La seguridad digital es un juego constante de gato y ratón, y los ciberdelincuentes acaban de lanzar una jugada maestra dirigida directamente a los usuarios mexicanos. Un análisis de la firma de ciberseguridad ESET detectó una campaña activa de smishing (suplantación por SMS) que se hizo pasar por una de las principales empresas de telefonía del país, con un único objetivo: vaciar las cuentas bancarias de sus víctimas.

El engaño, detectado durante marzo y principios de abril, comenzaba con un inocente mensaje de texto. El gancho era tentador: un supuesto canje de puntos acumulados por productos como celulares de última generación o smartwatches. ¿Quién no revisaría un mensaje que promete un premio por ser cliente fiel? Ahí radicaba el peligro. El enlace incluido, que a primera vista parecía legítimo, dirigía a un sitio web fraudulento meticulosamente clonado, donde se solicitaba información financiera sensible para “procesar el envío”.

David González, investigador de seguridad informática de ESET, explica la gravedad del caso: “Este ejemplo muestra cómo los ciberdelincuentes combinan suplantación de identidad con manipulación psicológica. Aprovechan la confianza en una marca conocida y la emoción de un premio gratuito para comprometer la seguridad de un usuario en cuestión de minutos”. El sitio fraudulento ya fue deshabilitado, pero la técnica sigue siendo una amenaza latente.

Así operaba la estafa, paso a paso

La campaña estaba estructurada en etapas diseñadas para generar confianza progresivamente. La primera era un SMS con un enlace que imitaba la URL oficial de la telefónica, pero con un error mínimo: cambiaban la letra “l” por una “i”. Un detalle que, en una pantalla pequeña o con un descuido, pasaba desapercibido.

Al hacer clic, la víctima llegaba a una página espejo casi idéntica a la real, con logos y colores oficiales. Allí se le pedía “verificar” sus datos personales y, posteriormente, ingresar información de tarjetas de crédito o débito para supuestamente cubrir un gasto de envío mínimo o verificar la identidad. En ese momento, toda la información caía directamente en manos de los estafadores.

¿Cómo protegerse? Los expertos de ESET son claros: desconfía es la palabra clave. Nunca hagas clic en enlaces de SMS o correos que prometan premios inesperados, incluso si parecen venir de una empresa legítima. Verifica directamente en la app o página web oficial (escribiendo la URL tú mismo) si tienes puntos o promociones pendientes. Las empresas serias nunca te pedirán datos financieros completos por mensaje de texto para canjear un premio. Si algo suena demasiado bueno para ser verdad, especialmente en el mundo digital, es casi seguro que es una trampa.

En la era donde nuestro teléfono es nuestro banco, nuestra consola y nuestra conexión social, este tipo de ataques son más peligrosos que nunca. Mantenerse alerta y aplicar un escepticismo saludable ante ofertas milagrosas es la mejor capa de protección que podemos activar. La batalla por la seguridad no está en firewalls complejos, sino en ese momento de pausa antes de hacer clic.