Fraude digital

¿Cómo detectar un SMS falso del banco?

“Su cuenta será bloqueada. Verifique sus datos aquí: bit.ly/xxxx”. Si recibiste un mensaje así, no estás solo: el smishing —phishing por SMS o WhatsApp— es una de las estafas más comunes en el Perú. Aprende a reconocerlo en segundos.

Por Equipo Midinerope · · 5 minutos de lectura

Qué es y por qué funciona

El smishing, en una frase

El smishing es un mensaje de texto o de WhatsApp que se hace pasar por tu banco (o por una empresa o el Estado) para que hagas clic en un enlace, entregues tus datos o llames a un número. Funciona porque combina dos cosas: la confianza en una marca que conoces y la urgencia de un problema que parece tuyo.

El truco no está en la tecnología, sino en tu reacción: el mensaje busca que actúes en caliente, antes de detenerte a pensar. Por eso la defensa es siempre la misma pausa: ningún banco te pide claves ni te manda enlaces para “verificar tus datos”. Si un mensaje lo hace, es falso, aunque parezca venir del número de tu banco.

🔒 Recuérdalo: el remitente de un SMS se puede falsificar (spoofing). Que diga “BCP”, “Interbank” o “Yape” no prueba nada. Juzga por el contenido, no por el nombre.
Las pistas

7 señales de un SMS falso

Casi nunca aparecen solas. Cuantas más reconozcas en un mismo mensaje, más claro está que es fraude.

1

Te piden claves o códigos

Clave, token, código SMS (OTP), CVV o “confirme su identidad”. Es la señal más grave: ninguna entidad legítima lo pide por mensaje.

2

Urgencia o amenaza

“En 24 horas”, “último aviso”, “su cuenta será bloqueada”. La prisa busca que no verifiques.

3

Un enlace para “resolverlo”

Bancos serios no operan por enlaces de SMS. Más sospechoso aún si es un acortador (bit.ly, cutt.ly) que esconde el destino.

4

Saludo genérico

“Estimado cliente”, “querido usuario”. Tu banco sabe tu nombre; los envíos masivos de phishing, no.

5

Errores y rarezas

Faltas de ortografía, tildes ausentes, frases forzadas o un dominio extraño en el enlace.

6

Premio o cobro inesperado

“Ganó un sorteo” o “se hizo un cargo, cancele aquí”. Apela a la emoción para que reacciones.

7

Te sacan del canal oficial

Te piden seguir por WhatsApp, llamar a un número o no avisar a nadie. Aislarte es parte del plan.

Tu reacción correcta

Qué hacer cuando recibes uno

  • No toques el enlace y no respondas, ni siquiera con “BAJA” o “NO”: responder confirma que tu número está activo.
  • No escribas datos. Si ya abriste el enlace pero no ingresaste nada, solo cierra la página.
  • Verifica por tu cuenta. Si te preocupa, entra tú a la app oficial o llama al número del reverso de tu tarjeta. Nunca al número del mensaje.
  • Repórtalo y elimínalo. Avisa a tu banco por su canal oficial; ayuda a proteger a otros.
  • Si ya entregaste claves o un código, llama de inmediato a tu banco para bloquear y cambiar claves, y revisa tus movimientos.
El mismo guion, otros disfraces

Los pretextos de smishing más usados en el Perú

El smishing recicla su historia en cuanto un pretexto deja de funcionar, pero todos terminan en lo mismo: un enlace, un número o un pedido de datos. Estos son los que más circulan hoy:

  • “Bloqueo de seguridad” de tu cuenta. “Detectamos un acceso sospechoso, verifique su identidad aquí.” Juega con el miedo a perder tu dinero.
  • “¿Reconoces este consumo?” Un cargo que no hiciste y un enlace o número para “anularlo”. Te empujan a reaccionar rápido por un gasto que duele.
  • Premio de Yape, Plin o un sorteo. “¡Ganaste S/ 1,000! Reclama aquí.” Nadie gana lo que no jugó; el premio siempre termina pidiendo datos o un pago.
  • Encomienda retenida. “Su paquete está detenido, pague S/ 3.50 de aduana.” Un monto pequeño para bajar tu guardia y capturar los datos de tu tarjeta.
  • Sunat, Reniec o “devolución de impuestos”. La autoridad del Estado da credibilidad; el enlace lleva a una página falsa que pide tus datos.
  • Oferta de empleo o “tarea pagada”. Trabajo fácil desde el celular que deriva en un “depósito de inscripción” o en usarte para mover dinero de terceros.
  • Falso soporte técnico. Te piden instalar una app de control remoto (AnyDesk, TeamViewer) “para ayudarte”: con eso ven tu pantalla y operan por ti.

Cómo se ve en la práctica

Mira este ejemplo típico: “Estimado cliente, su cuenta sera bloqueada en 24 horas por seguridad. Verifique sus datos aqui: bit.ly/seg-bcp”. En una sola línea hay cuatro señales: un saludo genérico (“estimado cliente”), urgencia (“24 horas”), un enlace acortado que esconde el destino y faltas de tildes que un banco no cometería. Cualquiera de ellas, por sí sola, ya bastaba para borrarlo. Cuando reconoces el molde, dejas de leerlo como una amenaza real y lo ves por lo que es: una plantilla enviada a miles de números a la vez.

Pasa de saber a actuar

¿Dudas de un mensaje? Analízalo

Pega el SMS, correo o WhatsApp y revisa las señales típicas de fraude. Trabaja 100% en tu dispositivo: el texto no sale de tu navegador.

¿El mensaje traía un enlace? Aprende a saber si un enlace es phishing. Y para el panorama completo, lee cómo protegerte de estafas o visita el Escudo Midinerope.

Preguntas frecuentes

Dudas rápidas

¿El banco envía mensajes de texto con enlaces?
Los bancos envían avisos (como notificaciones de consumo), pero nunca te piden tu clave, token o código por SMS ni te mandan un enlace para “verificar tus datos” o “desbloquear tu cuenta”. Si un mensaje hace eso, es falso. Ante la duda, no toques el enlace: entra tú a la app oficial.
¿Qué es el smishing?
El smishing es el phishing por SMS (o WhatsApp): un mensaje de texto que suplanta a tu banco, a una empresa o al Estado para que hagas clic en un enlace, entregues datos o llames a un número. Combina urgencia y un enlace para que actúes sin pensar.
Hice clic en el enlace de un SMS falso, ¿qué hago?
Si solo abriste el enlace pero no escribiste nada, cierra la página y no ingreses datos. Si llegaste a escribir claves, código u OTP, llama de inmediato a tu banco por el número oficial para bloquear y cambiar claves, y revisa tus movimientos. Activa la verificación en dos pasos donde puedas.
¿Cómo sé si el remitente del SMS es realmente mi banco?
El número o nombre del remitente se puede falsificar (spoofing), así que no es prueba de nada. Fíjate en el contenido: si pide claves, mete urgencia, trae un enlace acortado o un saludo genérico como “estimado cliente”, trátalo como falso aunque parezca venir del banco.
¿Debo responder o reenviar el mensaje sospechoso?
No respondas ni hagas clic. Puedes reportarlo a tu banco por su canal oficial y eliminarlo. Si quieres entender por qué es sospechoso, pégalo en una herramienta que lo analice localmente, sin enviarlo a ningún servidor.