Phishing móvil: el nuevo campo de batalla digital en nuestros propios bolsillos

agosto 21, 2025

Phishing móvil: el nuevo campo de batalla digital en nuestros propios bolsillos

Imagen: Ozy

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

El universo de las comunicaciones móviles evoluciona a tal velocidad que incluso los usuarios más cuidadosos terminan atrapados en el incesante flujo de mensajes y notificaciones. El smartphone, ese dispositivo inseparable que vibra, suena y parpadea a cada momento, despliega frente a nosotros alertas de supuesta urgencia: desde mensajes de Messenger y notificaciones push de bancos o tiendas en línea, hasta un SMS que asegura ser “importante”. Esta costumbre de responder de manera casi automática a la pantalla, confiando en la autenticidad de lo que vemos, es justo lo que convierte a los ataques de phishing en una amenaza cada vez más efectiva.

Hoy los ciberdelincuentes no se limitan al correo electrónico. Han extendido sus operaciones al terreno móvil, conscientes de que es en ese entorno donde los usuarios actúan con mayor rapidez y menos análisis crítico. Comprender cómo operan estas estafas en SMS, chats y notificaciones push es esencial para identificar las estrategias detrás de ellas, por qué logran engañar incluso a personas con experiencia digital y qué medidas de protección funcionan realmente frente a este tipo de fraudes.

El auge del phishing móvil

El teléfono inteligente se ha transformado en el centro de la vida digital. En él convergen nuestras conversaciones personales, chats laborales, operaciones bancarias y recordatorios diarios. A diferencia del correo electrónico — donde los filtros antispam están mucho más desarrollados — , los mensajes de texto y las aplicaciones de mensajería carecen de mecanismos de protección avanzados. Además, los usuarios tienden a confiar en los mensajes breves: si llega un SMS con el logotipo de un banco o una notificación corporativa, pocos se detienen a cuestionar su legitimidad.

Otra ventaja para los delincuentes es la inmediatez. Una alerta bancaria en pantalla basta para que la víctima, en cuestión de segundos, pulse un enlace convencida de que protege su dinero. Los criminales no necesitan grandes elaboraciones: basta con manipular ese reflejo impulsivo de confianza para tener éxito.

Phishing por SMS: de enlaces engañosos a remitentes falsificados

El phishing por SMS es una de las tácticas más antiguas, pero todavía eficaz. Generalmente, los estafadores envían mensajes como: “Su tarjeta ha sido bloqueada. Confirme sus datos aquí” o “Ha recibido una transferencia. Consulte su saldo”. El objetivo es claro: inducir miedo o urgencia para que el usuario reaccione sin pensar.

La sofisticación actual permite incluso falsificar el remitente. Con herramientas modernas de envío de SMS, los delincuentes logran que en el teléfono de la víctima aparezca el nombre de un banco o institución legítima. El mensaje, acompañado de un enlace, dirige a una página que simula ser el portal oficial, donde la persona introduce sus credenciales y hasta códigos de un solo uso, entregando toda su información a los atacantes.

Ejemplo real: un usuario recibe un SMS con el texto “Banorte: su acceso a la banca digital ha sido restringido. Confirme su identidad en banortecom.mx”. El dominio parece auténtico, pero en realidad redirige a una página clonada del banco. Al introducir usuario y contraseña, los ciberdelincuentes acceden de inmediato a la cuenta real.

Phishing en mensajería: la trampa de la confianza

WhatsApp, Telegram, Signal o Viber son ya parte integral de la vida diaria, y precisamente por eso el phishing en estos canales resulta aún más peligroso. Los mensajes suelen llegar desde cuentas comprometidas o perfiles falsos que imitan a amigos y compañeros de trabajo. Bajo la apariencia de confianza, los atacantes envían frases como “¿Son estas tus fotos?” o “Necesitas rellenar este formulario para recibir tu paquete”.

La víctima, convencida de que proviene de alguien conocido, tiene más probabilidades de pulsar el enlace. En algunos casos, los delincuentes complementan la trampa con llamadas telefónicas, haciéndose pasar por mensajerías o soporte técnico, reforzando así la credibilidad del engaño.

Ejemplo real: un usuario recibe en Telegram un mensaje de un supuesto compañero con un enlace a un “documento de trabajo”. Tras descargarlo, el archivo ejecuta un troyano que roba contraseñas del navegador y credenciales de billeteras de criptomonedas. El afectado, confiado en el contexto laboral, no sospechó de la amenaza hasta que fue demasiado tarde.

Notificaciones push: imitaciones cada vez más convincentes

Las notificaciones push fraudulentas representan un nivel adicional de sofisticación. Existen dos variantes principales: la primera consiste en infectar un dispositivo con aplicaciones maliciosas que interceptan las alertas y generan mensajes bancarios falsos; la segunda aprovecha los servicios push del navegador. Al visitar una página con código malicioso, el usuario es inducido a aceptar suscripciones a notificaciones. A partir de ese momento, comienza a recibir alertas engañosas con mensajes como: “Ha recibido una transferencia, confírmela en la aplicación”.

La amenaza se potencia en el sector financiero, donde la confianza en estas alertas es muy alta. Al pulsar sobre ellas, los usuarios son redirigidos a sitios clonados donde comparten sus credenciales. En ciertos casos, los estafadores combinan técnicas: primero infectan el dispositivo con un archivo APK y luego usan notificaciones push para obtener códigos de autenticación de dos factores.

Ejemplo real: tras visitar un sitio de “créditos rápidos”, un usuario acepta recibir notificaciones. Horas después recibe una alerta: “Tu tarjeta ha sido bloqueada. Ingresa a la app”. El enlace lo lleva a una réplica exacta de la aplicación bancaria, diseñada para robar datos de acceso.

El factor humano: por qué caemos en la trampa

La clave del phishing no está únicamente en la tecnología, sino en la psicología. Estos ataques apelan a emociones básicas: el miedo a perder dinero, la necesidad de resolver un problema de inmediato o la confianza depositada en conocidos. Un logotipo familiar, un remitente aparente o un ícono de aplicación bastan para desactivar el pensamiento crítico.

Además, suelen ejecutarse en momentos de distracción: mientras viajamos, trabajamos en fechas de cierre fiscal o estamos en la calle. Bajo esas condiciones, la probabilidad de una reacción impulsiva aumenta, lo que los ciberdelincuentes saben aprovechar con precisión.

Cómo protegerse del phishing móvil

La primera regla de oro es nunca seguir enlaces recibidos por SMS, mensajería o notificaciones push, aunque parezcan legítimos. Siempre es más seguro abrir la aplicación oficial del banco o escribir directamente la dirección en el navegador.

Otras medidas clave incluyen:

Verificar cuidadosamente los dominios de los sitios web: ligeras variaciones en la ortografía (ejemplo: ban0rte en lugar de banorte) son un recurso clásico.

Descargar aplicaciones únicamente desde Google Play o App Store, evitando archivos APK de terceros.

Utilizar soluciones de seguridad con filtros de SMS y análisis de enlaces.

Activar la autenticación de dos factores para reforzar la protección de cuentas.

Confirmar directamente con la persona, por llamada u otro canal, si un contacto envía un enlace inesperado.

Desactivar notificaciones push innecesarias y evitar suscripciones en sitios poco confiables.

Una batalla de atención

El phishing ya no se limita al correo electrónico. Los dispositivos móviles se han convertido en un terreno fértil para los delincuentes, que se aprovechan de la velocidad y la falta de análisis en las reacciones de los usuarios. Mensajes de texto falsificados, contactos “conocidos” en apps de mensajería o notificaciones push fraudulentas responden al mismo principio: inducir una acción rápida bajo presión emocional o de tiempo.

Frente a ello, la mejor defensa es la calma. Detenerse, verificar la fuente y recurrir siempre a los canales oficiales es un hábito indispensable. En una era en la que el smartphone es la principal herramienta de comunicación, aprender a leer cada notificación con pensamiento crítico ya no es una opción: es una necesidad vital para la seguridad digital.

Para más información, visite: https://www.silikn.com/