En cuestión de días, un mismo número telefónico puede recibir mensajes distintos que parecen no tener relación entre sí: un “programa de salud”, un “saldo con giros gratis”, un “préstamo aprobado” y la “confirmación de una transferencia SPEI”. El contenido cambia, pero la infraestructura detrás es la misma. Se trata de smishing, distribuido por SMS o mensajería.
El patrón se repite. El texto es breve, usa beneficios atractivos y termina con un enlace acortado, generalmente bitly, que oculta el destino real. No hay nombres de bancos, dependencias, empresas reconocidas ni datos verificables. Solo un llamado a hacer clic.
La técnica se basa en la rotación de pretextos. Si la persona no cae con el anzuelo de “salud”, llegará el de “dinero”; si no funciona, aparecerá el de “préstamo” y después el de “SPEI”. Es un sistema automatizado que prueba qué historia logra que alguien entre a la liga y caiga en la trampa.
Una vez dentro, el flujo cambia según el pretexto, pero el fin es el mismo: capturar información sensible. En algunos casos piden registro con el número telefónico para enviar un código SMS; si la víctima lo introduce, pierde el control de su WhatsApp. En otros, solicitan datos personales, fotografía de identificación, selfie, cuenta CLABE o tarjeta bancaria con el argumento de “activar el beneficio”.
Los mensajes de “SPEI recibido” son los más efectivos. Simulan avisos bancarios con montos generalmente no redondos y horas exactas. La página a la que llevan suele pedir seleccionar el banco y escribir usuario, contraseña y el código que llega por SMS “para validar la transferencia”. Con eso, los delincuentes entran a la banca en línea.
En la variante de “préstamo aprobado”, el sitio solicita INE y selfie. Esa combinación permite robo de identidad, intentos de crédito a nombre de la víctima e incluso extorsión posterior. En la de “casino/giros gratis”, el gancho es un saldo ficticio que requiere “verificación” con tarjeta.
Nada de esto proviene de instituciones reales. Ningún banco, financiera, dependencia de salud o plataforma legítima envía enlaces acortados ni pide códigos SMS por mensaje. Tampoco solicitan fotografías de identificación para “liberar” un beneficio que la persona nunca tramitó.
¿Qué hacer en caso de recibir estos SMS?
La recomendación operativa es simple y directa: no abrir ligas de mensajes no solicitados, no compartir códigos SMS y activar verificación en dos pasos en WhatsApp. Además, pedir a la compañía telefónica el bloqueo de portabilidad para evitar intentos de duplicado de SIM.
Cuando estos mensajes llegan de forma insistente, no son casos aislados. Indican que el número está dentro de una base activa que rota pretextos hasta encontrar uno que funcione.
Al recibirlos, conviene bloquear y reportar el remitente, eliminar el mensaje y, si hubo interacción, cambiar contraseñas desde un dispositivo seguro y revisar sesiones activas en aplicaciones.
Las autoridades mexicanas mantienen canales de denuncia y orientación para estos casos a través de la CONDUSEF, la división de ciberseguridad de la Guardia Nacional y el Instituto Federal de Telecomunicaciones por mensajes no solicitados.
Alertan autoridades por aumento de fraudes vía SMS
Las autoridades federales de seguridad han emitido alertas públicas sobre el incremento de fraudes digitales que llegan por mensajes SMS con enlaces engañosos. La práctica, conocida como smishing, consiste en enviar textos que aparentan ser avisos legítimos para dirigir a las personas a páginas falsas donde se capturan datos sensibles.
La Guardia Nacional, a través de su equipo CERT-MX, ha advertido que estos mensajes suelen simular comunicaciones oficiales y piden a las personas ingresar a ligas para “verificar cuentas”, “activar beneficios” o “consultar avisos”. La recomendación institucional es no responder, no proporcionar información personal y verificar siempre por canales oficiales.
La Secretaría de Seguridad y Protección Ciudadana ha señalado en comunicados que las estafas en línea —incluidos fraudes telefónicos y digitales— han mostrado un crecimiento sostenido, por lo que insiste en no compartir datos confidenciales por mensajes y denunciar cualquier intento de engaño.
Han detallado además que el smishing suele presentarse como notificaciones bancarias falsas, premios inexistentes o alertas de seguridad. Advierten que estas prácticas pueden derivar en robo de identidad y acceso no autorizado a cuentas personales.
Las autoridades coinciden en un punto: instituciones legítimas no solicitan datos sensibles mediante SMS ni utilizan enlaces acortados para trámites oficiales. Cualquier mensaje que lo haga debe considerarse sospechoso y verificarse por vías formales.
En paralelo, estudios sectoriales dimensionan el impacto. De acuerdo con The Competitive Intelligence Unit, más de 13.5 millones de internautas en México han sido víctimas de phishing, equivalente a 13.5% de los usuarios de internet en el país. Además, 34% de las personas ha recibido mensajes sospechosos solicitando datos personales.
Entre quienes cayeron en estos esquemas, 61.5% perdió contraseñas, 38.5% datos personales, 23.1% reportó pérdidas económicas y 15.4% perdió acceso a cuentas bancarias. El promedio de pérdida económica por caso se estimó en 8,750 pesos.
Otros análisis del sector de ciberseguridad señalan que en 2024 se registraron alrededor de seis millones de fraudes cibernéticos, con un incremento cercano al 40% en seis años y montos reclamados que superan los 20 mil millones de pesos.
Encuestas tecnológicas indican que hasta 44% de las personas en México ha experimentado intentos de fraude vía SMS, lo que confirma al smishing como uno de los vectores de ataque más frecuentes. Reportes de firmas de seguridad registran aumentos significativos en intentos de mensajes falsos en el último año.
El patrón descrito por autoridades y analistas coincide: mensajes breves, promesas atractivas, urgencia y enlaces que ocultan el destino real. Un mecanismo simple que, por volumen, ha logrado convertirse en una de las formas de fraude digital más extendidas en el país.
