El gobierno acaba de normalizar el smishing: el nuevo registro telefónico podría convertirse en el mejor aliado de los estafadores
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
- El problema no es únicamente el envío de mensajes, sino el entrenamiento conductual que esta política genera sobre millones de usuarios.
Por Víctor Ruiz, fundador de SILIKN, CyberOps Associate (CCNA CyberOps), Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.
Mientras la atención pública se concentraba en otros temas, una modificación publicada en el Diario Oficial de la Federación (DOF) introdujo un cambio que podría tener consecuencias mucho más profundas que un simple ajuste administrativo al registro obligatorio de líneas telefónicas móviles. Detrás de la prórroga y del nuevo calendario escalonado de vinculación de líneas existe una disposición que, desde la perspectiva de la ciberseguridad, representa uno de los mayores errores de diseño en materia de prevención del fraude digital: obligar a todas las compañías telefónicas a enviar mensajes SMS con enlaces para que los usuarios realicen un trámite bajo la advertencia de que, si no lo hacen, su línea será suspendida.
La medida parece inofensiva. Sin embargo, en la práctica destruye uno de los principios fundamentales que durante años han sostenido las campañas de prevención del phishing y, particularmente, del smishing: nunca confiar en un mensaje SMS que contenga un enlace y solicite realizar un trámite urgente.
El smishing es una variante de estafa y ciberataque derivado del phishing en la que los delincuentes envían mensajes de texto (SMS) fraudulentos haciéndose pasar por entidades legítimas — como bancos, dependencias gubernamentales o empresas de mensajería — con el objetivo de engañar al usuario para que revele información confidencial (contraseñas, datos bancarios o números de identificación) o para que haga clic en enlaces maliciosos que descargan virus o malware en su dispositivo móvil.
El propio acuerdo establece que los operadores deberán enviar mensajes dos veces por semana a todas las líneas no vinculadas y aumentar la frecuencia a una notificación diaria durante los siete días previos al vencimiento del plazo correspondiente. El texto incluso determina la redacción que deberán utilizar las empresas: una advertencia sobre la fecha límite, la amenaza de suspensión del servicio y un enlace para completar el proceso de vinculación. Una vez vencido el plazo, deberán informar nuevamente que la línea será suspendida en las siguientes 72 horas, acompañando otra vez el mensaje con un enlace.
Paradójicamente, la autoridad acaba de convertir en comunicación oficial exactamente el mismo patrón que durante años los especialistas en ciberseguridad han enseñado a identificar como un intento de fraude.
El problema no es únicamente el envío de mensajes, sino el entrenamiento conductual que esta política genera sobre millones de usuarios. La seguridad digital depende en buena medida de que las personas aprendan a reconocer señales de alerta. Un SMS inesperado, un enlace, un sentido de urgencia y la amenaza de perder un servicio son, precisamente, las cuatro características más comunes de una campaña de smishing. A partir de ahora, esos mismos elementos dejarán de ser una alerta para convertirse en una práctica institucional.
Los ciberdelincuentes rara vez inventan nuevas técnicas; normalmente explotan procesos legítimos que la población ya conoce. Por ello, la publicación del acuerdo representa una oportunidad extraordinaria para las organizaciones criminales dedicadas al fraude digital. Bastará con copiar el formato oficial del mensaje, modificar ligeramente el dominio del enlace y distribuir millones de SMS falsos haciéndose pasar por una empresa telefónica.
El resultado es predecible. Muchos usuarios recibirán un mensaje indicando que “por disposición oficial” deben vincular su línea antes de determinada fecha o será suspendida. Otros recibirán un supuesto “último aviso” informando que su servicio será cancelado en 72 horas. La diferencia entre un mensaje legítimo y uno fraudulento podría reducirse únicamente al dominio de internet al que dirige el enlace, un detalle que la mayoría de las personas no revisa antes de hacer clic.
Este escenario facilita el robo de información personal, incluyendo CURP, identificaciones oficiales, datos bancarios, contraseñas y códigos de autenticación enviados por SMS. También abre la puerta a campañas de distribución de malware mediante enlaces que aparentan conducir a la plataforma oficial de registro, pero que en realidad descargan aplicaciones maliciosas capaces de interceptar mensajes, robar credenciales o tomar control del dispositivo.
La preocupación no es hipotética. México figura desde hace años entre los países latinoamericanos más afectados por campañas de phishing y fraude digital. Organismos financieros y empresas internacionales de ciberseguridad han documentado un crecimiento sostenido del smishing como mecanismo para el robo de identidad y el acceso ilícito a cuentas bancarias. La combinación entre el uso masivo del teléfono móvil y la confianza que los usuarios depositan en las comunicaciones provenientes de instituciones públicas convierte al país en un objetivo particularmente atractivo para los grupos criminales especializados en ingeniería social.
Lo más delicado es que el propio Estado proporciona ahora el guión que utilizarán los delincuentes. El acuerdo no sólo obliga a enviar mensajes con enlaces; también publica el texto que deberán contener. Es decir, establece un formato oficial que podrá ser replicado casi palabra por palabra por cualquier campaña de fraude:
De manera textual aparece en el Diario Oficial de la Federación (https://www.dof.gob.mx/nota_detalle.php?codigo=5792297&fecha=30/06/2026#gsc.tab=0) :
[…] Los Proveedores del Servicio de Telefonía Móvil deberán informar mediante notificación por SMS a todas sus Líneas Telefónicas Móviles que se encuentren habilitadas y no Vinculadas a un Titular, dos veces por semana mientras no se realice su Vinculación, y diariamente en los siete días previos al vencimiento del plazo previsto en el calendario.
La notificación a que hace referencia el párrafo que antecede contendrá la siguiente leyenda:
“Por disposición oficial, la fecha límite para vincular tu línea es hasta el DD-MM-AAAA. Vincula tu línea en [enlace]”
Donde:
· DD-MM-AAAA: Se deberá colocar el último día que se tiene para realizar la Vinculación de Líneas Telefónicas Móviles, de conformidad con lo dispuesto en el calendario.
· Enlace: Se deberá colocar el enlace a la Plataforma de Gestión de Proveedor de Servicio de Telefonía Móvil.
Vencido el plazo previsto en el calendario, los Proveedores del Servicio de Telefonía Móvil deberán informar vía SMS, que los servicios de la Línea Telefónica Móvil serán deshabilitados dentro de las siguientes 72 horas.
La notificación a que hace referencia el párrafo que antecede contendrá la siguiente leyenda:
“La fecha límite para vincular tu línea ha vencido y será suspendida en las próximas 72 horas. Vincula tu línea en [enlace]”
Donde:
· Enlace: Se deberá colocar el enlace a la Plataforma de Gestión de Proveedor de Servicio de Telefonía Móvil. […]
En términos de ingeniería social, la autoridad acaba de entregar un manual para construir mensajes altamente creíbles, aprovechando además el miedo generado por una posible suspensión del servicio telefónico.
Todo esto ocurre en un contexto en el que el propio proceso de vinculación ha evidenciado problemas de implementación. La prórroga publicada reconoce, en los hechos, que una suspensión masiva de líneas habría provocado una sobrecarga en los sistemas de señalización de las redes móviles, afectando potencialmente la operación nacional de las telecomunicaciones. En lugar de resolver las deficiencias estructurales del proceso, la respuesta consistió en escalonar las fechas de cumplimiento y multiplicar el envío de mensajes SMS con enlaces, trasladando un nuevo riesgo directamente a los usuarios.
La medida también erosiona años de campañas de alfabetización digital. Bancos, autoridades financieras, empresas tecnológicas y especialistas en ciberseguridad han insistido en una recomendación simple: nunca acceder a un trámite mediante un enlace recibido por SMS. Ese criterio era fácil de comunicar porque existían muy pocas excepciones. Ahora será el propio gobierno quien instruya a los ciudadanos a hacer exactamente lo contrario.
Desde la perspectiva técnica, existían alternativas considerablemente más seguras. Los operadores pudieron haber enviado mensajes sin enlaces, limitándose a informar la fecha límite e indicando al usuario que ingresara manualmente al sitio oficial o utilizara exclusivamente la aplicación móvil de su compañía. También pudieron implementarse mecanismos de autenticación verificables o campañas de comunicación que no reprodujeran las tácticas utilizadas por los estafadores. Sin embargo, la solución elegida normaliza el comportamiento que la industria de la ciberseguridad ha intentado erradicar durante más de una década.
El objetivo administrativo del registro puede ser legítimo. No obstante, una política pública no debe evaluarse únicamente por su finalidad, sino también por los riesgos colaterales que genera. En este caso, la obligación de enviar millones de SMS con enlaces y mensajes de urgencia crea un ecosistema ideal para el crecimiento del smishing, reduce la capacidad de los usuarios para distinguir entre comunicaciones auténticas y fraudulentas y ofrece a los ciberdelincuentes un contexto perfecto para lanzar campañas masivas de robo de identidad.
La ironía es difícil de ignorar. Un registro concebido para fortalecer el control sobre las líneas telefónicas termina debilitando uno de los principales mecanismos de defensa de la ciudadanía frente al fraude digital. En los próximos meses, el mensaje que anuncie la vinculación obligatoria de una línea podría provenir realmente de una empresa telefónica… o de una organización criminal. Para millones de usuarios, la diferencia entre cumplir con una disposición oficial y convertirse en víctima de un robo de identidad dependerá, literalmente, de un solo clic.
Para más información, visite: https://www.silikn.net/
