Analizamos técnicamente cómo funciona una estafa por SMS (smishing). En el estudio de caso del tutorial se trata de un intento de suplantación de la Agencia Tributaria. Explicamos por qué el móvil no muestra el número del remitente y qué ocurre si la víctima hace clic en el enlace de la web falsa.

• ¿Qué es el Smishing y cuál es el procedimiento del ataque?
• ¿Por qué no se puede ver el número de teléfono del remitente del SMS en Android/iPhone?
• ¿De dónde sacan nuestros números de teléfono?
• Ingeniería Social: manipulando la mente del usuario.
• Analizando la página web falsa (Phishing Kit).
  • La estética, los mensajes y textos, los logos, iconos, imágenes, links.
  • El certificado TLS (HTTPS).
  • El propietario de la IP.
  • Análisis del código, formularios y comportamiento.
• Procedimiento de respuesta: Verificar, Bloquear y Notificar.

¿Qué es el Smishing y cuál es el procedimiento del ataque?

El Smishing (SMS y Phishing) es una variante de los ataques de ingeniería social que utiliza mensajes de texto para engañar a las víctimas. Su efectividad radica en que los usuarios confían más en los SMS que en los correos electrónicos, y los filtros antispam de las operadoras móviles históricamente han sido menos robustos que los de los proveedores de correo electrónico.

El flujo del ataque es el siguiente:

1. Distribución: el atacante envía miles de SMS de forma automatizada mediante pasarelas de mensajería masiva.
2. El cebo (Ingeniería Social): el mensaje contiene un texto diseñado para generar urgencia («tiene una notificación», «su cuenta será bloqueada», «tiene un reembolso pendiente»).
3. El enlace malicioso: un hipervínculo que redirige a la víctima a una infraestructura controlada por el atacante.
4. Recolección (Exfiltración): una página web clonada (Phishing Kit) solicita datos sensibles (DNI, credenciales bancarias, tarjetas de crédito, etc.).
5. Monetización: los datos robados se venden en foros de la Dark Web o se utilizan inmediatamente para vaciar cuentas.

¿Por qué no se puede ver el número de teléfono del remitente del SMS en Android/iPhone?

A veces, desde el móvil Android/iPhone en el que se recibe el SMS, intentamos ver el número de teléfono desde el que nos enviaron el SMS para bloquearlo o buscar en la web si puede ser spam o, simplemente, para comunicarlo a las autoridades y… ¡no aparece!. Solo muestra «AEAT» o «Hacienda», o un nombre de una entidad financiera, o un nombre de una entidad gubernamental. Esto es debido al uso de SMS Spoofing y al abuso del protocolo SMPP por parte de los atacantes.

Las operadoras de telecomunicaciones permiten a las empresas enviar SMS masivos utilizando un «Sender ID» alfanumérico (hasta 11 caracteres) en lugar de un número de teléfono numérico (MSISDN). Esto se hace a través de pasarelas que utilizan el protocolo SMPP (Short Message Peer-to-Peer).

Los ciberdelincuentes contratan servicios de envío de SMS en bloque (a menudo en países con legislaciones laxas o utilizando tarjetas de crédito robadas) y configuran el Sender ID como «AEAT», «Correos» o «BancoX».

El resultado: nuestro teléfono Android (o iOS iPhone) recibe el mensaje, lee la cabecera del protocolo y agrupa el mensaje automáticamente bajo el nombre «AEAT». Es imposible ver el número de teléfono origen porque, a nivel de protocolo de red, no existe un número de teléfono origen, solo una etiqueta de texto introducida por la pasarela. Y lo que es peor y lo más peligroso, si hemos recibido un SMS real de la AEAT, probablemente identificado como «AEAT Hacienda», en nuestro móvil se agrupará junto con el SMS falso/fraudulento, por lo que da la impresión de que es el mismo remitente:

En la imagen anterior, con el remitente «AEAT Hacienda», llega un SMS real de la Agencia Tributaria, indicando el ordenamiento del la devolución. Pero, días después, llega otro SMS, supuestamente del mismo remitente, y esto es lo preocupante, que es smishing (fraudulento). El móvil lo agrupa en un mismo remitente porque coincide el identificador «AEAT Hacienda» y los atacantes conocen cuál es el remitente de la AEAT, para usar el mismo, y así generar más confusión.

¿De dónde sacan nuestros números de teléfono?

Los atacantes no envían SMS a ciegas (aunque a veces sí). Obtienen las bases de datos de números móviles mediante varias vías:

• Fugas de datos (Data Breaches): las plataformas hackeadas (redes sociales, tiendas online, foros) a menudo exponen millones de números de teléfono vinculados a nombres y correos. Estas bases de datos se compran y venden (o se regalan) en foros cibercriminales.
• Scraping: extracción automatizada de números de teléfono públicos en internet (portales de empleo, directorios de empresas, redes sociales).
• Generación secuencial (War-texting): utilizan scripts que generan números de teléfono válidos de forma secuencial (ej. 600 000 000 al 699 999 999) y envían mensajes masivos. Cuesta dinero, pero si la campaña tiene éxito, el retorno de inversión (ROI) lo justifica.

Ingeniería Social: manipulando la mente del usuario

El texto que se recibe en el SMS de nuestro caso de estudio de caso:

«La Agencia Tributaria ha emitido una comunicacion dirigida a usted , que usted recibe en calidad de titular.»

Este mensaje utiliza los principios básicos de la ingeniería social:

1. Principio de autoridad: usan el nombre del principal ente recaudador del Estado. Nadie quiere problemas con Hacienda.
2. Incertidumbre y urgencia: habla de una «comunicación» genérica. Puede ser una multa o una devolución. La curiosidad y el miedo empujan al usuario a hacer clic inmediatamente sin pensar.
3. Filtrado por descuido: fíjate en los errores gramaticales («comunicacion» sin tilde, el espacio antes de la coma). Los estafadores a veces dejan estos errores a propósito. Si un usuario no detecta estos errores evidentes, es más probable que tampoco detecte el fraude en la página web falsa y termine rellenando todos sus datos.
4. La fecha en la que se envía: la fecha coincide con el período de presentación de las declaraciones de la renta.
5. El parecido de la URL (dirección web): en el SMS del estudio de caso, la URL, salvo que te fijes bien, parece «real»: ¡NO hagas clic en en enlace, lo ponemos a título informativo!

https://agenciatributaria.kwaf.cam/es

Salvo que se analice detenidamente y se comprenda cuál es su dominio real, los usuarios probablemente lean solo el principio «agenciatributaria» y parece real, pero el dominio real es kwaf.cam que, evidentemente, no es el dominio real de la Agencia Tributaria (agenciatributaria.gob.es o gob.es).

Analizando la página web falsa (Phishing Kit)

Vamos a abrir el enlace del SMS fraudulento en una sandbox aislada, en una máquina virtual desplegada específicamente para analizar fraudes. NO abras la URL/Web, la abrimos nosotros únicamente para analizarla y mostrar su estructura, para que sepamos identificar una web falsa de una real.

La estética, los mensajes y textos, los logos, iconos, imágenes, links

Al hacer clic en el enlace (en este caso, agenciatributaria.kwaf.cam/es), entramos en la infraestructura del atacante. Una web que tiene un gran parecido a la web real de la Agencia Tributaria (colores, logos, texto, etc.), incluso está en HTTPS.

Los cibercriminales no suelen programar estas páginas desde cero. Compran kits en el mercado negro (Phishing Kit o Phishing-as-a-Service). Estos kits contienen el HTML, CSS y logos extraídos de la web oficial de la web a «simular», en este estudio de caso de la AEAT (usando herramientas como HTTrack).

Pero si nos detenemos en los detalles, veremos diferencias y algún «fallo», aunque con la IA cada vez las webs son más similares a las originales. En este caso, el logo de la Agencia Tributaria no aparece, en su lugar muestra un icono de error de carga de imagen. Por otro lado, los botones y menús no funcionan, aunque se haga clic no hacen nada.

El certificado TLS (SSL HTTPS)

Si analizamos el certificado para el TLS (HTTPS) que usa la web maliociosa, pulsando en el candado y en «La conexión es segura»:

Y pulsando en el botón de ver los datos del certificado:

Podemos comprobar que el atacante usa la entidad de certificación Let’s Encrypt, que es gratuita y de uso habitual por parte de atacantes.

Si lo comparamos con el certificado de la web real de la Agencia Tributaria, podremos comprobar que, por ejemplo, en la Organización (O), en el correcto indica «Agencia Estatal de Administración Tributaria», mientras que en el falso no viene este dato.

El propietario de la IP

Con comandos Linux o desde webs como whois.com, podemos analizar el propietario de la IP del dominio y sus datos de registro, que pueden ser muy útiles para identificar los sitios fraudulentos.

En este caso, la web fraudulenta devuelve estos datos de Whois IP:

Y comparando con la web real de la AEAT:

IP Fraudulenta vs IP Legítima

Campo Whois	Servidor Fraudulento (43.160.195.61)	Servidor Real AEAT (195.77.198.30)
Registro Regional (RIR)	APNIC (Asia-Pacífico)	RIPE NCC (Europa)
País (country)	SG (Singapur)	ES (España)
Organización (netname / descr)	ACEVILLEPTELTD-SG / ACEVILLE PTE.LTD.	AEAT / AGENCIA ESTATAL DE ADMINISTRACION TRIBUTARIA
Ubicación Física (address)	16 Collyer Quay, Singapur	Santa María Magdalena 16, Madrid, España
Contacto de Abuso (abuse)	Correo de @tencent.com	Correo de @telefonica.es
Teléfono (phone)	+86... (Prefijo de China) / +000... (Falso)	+34... (Prefijo de España, número fijo)

¿Dónde mirar para detectar el fraude en el propietario de la IP?

Podemos centrarnos en los siguientes indicadores que suelen delatar instantáneamente a la infraestructura criminal:

• El Registro Regional (Fuente de los datos): la IP falsa pertenece a APNIC, el registro de Internet para la región de Asia-Pacífico. Una institución gubernamental española nunca alojaría su sede electrónica principal en servidores del continente asiático. La IP legítima, por el contrario, pertenece a RIPE, el registro que gestiona Europa y Oriente Medio.
• El Código de País (country): es la bandera roja más evidente. El servidor de los estafadores está geolocalizado en Singapur (SG). La Agencia Tributaria aloja su infraestructura en España (ES).
• La Identidad de la Red (netname y descr): en este caso, el nn (netname) es el Whois legítimo, la red está registrada de forma transparente a nombre de la AGENCIA ESTATAL DE ADMINISTRACION TRIBUTARIA. En el fraudulento, pertenece a «ACEVILLE PTE.LTD», una empresa subsidiaria que proporciona servicios en la nube vinculada al gigante tecnológico chino Tencent. Los cibercriminales suelen alquilar servidores VPS (Virtual Private Servers) baratos o comprometidos en estos grandes proveedores cloud extranjeros para desplegar sus kits de phishing.
• Datos de Contacto (phone y address): el registro oficial muestra la dirección física real de las oficinas de Hacienda en Madrid y un número de teléfono fijo español. El registro fraudulento muestra teléfonos con prefijo chino (+86) e incluso teléfonos de relleno falsos (+000000000), demostrando una falta de rigor que jamás tendría una entidad oficial.
• El Contacto de Abuso (abuse-mailbox): el correo para reportar incidentes en la red legítima es gestionado por Telefónica de España (el proveedor habitual de telecomunicaciones del Estado). En el caso de la estafa, el contacto de abuso remite al proveedor de la nube asiática (@tencent.com), a quienes habría que solicitar el derribo (takedown) del servidor malicioso.

Análisis del código, formularios y comportamiento

Vamos a analizar el Formulario (Payload). Si pulsamos en «Acceder a la consulta» (el único enlace que funciona), nos abrirá una ventana con un formulario, en este caso, nos solicita el DNI:

Analizamos el código fuente de la página falsa (haciendo click con el botón derecho del ratón, seleccionando «Ver código fuente de página»:

En este caso, el HTML es muy simple, apenas tiene código, a propósito, lo que sí tiene es una llamada a un Java Script, donde se realiza todo el renderizado de la página real:

Esto hace más difícil su lectura y comprensión, dado que es un JS extenso, con cientos de líneas y compacto. Pero, básicamente, lo único que hace es mostrar esta Web y el botón que funciona de Este formulario pedirá: DNI, datos de la tarjeta bancaria (número, CVV, caducidad) y a veces, un código PIN o clave.

Siguiendo con la anatomía y análisis de la página web fraudulenta, si introducimos un DNI falso y pulsamos en Continuar, nos muestra esta otra página que, como puede comprobarse, está bastante bien redactada y formateada (normalmente gracias a la IA), solo tiene el fallo de los logos. Muestra un mensaje en verde «Devolución acordada», un importe, un expediente y habla de una devolución, por lo que aún puede incitar más al usuario a seguir con los pasos.

Continuando con el análisis, si pulsamos en «CONTINUAR CON LA TRAMITACIÓN», nos muestra otro formulario pidiendo más datos, entre ellos, el número de móvil (y ya tenemos recabado anteriormente el DNI).

Y si continuamos, llegaremos al formulario donde se realizará la estafa real, donde nos solicita los datos de la tarjeta de crédito. Aunque, incluso con el formulario anterior, ya han recabado el móvil, que puede usar para futuras estafas más dirigidas, al tener móvil, DNI, nombre completo, dirección, etc.

Procedimiento de respuesta: Verificar, Bloquear y Notificar

Ante este tipo de intentos de estafa, es conveniente aplicar unas buenas prácticas. Dado que el factor humano es la última línea de defensa, debemos estar plenamente concienciados al respecto.

Cómo asegurarse de que es falso (Análisis de URL)

La regla más sencilla y más efectiva: mirar el dominio raíz, no el subdominio. La Administración Pública española utiliza TLD institucionales: .gob.es. Si el dominio que precede a la primera barra / (o antes del .com/.cam/.net) no es el oficial, es falso. Igual ocurre con las entidades financieras.

Cómo bloquear el SMS en Android

Aunque no veamos el número de teléfono, los sistemas operativos permiten bloquear el Sender ID:

1. Abrimos la app de mensajes SMS del móvil.
2. Mantenemos pulsado sobre el mensaje fraudulento (sin abrirlo ni hacer clic).
3. Tocamos en el icono de opciones (tres puntos) o el icono de prohibido y seleccionamos «Bloquear y marcar como spam». Esto ayuda a Google y a las operadoras a mejorar sus filtros colaborativos.

Cómo notificar el fraude

Para ayudar a tumbar la infraestructura del atacante, es vital reportarlo a las autoridades competentes en España:

1. INCIBE (Instituto Nacional de Ciberseguridad): es la vía principal. Se puede reenviar el mensaje o el enlace al buzón de reporte de incidentes: incidencias@incibe-cert.es. También cuentan con el teléfono de ayuda gratuito 017.
2. Fuerzas y Cuerpos de Seguridad: si has introducido datos y eres víctima del robo, debes interponer una denuncia formal ante la Guardia Civil (Grupo de Delitos Telemáticos – GDT) o la Policía Nacional (Brigada de Investigación Tecnológica – BIT), aportando todas las capturas y URL posibles.

La seguridad 100% no existe, pero que el «Factor Humano» es la última línea de defensa. La Agencia Tributaria y cualquier otra entidad nunca manda enlaces por SMS. Ante la duda, acceder siempre tecleando la URL oficial en el navegador.