¿Qué es el smishing?

El smishing es phishing por SMS. El atacante envía un mensaje de texto haciéndose pasar por una entidad legítima (banco, Correos de Chile, AFP) con un enlace a una página falsa o un número falso al que llamar. La efectividad es alta porque en el celular la gente baja la guardia y los SMS se leen casi al instante.

¿Qué es el vishing?

El vishing es phishing por llamada de voz. El atacante llama haciéndose pasar por un ejecutivo del banco, técnico de soporte o funcionario público y, mediante un guión de urgencia, consigue claves o autorizaciones. Con IA de clonación de voz (deepfake), hoy puede imitar la voz de un ejecutivo real de la empresa.

¿Cuál es la diferencia entre phishing, smishing y vishing?

Los tres son técnicas de ingeniería social. Phishing: por correo electrónico. Smishing: por SMS o mensajería (WhatsApp). Vishing: por llamada de voz. Comparten el patrón de suplantación de identidad y la creación de urgencia, pero usan canales distintos. El más usado sigue siendo el email; el de mayor crecimiento en 2026 es el vishing con IA.

¿Cómo entreno a mi equipo contra smishing y vishing?

Con simulaciones realistas de los tres canales, no solo email. Una buena plataforma de phishing testing debe incluir simulaciones de SMS (smishing) y guiones de llamada (vishing) localizados —en Chile, eso significa imitar mensajes de BancoEstado, BCI, Banco Santander, AFP, Correos de Chile y servicios de gobierno. Debe también capacitar en señales de alerta específicas de cada canal.

Smishing y Vishing: las nuevas formas de phishing en Chile (2026)

El email phishing sigue siendo el rey, pero los atacantes ya descubrieron dos canales mucho menos defendidos: SMS y llamadas. En 2025, los reportes de smishing en Chile crecieron sobre el 200% según datos del CSIRT, y los casos de vishing con IA pasaron de anécdota a problema real.

Phishing, smishing y vishing: qué los diferencia

Las tres técnicas son ingeniería social. Su diferencia es el canal:

Phishing: correo electrónico. El más antiguo y todavía el más volumen.
Smishing: SMS o mensajería (WhatsApp, Telegram). Crecimiento más rápido. Para más detalles sobre el phishing en general, ver nuestra guía completa de phishing.
Vishing: llamada de voz. Tradicionalmente bajo volumen pero ahora amplificado por IA.

Smishing en Chile: ejemplos reales

Los SMS más vistos durante el último año en Chile:

SMS desde +56 9 XXXX YYYY

      "BancoEstado: tu CuentaRUT fue bloqueada por seguridad. Ingresa a bancoestado-cl.com/desbloqueo para reactivarla. Vence hoy."

SMS desde 432

      "Correos: tu paquete está retenido por dirección incompleta. Actualiza en bit.ly/corr-cl-XYZ — costo $850 CLP."

SMS desde +56 2 XXXX

      "AFP Modelo: tu cuenta requiere validación urgente. Ingresa a afp-modelo.cl/validar antes del 31 o tu cuenta será congelada."

Los tres tienen el mismo patrón: urgencia + amenaza + link a dominio similar al real. La página de destino captura RUT, clave y a veces el código SMS de validación.

Por qué el smishing funciona tan bien

Los SMS se leen casi siempre (vs. emails que se ignoran).
En el celular no se hace hover sobre los links para ver a dónde van.
Pantalla pequeña esconde detalles del dominio falso.
Los filtros antiphishing de bancos y empresas no llegan al SMS personal.

Vishing en 2026: la nueva amenaza con IA

El vishing existe hace décadas, pero hasta 2024 era un canal limitado: requería habilidad actoral del atacante para sostener un guión convincente. La IA generativa cambió todo.

Hoy un atacante puede:

Clonar la voz de un ejecutivo con 30 segundos de audio (LinkedIn, podcasts, conferencias).
Generar guiones personalizados con LLMs según el destinatario.
Adaptar el tono en tiempo real según las respuestas de la víctima.
Operar a escala: 100 llamadas simultáneas con IA, sin call center humano.

Caso real (sector financiero, Chile, 2025): un jefe de finanzas recibe una llamada del "gerente general" pidiendo autorizar una transferencia urgente. La voz era idéntica. La transferencia se ejecutó. Pérdida: USD 320.000. La voz era IA, generada con audio público de una entrevista del ejecutivo.

Cómo entrenar a tu equipo en smishing y vishing

El error común es enfocar todo el programa de Security Awareness solo en email. Resultado: el equipo identifica phishing por correo, pero cae en SMS o vishing porque nunca lo vio antes.

Un programa moderno debe cubrir los tres canales:

Simulaciones de email phishing: tradicionales, ya cubiertas.
Simulaciones de smishing: SMS reales enviados al celular del colaborador (con consentimiento), con plantillas de bancos chilenos, AFP y Correos de Chile.
Simulaciones de vishing: guiones de llamada con escenarios localizados (técnico de soporte, ejecutivo del banco, supuesto colega).

Certisec incluye los tres tipos de simulación en una sola plataforma, con plantillas localizadas para Chile y reportes unificados de comportamiento.

Las 5 señales de alerta en SMS y llamadas

Urgencia extrema: "vence hoy", "se bloquea en 1 hora". Los servicios reales no funcionan así.
Solicitud de datos sensibles por SMS o teléfono: ningún banco te va a pedir tu clave o token por estos canales.
Dominio similar pero ligeramente distinto: bancoestado-cl.com en vez de bancoestado.cl. Lee la URL completa.
Llamada con calidad de audio "rara": las voces clonadas con IA aún tienen leves artefactos. Si suena "metálica" o "monótona", desconfía.
Solicitud de transferencia o autorización inusual: siempre verificar por canal alternativo (chat corporativo, llamada al número conocido, no al que te llamaron).