¿Sabías Que.. 

Campañas de smishing camino al mundial de futbol 2026

Jose Rodriguez
Post Views: 10

Descripción de la amenaza

Durante eventos de gran interés público, como la Copa Mundial de futbol 2026 —que se llevará a cabo en México, Estados Unidos y Canadá del 11 de junio al 19 de julio —, los ciberdelincuentes aprovechan la emoción y euforia que estos eventos generan para llevar a cabo distintos tipos de fraude. En este caso, utilizan el smishing como un medio por el cual intentan manipular a sus víctimas con la temática mundialista, enviándoles mensajes de tipo SMS, de WhatsApp o de otros servicios de mensajería móvil, falsos sobre boletos, hospedaje, promociones, sorteos, transmisiones de partidos y supuestos premios. Mediante estos engaños, los ciberdelincuentes buscan persuadir a sus víctimas para proporcionar datos sensibles, ingresar a sitios fraudulentos, e incluso descargar aplicaciones o archivos maliciosos en sus dispositivos.

La siguiente publicación tiene como finalidad, proporcionar información acerca de los ataques de tipo smishing y algunos pretextos que pueden surgir aprovechando la fiebre mundialista. Además, brindaremos algunas recomendaciones para evitar ser afectados por esta amenaza.

Análisis

El término “smishing” es una variación de la palabra “phishing”, un tipo de ataque cibernético que tradicionalmente utiliza sitios web o correos electrónicos fraudulentos. En este caso, el ataque se centra en el uso de mensajes SMS para manipular a las víctimas, por lo que este ataque está dirigido principalmente a usuarios de dispositivos móviles con línea telefónica. También existen los mensajes por otros medios como WhatsApp o de otros servicios de mensajería móvil, estos últimos también son conocidos como phishing de mensajería instantánea.

El objetivo principal de estos ataques es engañar a los usuarios para que compartan información personal, accedan a sitios fraudulentos o de phishing, e incluso los persuadan a instalar aplicaciones maliciosas o archivos dañinos en sus dispositivos.

Durante eventos de gran impacto mediático, como el periodo mundialista, es común que los ciberdelincuentes aprovechen la euforia generada para incrementar la efectividad de estos ataques. Para ello, utilizan pretextos relacionados con el evento como supuestas promociones para la compra de boletos, reservaciones de hospedaje o transporte, concursos para obtener mercancía oficial, descuentos exclusivos u ofertas similares, con el fin de persuadir a los usuarios para realizar acciones riesgosas o compartir información confidencial.

Sitios de smishing

Se trata de mensajes de tipo SMS que suplantan a entidades legítimas, como bancos, servicios de paquetería, tiendas, sitios de hotelería, o servicios de transporte, entre otros. Estos mensajes generalmente buscan obtener información adicional de los usuarios por el mismo medio (mensajes SMS), inducir a que los usuarios ingresen a algún sitio malicioso o darle instrucciones a los usuarios para que proporcionen acceso a sus cuentas de correo o bancarias.

¿Cómo los identifico?

Se trata de mensajes no solicitados, por lo cual, si el usuario no recuerda haber ingresado su número o sus datos en alguna reserva, la compra de boletos o mercancía, concursos, entre otros, es posible que se trate de un mensaje de smishing.

También, los mensajes pueden provenir de números sospechosos. Algunas de las características para considerar que el número de origen del SMS se trata de un número sospechoso son:

  • Números con códigos de países diferentes al del usuario o de medios oficiales del mundial.
  • Números que estén catalogados como FRAUDE en internet.
  • Números que no estén registrados y que se muestren como SPAM o similar por el dispositivo o la telefonía del usuario.

Figura 1. Ejemplo de un número sospechoso que es catalogado como SPAM

En cuanto al contenido del mensaje, es común encontrar faltas de ortografía, mezclas de idiomas o expresiones que resultan poco naturales en el idioma del usuario. Esto suele deberse a que los ciberdelincuentes operan desde distintos países y, en muchos casos, traducen sus mensajes de forma automática para adaptarlos a cada campaña. Asimismo, estos mensajes generalmente no están dirigidos a una persona en específico, sino que utilizan términos genéricos como “Querido usuario”, “cliente” o “usted”, evitando el uso de nombres propios. También es un símbolo de alerta si en los mensajes se encuentra anexo un archivo adjunto o se solicita la descarga de una aplicación para el dispositivo.

En algunos casos, los SMS incluyen enlaces acortados, una técnica utilizada para ocultar la dirección real del sitio al que redirigen, lo que dificulta verificar su legitimidad sin acceder a ellos. No obstante, es importante considerar que los acortadores de URL también son utilizados por servicios legítimos. Por ello, ante cualquier duda, se recomienda validar la autenticidad del mensaje a través de canales oficiales antes de interactuar con el enlace.

Figura 2. Ejemplo de un mensaje de smishing usando un acortador de URL

Es importante mencionar que la mayoría de los proveedores de servicios oficiales, como servicios de reserva de pasajes u hotelería, bancos, organizaciones relacionadas con el mundial, entre otros, no solicitarán datos personales, ni información sensible como datos bancarios, por mensajes SMS. Además, para cualquier acción como cancelaciones y cambios en las reservas, compra de productos oficiales, problemas con cuentas bancarias, se pueden llevar a cabo por sitios web oficiales, centros de atención físicos o por llamada telefónica. Por esto, cualquier mensaje que pida realizar acciones urgentes por este medio, es sospechoso.

Figura 3. Ejemplo de un mensaje legítimo de una compañía proveedora de servicios

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 4. Flujo de ataque de smishing

Phishing de mensajería instantánea

Se trata de mensajes que llegan por alguna aplicación de mensajería instantánea como WhatsApp, Telegram, Line, Messenger o mensajes directos en redes sociales. Estos mensajes también buscan suplantar a entidades legítimas, como bancos, servicios de paquetería, tiendas, sitios de hotelería, o servicios de transporte, entre otros, pero también es posible que busquen suplantar a otros usuarios o canales que puedan tener un nivel de influencia. Estos mensajes generalmente buscan obtener información adicional de los usuarios, inducir a que los usuarios ingresen a algún sitio malicioso, darle instrucciones a los usuarios para que proporcionen acceso a sus cuentas de correo o cuentas bancarias, e incluso descargar y ejecutar archivos maliciosos.

¿Cómo los identifico?

Al igual que los mensajes de tipo SMS, se trata de mensajes no solicitados, por lo cual, si el usuario no recuerda haber ingresado su número, cuentas de mensajería o sus datos en alguna reserva, la compra de boletos o mercancía, concursos, entre otros, es posible que se trate de un mensaje de un fraude.

En el caso de que el servicio de mensajería se encuentre enlazado a una línea telefónica, pueden provenir de números sospechosos. Algunas de las características para considerar que el número de origen del SMS se trata de un número sospechoso son:

  • Números con códigos de países diferentes al del usuario o de medios oficiales del mundial.
  • Números que estén catalogados como FRAUDE en internet.
  • Números que no estén registrados y que se muestren como SPAM o similar por el dispositivo o la telefonía del usuario.

En el caso de que el servicio de mensajería se encuentre enlazada a una cuenta de redes sociales, usualmente son cuentas con actividades sospechosas, por ejemplo:

  • Abiertas recientemente
  • Sin muchas publicaciones o interacciones con otros usuarios
  • Sin interacción con otros medios oficiales
  • Usan imágenes borrosas, mal editadas o generadas con IA
  • Ya han sido denunciadas por otros usuarios

Figura 5. Del lado izquierdo un mensaje de fraude de una página falsa, de lado derecho la cuenta oficial

A diferencia de los mensajes SMS, este tipo de comunicaciones no se limita únicamente a dispositivos móviles, sino que también puede llegar a equipos de cómputo, ya que estos permiten el uso de aplicaciones de mensajería (por ejemplo, WhatsApp Web). Esta característica es aprovechada por los ciberdelincuentes para distribuir archivos maliciosos que pueden ser descargados y ejecutados en sistemas operativos de escritorio.

Figura 6. Ejemplo de un mensaje fraudulento de WhatsApp pidiendo descargar un archivo

A continuación, se muestra un diagrama de flujo de cómo los ciberdelincuentes realizan este tipo de ataques.

Figura 7. Flujo de ataque de phishing por mensajería instantanea

Recomendaciones para mensajes de smishing

  • Verificar la legitimidad del número telefónico de origen del mensaje. Confirmar por otros canales si este es legítimo.
  • Confirmar si el mensaje es respuesta a una solicitud o parte de algún registro realizado por el usuario. De lo contrario, es posible que sea SPAM/Publicidad o un mensaje de smishing y puede ser ignorado.
  • Evitar abrir enlaces sospechosos.
  • Evitar abrir o descargar los archivos adjuntos si identifica señales de alarma.
  • Evitar responder cualquier mensaje sospechoso.
  • En medida de lo posible, utilizar perfiles empresariales y personales diferentes, o líneas diferentes para actividades personales y laborales.
  • Si no espera un mensaje, evitar interactuar con él. Por ejemplo, si no se planea comprar un boleto al mundial, evitar abrir ofertas de este tipo.
  • Evitar realizar cualquier operación financiera relacionada con mensajes inesperados.
  • Evitar seguir instrucciones sospechosas por este medio, como ingresar a sitios, descargar aplicaciones, aceptar llamadas o enviar códigos de seguridad.
  • Evitar proporcionar información personal o sensible a solicitudes inesperadas por mensajes. Los proveedores de servicios oficiales suelen utilizar los SMS únicamente como un medio informativo, no de solicitud y de ser así, usualmente también se pueden proporcionar por medios alternativos como sitios web oficiales, centros de atención físicos o por llamada telefónica.

Recomendaciones para phishing de mensajeria instantánea

  • Verificar la legitimidad del número telefónico de origen del mensaje o la cuenta de donde proviene el mensaje. Confirmar por otros canales su legitimidad.
  • Confirmar si el mensaje es respuesta a una solicitud o parte de algún registro realizado por el usuario. De lo contrario, es posible que sea SPAM/Publicidad o un phishing de mensajería instantanea.
  • Evitar abrir enlaces sospechosos.
  • Evitar abrir o descargar los archivos adjuntos si identifica señales de alarma, principalmente si se trata de archivos que sean de tipo ejecutable o desconocido (Exe, JavaScript, MSI, VBScript, HTA, CMD, LNK, entre otros).
  • Evitar responder cualquier mensaje sospechoso.
  • En medida de lo posible, utilizar perfiles empresariales y personales diferentes, o líneas diferentes para actividades personales y laborales.
  • Si no espera un mensaje, evitar interactuar con él. Por ejemplo, si no se planea comprar un boleto al mundial, evitar abrir ofertas de este tipo.
  • Evitar realizar cualquier operación financiera relacionada con mensajes inesperados.
  • Evitar seguir instrucciones sospechosas por este medio, como ingresar a sitios, descargar aplicaciones, aceptar llamadas o enviar códigos de seguridad.
  • Evitar proporcionar información personal o sensible a solicitudes inesperadas por este tipo de mensajes. A pesar de que algunos proveedores de servicios si utilizan estos medios para realizar operaciones que requieran la solicitud de información de un usuario, siempre es imprescindible verificar si se trata de un canal oficial. Si se sospecha del contacto o la solicitud, se recomienda verificar por medios alternativos como sitios web oficiales, centros de atención físicos o por llamada telefónica

Recomendaciones de contención

En caso de ser víctima de este tipo de ataques, se recomienda realizar las siguientes acciones:

  • No sigas interactuando con el mensaje: Evita responder, hacer clic en enlaces adicionales o proporcionar más información.
  • Cambia tus contraseñas de inmediato: Si ingresaste credenciales en algún sitio, actualiza las contraseñas de esa cuenta y de cualquier otra donde uses la misma clave.
  • Activa la autenticación multifactor (MFA): Habilita un segundo factor de autenticación para añadir una capa adicional de seguridad a tus cuentas y disminuir la posibilidad de que un desconocido acceda a ellas incluso teniendo las credenciales.
  • Contacta a tu banco o proveedor de servicios: Si proporcionaste datos bancarios o financieros, informa de inmediato a tu banco o proveedor de servicios para que puedan tomar medidas preventivas, como bloquear cuentas, cancelar transferencias o monitorear actividad sospechosa.
  • Revisa la actividad de tus cuentas: Verifica movimientos recientes, inicios de sesión desconocidos o cambios no autorizados, y repórtalos cuanto antes.
  • Elimina posibles aplicaciones maliciosas: Si instalaste alguna app desde el enlace, desinstálala de inmediato. Posteriormente, revisa los permisos otorgados y elimina cualquier acceso sospechoso.
  • Analiza tu dispositivo: Utiliza una solución de seguridad confiable, como antivirus para dispositivos móviles y de cómputo, para detectar y eliminar posibles amenazas.
  • Bloquea y reporta el número: En caso de que el mensaje esté ligado a una línea telefónica, marca el remitente como spam desde tu dispositivo o con tu operador móvil para evitar futuros intentos.
  • Notifica el incidente: Si aplica, informa al área de seguridad de tu organización o al proveedor afectado.
  • Mantente alerta ante nuevos intentos: Es común que los atacantes intenten contactar nuevamente mediante mensaje, llamada o cualquier otro medio de contacto proporcionado durante el ataque. Desconfía de cualquier contacto con pretextos relacionados.
  • Denuncia y bloquea la cuenta: En caso de que se identifique la cuenta que realizó el fraude, debe denunciarla para alertar a más usuarios y a la red social. En algunos casos es un procedimiento para poder reestablecer contraseñas robadas.