SMS spoofing: qué es, cómo funciona y cómo evitar caer en la trampa

La suplantación de identidad mediante SMS y llamadas se ha convertido en uno de los fraudes más peligrosos y habituales que afectan tanto a particulares como a empresas; consulta las últimas noticias sobre seguridad informática y ciberseguridad.

En este artículo vamos a explicar con detalle qué es el SMS spoofing, cómo funciona y cómo se relaciona con otros tipos de spoofing (en llamadas, correos, webs, IP, DNS, GPS, etc.), así como las señales para detectarlos y las medidas prácticas que puedes aplicar para protegerte en tu día a día, tanto a nivel personal como profesional, y en temas de seguridad y privacidad en programas.

Qué es el spoofing y por qué es tan peligroso

Cuando hablamos de spoofing nos referimos a un conjunto de técnicas de suplantación de identidad utilizadas por los atacantes para hacerse pasar por una persona, empresa u organismo de confianza. El objetivo es siempre el mismo: engañar a la víctima para que revele datos sensibles, realice pagos o ejecute acciones que favorezcan al estafador.

Los ciberdelincuentes combinan el spoofing con distintas formas de phishing (engañar para robar datos), ya sea por correo, SMS, llamadas o páginas web falsas. En el entorno bancario, estas estafas se centran especialmente en capturar credenciales de banca electrónica, datos de tarjetas, códigos de verificación por SMS (OTP) u otra información personal que permita cometer fraudes económicos o incluso otros delitos de suplantación de identidad.

Es importante recordar que las entidades financieras serias no piden por SMS, teléfono ni correo datos como usuario y contraseña de banca online, códigos enviados al móvil, numeración de tarjeta, fecha de caducidad o los tres dígitos de seguridad (CVV/CVC). Si alguien solicita esta información a través de estos canales, hay que sospechar inmediatamente.

SMS Spoofing: qué es y cómo funciona

El SMS spoofing es la técnica que permite a un atacante enviar un mensaje de texto que parece provenir de un remitente legítimo (normalmente un banco, una empresa de mensajería o un organismo público), cuando en realidad lo envía un delincuente. Esta práctica suele utilizarse en una variante del phishing llamada smishing, en la que el engaño llega a través de SMS.

En la práctica, el estafador modifica el número o el nombre del remitente que ves en la pantalla del móvil (el campo conocido como Sender ID). Gracias a ello, el mensaje fraudulento puede aparecer en el mismo hilo de SMS donde previamente tienes comunicaciones reales de tu banco o de un servicio confiable. Esa apariencia de continuidad hace que el usuario baje la guardia.

Los contenidos de estos SMS suelen incluir avisos alarmistas o urgentes: cargos no reconocidos, bloqueo inminente de la cuenta, necesidad de actualizar datos, supuestos premios o devoluciones de impuestos, entre otros. A partir de ahí, te invitan a hacer clic en un enlace o a llamar a un número de teléfono que no pertenece realmente a la entidad suplantada.

Una de las tácticas más habituales es que el mensaje contenga un enlace a una web falsa que imita a la del banco. Esa página puede ser casi idéntica a la auténtica: logotipos, colores, textos similares e incluso una URL muy parecida. El objetivo es que introduzcas tus credenciales de banca online, datos de tarjeta y códigos que recibes por SMS para que el delincuente pueda operar con tu cuenta.

En otros casos, el SMS dirige a la víctima a un número de teléfono fraudulento, donde un supuesto “gestor” o “agente” se hace pasar por personal del banco, solicita datos privados y guía paso a paso a la persona para que autorice transferencias o pagos, creyendo que está “solucionando un problema de seguridad”.

Por qué los SMS falsos se mezclan con los oficiales

Una de las dudas más frecuentes es cómo es posible que un mensaje fraudulento aparezca dentro del mismo hilo que los SMS legítimos del banco. La explicación está en cómo gestionan los móviles y las redes el identificador del remitente.

Los dispositivos agrupan las conversaciones basándose únicamente en el Sender ID (identificador de remitente), un campo alfanumérico que no cuenta con una verificación sólida ni una validación jurídica global. Es decir, la red y el móvil asumen que quien dice llamarse “Banco X” o usar determinado número realmente lo es, sin un control estricto.

Este vacío permite que los ciberdelincuentes usurpen el nombre de envío utilizado por bancos y empresas. Al no existir una autenticación fuerte del titular del alias, el terminal del usuario mezcla los mensajes falsos con los legítimos, generando una apariencia de total normalidad.

El resultado es que incluso usuarios atentos y con experiencia pueden caer en la trampa, ya que el canal y el contexto (el hilo de mensajes de “su banco”) parecen completamente auténticos, y el tono del mensaje juega con el miedo, la urgencia o la sensación de pérdida económica.

Caller ID Spoofing: suplantación en llamadas telefónicas

El Caller ID spoofing o spoofing telefónico es el equivalente del SMS spoofing pero aplicado a las llamadas. En lugar de manipular el remitente de un SMS, el atacante falsifica el número que aparece en el identificador de llamadas. Así, en la pantalla del móvil puede mostrarse el número real del banco, de un organismo oficial o incluso el de un contacto conocido, aunque la llamada proceda de otro sitio.

Con esta técnica, el estafador se hace pasar por empleado del banco, gestor de cuentas o personal de un servicio oficial y contacta con la víctima alegando un problema urgente: movimientos sospechosos, intentos de acceso no autorizados, bloqueo de tarjeta, necesidad de verificar datos de inmediato, etc.

Durante la llamada, la persona al otro lado suele pedir datos muy sensibles: usuario y contraseña de banca digital, códigos recibidos por SMS, numeración completa de la tarjeta, PIN, datos personales (DNI, fecha de nacimiento, dirección) o incluso que la víctima realice transferencias “para bloquear un fraude” que en realidad están siendo dirigidas a cuentas controladas por los delincuentes.

Las consecuencias pueden ser graves: acceso directo a las cuentas bancarias, realización de transferencias sin autorización, contratación de productos a nombre de la víctima o robo de identidad para cometer otros delitos. Por eso, si durante una llamada te piden datos de seguridad, debes cortar la comunicación y llamar tú por tu cuenta a los teléfonos oficiales del banco.

Para identificar un posible caso de Caller ID spoofing, conviene fijarse en si insisten en la urgencia de hacer una operación, en si el tono resulta intimidatorio, o si las preguntas se salen de lo habitual (por ejemplo, pedir contraseñas completas o códigos que el banco jamás te solicita por teléfono).

Otros tipos de spoofing muy frecuentes

Aunque el SMS spoofing y el Caller ID spoofing son especialmente peligrosos en el terreno financiero, existen muchas otras variantes de spoofing que también buscan engañar y robar información o dinero. Entenderlas ayuda a reconocer patrones y protegerse mejor.

Spoofing de correo electrónico

En el email spoofing, el atacante envía correos que parecen proceder de una dirección legítima: un banco, una empresa conocida o incluso un contacto personal. El truco está en falsificar el campo remitente (FROM), de manera que a primera vista el dominio parece confiable, aunque si se mira con detalle suele ser ligeramente distinto al dominio real de la entidad (por ejemplo, cambiar una letra, añadir un guion o utilizar otra extensión).

Estos correos suelen pedir que el usuario facilite datos personales o financieros, descargue un archivo adjunto o haga clic en enlaces que llevan a páginas fraudulentas. En muchos casos se aprovechan para instalar malware (virus, troyanos, keyloggers) o para abrir una web idéntica a la del banco en la que la víctima introducirá sus credenciales.

Spoofing de página web o dominio

El web spoofing o spoofing de dominio consiste en crear un sitio web falso que imita a uno legítimo (banco, tienda online, administración pública, etc.). La URL que aparece en la barra del navegador suele ser muy parecida, pero no idéntica, a la del sitio real. Muchas veces los atacantes combinan esta técnica con SMS spoofing o email spoofing para dirigir tráfico hacia esos sitios fraudulentos.

Una vez en la web falsa, la víctima introduce sus credenciales de acceso, datos de tarjeta u otra información confidencial creyendo que está en la página original. Los delincuentes capturan esos datos en tiempo real y pueden utilizarlos inmediatamente para entrar en la cuenta, realizar compras o vaciar saldos.

IP Spoofing

En el IP spoofing, el ciberdelincuente suplanta la dirección IP de otro equipo para que el sistema de destino crea que la conexión procede de una fuente de confianza. De este modo, puede evadir filtros de seguridad, acceder a recursos restringidos o aprovecharse de la confianza existente entre máquinas de una misma red.

Este tipo de ataque se emplea a menudo como parte de estrategias más complejas, como ataques de denegación de servicio (DDoS) o intrusiones en redes corporativas, y puede permitir el robo de información confidencial si no se dispone de las medidas de protección adecuadas.

DNS Spoofing

El DNS spoofing se basa en manipular el sistema de nombres de dominio (DNS), que se encarga de traducir nombres de páginas web en direcciones IP. Los atacantes infectan el router o el equipo de la víctima, o manipulan respuestas DNS, para que al entrar en una página conocida el usuario sea redirigido silenciosamente a un sitio fraudulento controlado por ellos.

Desde el punto de vista del usuario, todo parece normal (teclea la URL que siempre usa), pero en realidad está entrando en una web manipulada donde pueden robarle credenciales, datos bancarios o instalar malware sin que se dé cuenta.

GPS Spoofing

El GPS spoofing consiste en suplantar o manipular la señal de posicionamiento para que un dispositivo crea que se encuentra en un lugar diferente al real. Esta técnica puede utilizarse para engañar a sistemas de navegación, alterar rutas de transporte, modificar registros de ubicación o incluso cometer fraudes relacionados con repartos o trayectos facturados en función de la distancia.

Por ejemplo, un conductor malintencionado podría utilizar GPS spoofing para hacer creer a una plataforma que ha recorrido más kilómetros de los reales y así cobrar más, o desviar un transporte a otra zona sin que el sistema lo detecte de inmediato.

Ataques Man-in-the-Middle (MitM)

En los ataques de tipo Man-in-the-Middle (MitM), el ciberdelincuente se sitúa entre dos partes que se comunican (por ejemplo, un usuario y una web) y intercepta el tráfico sin que ninguno de los dos lo perciba. Una forma habitual de hacerlo es creando una red wifi falsa con un nombre muy parecido al de una wifi legítima (de una cafetería, hotel, universidad, etc.).

Si el usuario se conecta a esa red trampa, el atacante puede capturar contraseñas, datos de tarjetas, correos y otra información sensible. En algunos casos, además, puede modificar el tráfico para redirigir a webs falsas o inyectar código malicioso.

Facial Spoofing

El facial spoofing se centra en engañar a los sistemas de reconocimiento facial. El atacante utiliza fotografías, vídeos o modelos de la cara de otra persona con el fin de desbloquear móviles, acceder a aplicaciones bancarias o superar controles de autenticación biométrica.

Si el sistema no cuenta con mecanismos avanzados de detección de vida (por ejemplo, analizar profundidad, movimientos naturales o reflejos de luz), puede verse engañado y permitir el acceso no autorizado a cuentas y servicios muy sensibles.

Spoofing en el entorno profesional y empresarial

Las empresas, desde grandes corporaciones hasta pymes, también son objetivo habitual de estas técnicas de suplantación. En el ámbito profesional, los atacantes adaptan sus mensajes para hacerse pasar por jefes, compañeros, proveedores o clientes con los que la organización se relaciona a diario.

Es frecuente que intenten convencer a empleados de que realicen pagos urgentes a cuentas controladas por los delincuentes, faciliten información confidencial (datos de clientes, informes internos, credenciales de acceso) o descarguen documentos que contienen malware. Muchas de estas estafas se conocen como fraude del CEO o Business Email Compromise (BEC).

Para reducir el riesgo, es clave formar a todo el equipo en buenas prácticas de ciberseguridad y reforzar procesos internos de validación (por ejemplo, exigir doble comprobación para cambios de cuentas bancarias de proveedores o para transferencias grandes). También ayuda contar con soluciones técnicas que analicen correos, bloqueen mensajes sospechosos y monitoricen actividades anómalas.

Algunas entidades financieras ofrecen servicios de ciberseguridad específicos para empresas, como plataformas centralizadas que detectan y bloquean intentos de phishing y spoofing, evalúan el nivel de riesgo y proporcionan formación continua a los empleados para que aprendan a reconocer comunicaciones maliciosas.

Marco legal y medidas regulatorias frente al spoofing

El aumento masivo de fraudes basados en spoofing ha llevado a los reguladores a aprobar normas específicas para frenar estas prácticas. Una de las líneas de actuación es obligar a los operadores de telecomunicaciones a reforzar los controles sobre la numeración utilizada en llamadas y SMS.

Entre las medidas más destacadas se encuentran la obligación de bloquear comunicaciones con números falsificados, manipulados o no asignados y la regulación de la identificación de la numeración empleada en servicios de atención al cliente y llamadas comerciales. Con ello se busca que resulte más difícil usar alias o números que no se correspondan con la entidad real.

Aun así, la protección legal y técnica no es suficiente por sí sola: sigue siendo imprescindible que los usuarios mantengan una actitud crítica y prudente ante cualquier comunicación que solicite datos confidenciales o presione para actuar con urgencia, sobre todo si llega por SMS o llamada.

Cómo reconocer y evitar el SMS Spoofing y el Caller ID Spoofing

Aunque ningún sistema es infalible, hay una serie de pautas que ayudan a minimizar el riesgo de ser víctima de estas estafas. La primera es desarrollar cierto “sentido común digital”: dudar de cualquier mensaje o llamada no esperada que te pida datos o que genere alarma.

Ante un SMS sospechoso, la regla de oro es no pulsar sobre enlaces incluidos en el texto y no llamar a los números que aparezcan en el mensaje. Si parece ser de tu banco, entra directamente escribiendo la URL oficial en el navegador o accede a la app oficial, y allí comprueba si realmente hay algún aviso o incidencia.

En el caso de las llamadas, aunque veas en pantalla el número del banco, no debes facilitar contraseñas, códigos de verificación, datos de tarjeta ni claves de firma. Si te insisten, cuelga y llama tú mismo al teléfono de atención al cliente que aparece en la web oficial o en la parte posterior de tu tarjeta.

También conviene activar y aprovechar el doble factor de autenticación (2FA) en servicios críticos como la banca online, correo electrónico o plataformas profesionales, pero recordando siempre que los códigos enviados por SMS o a una app de autenticación nunca deben ser compartidos con nadie, ni siquiera si la persona asegura ser del banco.

Por último, mantener el móvil actualizado y contar con soluciones de seguridad (antivirus, antispam, filtros de URL) añade una capa adicional de protección frente a apps maliciosas y enlaces peligrosos, reduciendo las posibilidades de infección o redirección a sitios de phishing.

Recomendaciones generales de protección frente al spoofing

Más allá de cada canal concreto (SMS, llamada, correo, web), hay una serie de buenas prácticas que ayudan a protegerse frente a prácticamente cualquier tipo de spoofing. Una de las más importantes es no compartir información sensible por canales inseguros o no verificados, especialmente si no has iniciado tú la comunicación.

En el correo electrónico, antes de hacer clic en un enlace o descargar un adjunto, revisa con calma el dominio del remitente y el contenido del mensaje. Fíjate en pequeños errores de ortografía, dominios extraños o solicitudes de datos que tu banco jamás te haría por email. Si algo no encaja, es preferible borrar el mensaje o contactar directamente con la entidad por otro canal.

En la navegación web, acostúmbrate a mirar la URL completa en la barra del navegador y comprueba que coincide exactamente con la dirección oficial de la entidad. Desconfía de webs cuyos nombres sean demasiado parecidos a los originales pero no idénticos, o que hayan llegado a ti a través de enlaces en correos o SMS no solicitados.

En redes wifi públicas o abiertas, evita acceder a servicios sensibles como banca online, correo corporativo o paneles de administración. Si necesitas hacerlo, utiliza una VPN de confianza para cifrar la conexión y reducir las posibilidades de que alguien pueda interceptar tu tráfico.

Por último, ten presente que un tono agresivo o que intenta meterte prisa suele ser mala señal: ningún trámite bancario legítimo exige decisiones inmediatas bajo amenaza de perder dinero en cuestión de minutos. Si notas presión o dramatismo en el mensaje o llamada, detente, respira y verifica la información por tus propios medios.

La combinación de conocimiento, escepticismo sano y algunas medidas técnicas básicas hace que resulte mucho más complicado que un ciberdelincuente tenga éxito con técnicas de spoofing, ya sea a través de SMS, llamadas, correo, webs falsas u otros canales digitales.