Qué es el ‘SMS spoofing’ y por qué se mezclan los mensajes reales con los fraudulentos en el mismo hilo
Los ciberdelincuentes idean técnicas cada vez más sofisticadas para que sus engaños parezcan legítimos y lograr que la víctima caiga en la trampa al no detectar ninguna señal sospechosa, como ocurre en el caso del SMS spoofing.
¿En qué consiste esta técnica de estafa? Ana M. Valero, abogada experta en delitos informáticos del Despacho Jurídico Valero Cuadra, explica a Newtral.es que se trata de un fraude de suplantación de identidad por el que la víctima “recibe un mensaje corto (SMS) en su dispositivo móvil que parece ser de su banco (o de una empresa)”.
Sin embargo, “el mensaje no procede del banco, sino que se ha suplantado su identificador (alias)” y es habitual que “aparezca en el hilo de SMS del propio banco, haciendo creer a la víctima que el mensaje es legítimo”.
- Valero añade que “estos mensajes suelen informar de que hay un cargo de cierta cantidad, indicando que, si no reconoce dicha operación, llame al número que se le indica (y que no pertenece realmente al banco) y se sigan las instrucciones del gestor para cancelarla”.
- “También es común que en dichos SMS fraudulentos se facilite un enlace web que redirige a una página fraudulenta, que a veces suplanta la del propio banco, y en que solicitan las claves de la víctima para acceder”, explica la experta.
¿Cómo es posible que entren en el hilo de SMS oficial de una entidad? Arturo González Pascual, abogado y director del despacho Dexia Abogados explica a Newtral.es que el SMS spoofing se produce porque “los dispositivos móviles agrupan las comunicaciones basándose exclusivamente en el identificador de remitente (Sender ID), un campo alfanumérico que carece de una verificación de identidad fehaciente”.
“Al no existir una validación jurídica de la titularidad del nombre de envío en los protocolos globales de SMS, los ciberdelincuentes usurpan la identidad de entidades financieras, logrando que el terminal interconecte el mensaje fraudulento en el mismo hilo de comunicaciones legítimas, generando una apariencia de legalidad que induce a error al usuario”, apostilla González.
¿Cómo diferenciar los mensajes reales de los falsos? González explica que “las entidades bancarias nunca emplearán canales de mensajería para solicitar datos de carácter sensible (credenciales, PIN o numeración de tarjetas) mediante hipervínculos externos o acortadores de URL”.
Además, añade que “la presencia de un tono intimidatorio constituye un claro indicio de dolo, diseñado para viciar el consentimiento del usuario” y que caiga en la trampa proporcionando sus datos personales.
- Entidades como el Banco Santander, BBVA o CaixaBank han avisado del SMS spoofing en sus respectivas páginas web.
Recomendaciones. Valero aconseja que si se sospecha que puede ser un fraude, lo más adecuado es llamar directamente “al teléfono de atención al cliente del banco y no al que te indiquen en el SMS sospechoso” y ahí preguntar por la veracidad del mensaje. Además, anima a no clicar en ningún enlace que envíe el SMS ni facilitar datos personales, credenciales de acceso ni contraseñas.
- Valero también recomienda “mantener actualizado el móvil e instalar un antivirus” para proteger el dispositivo de posibles amenazas.
Qué hacer si recibes un correo desde “tu propia dirección” con un chantaje
Sofía PérezMedidas. Valero explica que “el gran aumento de este tipo de fraudes ha derivado en que el Gobierno aprobara el año pasado la Orden TDF 149/2025, de 12 de febrero, en que se establecen medidas para combatir este tipo de estafas de suplantación de identidad tanto en llamadas (Caller ID spoofing) como a través de los SMS”.
- Entre otras cosas, obliga a los operadores a bloquear comunicaciones con números manipulados, no asignados o falsificados y regula la identificación de la numeración utilizada en servicios de atención al cliente y llamadas comerciales.