Publicado: julio 15, 2025, 3:23 am
La Policía Nacional ha desarticulado una red criminal dedicada a suplantar a entidades bancarias mediante el envío de SMS.
Esta técnica, conocida como smishing, es un tipo de estafa en la que los ciberdelincuentes se hacen pasar por entidades legítimas —como bancos o empresas de servicios— para enviar mensajes de texto fraudulentos y engañar a las víctimas, de esta manera, obtienen información personal o financiera. Pero en este caso, el modus operadi de los estafadores consistía en el envío masivo de SMS con un enlace falso, en el que se alertaba de accesos fraudulentos a través de la banca online.
De acuerdo con la agencia EFE, se estima que esta red ha provocado pérdidas económicas cercanas al millón de euros a un total de 85 víctimas en un periodo de diez meses, además, la Policía Nacional ha detenido a 19 personas, e incluso ha identificado a 21 miembros más de este grupo criminal.
Así funcionaba la técnica smishing que afectó a las víctimas
La investigación de la Policía Nacional empezó en octubre del año pasado, cuando empezaron a recibir diversas denuncias de personas que aseguraban haber sido víctimas de una estafa por suplantación de su entidad bancaria.
A diferencia de otros fraudes, en este caso, los ciberdelincuentes operaban con información detallada y específica de clientes de una misma entidad bancaria —como números de cuenta, DNI e incluso direcciones personales—. Además, a través de aplicaciones informáticas especializadas, enviaban un primer SMS a sus objetivos alertando sobre un supuesto acceso no autorizado a la banca online desde un dispositivo desconocido.
El mensaje incluía un enlace con una URL similar a la original y, cuando la víctima hacía clic, los usuarios eran redirigidos a una página web falsa que imitaba ser la oficial, donde se les solicitaba las credenciales de acceso. Posteriormente, desde un panel de control, los estafadores monitorizaban la actividad en tiempo real y, en cuanto detectaban que una persona había accedido a la página falsa, realizaban una llamada telefónica utilizando técnicas de spoofing para que en el identificador del móvil apareciera el número auténtico del banco. Por lo tanto, fingiendo ser un agente del departamento antifraude del banco, los ciberdelincuentes seguían un guion preestablecido con el que lograban obtener más información personal y bancaria de la víctima.
Cuando contactaban con las víctimas, reforzaban el engaño con el envío de un segundo SMS con los supuestos datos del gestor asignado al caso. Así pues, una vez ganada la confianza de las víctimas, les indicaban que debían actuar de inmediato, sin colgar la llamada, para cancelar unas transferencias o cargos presuntamente fraudulentos. De este modo, conseguían que las víctimas realizaran transferencias bancarias, ingresos en cajeros, operaciones de criptomonedas e incluso la contratación de préstamos.
Finalmente, la agencia EFE añade que los fondos salían así de las cuentas de origen y eran transformados en dinero en efectivo mediante traspasos a direcciones de criptomonedas o extracciones en cajeros, con el objeto de cortar el nexo de unión entre el destinatario final y los fondos, lo que favorecía el blanqueo de las estafas.
Cómo evitar ser víctima de smishing
Si los usuarios reciben un mensaje de texto de un número desconocido, no deben responder ni hacer clic en ningún enlace que pueda incluir. Además, por el lado contrario, en caso de recibir un SMS de una empresa u organización conocida, es recomendable verificar la autenticidad del mensaje, ya sea contactando con la entidad o comprobando si el SMS es legítimo o no.
Por otro lado, los individuos tienen que mantener el software actualizado, instalar antivirus para detectar y prevenir cualquier amenaza, e incluso activar la autenticación de dos factores para aumentar la seguridad de las cuentas.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
