En el primer trimestre de 2026, el Centro de Respuesta a Incidentes de Seguridad de INCIBE registró un repunte sostenido de campañas de smishing bancario en España, con oleadas que combinaban dominios recién registrados, certificados TLS válidos y textos en español peninsular prácticamente sin errores ortográficos. El patrón no era nuevo, pero su grado de elaboración sí lo era: los SMS llegaban con el identificador de remitente (sender ID) sustituido por la cadena alfanumérica de la propia entidad financiera, apareciendo en el mismo hilo de conversación que los mensajes legítimos anteriores. Para el destinatario, la señal visual era indistinguible.
I. Por qué este vector sigue siendo relevante para su comité de riesgos
El canal SMS mantiene una tasa de apertura que ningún otro canal de notificación iguala. Según datos del Banco de España publicados en su Memoria de Supervisión de Entidades de Pago 2024, el fraude en operaciones de pago iniciadas sin autenticación reforzada del titular sigue representando una parte significativa de las reclamaciones tramitadas, y el vector de ingeniería social vía SMS encabeza las denuncias por tipología de contacto inicial. La EBA, en sus Guidelines on fraud reporting under PSD2 (EBA/GL/2018/05, revisadas en 2023), exige a las entidades supervisadas desagregar el fraude por canal de inicio del engaño: el SMS figura explícitamente como categoría de reporte obligatorio.
Desde la perspectiva regulatoria, DORA (Reglamento UE 2022/2554) sitúa en su Artículo 5 la responsabilidad del órgano de dirección sobre la gestión de riesgos de las TIC, lo que incluye los vectores de ataque dirigidos al cliente final cuando la cadena de compromiso termina afectando a los sistemas de la entidad. Un smishing que deriva en toma de cuenta (account takeover) no es únicamente un incidente de fraude minorista: es, potencialmente, un incidente TIC notificable bajo los umbrales del Artículo 19 de DORA.
"Las entidades deben disponer de mecanismos de detección que permitan identificar, con la mayor brevedad posible, actividades anómalas, incluidos los problemas de rendimiento de las redes TIC y los incidentes relacionados con las TIC." — Reglamento (UE) 2022/2554 (DORA), Artículo 10.1
La lectura operativa es directa: si su entidad no tiene visibilidad sobre los SMS que llegan al cliente final en su nombre, carece de un elemento de detección que el regulador ya considera exigible.
II. Anatomía forense del SMS: señales fase por fase
Fase 1 — Preparación de infraestructura
Las campañas documentadas en Q1 2026 siguieron un patrón de infraestructura efímera consistente. Cuatro a siete días antes del envío masivo, los operadores del fraude registraban dominios con estructura tipográficamente próxima a la marca objetivo: sustituciones de una sola letra (typosquatting), inserción de guiones o prefijos operacionales como banco-operaciones-acceso.net o seguridad-bankoes.com. Estos dominios recibían un certificado TLS gratuito en las horas siguientes, lo que permitía presentar el candado verde al usuario. La vida útil media de estos dominios, antes de ser reportados y suspendidos, se situaba por debajo de las 96 horas según los informes de takedown coordinados por INCIBE con los registros de dominio.
La fase de preparación incluía también el aprovisionamiento de rutas de envío SMS a través de agregadores de segundo nivel que no aplican validación estricta del sender ID. Este es el punto de entrada técnico que permite la suplantación del identificador de remitente: algunas rutas internacionales aceptan cadenas alfanuméricas arbitrarias sin verificación contra un registro autorizado de remitentes.
Fase 2 — El SMS como primer vector de contacto
El cuerpo del mensaje seguía una estructura de tres elementos invariables: urgencia operacional ("su cuenta ha sido bloqueada temporalmente"), instrucción de acción única ("acceda al siguiente enlace para restaurar el acceso") y URL acortada o directamente visible con el dominio preparado. La longitud se mantenía por debajo de los 160 caracteres para evitar la fragmentación del mensaje, que puede generar desconfianza.
El elemento diferencial respecto a campañas anteriores era la personalización parcial: en varios casos documentados, el SMS incluía los cuatro últimos dígitos del número de tarjeta del destinatario, dato obtenido de filtraciones previas comercializadas en foros especializados. Este detalle elevaba notablemente la tasa de conversión porque aportaba una señal de legitimidad difícil de refutar para el usuario no entrenado.
Fase 3 — La página de captura y el robo de credenciales
El dominio efímero alojaba una réplica visual de la banca digital de la entidad suplantada. Técnicamente, estas páginas empleaban recursos estáticos descargados del sitio legítimo (website cloning) combinados con un formulario de captura que recogía credenciales, número de teléfono y, en una segunda pantalla, el código de un solo uso enviado por la entidad real al dispositivo del cliente. Esta segunda pantalla es la que convierte el ataque en una intercepción de autenticación en tiempo real: el operador del fraude introduce las credenciales capturadas en el portal legítimo, genera la petición de OTP y espera a que el usuario, creyendo estar en el proceso de verificación legítimo, introduzca el código en la página falsa.
El tiempo de ventana entre la captura del OTP y su uso en el portal legítimo se medía en segundos. Las defensas basadas exclusivamente en autenticación de doble factor por SMS son insuficientes frente a este patrón, extremo que la propia EBA ya recogió en sus opiniones sobre la aplicación del Artículo 97 de PSD2.
III. El gap operativo entre el SOC del partner y el cliente final
La mayoría de las entidades de tamaño medio disponen de un Centro de Operaciones de Seguridad (SOC) propio o delegado que monitoriza los perímetros internos: red corporativa, accesos privilegiados, anomalías en transacciones autenticadas. Este perímetro, bien gestionado, cubre el entorno técnico de la entidad.
Lo que el SOC convencional no cubre es el canal de comunicación previo a la autenticación: el SMS que llega al cliente antes de que éste toque ningún sistema de la entidad. Ese espacio — entre la infraestructura del operador de telecomunicaciones y el primer clic del usuario — es donde el fraude por smishing opera con mayor libertad. No hay log interno que capturar, no hay anomalía de acceso que correlacionar, porque el ataque todavía no ha interactuado con los sistemas protegidos.
VeriMsg actúa específicamente en ese espacio previo. La capa de verificación de VeriMsg intercepta el mensaje antes de que llegue al dispositivo del usuario final, analiza las señales estructurales del SMS — remitente, dominio enlazado, coherencia con el historial de comunicaciones de la entidad, reputación del dominio en tiempo real — y devuelve un veredicto trazable que puede integrarse con los flujos de alerta del SOC existente sin reemplazarlo. No es un sustituto del perímetro interno: es la extensión de ese perímetro hacia el canal SMS, que hasta ahora permanecía sin cobertura operativa formal.
El veredicto de VeriMsg es auditable por diseño: cada análisis genera un registro con score de riesgo, señales contributivas por fase (remitente, dominio, contenido) y marca temporal inmutable, compatible con los requisitos de trazabilidad que DORA Art. 10 y el RGPD Art. 5.1.f (integridad y confidencialidad) exigen para los sistemas de supervisión continua. Los auditores internos y los supervisores pueden revisar el historial de veredictos sin depender de reconstrucciones post-incidente.
En el caso específico de banca regional y operadores challenger que no disponen de un equipo dedicado de inteligencia de amenazas, VeriMsg absorbe la carga analítica que de otro modo recaería sobre recursos que ya están al límite de su capacidad de monitorización.
Checklist ejecutivo: cinco preguntas para su próxima reunión de riesgo
- Visibilidad del canal SMS saliente: ¿Tiene su entidad inventario actualizado de todos los sender IDs autorizados y de los agregadores SMS con los que opera directa o indirectamente? Si la respuesta no es inmediata, existe una superficie de suplantación no cuantificada.
- Cobertura del gap pre-autenticación: ¿Su SOC recibe alertas sobre dominios efímeros que replican su marca antes de que un cliente haga clic? La detección post-autenticación llega, por definición, tarde.
- Trazabilidad auditable de veredictos: En caso de incidente notificable bajo DORA Art. 19, ¿puede su entidad demostrar ante el supervisor que disponía de mecanismos de detección activos sobre el canal SMS en el momento del ataque?
- Revisión de la cadena de agregadores: ¿Sus contratos con proveedores de mensajería incluyen cláusulas de validación de sender ID y obligaciones de notificación ante usos no autorizados? La Circular 1/2024 de la CNMC sobre servicios de comunicaciones refuerza la responsabilidad de la cadena de provisión.
- Piloto de detección antes del siguiente ciclo de reporte: El calendario de reporte de incidentes TIC bajo DORA tiene plazos estrictos. Incorporar una capa de detección en el canal SMS antes del siguiente período de reporte reduce el riesgo de tener que notificar un incidente que podría haberse interceptado.
Si su entidad quiere evaluar el nivel de exposición actual en el canal SMS, el Pilot Readiness Pack de VeriMsg proporciona un análisis de superficie de suplantación sin coste de integración inicial. El informe resultante es compatible con los formatos de documentación exigidos por los equipos de auditoría interna y sirve como punto de partida para una conversación técnica con su SOC o su proveedor de seguridad gestionada.