Todos los cursos > Informática ( TI ) > Seguridad de la Información ::

Vishing y smishing: fraude por voz y mensajería móvil

Capítulo 3

Tiempo estimado de lectura: 9 minutos

+ Ejercicio

Qué son el vishing y el smishing (y por qué funcionan)

Vishing es el fraude que ocurre por llamadas de voz (teléfono tradicional o VoIP) donde el atacante se hace pasar por una entidad legítima (banco, soporte técnico, paquetería, “seguridad” de una plataforma) para lograr que la víctima revele información, instale algo o autorice una operación.

Smishing es el fraude por mensajería móvil (SMS y también apps como WhatsApp/Telegram) que busca lo mismo, pero usando textos, notas de voz, enlaces y archivos.

En ambos casos, el objetivo típico es: capturar credenciales, obtener códigos de verificación (OTP), tomar control de la cuenta o forzar una transferencia. La diferencia práctica es el canal: en llamadas se explota la urgencia y la autoridad; en mensajes se explota el clic rápido y la confianza en conversaciones “parecidas” a las reales.

Cómo operan estas estafas en la práctica

1) Spoofing de número (suplantación del identificador de llamada)

Los atacantes pueden manipular el Caller ID para que en tu pantalla aparezca un número “oficial” o similar al de una entidad real. Esto puede ocurrir con servicios VoIP o rutas de telefonía que permiten presentar un identificador falso.

  • Señal clave: que el número “parezca” real no prueba nada. El identificador puede ser falsificado.
  • Variante común: números casi idénticos (cambio de un dígito) o prefijos internacionales inesperados.

2) Guiones de call center (vishing profesionalizado)

Muchas campañas usan guiones con estructura de soporte: saludo formal, “verificación” de datos, explicación de un incidente, urgencia y una “solución” guiada.

Continúa en nuestra aplicación.
  • Escuche el audio con la pantalla apagada.
  • Obtenga un certificado al finalizar.
  • ¡Más de 5000 cursos para que explores!
O continúa leyendo más abajo...
Download App

Descargar la aplicación
Fase del guionQué dicenQué buscan
Autoridad“Le llamo del área de seguridad…”Que obedezcas sin cuestionar
Incidente“Detectamos un acceso/compra…”Activar miedo y urgencia
Verificación“Confírmeme su correo / DNI / tarjeta”Completar datos para suplantación
Control“Le llegará un código, dígamelo”Tomar la cuenta con OTP
Acción“Para proteger, transfiera a cuenta segura”Robo directo de fondos

3) Enlaces maliciosos en SMS/WhatsApp/Telegram

En smishing, el mensaje suele incluir un enlace a una web que imita a la entidad o a un portal de “seguimiento”, “pago pendiente”, “verificación” o “reembolso”. También pueden usar acortadores o dominios parecidos.

  • Señal clave: el texto empuja a actuar rápido (“último aviso”, “hoy vence”, “bloqueo en 30 min”).
  • Variante: el enlace abre una página que pide usuario/clave y luego el OTP.

4) Solicitudes de códigos de verificación (OTP) y “aprobaciones”

El patrón más dañino es cuando el atacante intenta iniciar sesión en tu cuenta y te pide el OTP (SMS, app autenticadora o notificación push) “para cancelar” o “verificar”. En realidad, ese código es para entrar.

  • Regla de oro: un OTP es como una llave de un solo uso. Nunca se dicta por llamada ni se reenvía por chat.
  • Señal adicional: te piden leer un código que “acaba de llegar” o aprobar una notificación “para bloquear un acceso”.

Señales de alerta específicas (checklist rápido)

  • Solicitud de OTP (por voz o mensaje) o de “código de verificación” para “cancelar” o “validar”.
  • Presión para instalar apps: “app de soporte”, “antivirus”, “control remoto”, “certificado de seguridad”, “app de verificación”.
  • “Verificación de cuenta” con preguntas innecesarias o solicitud de capturas de pantalla.
  • Amenazas de bloqueo, cierre, multa, denuncia, pérdida de acceso o “último aviso”.
  • Transferencia inmediata a “cuenta segura”, “cuenta puente”, “resguardo”, “bóveda”, “cuenta de la autoridad”.
  • Te piden mantener la llamada mientras haces pasos en el móvil (para evitar que consultes a la entidad real).
  • Te piden desactivar medidas: quitar PIN, desactivar biometría, desactivar 2FA, permitir “orígenes desconocidos”.
  • Mensajes con enlaces que piden pago, actualización de datos o “confirmación” fuera de la app oficial.

Guía práctica paso a paso: qué hacer ante una llamada o mensaje sospechoso

Paso 1: Pausa y etiqueta el contacto como “no verificado”

Asume que la identidad del interlocutor no está confirmada, aunque el número parezca legítimo o el logo aparezca en WhatsApp.

Paso 2: No compartas ni confirmes información sensible

No confirmes datos “para verificar” (documento, dirección, correo, números parciales de tarjeta, códigos). Si ya conocen parte de tu información, pueden usarla para que el resto parezca creíble.

Paso 3: No pulses enlaces ni abras archivos

Si el mensaje incluye enlace, evita abrirlo. Si necesitas revisar un estado (paquete, pago, cuenta), entra por la app oficial o escribe manualmente la URL conocida en el navegador.

Paso 4: Corta la comunicación con una regla simple

Usa una regla de corte: “No gestiono seguridad por llamada entrante ni por enlaces de mensajes. Yo llamo por el canal oficial.”

Paso 5: Valida por un canal independiente

Valida usando un canal que no dependa del contacto entrante:

  • Busca el número oficial en la web o app oficial (no en el mensaje).
  • Si es un banco/servicio: entra a tu app y revisa alertas y movimientos.
  • Si es un envío: revisa el tracking desde la app o web oficial escrita manualmente.
  • Si es “soporte”: abre un ticket desde el centro de ayuda oficial.

Paso 6: Si compartiste algo, actúa como incidente

Si llegaste a dictar un OTP, instalar una app o introducir credenciales en un enlace:

  • Cambia contraseñas desde un dispositivo confiable.
  • Revoca sesiones abiertas (opción “cerrar sesión en todos los dispositivos”).
  • Revisa y elimina apps instaladas recientemente.
  • Contacta a la entidad por canal oficial para bloquear operaciones y documentar el caso.

Guiones de respuesta segura (qué decir y qué no decir)

Vishing: respuestas recomendadas

Guion A (corte educado y firme):

Entiendo. Por seguridad no confirmo datos ni códigos en llamadas entrantes. Voy a colgar y llamar yo al número oficial desde la app o la web. Gracias.

Guion B (si insisten con urgencia):

Si es urgente, quedará registrado en mi cuenta. Yo lo gestiono por el canal oficial. No continuaré por esta llamada.

Guion C (si piden OTP o aprobación):

Los códigos de verificación no se comparten. Si usted los solicita, no puedo continuar. Voy a reportar el intento y cortar.

Smishing: respuestas recomendadas (si decides contestar)

En general, es mejor no responder. Si necesitas responder (por ejemplo, en un chat donde te escriben como “soporte”):

No puedo verificar por este chat. Abriré la app oficial / contactaré por el canal oficial. No abriré enlaces ni enviaré códigos.

Qué NO decir (frases que habilitan el fraude)

  • “Sí, ese código me llegó, es…”
  • “Mi correo es…, mi DNI es…, mi dirección es…”
  • “Estoy instalando la app, dígame qué permisos dar”
  • “Sí, apruebo la notificación para bloquear”
  • “No encuentro la opción, ¿me guía?” (si la guía implica cambios de seguridad o instalación)

Reglas claras para cortar la comunicación

  • Regla 1: si piden OTP, PIN, contraseña o “código de seguridad”, cuelga.
  • Regla 2: si piden instalar una app o habilitar permisos inusuales (accesibilidad, administrador del dispositivo), cuelga.
  • Regla 3: si amenazan con bloqueo inmediato o transferencia urgente, cuelga.
  • Regla 4: si te piden mantenerte en línea mientras haces pasos, cuelga.
  • Regla 5: si el contacto se enfada, te culpabiliza o te presiona, cuelga.

Métodos de validación con entidades reales (sin caer en el canal del atacante)

Validación para bancos y billeteras

  • Entra a la app oficial y revisa: movimientos, alertas, dispositivos vinculados, límites, beneficiarios recientes.
  • Llama al número oficial desde la app o desde la web escrita manualmente.
  • Pregunta por un número de caso y confirma ese caso llamando tú al canal oficial (si existe esa práctica en tu entidad).

Validación para paquetería y “cobros pendientes”

  • No pagues desde enlaces de SMS. Abre la web oficial manualmente o usa la app.
  • Si hay un tracking, introdúcelo tú en el sitio oficial; no uses el enlace recibido.

Validación para “soporte técnico”

  • No aceptes soporte por llamada entrante. Inicia tú el contacto desde el centro de ayuda oficial.
  • No instales herramientas de control remoto por indicación de un tercero no verificado.

Endurecimiento del móvil (medidas concretas)

1) Bloqueo de pantalla y protección del dispositivo

  • Activa PIN robusto (6+ dígitos) o contraseña; evita patrones simples.
  • Activa biometría, pero mantén un PIN fuerte como respaldo.
  • Configura bloqueo automático en 30–60 segundos.
  • Activa “Encontrar mi dispositivo” (Android/iOS) y el borrado remoto.

2) Permisos de apps (revisión y mínimos necesarios)

Revisa permisos de apps instaladas, especialmente las recientes.

  • Revoca permisos no esenciales: SMS, accesibilidad, administrador del dispositivo, contactos, micrófono, notificaciones.
  • Desconfía de apps que piden Accesibilidad sin una razón clara: ese permiso se usa a menudo para capturar pantallas, leer contenido y automatizar acciones.
  • Desinstala apps que no reconozcas o que instalaste “por una llamada”.

3) Filtros antispam y control de llamadas/mensajes

  • Activa el filtro de llamadas spam del sistema o del operador si está disponible.
  • En mensajería: filtra “desconocidos”, silencia números no guardados y reporta spam.
  • Bloquea números que insisten, pero recuerda: el bloqueo no evita que cambien de número.

4) Configuración de privacidad en WhatsApp/Telegram (reducción de exposición)

  • Limita quién puede ver tu foto, última vez, estado y info (por ejemplo: “Mis contactos”).
  • Desactiva la vista previa de mensajes en pantalla de bloqueo si compartes el móvil o estás en entornos públicos.
  • Activa verificación en dos pasos dentro de la app (PIN adicional) cuando esté disponible.

5) Ajustes de instalación y navegación

  • Evita habilitar “instalar apps de orígenes desconocidos” (Android) salvo necesidad real y por tiempo limitado.
  • Mantén el sistema y apps actualizados.
  • Usa un navegador con protección contra sitios engañosos y revisa el dominio antes de introducir datos.

Mini-ejercicios prácticos (para entrenar respuesta)

Ejercicio 1: llamada “del banco” con compra sospechosa

Situación: “Detectamos una compra. Para cancelarla, dígame el código que le llegará.”

Respuesta entrenada:

No comparto códigos. Voy a colgar y revisar en mi app. Si hace falta, llamaré al número oficial.

Ejercicio 2: SMS/WhatsApp de “paquete retenido” con enlace

Situación: “Su paquete está retenido. Pague 1,99€ aquí: [enlace]”

Respuesta entrenada: no abrir el enlace; abrir app/web oficial manualmente y verificar con el tracking real.

Ejercicio 3: “soporte” que pide instalar una app

Situación: “Instale esta app para verificar su cuenta y evitar el bloqueo.”

Respuesta entrenada: cortar comunicación y contactar soporte desde el centro de ayuda oficial; revisar permisos y apps recientes.

Ahora responde el ejercicio sobre el contenido:

Ante una llamada o mensaje que aparenta ser de una entidad legítima y solicita un código OTP para “cancelar” o “verificar” una operación, ¿cuál es la respuesta más segura?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

Los OTP no se dictan ni se reenvían: funcionan como una llave de un solo uso. Aunque el número parezca real, puede haber suplantación. Lo correcto es cortar y verificar desde la app o canales oficiales independientes.

Siguiente capítulo

Estafas en redes sociales y mensajería: identidad falsa, engaño emocional y fraudes de consumo

Arrow Right Icon
Portada de libro electrónico gratuitaIngeniería Social y Fraudes Digitales: prevención, detección y respuesta
25%

Ingeniería Social y Fraudes Digitales: prevención, detección y respuesta

Nuevo curso

12 páginas
Aprender Seguridad de la Información

AprenderSeguridad de la Información

Descubre cursos en línea gratuitos sobre Seguridad de la Información. Aprende a protegerte de amenazas cibernéticas con lecciones de Ciberseguridad y más, ¡todo gratis!

 Aprender Informática ( TI )

AprenderInformática ( TI )

Accede gratis a cursos desde básica a avanzada en informática, incluyendo Excel, programación, IA, redes, seguridad y más. Certificación gratuita incluida.
Descarga la aplicación para obtener una certificación gratuita y escuchar cursos en segundo plano, incluso con la pantalla apagada.
QR Code - Baixar Cursa - Cursos Online

Descarga nuestra aplicación a través del Código QR o los enlaces a continuación:.

Disponible en Google Play Disponible en App Store