La conclusión: el SMS llega al dispositivo personal, fuera del perímetro del correo
Cuando pensamos en el phishing, casi siempre lo imaginamos como un correo. Ahí es donde el equipo de seguridad puso sus filtros, sus reglas y sus alertas. Pero una parte creciente del engaño ya no pasa por la bandeja de entrada: llega como un mensaje de texto al celular del empleado. Eso es el smishing, y su ventaja para el atacante es simple. El SMS aterriza en un dispositivo que la empresa rara vez controla, en un canal donde no hay pasarela que lo revise, y en un momento en el que la persona tiene la guardia baja.
El marco 90-5-5 de Cisco, que estima que cerca del 90 por ciento de las brechas involucran un factor humano, ayuda a entender por qué esto importa. El problema nunca fue solo el correo: era la persona bajo presión. Si movemos el mismo engaño a un canal más personal y menos vigilado, el factor humano queda todavía más expuesto. Por eso el smishing no es una curiosidad técnica, es un desplazamiento del riesgo hacia donde menos lo estamos mirando.
Qué es el smishing y por qué crece en el entorno corporativo
El smishing es phishing por mensaje de texto (SMS). El nombre combina SMS y phishing, y describe el mismo objetivo de siempre: que una persona haga click en un enlace, entregue una credencial o apruebe una acción que no debería. Lo único que cambia es el canal. En lugar de un correo con el logo de un banco, llega un texto corto y urgente al celular, muchas veces sin remitente reconocible, apenas un número.
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
Crece por varias razones que se refuerzan entre sí. La primera es el trabajo desde el celular: hoy los empleados leen notificaciones, aprueban accesos y responden mensajes desde el teléfono, así que el atacante va a donde está la persona. La segunda es la economía del ataque. Enviar mensajes de texto a gran escala es barato y las herramientas para hacerlo circulan con facilidad. La tercera es la más incómoda: el correo corporativo tiene años de defensas acumuladas, mientras que el SMS casi no tiene ninguna. El dato canónico de CISA, que más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing, describe el punto de partida histórico. El smishing es, en buena medida, la respuesta del atacante a que ese punto de partida se volvió más difícil: si el correo se defiende mejor, se busca otra puerta.
Por qué el celular baja la guardia de la persona
El celular es un territorio de confianza, y esa es exactamente la vulnerabilidad. Lo asociamos con la familia, los amigos, los mensajes personales. Cuando llega un texto, el reflejo no es el mismo que frente a un correo de trabajo: lo leemos rápido, entre otras cosas, a veces caminando o en una reunión. La atención dividida es el mejor aliado del engaño.
A eso se suma que la pantalla pequeña esconde las señales que en un computador saltan a la vista. Una dirección web se ve recortada, el remitente es solo un número, y no hay forma cómoda de pasar el cursor por encima de un enlace para revisarlo antes de abrirlo. El diseño del dispositivo, pensado para la inmediatez, trabaja en contra de la verificación. Y el tono de estos mensajes está calculado para cerrar esa ventana de duda: son cortos, urgentes y plantean una consecuencia inmediata. Un paquete que no se entregará, una cuenta que se bloqueará, un código que caduca en minutos. La prisa no es un detalle, es el mecanismo. Cuando la persona actúa por reflejo, no por criterio, el ataque ya ganó. No es una falla de la persona, es una reacción humana predecible que el atacante diseñó para provocar.
Casos típicos: paquetería, banco, soporte de TI y códigos de acceso
Los pretextos del smishing se repiten porque funcionan, y conviene que los equipos los reconozcan por su forma, no solo por su contenido. El más común es el de paquetería: un supuesto aviso de entrega con un enlace para "confirmar la dirección" o "pagar una tasa", que en realidad lleva a una página falsa que captura datos. El de banco imita una alerta de seguridad o un cargo sospechoso y empuja a la persona a "validar" su cuenta en un sitio clonado.
En el entorno corporativo aparecen dos variantes más peligrosas. Una es la suplantación del soporte de TI: un mensaje que dice venir del área técnica y pide instalar algo, cambiar una contraseña o confirmar un acceso, a veces como continuación de una llamada previa. La otra es la caza de códigos de acceso: el atacante ya tiene la contraseña de la persona, intenta entrar, se dispara el segundo factor, y entonces envía un SMS haciéndose pasar por la plataforma para pedir ese código de un solo uso. La persona lo entrega creyendo que se protege, y en realidad completa la intrusión. Este último caso conecta el smishing con el mundo de las credenciales filtradas y de los ataques de aprobación, y muestra que rara vez es un incidente aislado: suele ser un eslabón dentro de una cadena más larga. Vale la pena recordar que otros vectores emergentes, como el phishing por código QR, siguen la misma lógica de salir del correo para alcanzar a la persona por un canal menos vigilado.
Defensas: simulación realista por el canal correcto y validación posterior
La defensa contra el smishing no puede vivir solo en el filtro de correo, porque el ataque justamente lo evita. Empieza por un principio de verificación que la gente pueda aplicar bajo presión: ningún mensaje de texto, por urgente que parezca, es motivo para entregar una contraseña, un código de un solo uso o un pago. Ante la duda, la persona corta el canal y verifica por una vía conocida, no por el enlace ni el número que llegó. Ese hábito, dicho así de simple, previene la mayoría de los casos.
Pero un hábito no se instala con una charla anual. Se instala practicándolo en el canal donde ocurre el ataque. De poco sirve entrenar contra correos si el engaño llega por SMS: la simulación realista y personalizada tiene que llegar por el canal correcto y con el pretexto correcto para el rol de cada persona, porque no es lo mismo el riesgo de un cajero que el de alguien en finanzas. Y aquí aparece el punto que más se descuida: capacitar a alguien después de que cae no prueba que haya aprendido. Lo que prueba el cambio es volver a exponerlo, semanas después, a un intento del mismo tipo por el mismo canal, con otro pretexto, para ver si esta vez resiste. Esa idea, validar la conducta volviendo a probarla en vez de dar por hecho que la lección quedó, es la diferencia entre suponer que el equipo está listo y saberlo.
Las empresas medianas de la región enfrentan esto con una desventaja concreta: buena parte del contenido de concientización está pensado para el correo y en inglés, mientras el smishing llega en español y al celular. Cerrar esa brecha no es opcional, es donde hoy está el riesgo real.
En Fensivo abordamos este caso de uso tratando el celular como un canal de prueba más, no como una excepción. Enviamos simulaciones realistas por el canal donde de verdad ocurre el ataque, damos capacitación breve en el momento del fallo y, semanas después, validamos con una nueva simulación si la persona cambió su conducta. Puede ver cómo se aplica en nuestros casos de uso. La pregunta que dejamos abierta es incómoda a propósito: si mañana un empleado suyo recibe un SMS que suena a su banco mientras cruza la calle, ¿en qué se apoya para no hacer click?
El riesgo humano se gestiona automáticamente.
Convierte el factor humano en tu primera línea de defensa.
Agenda un demoDemo gratuito · 30 minutos · Sin compromiso
