El SMS como arma perfecta
El smishing funciona porque el SMS transmite urgencia y autoridad en pocas palabras: “bloqueo de cuenta”, “transferencia no autorizada”, “verifica aquí”. Para empeorar, algunos mensajes aparecen dentro del hilo real con tu banco (por cómo los móviles agrupan remitentes), lo que multiplica la credibilidad.
Caso realista: el hilo auténtico, el enlace no
A Paula le llegó: “Aviso de seguridad: verifique su identidad aquí” con un enlace acortado. Entró y vio una página idéntica a la banca online. Introdujo usuario/contraseña y, justo después, recibió una llamada de “Seguridad” pidiendo un OTP para “bloquear”. Minutos más tarde, dos transferencias salían de su cuenta.
Señales de que es falso (y cómo comprobar)
- Urgencia y ultimátum: “hoy”, “último aviso”. Los bancos evitan ese tono.
- Enlace acortado o dominio con una letra cambiada (homografía). Escribe manual la URL oficial o abre la app.
- Petición de datos sensibles por SMS: nunca compartas códigos ni claves.
- Número de teléfono en el SMS: no llames. Busca el número oficial en la web de tu banco y llama tú.
- Inconsistencias de estilo/gramática. Hoy son sutiles, pero existen.
- Cambios de canal: te llevan de SMS a llamada “del banco” para forzarte un OTP.
Lo que debe hacer tu banco (PSD2/EBA)
La PSD2 exige autenticación reforzada (SCA) y la EBA obliga a monitorización basada en riesgo y mensajes inequívocos. Si el sistema detecta beneficiario nuevo, horario atípico, dispositivo/IP desconocido, debe elevar fricciones (aprobación en app con detalle, retardo, verificación adicional). Además, los mensajes deben dejar claro que un OTP autoriza una transferencia a X por Y €, no “bloquea”.
Jurisprudencia: cuando el SMS engaña y el banco no protege
Resoluciones han estimado reclamaciones cuando la entidad no acreditó controles antifraude suficientes o cuando la mensajería inducía a confusión (OTP presentado como “verificación de seguridad”). No se exige al consumidor medio un nivel experto para distinguir clones perfectos si el banco no puso barreras.
Si ya pulsaste el enlace
- Bloquea y pide nº de incidencia.
- Denuncia y guarda el SMS, URL y capturas.
- Solicita logs al banco (IP, dispositivo, mensajes, OTP).
- Pide un informe de ciberinvestigación que relacione el fraude con obligaciones PSD2/EBA.
Conclusión
Un SMS falso se detecta con hábitos simples: no pulses, no llames a números del SMS, entra por tu app. Si ya caíste, no es el final: con ciberinvestigación bien documentada, puedes rebatir la “negligencia” y recuperar tu dinero.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.