Volver al blog

Phishing en el móvil: SMS, WhatsApp y códigos QR: ¿qué políticas necesitan realmente las pymes?

Los dispositivos móviles son ahora la primera línea de ataque del phishing. El personal aprueba las solicitudes de autenticación multifactorial (MFA) en sus teléfonos, escanea códigos QR en la puerta de la oficina y vincula los chats de trabajo al ordenador mediante QR. Los atacantes siguen ese rastro. Esta guía ofrece a las pymes texto de políticas listo para copiar y pegar, así como controles rápidos que puedes implementar esta misma semana, basados en avisos recientes y en lo que vemos sobre el terreno.

Por Equipo de Autophish|Publicado el 9/29/2025
Cover image for Phishing en el móvil: SMS, WhatsApp y códigos QR: ¿qué políticas necesitan realmente las pymes?

Por qué el phishing móvil es importante en 2025

  • El smishing (phishing por SMS) se ha disparado y es uno de los principales vectores de fraude en Europa; el «quishing» basado en códigos QR está aumentando rápidamente. ENISA
  • Abuso de WhatsApp y dispositivos vinculados: los actores alineados con el Estado han pasado de los correos electrónicos a la toma de control de mensajerías, a menudo engañando a las víctimas para que escaneen códigos QR de WhatsApp Web. Trata los escaneos como si fueran contraseñas. Microsoft+1
  • El cansancio con la autenticación multifactorial (MFA) obligó a replantearse las aprobaciones push; Microsoft hizo que los usuarios pasaran a la verificación por coincidencia de números para frenar las aprobaciones push no deseadas. Microsoft Learn+1
  • El FBI/IC3 advierte sobre el fraude basado en códigos QR, incluyendo estafas en las que paquetes no solicitados contienen un código QR que conduce al robo de credenciales o a malware. Centro de Denuncias de Delitos en Internet+1

Para conocer los detalles de los incidentes y «qué salió mal», echa un vistazo a nuestro 10 historias de phishing alucinantes (2024–2025)—destacamos las apropiaciones de cuentas mediante códigos QR y los giros en aplicaciones de mensajería con medidas de seguridad concretas.

El manual de phishing «mobile-first» (cómo funcionan los ataques)

  1. Smishing y señuelos en mensajes
    Los mensajes cortos suplantan a empresas de reparto, peajes o restablecimientos de TI. Los enlaces abren páginas de credenciales, formularios de pago o llevan a los usuarios a instalar aplicaciones maliciosas.
  2. Códigos QR como tokens de inicio de sesión
    WhatsApp y otras apps usan QR para vincular dispositivos. Un escaneo forzado = toma de control de la sesión, incluso sin contraseña. Las políticas deben tratar «Escanear para vincular» como un paso de autenticación sensible.
  3. Abuso de notificaciones MFA
    Los atacantes envían notificaciones masivas hasta que un usuario cansado pulsa «Aprobar». La coincidencia de números (introducir el código que aparece en pantalla) y la geolocalización/el contexto del usuario reducen estas aprobaciones.
  4. Malware en móviles
    Los enlaces suelen robar credenciales, pero también pueden forzar instalaciones maliciosas; esto es más factible en Android a través de APK instalados lateralmente; en iOS es más difícil (por el filtro de la App Store), pero existen perfiles de riesgo/vulnerabilidades de 0 clics. Las protecciones móviles como Play Protect reducen el riesgo, pero no lo eliminan.

Qué políticas necesitan realmente las pymes (listas para adaptarse)

A continuación te ofrecemos cláusulas concisas que puedes incluir en tus políticas de Uso Aceptable, BYOD y Mensajería. Cada una incluye un control y una breve explicación del «porqué».

1) BYOD: requisitos mínimos de seguridad

  • Sistema operativo y nivel de parches: Los dispositivos personales utilizados para el trabajo deben ejecutar un sistema operativo compatible con el proveedor y tener habilitada la actualización automática. (Android, iOS, iPadOS).
  • Controles de seguridad del dispositivo: Bloqueo de pantalla, almacenamiento cifrado y la capacidad de borrar de forma remota los datos de trabajo a través de MDM/Perfil de trabajo (COPE/COSU o Perfil de trabajo de Android/Inscripción de usuario de iOS).
  • Fuentes de las aplicaciones: No se permiten aplicaciones instaladas por fuera para uso laboral; las aplicaciones empresariales deben proceder de tiendas gestionadas. (Las fuentes desconocidas en Android aumentan el riesgo; Play Protect lo mitiga, pero no sustituye a la política). NCSC+2NCSC+2

Por qué: Las directrices sobre dispositivos del NCSC hacen hincapié en equilibrar la usabilidad con los controles en el BYOD; lo que quieres es una separación y revocación de datos gestionadas. NCSC+1

2) Aplicaciones de mensajería y redes sociales (WhatsApp, Signal, iMessage, etc.)

  • Límites de uso empresarial: Si se usan aplicaciones de mensajería para el trabajo, limítalas a dispositivos gestionados; no permitas el enlace mediante QR en ordenadores de sobremesa no gestionados.
  • Supervisión de dispositivos vinculados: Alerta ante nuevos dispositivos vinculados; exige una nueva verificación cada 30 días.
  • No se permiten aprobaciones de datos confidenciales por chat: Los pagos, los cambios en los datos bancarios o los restablecimientos de SSO deben realizarse mediante ticket + devolución de llamada a un número del directorio.

Por qué: Los atacantes están abusando activamente de la vinculación en las aplicaciones de mensajería y de los códigos QR. Trata el escaneo de un código QR como un inicio de sesión SSO. Microsoft

3) Manejo de códigos QR

  • Trata los códigos QR como credenciales: Escanear un código QR para iniciar sesión o vincular un dispositivo equivale a introducir una contraseña; solo escanea desde fuentes de confianza en dispositivos gestionados.
  • Previsualiza antes de abrir: El personal debe previsualizar la URL (los navegadores móviles y las aplicaciones lo permiten) y verificar el dominio antes de abrirla.
  • Bloquea los acortadores de URL de riesgo: Filtra los acortadores habituales (excepto los usos empresariales incluidos en la lista blanca).

Por qué: El FBI/IC3 ha documentado casos de fraude con códigos QR; los atacantes ocultan los destinos y se aprovechan de la confianza. Centro de Denuncias de Delitos en Internet

4) Fortalecimiento de la autenticación multifactorial (acabar con la fatiga de las notificaciones push)

  • Exige la coincidencia de números para las aprobaciones push en todo el inquilino.
  • Da prioridad a métodos resistentes al phishing (FIDO2/claves de acceso) y desactiva la alternativa por SMS tras el registro. Microsoft Learn+1

Por qué: El spam de notificaciones funciona; la coincidencia de números y las claves de acceso reducen significativamente el abuso.

5) Controles de navegadores y aplicaciones móviles

  • Navegación segura y verificación de aplicaciones: Mantén activado Play Protect; bloquea la instalación de aplicaciones de fuentes desconocidas; exige el uso de tiendas de aplicaciones gestionadas. Ayuda de Google
  • Perfiles/configuraciones: Prohíbe la instalación de perfiles de configuración no aprobados en iOS; los perfiles pueden alterar las raíces de confianza, la VPN/DNS o el MDM, lo que supone un riesgo grave. TechTarget

6) Pagos y aprobaciones a través del móvil

  • Control doble + llamada de confirmación: Cualquier pago, cambio de banco de un proveedor o compra de tarjetas regalo requiere dos personas que lo aprueben + una llamada de confirmación usando un número conocido (no el del mensaje).
  • No se permite «aprobar a través de un enlace en SMS» para los flujos de trabajo de finanzas/RR. HH.

Por qué: El BEC clásico sigue siendo costoso; las medidas de seguridad del proceso superan al juicio humano bajo presión de tiempo.

7) Notificación y respuesta (vía rápida)

  • Notificar con un solo toque: Añade una acción Notificar SMS/mensaje en la app de ayuda de MDM; reenvía a SecOps + proveedor para su eliminación.
  • Conserva las pruebas: El personal debe guardar el mensaje, hacer una captura de pantalla de la URL completa y anotar la hora antes de borrarlo.
  • Bloqueos automáticos: Añade los dominios/hosts del remitente y del destinatario a las puertas de enlace móviles y de correo electrónico; estate atento a los dispositivos recién vinculados.

Lista de verificación para la implementación

  1. Activa la coincidencia de números (Microsoft Entra ID) y revisa los métodos de MFA; da preferencia a las claves de acceso/FIDO2.
  2. Actualiza la política de BYOD con las cláusulas anteriores; exige tiendas de aplicaciones gestionadas y que no se incluyan enlaces QR en ordenadores de escritorio no gestionados.
  3. Establece reglas de MDM: bloquea fuentes desconocidas en Android, bloquea perfiles de iOS no aprobados, avisa de nuevos dispositivos vinculados a WhatsApp/Signal.
  4. Organiza una formación breve usando AutoPhish. Para un enfoque que se adapte al comité de empresa, usa métricas anonimizadas; nuestra guía explica cómo hacerlo.

Preguntas frecuentes

P1) ¿Se puede hacer phishing por teléfono?

Sí. El smishing (SMS) y los mensajes directos de mensajería instantánea son canales habituales de phishing. Los mensajes enlazan con páginas de inicio de sesión falsas, sitios de pago o instalaciones de aplicaciones; también pueden intentar llamadas de phishing por voz (vishing). La CISA define el smishing como ingeniería social basada en SMS y detalla cómo los enlaces pueden desencadenar acciones en el móvil. CISA

P2) ¿Se puede usar el phishing para el robo de identidad?

Por supuesto. El objetivo suele ser el robo de credenciales (correo electrónico, banca, aplicaciones en la nube) o la recopilación de datos personales que permitan el secuestro de cuentas y el fraude financiero. Los anuncios de servicio público del FBI/IC3 han advertido en repetidas ocasiones de que las campañas de QR/smishing recopilan datos personales y financieros con fines fraudulentos. Centro de Denuncias de Delitos en Internet

P3) ¿Puede un enlace de phishing instalar malware en mi teléfono?

A veces, pero normalmente se necesitan pasos adicionales.

  • En Android, un sitio web podría intentar que instales un APK; Play Protect reduce el riesgo, pero es fundamental incluir las fuentes en la lista de permitidos de la política. Ayuda de Google
  • En iOS, las instalaciones directas están restringidas; los atacantes pueden enviar perfiles de configuración maliciosos o aprovechar vulnerabilidades poco comunes de cero clics. (Los avisos recientes de WhatsApp destacan problemas específicos de «zero-click» que ya se han solucionado; mantén las apps actualizadas.) TechTarget+1La mayoría de las veces, el mayor riesgo es la recopilación de credenciales y el robo de sesiones, lo que conduce al fraude de identidad incluso sin malware. CISA

P4) ¿Es seguro escanear códigos QR?

Trata los códigos QR como un enlace: escanéalos solo de fuentes de confianza, da prioridad a los dispositivos gestionados y previsualiza la URL antes de abrirla. El FBI/IC3 ha advertido específicamente sobre estafas basadas en códigos QR (incluidos artículos no solicitados con códigos QR incrustados). Centro de Denuncias de Delitos en Internet

P5) ¿El phishing en WhatsApp es real si tengo la autenticación de dos factores (2FA)?

Sí. Los atacantes pueden engañar a los usuarios para que vinculen un nuevo dispositivo a través de un código QR, eludiendo las contraseñas al robar el acceso a la sesión. Activa el PIN de verificación en dos pasos de WhatsApp, supervisa los dispositivos vinculados y nunca vincules desde un ordenador de confianza. Microsoft

P6) ¿Qué deberían hacer de forma diferente los departamentos de finanzas y RR. HH. en el móvil?

No apruebes nada ni realices cambios bancarios a través de enlaces o chat. Usa siempre ticket + doble control + devolución de llamada a un número conocido. Nuestro resumen de incidentes explica por qué esto detiene incluso las estafas más sofisticadas con deepfakes o mensajes directos.

Más información y recursos

  • Buenas prácticas móviles de la CISA y por qué la autenticación multifactorial (MFA) FIDO/resistente al phishing es mejor que los códigos por SMS o app. CISA
  • Guía del NCSC sobre BYOD para crear una política de dispositivos personales sensata y viable. NCSC+1
  • Microsoft sobre la evolución de los ataques a la identidad (fatiga de notificaciones → coincidencia de números → claves de acceso). Microsoft Learn+1
  • Anuncio de servicio público del IC3 sobre el fraude con códigos QR (estafas actuales, cómo denunciarlas). Centro de Denuncias de Delitos en Internet

Cómo puede ayudarte AutoPhish

  • Simulaciones adaptadas a dispositivos móviles: Escenarios seguros de smishing, QR y tipo mensajería con orientación instantánea (próximamente)
  • Formación basada en políticas: Nuestro enfoque de formación respetuoso con la privacidad mantiene a los comités de empresa de tu lado mientras cambiamos los comportamientos.
Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →