque ignora protocolos básicos de seguridad. Esta situación suele presentarse mayormente con personas asociadas a la tecnología de la información.
Multitarea y falta de atención: Revisamos continuamente nuestros móviles en situaciones multitarea o con poco tiempo disponible. Esto facilita que detalles sospechosos, como errores ortográficos o URLs sospechosas, pasen desapercibidos.
Dependencia tecnológica: Existe una falsa sensación de seguridad debido a que muchos usuarios creen que sus dispositivos o sistemas empresariales son totalmente seguros. Esta creencia errónea disminuye la vigilancia personal y facilita el éxito del Smishing.

¿Qué medidas pueden implementar las organizaciones?

Para reducir la efectividad del Smishing, es esencial fortalecer la cultura de ciberseguridad, enfocándose en:

Educación continua: Realizar simulacros periódicos específicos sobre Smishing para reconocer intentos de fraude rápidamente.
Políticas claras: Establecer reglas estrictas de comunicación corporativa, aclarando que jamás se solicitarán datos sensibles vía mensajes.
Autenticación robusta (MFA): Usar métodos de autenticación multifactor que vayan más allá de simples códigos SMS.
Tecnologías de monitoreo: Implementar sistemas que detecten y bloqueen mensajes sospechosos en tiempo real.
Reportes internos y externos: Fomentar una cultura proactiva de reporte de incidentes sospechosos tanto internamente como a autoridades externas.
Gestores de contraseñas: Usar estas herramientas permite no estar recordando contraseñas que en la mayoría de los casos son débiles.

A nivel ejecutivo:

Incluir Smishing en análisis de riesgos: Evaluar y presentar el Smishing como parte del panorama general de riesgos en auditorías y reuniones directivas.
Comunicación interna efectiva: Mantener campañas internas claras y concisas recordando a los empleados no actuar impulsivamente frente a mensajes sospechosos.
Protección del personal clave: Capacitar especialmente a ejecutivos y personal con acceso a información sensible, ya que son objetivos frecuentes de ataques dirigidos (Spear-Smishing).

Conclusión

El Smishing representa una amenaza creciente, especialmente en México y América Latina. No es solo un problema técnico; aprovecha vulnerabilidades humanas como la impulsividad, exceso de confianza y la falta de atención. Por ello, las organizaciones deben abordar el desafío desde un enfoque integral, combinando tecnología robusta con educación constante y estrategias dirigidas al comportamiento humano.

Entender por qué caemos en estos ataques es el primer paso para fortalecer la seguridad. Solo así se podrá minimizar el impacto de un tipo de fraude que, de continuar su crecimiento actual, puede convertirse en la principal amenaza digital de los próximos años.

Fuentes:

Phishing en México: Amenaza Creciente y Llamado a la Acción — The CIU

¡Alerta! Smishing: la nueva estafa bancaria que debes conocer – Infobae

Los 5 tipos de phishing más comunes en latinoamérica – Hackmetrix Blog

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio