En los últimos meses, Colombia ha registrado un aumento en los casos de smishing, una modalidad de estafa digital que se propaga a través de mensajes de texto (SMS), según advierte la empresa tecnológica en ciberseguridad TIVIT. Este tipo de fraude aprovecha el uso cotidiano del celular para engañar a los usuarios mediante alertas falsas sobre promociones, premios o supuestos inconvenientes urgentes, con el objetivo de provocar una respuesta rápida que conlleve la entrega de información personal o financiera.

De acuerdo con Pablo García, gerente de desarrollo de negocios en ciberseguridad de TIVIT Latam, aunque cualquier persona puede ser blanco de este tipo de ataque, las víctimas más frecuentes son usuarios con acceso habitual a servicios digitales que no han sido formados en temas de ciberseguridad. Aquellos que no actualizan sus dispositivos móviles o no cuentan con herramientas de protección también se encuentran en una posición más vulnerable frente al smishing.

García también señala que, a diferencia del phishing tradicional que se ejecuta principalmente por correo electrónico, el smishing opera exclusivamente por mensajes de texto. A través de esta vía, los delincuentes suplantan entidades confiables para inducir a las personas a revelar datos sensibles.

El riesgo no se limita a una sola acción. Cuando una persona entrega información en una plataforma fraudulenta, los ciberdelincuentes pueden utilizar esos datos para acceder a cuentas bancarias, hacer compras no autorizadas, solicitar créditos a nombre de la víctima o incluso cometer delitos mediante suplantación de identidad. “En muchos casos, se combinan esos datos con otros obtenidos previamente en filtraciones, ampliando el alcance del fraude. Lo más preocupante es que, una vez comprometida la información, el impacto puede ser persistente y requerir un proceso largo y complejo para mitigar las consecuencias”, señala García.

El smishing se vuelve más sofisticado y difícil de detectar

Según García, las tácticas utilizadas por los ciberdelincuentes han evolucionado de forma preocupante. Hoy en día, los niveles de sofisticación en los ataques por smishing han alcanzado proporciones alarmantes. “Los estafadores digitales son capaces de replicar con gran precisión la imagen institucional de bancos, comercios o entidades gubernamentales, utilizando logotipos, estilos de redacción y formatos visuales que imitan con exactitud los originales”, explica.

Una de las prácticas más engañosas, advierte García, es la capacidad de hacer que los mensajes parezcan enviados desde números legítimos, como los de una entidad bancaria reconocida. Esta técnica dificulta aún más la detección del fraude, ya que los usuarios tienden a confiar en el remitente al identificarlo como una fuente conocida.

Por esta razón, el experto insiste en la necesidad de no actuar de forma impulsiva ante este tipo de mensajes. En lugar de responder directamente o ingresar a enlaces proporcionados, recomienda verificar la información a través de canales oficiales, como la línea de atención de la entidad o su sitio web institucional.

La respuesta institucional: un trabajo conjunto para frenar el smishing

La lucha contra el smishing requiere la participación activa de diferentes actores del ecosistema digital. En este sentido, tanto los operadores móviles como las entidades financieras desempeñan un rol fundamental.

Para García, los operadores deben mejorar sus mecanismos de filtrado para impedir que los mensajes maliciosos lleguen a los usuarios finales. Además, su cooperación con las autoridades es clave para identificar a los remitentes y rastrear las redes delictivas detrás de estos fraudes.

Por su parte, las entidades financieras deben reforzar la educación a sus clientes en temas de seguridad digital, implementar canales de verificación alternos al SMS y fortalecer sus sistemas de monitoreo para detectar movimientos sospechosos o inusuales. “La coordinación entre sectores es fundamental para reducir el impacto del smishing”, enfatiza García.

¿Cómo actuar ante un caso de smishing?

Ante un caso de smishing, García recomienda actuar sin demora. En Colombia, los ciudadanos pueden presentar la denuncia de manera virtual a través del portal web de la Policía Nacional. También tienen la opción de acudir presencialmente a la Fiscalía General de la Nación o dirigirse a cualquiera de sus Puntos de Atención.

“Denunciar no solo permite iniciar un proceso de investigación, sino que también contribuye a fortalecer la respuesta institucional frente a este tipo de delitos”, sostiene el experto.

Recomendaciones para protegerse del smishing

En medio del crecimiento de esta modalidad de fraude, los usuarios se convierten en el último eslabón de defensa. Mientras una persona entrega datos en una plataforma falsa, corre el riesgo de exponer su información financiera o personal. Por ello, Mauricio Gálvez, gerente de Servicios de Ciberseguridad de TIVIT Latam, ofrece una serie de recomendaciones prácticas para prevenir ser víctima del smishing:

Desconfiar de mensajes que solicitan datos personales: Gálvez advierte que uno de los métodos más comunes del smishing es simular comunicaciones de bancos u otras entidades para pedir actualizaciones de datos. “Cualquier mensaje que pida información confidencial o lo presione para actuar con urgencia debe considerarse sospechoso”, añade.

No abrir enlaces de remitentes desconocidos: si el remitente es desconocido o el contenido del mensaje genera desconfianza, lo más prudente es eliminarlo de inmediato. No responder, no reenviar y, mucho menos, ingresar a enlaces incluidos.

Evitar descargar aplicaciones no oficiales: instalar aplicaciones de fuentes no verificadas aumenta significativamente el riesgo de exposición a malware y robo de información. “Es recomendable mantener desactivada la opción que permite instalar apps de fuentes desconocidas y descargar solo desde tiendas oficiales como Google Play o App Store”, enfatiza Gálvez.

Prestar atención a errores de redacción: muchos mensajes fraudulentos presentan fallos en ortografía, redacción genérica o una estructura poco profesional. “Si el mensaje no lo nombra directamente o tiene errores poco comunes en una comunicación oficial, es probable que se trate de una estafa”, sostiene.

Verificar que los sitios web sean seguros: antes de ingresar datos en un portal bancario o tienda en línea, confirmar que la dirección comience con “https” y que el ícono de candado esté presente en la barra del navegador. Esto indica que el sitio cuenta con cifrado de seguridad.

Contactar directamente a la entidad emisora: ante mensajes que informan sobre bloqueos de cuentas u operaciones sospechosas, lo indicado es llamar directamente al número oficial del banco o institución. Gálvez enfatiza en no utilizar los números o enlaces que aparecen en el mensaje recibido.

Denunciar cualquier cargo no autorizado: si se identifica movimientos no reconocidos en la cuenta, se debe reportar de inmediato a la entidad financiera por medio de los canales oficiales. Posteriormente, es importante acercarse a una comisaría para interponer la denuncia formal por suplantación de identidad.

Gálvez concluye que conocer cómo operan estas tácticas es esencial para disminuir el riesgo de ser víctima. “Trate siempre con precaución los mensajes inesperados o sospechosos, verifíquelos directamente con la fuente mediante canales conocidos y evite hacer clic en enlaces o descargar archivos de remitentes que no pueda validar”, afirma el experto.

