Phishing, smishing, vishing, pharming y SIM swapping: la guía anti-fraude para México 2026

Cada vez que tu app bancaria te pide un OTP, cada vez que recibes un SMS sospechoso, cada vez que tu mamá te llama porque "el banco" le pidió sus datos — estás frente a un combate silencioso entre instituciones financieras y delincuentes que han industrializado el fraude. México es uno de los países con más intentos de fraude bancario por usuario en LATAM. Conocer los nombres de cada técnica es la mejor primera defensa.

Esta guía explica, en lenguaje claro, qué es phishing, smishing, vishing, pharming, SIM swapping y otros fraudes comunes; qué debería hacer cualquier usuario para protegerse; y qué obligaciones tiene una fintech regulada para prevenirlos. Si trabajas en una institución financiera, este texto debe ser parte del entrenamiento de tu personal y de tu campaña a usuarios.

Phishing: el fraude por correo electrónico (y cómo evitarlo)

El phishing es el envío de correos electrónicos falsos que imitan a tu banco, fintech, plataforma de e-commerce o servicio digital con el objetivo de que cliques en una liga maliciosa o respondas con tus credenciales. El nombre viene de fishing: literalmente, te tiran un anzuelo y esperan a que muerdas.

El phishing moderno ya no se ve como un correo de un príncipe nigeriano con faltas de ortografía. Hoy los correos:

• Imitan perfectamente la identidad visual del banco o fintech.
• Usan dominios casi idénticos (banamex-mx.com en vez de banamex.com).
• Redactan con IA — sin errores, con tono convincente.
• Aprovechan urgencia (“tu cuenta será bloqueada en 24h”).
• Usan logos, footers legales y disclaimers indistinguibles de los reales.

Cómo protegerte como usuario:

• Verifica el dominio del remitente. Una institución grande envía desde dominios oficiales (@banamex.com, no @banamex-mx.com).
• Nunca hagas clic en ligas dentro del correo. Abre la app oficial o tipea la URL en tu navegador.
• Pasa el cursor sobre la liga antes de clicar para ver la URL real (sin hacer clic).
• Si pide datos sensibles (contraseña, OTP, token), asume que es phishing. Las instituciones reguladas no piden eso por correo.

Qué debe hacer una fintech regulada: publicar públicamente cuáles son sus dominios oficiales, mantener un canal de denuncia (correo "phishing@…"), monitorear activamente dominios similares al suyo, dar de baja sitios fraudulentos en coordinación con la CONDUSEF y autoridades.

Smishing: phishing por SMS

El smishing (de SMS + phishing) es la versión por mensajes de texto. Mensajes con ligas a sitios falsos donde te piden “verificar” tu cuenta, “reclamar un premio” o “rechazar un cargo sospechoso”. Es uno de los más efectivos porque la mayoría de personas confía más en un SMS que en un correo.

Patrones típicos de smishing en México:

• “Detectamos un cargo de $4,500 en tu tarjeta. Si no lo reconoces, ingresa aquí: bit.ly/…”
• “Tu paquete no pudo entregarse. Actualiza tu dirección: …”
• “Felicidades, ganaste un premio. Reclámalo en: …”
• “SAT: detectamos inconsistencias en tu declaración. Verifica: …”

Las instituciones financieras reguladas en México no envían ligas por SMS para que ingreses datos sensibles. Punto. Si lo recibes, es fraude. Si tu app necesita verificarte, lo hará a través de la app misma, no de un SMS con liga.

Si recibes un smishing: no respondas, no hagas clic, reporéralo al banco a través del canal oficial (no respondiendo al SMS) y borra el mensaje. Reportar a CONDUSEF y a la PROFECO ayuda al ecosistema completo.

Vishing: el fraude telefónico que más personas mayores victima

El vishing (de voice + phishing) es probablemente el más peligroso porque combina ingeniería social con presión psicológica en tiempo real. Un delincuente llama haciéndose pasar por personal del banco o fintech, alegando una situación alarmante (cargo sospechoso, intento de robo, fraude detectado) y pide datos para “protegerte”.

El guión típico de vishing:

1. El delincuente conoce tus datos básicos (nombre, últimos dígitos de tarjeta, banco) — obtenidos previamente de filtraciones de datos.
2. Te llama presentando un escenario de urgencia: “hay un cargo de $15,000 desde Singapur, ¿es suyo?”
3. Cuando lo niegas, te “pasa” al “departamento de seguridad”.
4. Te pide que te leas el OTP que llegará a tu celular “para verificar tu identidad”.
5. Ese OTP es para autorizar una transferencia que ellos están haciendo en ese momento.

Regla única para protegerte: si te llaman, cuelga y tú llama al número oficial (el que aparece atrás de tu tarjeta o en la app). Las instituciones financieras nunca te piden por teléfono leerles un OTP, dictarles tu contraseña o realizar movimientos en tu app por instrucción verbal.

El vishing victimiza desproporcionadamente a personas mayores. Si tienes papás o abuelos, el mejor regalo de seguridad financiera es enseñarles esta regla.

Pharming: cuando escribes la URL correcta y aun así caes

El pharming es más sofisticado: el delincuente no te envía una liga falsa. En cambio, manipula tu dispositivo o tu DNS para que cuando escribas la URL real (bbva.mx, por ejemplo), el navegador te lleve a un sitio falso que se ve idéntico al verdadero. Una vez ahí, capturan tus credenciales sin que sospeches.

El pharming puede ocurrir por:

• Malware instalado en tu computadora o teléfono que modifica el archivo hosts.
• DNS comprometido en tu router casero (especialmente con configuraciones default).
• Conexión a redes Wi-Fi públicas controladas por atacantes.
• Extensiones del navegador maliciosas.

Defensas prácticas:

• Mantén actualizado tu sistema operativo, navegador y antivirus.
• Cambia la contraseña default de tu router casero.
• Evita conectarte al banco desde redes Wi-Fi públicas (cafés, aeropuertos).
• Verifica el candado HTTPS y, más importante, que el certificado pertenezca a la organización correcta (haz clic en el candado).
• Considera apps de banca móvil sobre el navegador: la app valida el servidor por su lado y es más difícil de pharmear.

SIM swapping: el fraude que clona tu número

El SIM swapping (intercambio de SIM) es uno de los fraudes más sofisticados y crecientes. El delincuente convence a tu operador móvil de transferir tu número a una SIM nueva en su poder. Una vez que controla tu número, puede recibir todos los SMS —incluidos los OTP del banco— y tomar control de tus cuentas.

El proceso típico:

1. El delincuente recopila tus datos (nombre, fecha de nacimiento, RFC, dirección) — de filtraciones, redes sociales o ingeniería social.
2. Va a una sucursal del operador móvil o llama al call center y reporta “pérdida” de su SIM (con tus datos).
3. El operador, si los controles son débiles, activa una SIM nueva con tu número.
4. Tu SIM original queda inactiva (tu primera señal: pierdes señal sin explicación).
5. El delincuente entra a tu app bancaria, solicita restablecer contraseña, recibe el OTP, y transfiere tu dinero.

Cómo blindarte:

• Activa autenticación por app autenticadora (Google Authenticator, Authy) en lugar de SMS, siempre que tu fintech lo permita. Una app autenticadora no se transfiere con la SIM.
• Establece un PIN o contraseña con tu operador móvil que sea obligatorio para cualquier cambio de SIM.
• Si pierdes señal sin explicación y nadie más en tu zona la pierde, asume SIM swapping y contacta inmediatamente a tu banco y operador.
• Limita la información personal pública en redes sociales (fechas de nacimiento, lugares de origen).

Otros fraudes que están creciendo en México

Además de los cinco grandes, conviene conocer los siguientes patrones que están en alza:

Fraude nigeriano y herencias. Una persona te contacta por correo o redes diciendo que has heredado/ganado un monto y solo necesitas pagar “una comisión”, “un depósito” o “los gastos legales” para liberarlo. Ningún premio o herencia legítima requiere que tú pagues por adelantado.

Romance scam. Una relación digital de meses donde la otra persona, justo cuando hay confianza, “tiene una emergencia” y necesita prestado. Quienes operan estos esquemas son redes profesionales con manuales y víctimas en simultáneo.

QR fraudulento. En estacionamientos, restaurantes y carteles de la calle aparecen QR “para pagar”, “para recibir un cupón”, “para confirmar reservación”. Algunos llevan a sitios falsos. Verifica siempre la URL antes de ingresar datos.

Fraude OTP / robo de pago entrante. El delincuente te dice “te voy a hacer un depósito de prueba; cuando te llegue el código me lo dictas para confirmar”. Ese código en realidad autoriza una salida de dinero, no una entrada.

Fraude del “número equivocado” o WhatsApp del jefe. Mensaje supuestamente de tu jefe pidiéndote que compres tarjetas de regalo, transfieras a un proveedor o envíes información. Verifica siempre por canal alterno antes de actuar.

Para fintechs: cómo prevenir y reportar

Como institución financiera regulada en México, prevenir fraude no es opcional. La CNBV, la CONDUSEF y la UIF exigen evidencia de programas anti-fraude robustos. Los componentes mínimos:

• Autenticación reforzada (MFA). Más allá de SMS: app autenticadora, biometría, dispositivos confiables.
• Monitoreo transaccional con alertas en tiempo real. Reglas y modelos de IA que detectan operaciones inusuales: cambios de geolocalización, dispositivos nuevos, montos atípicos, patrones de fraccionamiento.
• Programa de educación al usuario. Comunicación periódica con consejos prácticos, alertas sobre fraudes activos, guías accesibles.
• Canal de denuncia. Teléfono y correo para reportar fraudes, intentos sospechosos y phishing dirigido a tu marca.
• Coordinación con autoridades. Reportar a la UIF, colaborar con CONDUSEF, integrarse a redes de información del sector.
• Trazabilidad y forensia. Logs detallados de cada operación para reconstruir incidentes, identificar responsables y, eventualmente, perseguir judicialmente.

El fraude es dinámico: cada técnica nueva nace de una debilidad específica del sector. La única defensa sostenible es infraestructura tecnológica adaptable — reglas configurables, modelos entrenables, integraciones con fuentes externas de inteligencia, y un equipo capaz de iterar tan rápido como los atacantes.