En el marco de las tareas de monitoreo y análisis que realiza el equipo de ESET MDR, se ha identificado una nueva campaña de ingeniería social que utiliza técnicas de smishing para suplantar la identidad de una reconocida entidad financiera en México.

A través de un mensaje de texto que promete una recompensa en efectivo, los ciberdelincuentes buscan captar la atención de los usuarios y guiarlos hacia una página fraudulenta diseñada para robar información personal y financiera. Esta modalidad, cada vez más sofisticada, representa una amenaza directa para los tarjetahabientes, quienes podrían ver comprometidos sus datos sensibles si no logran identificar a tiempo el engaño.

Tal vez te interese también: Qué es el phishing: Guía Completa 2025

¿Cómo operan los cibercriminales?

El modus operandi es el siguiente:

Llega un mensaje de tipo recordatorio donde se le invita a la víctima a canjear los puntos obtenidos por recompensas, en efecto con una fecha de vencimiento nada normal (“solo por el día de hoy”). 

smishing-mexico-suplantacion-robo-datos
Imagen 1: Captura de pantalla que muestra el SMS inicial de phishing que suplanta a entidad financiera mexicana.

Luego, al dar clic en el enlace, este redirige a la víctima a una página para validar que quien está del otro lado no se trata de un bot sino de una persona real a través de un captcha.

smishing-mexico-banco-robo-datos-5
Imagen 2: Pantalla a la que lleva a una verificacion antibot.

Una vez superado el captcha, aparece una plantilla idéntica la oficial del banco para no levantar sospechas, además de un formulario donde se le solicita a la víctima un número de teléfono y que acepte los “Términos y condiciones” junto con la “Política de Privacidad” para poder canjear la recompensa en efectivo.

smishing-banco-mexico-robo-datos
Imagen 3: Sitio web falso que suplanta a la entidad y solicita datos como número de teléfono.

Como siguiente ventana se le muestra a la víctima una cantidad considerable de “Puntos” y el valor que tienen en efectivo. Otro punto para destacar es que en la parte inferior los puntos tienen una fecha de caducidad seguida de la leyenda “Importante: Los puntos vencidos no se pueden recuperar. ¡Canjea tus puntos ahora antes de que se pierdan para siempre!”

Sorpresivamente, para poder reclamar los puntos, se abre un nuevo formulario, pero en esta ocasión se piden datos financieros como “Titular de la tarjeta”, “Número de tarjeta”, “Fecha de vencimiento” y “Código de seguridad”, información que debería tener la institución financiera.

smishing-mexico-banco-robo-datos-2
Imagen 4: Formulario en la web falsa donde la víctima ingresa datos de tarjeta de crédito.

Cuando los datos son introducidos correctamente, la página web manda un banner indicando que el “Registro fue exitoso” y que un asesor se pondrá en contacto con la víctima dentro de las próximas 48 horas.

smishing-mexico-banco-robo-datos-1
Imagen 5: Web falsa que informa de un suspuesto registro exitoso

Al dar clic en cualquiera de las opciones del menú, este redirige a la víctima a una página con un dominio similar a la del banco que fue suplantado, con un mensaje de error, que finaliza la cadena de phishing. Lamentablemente, la víctima a esta altura ya ha entregado sus datos a los cibercrimnales que podrán ser udados para cometer otras estafas, para venderlos en la web, o intentar o seguir en sus campaañs de phishing y otras estafas suplantando la identidad de la víctima.

Cómo funciona el phishing y por qué es efectivo

Los ciberdelincuentes siempre buscan llevarse la información de sus víctimas a través de distintos medios, como puede ser un correo electrónico, un enlace o incluso un simple mensaje de texto.

Para ello se valen de técnicas psicológicas y de manipulación para engañar a la persona y adquirir información sensible como puede ser la obtención de credenciales (usuario y contraseña) para ingresar a la banca en línea y llevarse todo su dinero o entrar a sistemas restringidos a solo personal autorizado de una organización. Efectivamente, lo que se conoce como la ingeniería social en el mundo de ciberseguridad.

Piensa en los siguientes ejemplos, algunos de ellos pocos creíbles hoy en día, pero que en su momento tuvieron gran impacto y fueron el punto de partida para desarrollar temáticas que actualmente se siguen usando y continúan refinando:

  • El caso del «Príncipe Nigeriano»: En los primeros años del correo electrónico surgió un correo muy famoso en donde supuestamente un príncipe necesitaba tu ayuda para sacar una gran suma de dinero de su país y, a cambio, te daría una recompensa. Aquí el ciberdelincuente jugaba con la avaricia de su víctima.
  • La oferta «demasiado buena y con fecha de caducidad»: Ahora imagina que ves un anuncio en Internet de un producto muy caro a un precio ridículamente bajo por tiempo limitado. Haces clic y te piden tus datos personales o bancarios. Al poco rato te llega un cargo no reconocido a través de tu aplicación bancaria. Nuevamente, el cibercriminal utilizó esa emoción para llevarse tu información y peor aún, tu dinero.
  • La llamada «del banco»: Alguien te llama haciéndose pasar por un empleado del banco, diciéndote que tu cuenta ha sido comprometida o existe un cargo que puede afectar tus finanzas y que, para evitar eso, necesitan tus datos para solucionarlo.

En todos estos casos, los cibercriminales están usando diferentes técnicas de ingeniería social, como:

  • Confianza: Se ganan tu confianza haciéndose pasar por alguien que conoces o por una autoridad.
  • Urgencia: Te presionan para que actúes rápido, sin pensar.
  • Miedo: Te asustan para que reveles información o hagas algo que no harías normalmente.
  • Curiosidad: Te atraen con algo que te parece interesante o intrigante.
  • Ganancias fáciles: Te tientan con la promesa de algo gratis o muy valioso.

Recomendaciones para evitar este tipo de fraudes

Desde WeLiveSecurity emitimos una serie de recomendaciones para evitar ser víctima de estos fraudes.

  • No compartir datos personales por mensajes o páginas de terceros, ningún banco tendría porque pedir información tan sensible a través de estos medios.
  • No abrir enlaces de números desconocidos porque estos pueden enviar a páginas fraudulentas que lo único que buscan es robar la información.
  • Acudir a una sucursal de la entidad financiera si se tiene duda sobre algún movimiento o promoción.
  • Verificar las ofertas en las páginas y redes oficiales del banco.
  • Si una oferta o promoción aparentar de ser muy buena y por tiempo limitado, seguramente es una estafa.
  • Usar contraseñas seguras y activar el doble factor de autenticación añade una capa de seguridad ante cualquier intento de fraude.
  • Mantener actualizado el dispositivo móvil para que los ciberdelincuentes no se aprovechen de alguna vulnerabilidad.
  • Contar con una solución de antivirus para filtrar y restringir aquellas páginas web que buscan robar la información de la víctima.

Cuando recibas un mensaje que te imprima urgencia y te inste a actuar rápidamente, es importante que te hagas las siguientes las preguntas, ¿la oferta es demasiado buena para ser real? ¿Por qué hay tiempo limitado para actuar? ¿Puedo validar esto desde una fuente oficial? Aplicar el sentido común y las recomendaciones antes mencionadas te ayudarían a protegerte ante tipo de estafas.