¿Cómo detectar un SMS falso del banco?
“Su cuenta será bloqueada. Verifique sus datos aquí: bit.ly/xxxx”. Si recibiste un mensaje así, no estás solo: el smishing —phishing por SMS o WhatsApp— es una de las estafas más comunes en el Perú. Aprende a reconocerlo en segundos.
Por Equipo Midinerope · · 5 minutos de lectura
El smishing, en una frase
El smishing es un mensaje de texto o de WhatsApp que se hace pasar por tu banco (o por una empresa o el Estado) para que hagas clic en un enlace, entregues tus datos o llames a un número. Funciona porque combina dos cosas: la confianza en una marca que conoces y la urgencia de un problema que parece tuyo.
El truco no está en la tecnología, sino en tu reacción: el mensaje busca que actúes en caliente, antes de detenerte a pensar. Por eso la defensa es siempre la misma pausa: ningún banco te pide claves ni te manda enlaces para “verificar tus datos”. Si un mensaje lo hace, es falso, aunque parezca venir del número de tu banco.
7 señales de un SMS falso
Casi nunca aparecen solas. Cuantas más reconozcas en un mismo mensaje, más claro está que es fraude.
Te piden claves o códigos
Clave, token, código SMS (OTP), CVV o “confirme su identidad”. Es la señal más grave: ninguna entidad legítima lo pide por mensaje.
Urgencia o amenaza
“En 24 horas”, “último aviso”, “su cuenta será bloqueada”. La prisa busca que no verifiques.
Un enlace para “resolverlo”
Bancos serios no operan por enlaces de SMS. Más sospechoso aún si es un acortador (bit.ly, cutt.ly) que esconde el destino.
Saludo genérico
“Estimado cliente”, “querido usuario”. Tu banco sabe tu nombre; los envíos masivos de phishing, no.
Errores y rarezas
Faltas de ortografía, tildes ausentes, frases forzadas o un dominio extraño en el enlace.
Premio o cobro inesperado
“Ganó un sorteo” o “se hizo un cargo, cancele aquí”. Apela a la emoción para que reacciones.
Te sacan del canal oficial
Te piden seguir por WhatsApp, llamar a un número o no avisar a nadie. Aislarte es parte del plan.
Qué hacer cuando recibes uno
- No toques el enlace y no respondas, ni siquiera con “BAJA” o “NO”: responder confirma que tu número está activo.
- No escribas datos. Si ya abriste el enlace pero no ingresaste nada, solo cierra la página.
- Verifica por tu cuenta. Si te preocupa, entra tú a la app oficial o llama al número del reverso de tu tarjeta. Nunca al número del mensaje.
- Repórtalo y elimínalo. Avisa a tu banco por su canal oficial; ayuda a proteger a otros.
- Si ya entregaste claves o un código, llama de inmediato a tu banco para bloquear y cambiar claves, y revisa tus movimientos.
Los pretextos de smishing más usados en el Perú
El smishing recicla su historia en cuanto un pretexto deja de funcionar, pero todos terminan en lo mismo: un enlace, un número o un pedido de datos. Estos son los que más circulan hoy:
- “Bloqueo de seguridad” de tu cuenta. “Detectamos un acceso sospechoso, verifique su identidad aquí.” Juega con el miedo a perder tu dinero.
- “¿Reconoces este consumo?” Un cargo que no hiciste y un enlace o número para “anularlo”. Te empujan a reaccionar rápido por un gasto que duele.
- Premio de Yape, Plin o un sorteo. “¡Ganaste S/ 1,000! Reclama aquí.” Nadie gana lo que no jugó; el premio siempre termina pidiendo datos o un pago.
- Encomienda retenida. “Su paquete está detenido, pague S/ 3.50 de aduana.” Un monto pequeño para bajar tu guardia y capturar los datos de tu tarjeta.
- Sunat, Reniec o “devolución de impuestos”. La autoridad del Estado da credibilidad; el enlace lleva a una página falsa que pide tus datos.
- Oferta de empleo o “tarea pagada”. Trabajo fácil desde el celular que deriva en un “depósito de inscripción” o en usarte para mover dinero de terceros.
- Falso soporte técnico. Te piden instalar una app de control remoto (AnyDesk, TeamViewer) “para ayudarte”: con eso ven tu pantalla y operan por ti.
Cómo se ve en la práctica
Mira este ejemplo típico: “Estimado cliente, su cuenta sera bloqueada en 24 horas por seguridad. Verifique sus datos aqui: bit.ly/seg-bcp”. En una sola línea hay cuatro señales: un saludo genérico (“estimado cliente”), urgencia (“24 horas”), un enlace acortado que esconde el destino y faltas de tildes que un banco no cometería. Cualquiera de ellas, por sí sola, ya bastaba para borrarlo. Cuando reconoces el molde, dejas de leerlo como una amenaza real y lo ves por lo que es: una plantilla enviada a miles de números a la vez.
¿Dudas de un mensaje? Analízalo
Pega el SMS, correo o WhatsApp y revisa las señales típicas de fraude. Trabaja 100% en tu dispositivo: el texto no sale de tu navegador.
¿El mensaje traía un enlace? Aprende a saber si un enlace es phishing. Y para el panorama completo, lee cómo protegerte de estafas o visita el Escudo Midinerope.