Factum | Cylum

Smishing: de fraude oportunista a vector industrializado contra empresas 

Pablo Nebreda

Pablo Nebreda - Concienciación en ciberseguridad

Durante años, el smishing en empresas se trató como una molestia residual orientada al consumidor final. En 2026, esa lectura ya no es válida. Las campañas actuales muestran un grado de industrialización, automatización y orientación a entornos corporativos que lo convierten el smishing empresarial en un vector de ataque empresarial, especialmente en organizaciones con dependencia de movilidad, BYOD y autenticación híbrida. 

España, además, no es un actor secundario en este escenario. En los últimos meses el smishing en España se situó de forma recurrente entre los países europeos con mayor volumen de ciberamenazas empresariales, donde fraudes de ingeniería social por SMS, ocupan una parte relevante de los incidentes gestionados por organismos nacionales. 

Smishing en empresas: contexto y magnitud

Los datos que se manejan en los últimos meses confirman una tendencia clara: 
el smishing corporativo ya no crece en volumen, sino en eficacia

Las campañas analizadas por INCIBE y otros observatorios muestran:

  • Un incremento sostenido de incidentes relacionados con SMS fraudulentos, especialmente aquellos que derivan en robo de credenciales, fraude financiero o instalación de malware. 
  • Un desplazamiento progresivo del phishing clásico por correo hacia canales móviles, donde los controles técnicos siguen siendo más débiles. 
  • Un patrón repetido: el ataque no termina en el SMS, sino que busca una segunda fase (web falsa, llamada, OTP, acceso cloud). 

A lo largo del 2025, INCIBE ha reforzado su actividad de alerta temprana ante campañas activas de smishing, destacando su capacidad de escalar rápidamente y de adaptarse a eventos coyunturales (campañas fiscales, picos de e-commerce, notificaciones administrativas). 

Patrones de smishing: suplantando servicios legítimos 

Una de las campañas más relevantes monitorizadas recientemente en España ha sido la suplantación de empresas de paquetería y servicios, ampliamente difundida y alertada por INCIBE. 

Infraestructura técnica de las campañas: 

  1. Escala: envíos masivos con miles de SMS diarios. 
  2. Infraestructura: uso de dominios recién creados alojados en nubes legítimas, lo que dificulta el bloqueo preventivo. 
  3. Cadena de ataque: el SMS actúa solo como detonante; el verdadero objetivo es la captura de datos o la interacción posterior. 

Este tipo de campañas demuestra que el smishing ya no depende únicamente del engaño, sino de una arquitectura técnica diseñada para evadir controles corporativos tradicionales

Cómo funcionan los SMS de smishing en ataques empresariales

Desde una perspectiva técnica, un SMS de smishing en empresas no es informativo, es transaccional. Casi siempre busca provocar una acción inmediata. Esa es su característica estructural clave. 

Un mensaje de smishing eficaz suele combinar: 

  • Identidad suplantada reconocible 
    Bancos, pasarelas de pago, empresas de logística, organismos públicos o proveedores tecnológicos. El nombre no es casual: se elige en función de la probabilidad de interacción. 
  • Evento verosímil 
    Entrega pendiente, cargo sospechoso, suspensión de cuenta, alerta de seguridad o validación obligatoria. No se inventa un problema genérico, se introduce uno convincente dentro del contexto actual
  • Urgencia operativa 
    “Acción requerida”, “evite el bloqueo”, “último aviso”. El objetivo es reducir el tiempo de análisis del receptor. 
  • Acción explícita 
    No hay smishing sin acción. Aquí está el núcleo del ataque. El SMS siempre empuja a ejecutar algo: pulsar un enlace, llamar a un número o responder al mensaje.
  • Elemento técnico encubridor URLs acortadas, dominios con apariencia legítima, pero sutilmente distintos, HTTPS válido, o números que simulan ser corporativos. 

Ataques de smishing más comunes en entornos corporativos 

El ejemplo de la “entrega falsa” sigue funcionando porque explota hábitos consolidados de compra online. El mensaje no pregunta: afirma. Y redirige a una web que simula seguimiento o pago de tasas mínimas. 

La “suspensión de cuenta”, especialmente bancaria o de plataformas de pago, continúa siendo uno de los vectores más eficaces. En entornos corporativos, este patrón es especialmente peligroso cuando el empleado reutiliza credenciales o utiliza el mismo dispositivo para acceso personal y profesional. 

Las “alertas de seguridad” falsas han ganado sofisticación: ya no solo alertan, sino que imitan flujos reales de verificación, incluyendo peticiones de OTP, lo que permite a los atacantes eludir MFA basado en SMS. 

Riesgos reales para la empresa 

El impacto del smishing en una organización no se limita al usuario que es engañado. Los riesgos más relevantes observados incluyen: 

  • Compromiso de credenciales corporativas, especialmente de servicios cloud, correo y plataformas colaborativas. 
  • Acceso lateral a sistemas internos a partir de un único dispositivo comprometido. 
  • Fraude financiero directo, cuando el ataque se integra con ingeniería social telefónica posterior. 
  • Exposición reputacional, si el incidente deriva en una brecha o en uso indebido de datos. 

En muchos casos analizados, el SMS es solo el primer eslabón de una cadena de ataque más amplia

Cómo proteger a una empresa frente al smishing

La defensa frente al smishing en empresas ya no pasa solo por concienciación. Las organizaciones más maduras están adoptando un enfoque operativo y medible

La evaluación de vectores como el uso masivo de dominios recién creados y el alojamiento en nubes legítimas permite calibrar las defensas técnicas reales frente a campañas activas. Cuando esta evaluación se combina con la búsqueda continua de páginas falsas, se obtiene una visibilidad que va más allá del incidente puntual. 

Al integrar estos procesos con KPI operativos, como el tiempo de detección, el tiempo de desconexión o la velocidad de bloqueo, la empresa transforma la seguridad en un ciclo de mejora continua, garantizando que la protección evoluciona al mismo ritmo que el fraude. 

Este enfoque convierte al smishing en un indicador de madurez defensiva, no solo en una amenaza aislada. 

Si el daño ya está hecho ¿Qué debo hacer? 

Desde el punto de vista corporativo, es crítico definir qué hacer cuando un empleado detecta que ha facilitado datos a una identidad sospechosa. 

Las buenas prácticas observadas incluyen: 

  • Notificación inmediata al equipo de IT o SOC, sin miedo a represalias. 
  • Cambio urgente de credenciales, incluso si no hay señales visibles de compromiso.
  • Revocación de sesiones activas y tokens asociados. 
  • Revisión de accesos recientes y actividades anómalas. 
  • Análisis del dispositivo, especialmente si se accedió a enlaces o se descargó contenido. 

El tiempo de reacción sigue siendo el factor más determinante para evitar un incidente mayor. 

El smishing ya no es ruido de fondo. Es un vector de ataque maduro, medible y rentable para los atacantes, que aprovecha debilidades técnicas y humanas en entornos empresariales modernos. 

Las organizaciones que lo siguen tratando como un problema de usuario final están un paso por detrás. Las que lo integran en su estrategia de detección, métricas y respuesta están convirtiendo una amenaza en una fuente de inteligencia defensiva

También te puede interesar

Apúntate a la newsleter

Cada quince días te enviamos contenidos y enlaces útiles para profesionales de ciberseguridad.

Resumen de privacidad
cylum-dark

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

Powered by  GDPR Cookie Compliance