Volver al blog
Inteligencia de amenazas·11 min de lectura

Textos de phishing en 2026: anatomía de tres campañas reales

Las estafas de paquetes de USPS, facturas de peaje falsas y textos de confirmación de reembolso impulsan ahora más robos de credenciales que el phishing por correo electrónico entre usuarios móviles. Analizamos cómo funcionan realmente tres campañas: el señuelo, la infraestructura, por qué siguen funcionando y qué las delata.

Por Casper's Cloak Security Team

El resumen rápido: el phishing por SMS — "smishing" — superó al phishing por correo electrónico como principal vector de robo de credenciales para usuarios móviles en torno a 2024 y se ha acelerado durante 2025–2026. Las razones son estructurales: los teléfonos no ejecutan un equivalente de Navegación Segura para SMS, las vistas previas de URL casi no existen, los acortadores de enlaces parecen legítimos, y la gente toca enlaces en el móvil con mucho menos escrutinio del que haría clic en un navegador de escritorio. Tres campañas dominan el volumen actualmente. Así es exactamente como funciona cada una.

Campaña 1 — Smishing de paquete "no entregable" de USPS

Activa desde 2023. Volumen según datos de la FTC/USPS: ~5 millones de destinatarios en EE. UU. al mes en su pico. Atribuida por el FBI e investigadores de seguridad (Resecurity, Trend Micro) al clúster de habla china "Smishing Triad".

El señuelo

Llega un mensaje, normalmente por la mañana o a primera hora de la tarde, que afirma que el paquete del destinatario tiene una "dirección incompleta" y será devuelto a menos que confirme los datos en las próximas 24 horas. El texto incluye un enlace que parece USPS (variantes como usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn) pero está registrado en dominios desechables de horas o días de antigüedad. La mayoría de las personas está esperando un paquete — de Amazon, un comercio en línea, el regalo de un amigo — y el momento oportuno consigue conversiones.

Qué ocurre al hacer clic

Una página clónica de USPS idéntica al pixel solicita tu dirección (para "reenviar el paquete") y luego escala a una "tarifa de reenvío" de 1,99–3,50 dólares que requiere los datos de la tarjeta de crédito. El formulario de la tarjeta es el objetivo: número completo de tarjeta, CVV, fecha de caducidad, dirección de facturación y número de teléfono para "confirmación de entrega por SMS". La tarjeta se usa o se vende en cuestión de horas. La información recopilada — nombre completo, dirección, teléfono, últimos 4 dígitos de la tarjeta — también alimenta ataques posteriores (llamadas de banco falso, intentos de apropiación de cuentas).

Por qué funciona

  • La mayoría de las personas tiene un paquete en tránsito en cualquier momento — alta probabilidad a priori de que el destinatario crea la premisa.
  • USPS no suele enviar mensajes de texto — pero la mayoría de usuarios no lo sabe, y la marca es universalmente reconocida.
  • La "pequeña tarifa" (1,99 dólares) parece demasiado insignificante para discutir; la gente paga y sigue adelante.
  • Los dominios rotan cada pocos días, por lo que las defensas basadas solo en listas de bloqueo van siempre por detrás de la campaña.

Qué la delata

El patrón de dominios es muy predecible: variantes de USPS con guiones, TLD .top / .cn / .info, registradas a través de registradores de habla china, alojadas detrás de Cloudflare o proxies con rotación de ASN, certificados emitidos por Let's Encrypt o ZeroSSL en las últimas 48 horas. Un clasificador de ML entrenado con estas características detecta nuevos dominios la primera vez que alguien los visita — mucho antes de que aparezcan en PhishTank o en las principales listas de bloqueo comerciales. El clasificador es el punto central de la detección de amenazas a nivel de red.

Campaña 2 — Smishing de peaje impago (E-ZPass, SunPass, FasTrak)

Disparada en 2024 cuando los estados migraron al cobro de peajes totalmente electrónico. El FBI IC3 emitió un aviso público en abril de 2024. Ahora afecta a los 50 estados (y a usuarios canadienses) con variantes de marca específicas para cada estado.

El señuelo

"[DOT estatal o autoridad de peaje]: Tienes un saldo de peaje pendiente de 4,27 dólares. Paga antes del [fecha] para evitar un cargo por mora. Paga aquí: ezpass-payments[.]com." El importe en dólares es pequeño. El nombre de marca coincide con el estado ("E-ZPass" en el noreste, "FasTrak" en California, "SunPass" en Florida, "TxTag" en Texas, "I-Pass" en Illinois). El enlace parece el sitio web real de peajes a primera vista. Los destinatarios en estados con peaje solo electrónico — la mayor parte del país ya — han utilizado plausiblemente una autopista de peaje recientemente.

Qué ocurre al hacer clic

Un clon del portal de pago de la autoridad de peaje del estado correspondiente, personalizado por estado. El formulario solicita nombre completo, dirección, teléfono, matrícula del vehículo (para "consultar la infracción") y luego lleva a una pantalla de pago que solicita datos de tarjeta de crédito para el importe trivial. Al igual que con USPS, los datos de la tarjeta son el objetivo, pero esta campaña también captura datos de la matrícula — útiles para estafas posteriores (suplantación falsa de la DMV, fraude en el registro de vehículos, configuración de fraude de seguros).

Por qué funciona

  • Las autoridades de peaje contactan a veces a los conductores por mensaje de texto o correo postal — la premisa es plausible.
  • La mayoría de usuarios no sabe exactamente lo que debe en peajes y asume que los cargos pequeños son reales.
  • La amenaza de "cargos por mora" o "retenciones de la DMV" presiona al pago sin verificación.
  • La imitación de marca por estado hace que los residentes de cada región vean el nombre de su marca habitual.

Qué la delata

Los dominios de estafa de peaje siguen una firma muy definida: nombre de marca + payments/pay/billing en el nombre de host, TLD .com / .net / .top, antigüedad de registro de ~24–72 horas, certificados del mismo puñado de autoridades gratuitas, clústeres de ASN comunes (Cloudflare, Namecheap, proveedores de hosting conocidos por políticas de abuso permisivas). Incluso con rotación, un clasificador de ML que puntúa por antigüedad de registro + similitud entre el nombre de host y la marca detecta toda la familia de campañas — incluidos dominios observados por primera vez en tu dispositivo específico.

Campaña 3 — Textos de confirmación de reembolso (Apple, Amazon, Netflix, Walmart)

Activa a lo largo de 2024–2026, con picos de volumen estacionales en torno a la temporada de devoluciones de impuestos (febrero–abril en EE. UU.) y el Black Friday / Cyber Monday.

El señuelo

"Apple ID: Hoy se ha aprobado un cargo de 239,99 dólares por [almacenamiento en iCloud / Apple Music anual / etc.]. Si no autorizaste esto, cancela aquí: [enlace]." A veces Amazon ("Un cargo de 499,94 dólares por [producto]…"). La premisa es un cargo que el destinatario no realizó — la amenaza es económica. La curiosidad y la alarma impulsan el clic. Algunas variantes están invertidas: "Tu reembolso de 237,45 dólares está listo. Confirma tu cuenta bancaria para recibirlo." El mismo anzuelo, planteamiento opuesto.

Qué ocurre al hacer clic

Un clon casi perfecto de la página de inicio de sesión de la cuenta de la marca. Las credenciales cosechadas aquí son más peligrosas que los datos de tarjeta de crédito de las campañas 1 y 2: un Apple ID o inicio de sesión de Amazon abre la puerta a la apropiación de cuentas — historial de compras completo, métodos de pago guardados, saldos de tarjetas regalo, compras de App Store, la posibilidad de leer correos electrónicos sensibles y acceso a otros servicios que usan el mismo correo para recuperación por SSO. Muchas variantes escalan aún más: tras la captura de credenciales, un chat de soporte falso o una devolución de llamada "de Apple" guía a la víctima para que lea en voz alta los códigos 2FA por SMS, neutralizando la protección del segundo factor.

Por qué funciona

  • Los textos de facturación reales de Apple/Amazon existen, así que la premisa es plausible.
  • El importe en dólares está específicamente calibrado para ser lo suficientemente alto como para alarmar, pero no imposiblemente grande.
  • La apropiación de cuentas es más valiosa para el atacante que un único golpe con tarjeta de crédito — una captura de credenciales "exitosa" alimenta semanas de fraude posterior.
  • Los objetivos que interactúan con la página de credenciales están demostrablemente convirtiendo — las operaciones de estafa de reembolso concentran su energía de seguimiento ahí, incluyendo la escalada de llamada de soporte.

Qué la delata

Los dominios de estafa de reembolso suelen parecerse a apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com — de vida corta, suplantando marcas, registrados a través de registradores conocidos por ser favorables al abuso. La señal del clasificador es esencialmente la misma que en las otras campañas: similitud entre el nombre de host y la marca (puntuación de distancia de Levenshtein frente a "apple.com", "amazon.com", "netflix.com"), antigüedad de registro, proveedor de certificados, infraestructura de hosting. Detecta la campaña en la primera observación, independientemente de la variante de marca específica que esté en juego.

Patrones comunes en las tres campañas

Las tres campañas comparten características estructurales que las hacen detectables como clase:

  • Dominios registrados recientemente — generalmente menos de una semana de antigüedad, a menudo menos de 24 horas.
  • Imitación del nombre de host de una marca reconocida — medible mediante puntuación de distancia de cadena frente a una lista de marcas conocidas.
  • Certificados gratuitos de Let's Encrypt o ZeroSSL — los sitios legítimos también los usan, pero la combinación de "dominio nuevo + certificado gratuito + nombre de host de suplantación de marca" es muy predictiva.
  • Alojamiento en un pequeño conjunto de proveedores tolerantes al abuso — con frontal de Cloudflare, y servidores de origen en jurisdicciones conocidas por las lentas retiradas de contenido.
  • Plantillas de página que coinciden con kits de phishing conocidos — los activos de interfaz específicos del dominio se reutilizan entre campañas.
  • Estructura de URL — rutas largas con tokens de aspecto aleatorio, uso frecuente de redirecciones mediante cadenas de consulta.

Qué no las detecta

  • Safe Browsing de iOS solo funciona en Safari. El enlace de phishing tocado desde la app Mensajes se abre en una vista web que no recibe la misma protección.
  • El filtrado de SMS a nivel de operador bloquea parte del volumen, pero rota con poca frecuencia — las campañas ajustan el número de envío y el filtro siempre va por detrás.
  • "Simplemente no hagas clic en enlaces sospechosos" — consejo razonable que falla ante la pequeña minoría de textos en los que el usuario está esperando actualmente un paquete, un reembolso o una factura de peaje. El volumen es la estrategia.
  • Listas de bloqueo puras (PhishTank, OpenPhish, etc.) — son reactivas. Para cuando se reporta un dominio y se añade, lleva horas o días activo; los operadores de la campaña rotan antes de que las listas les alcancen.

Qué sí las detecta

La detección de amenazas a nivel de red que ejecuta un clasificador de ML sobre el dominio de destino en el momento de la resolución DNS. El clasificador no necesita que la URL específica haya sido reportada en ningún lugar primero — puntúa sobre las características estructurales anteriores (antigüedad de registro, similitud con la marca, proveedor de certificados, ASN de hosting, forma de la URL) y se niega a resolver dominios que superen el umbral de riesgo. Esa es toda la arquitectura de la capa de protección de amenazas de Casper (explicada en detalle aquí), y es lo único que cierra materialmente la brecha frente a estas tres campañas.

Un beneficio más sutil: el clasificador de Casper reporta los falsos positivos (un usuario marcó un bloqueo como incorrecto) de vuelta al reentrenamiento. Las tres campañas anteriores están ahora bien clasificadas, pero los operadores detrás de ellas siguen rotando tácticas — nuevos TLD, nuevos registradores, nuevos patrones de hosting. Un modelo en aprendizaje continuo se adapta más rápido que cualquier lista de bloqueo estática.

Conclusión

El smishing está ganando ahora mismo porque SMS es el canal que los usuarios móviles menos sospechan, las protecciones integradas en el sistema operativo solo cubren un navegador, y las campañas dominantes rotan dominios más rápido de lo que las listas de bloqueo reactivas se actualizan. El punto de palanca está en la capa DNS — cada enlace pulsado realiza una consulta DNS antes de que el navegador lo abra, y esa consulta es el lugar más limpio para intervenir. Si no te llevas nada más de esta entrada: nunca pulses un enlace de pago que llegue por mensaje de texto. Abre la app tú mismo. Los pocos segundos que te cuesta son la defensa completa.

Revisado por Casper's Cloak Security Team · Última actualización

Detecta el próximo enlace de phishing antes de tocarlo

Casper's Cloak ejecuta exactamente el tipo de capa de detección de amenazas a nivel de red descrita anteriormente — en todas las apps de tu iPhone, Mac y Android. Los dominios de phishing recién detectados son marcados rápidamente por la capa de ML.