El gobierno acaba de normalizar el smishing: el nuevo registro telefónico podría convertirse en el mejor aliado de los estafadores

El problema no es únicamente el envío de mensajes, sino el entrenamiento conductual que esta política genera sobre millones de usuarios

Guardar
Google icon
Víctor Ruiz es analista y consultor en temas relacionados con ciberseguridad. (Silikn)
Víctor Ruiz es analista y consultor en temas relacionados con ciberseguridad. (Silikn)

Mientras la atención pública se concentraba en otros temas, una modificación publicada en el Diario Oficial de la Federación (DOF) introdujo un cambio que podría tener consecuencias mucho más profundas que un simple ajuste administrativo al registro obligatorio de líneas telefónicas móviles. Detrás de la prórroga y del nuevo calendario escalonado de vinculación de líneas existe una disposición que, desde la perspectiva de la ciberseguridad, representa uno de los mayores errores de diseño en materia de prevención del fraude digital: obligar a todas las compañías telefónicas a enviar mensajes SMS con enlaces para que los usuarios realicen un trámite bajo la advertencia de que, si no lo hacen, su línea será suspendida.

La medida parece inofensiva. Sin embargo, en la práctica destruye uno de los principios fundamentales que durante años han sostenido las campañas de prevención del phishing y, particularmente, del smishing: nunca confiar en un mensaje SMS que contenga un enlace y solicite realizar un trámite urgente.

PUBLICIDAD

El smishing es una variante de estafa y ciberataque derivado del phishing en la que los delincuentes envían mensajes de texto (SMS) fraudulentos haciéndose pasar por entidades legítimas —como bancos, dependencias gubernamentales o empresas de mensajería— con el objetivo de engañar al usuario para que revele información confidencial (contraseñas, datos bancarios o números de identificación) o para que haga clic en enlaces maliciosos que descargan virus o malware en su dispositivo móvil.

El propio acuerdo establece que los operadores deberán enviar mensajes dos veces por semana a todas las líneas no vinculadas y aumentar la frecuencia a una notificación diaria durante los siete días previos al vencimiento del plazo correspondiente. El texto incluso determina la redacción que deberán utilizar las empresas: una advertencia sobre la fecha límite, la amenaza de suspensión del servicio y un enlace para completar el proceso de vinculación. Una vez vencido el plazo, deberán informar nuevamente que la línea será suspendida en las siguientes 72 horas, acompañando otra vez el mensaje con un enlace.

PUBLICIDAD

Mano de persona sosteniendo un teléfono celular con pantalla oscura. Burbuja de mensaje flotante sobre fondo de cielo nublado con el texto sobre cancelación de registro
Un mensaje en un teléfono celular informa sobre la cancelación del registro de líneas telefónicas en México y la eliminación de datos. (Imagen ilustrativa IA Infobae)

Paradójicamente, la autoridad acaba de convertir en comunicación oficial exactamente el mismo patrón que durante años los especialistas en ciberseguridad han enseñado a identificar como un intento de fraude.

El problema no es únicamente el envío de mensajes, sino el entrenamiento conductual que esta política genera sobre millones de usuarios. La seguridad digital depende en buena medida de que las personas aprendan a reconocer señales de alerta. Un SMS inesperado, un enlace, un sentido de urgencia y la amenaza de perder un servicio son, precisamente, las cuatro características más comunes de una campaña de smishing. A partir de ahora, esos mismos elementos dejarán de ser una alerta para convertirse en una práctica institucional.

Los ciberdelincuentes rara vez inventan nuevas técnicas; normalmente explotan procesos legítimos que la población ya conoce. Por ello, la publicación del acuerdo representa una oportunidad extraordinaria para las organizaciones criminales dedicadas al fraude digital. Bastará con copiar el formato oficial del mensaje, modificar ligeramente el dominio del enlace y distribuir millones de SMS falsos haciéndose pasar por una empresa telefónica.

El resultado es predecible. Muchos usuarios recibirán un mensaje indicando que “por disposición oficial” deben vincular su línea antes de determinada fecha o será suspendida. Otros recibirán un supuesto “último aviso” informando que su servicio será cancelado en 72 horas. La diferencia entre un mensaje legítimo y uno fraudulento podría reducirse únicamente al dominio de internet al que dirige el enlace, un detalle que la mayoría de las personas no revisa antes de hacer clic.

Imagen LBWXRPYGWBCGXCMQW7ER3KI7PA

Este escenario facilita el robo de información personal, incluyendo CURP, identificaciones oficiales, datos bancarios, contraseñas y códigos de autenticación enviados por SMS. También abre la puerta a campañas de distribución de malware mediante enlaces que aparentan conducir a la plataforma oficial de registro, pero que en realidad descargan aplicaciones maliciosas capaces de interceptar mensajes, robar credenciales o tomar control del dispositivo.

La preocupación no es hipotética. México figura desde hace años entre los países latinoamericanos más afectados por campañas de phishing y fraude digital. Organismos financieros y empresas internacionales de ciberseguridad han documentado un crecimiento sostenido del smishing como mecanismo para el robo de identidad y el acceso ilícito a cuentas bancarias. La combinación entre el uso masivo del teléfono móvil y la confianza que los usuarios depositan en las comunicaciones provenientes de instituciones públicas convierte al país en un objetivo particularmente atractivo para los grupos criminales especializados en ingeniería social.

Lo más delicado es que el propio Estado proporciona ahora el guión que utilizarán los delincuentes. El acuerdo no sólo obliga a enviar mensajes con enlaces; también publica el texto que deberán contener. Es decir, establece un formato oficial que podrá ser replicado casi palabra por palabra por cualquier campaña de fraude:

De manera textual aparece en el Diario Oficial de la Federación (https://www.dof.gob.mx/nota_detalle.php?codigo=5792297&fecha=30/06/2026#gsc.tab=0) :

Un hombre con mochila y celular luce alarmado frente a un edificio con señales de "Últimos Días" y un reloj de arena, mientras papeles y llamas invaden la escena.
Un hombre estresado mira su teléfono mientras el tiempo se agota para el registro de celulares con CURP, reflejando la urgencia del trámite en medio de un ambiente caótico. (Imagen Ilustrativa Infobae)

[...] Los Proveedores del Servicio de Telefonía Móvil deberán informar mediante notificación por SMS a todas sus Líneas Telefónicas Móviles que se encuentren habilitadas y no Vinculadas a un Titular, dos veces por semana mientras no se realice su Vinculación, y diariamente en los siete días previos al vencimiento del plazo previsto en el calendario.

La notificación a la que hace referencia el párrafo que antecede contendrá la siguiente leyenda:

“Por disposición oficial, la fecha límite para vincular tu línea es hasta el DD-MM-AAAA. Vincula tu línea en [enlace]”

Dónde:

· DD-MM-AAAA: Se deberá colocar el último día que se tiene para realizar la Vinculación de Líneas Telefónicas Móviles, de conformidad con lo dispuesto en el calendario.

· Enlace: Se deberá colocar el enlace a la Plataforma de Gestión de Proveedor de Servicio de Telefonía Móvil.

Vencido el plazo previsto en el calendario, los Proveedores del Servicio de Telefonía Móvil deberán informar vía SMS, que los servicios de la Línea Telefónica Móvil serán deshabilitados dentro de las siguientes 72 horas.

Aunque existen muchas compañías telefónicas, los hábitos preventivos de seguridad son los mismos para todos, y deben implementarse cotidianamente para estar protegido de los ciberataques.
La iniciativa desató polémica, pues en menos de 24 horas de inicio del registro, especialistas en ciberseguridad advirtieron sobre la potencial exposición masiva de datos personales.

La notificación a la que hace referencia el párrafo que antecede contendrá la siguiente leyenda:

La fecha límite para vincular tu línea ha vencido y será suspendida en las próximas 72 horas. Vincula tu línea en [enlace]”

Dónde:

· Enlace: Se deberá colocar el enlace a la Plataforma de Gestión de Proveedor de Servicio de Telefonía Móvil. [...]

En términos de ingeniería social, la autoridad acaba de entregar un manual para construir mensajes altamente creíbles, aprovechando además el miedo generado por una posible suspensión del servicio telefónico.

Todo esto ocurre en un contexto en el que el propio proceso de vinculación ha evidenciado problemas de implementación. La prórroga publicada reconoce, en los hechos, que una suspensión masiva de líneas habría provocado una sobrecarga en los sistemas de señalización de las redes móviles, afectando potencialmente la operación nacional de las telecomunicaciones. En lugar de resolver las deficiencias estructurales del proceso, la respuesta consistió en escalonar las fechas de cumplimiento y multiplicar el envío de mensajes SMS con enlaces, trasladando un nuevo riesgo directamente a los usuarios.

La medida también erosiona años de campañas de alfabetización digital. Bancos, autoridades financieras, empresas tecnológicas y especialistas en ciberseguridad han insistido en una recomendación simple: nunca acceder a un trámite mediante un enlace recibido por SMS. Ese criterio era fácil de comunicar porque existían muy pocas excepciones. Ahora será el propio gobierno quien instruya a los ciudadanos a hacer exactamente lo contrario.

(X/@CRTGobMX)
(X/@CRTGobMX)

Desde la perspectiva técnica, existían alternativas considerablemente más seguras. Los operadores pudieron haber enviado mensajes sin enlaces, limitándose a informar la fecha límite e indicando al usuario que ingresara manualmente al sitio oficial o utilizara exclusivamente la aplicación móvil de su compañía. También pudieron implementarse mecanismos de autenticación verificables o campañas de comunicación que no reprodujeran las tácticas utilizadas por los estafadores. Sin embargo, la solución elegida normaliza el comportamiento que la industria de la ciberseguridad ha intentado erradicar durante más de una década.

El objetivo administrativo del registro puede ser legítimo. No obstante, una política pública no debe evaluarse únicamente por su finalidad, sino también por los riesgos colaterales que genera. En este caso, la obligación de enviar millones de SMS con enlaces y mensajes de urgencia crea un ecosistema ideal para el crecimiento del smishing, reduce la capacidad de los usuarios para distinguir entre comunicaciones auténticas y fraudulentas y ofrece a los ciberdelincuentes un contexto perfecto para lanzar campañas masivas de robo de identidad.

La ironía es difícil de ignorar. Un registro concebido para fortalecer el control sobre las líneas telefónicas termina debilitando uno de los principales mecanismos de defensa de la ciudadanía frente al fraude digital. En los próximos meses, el mensaje que anuncie la vinculación obligatoria de una línea podría provenir realmente de una empresa telefónica... o de una organización criminal. Para millones de usuarios, la diferencia entre cumplir con una disposición oficial y convertirse en víctima de un robo de identidad dependerá, literalmente, de un solo clic.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

PUBLICIDAD

PUBLICIDAD