Vivimos pendientes del móvil y de lo que aparece en su pantalla, desde un aviso del banco hasta un código para autorizar un pago. Esa dependencia ha convertido el mensaje de texto en un terreno fértil para el engaño, con campañas de smishing que imitan a empresas conocidas y se cuelan en conversaciones que parecen legítimas. El problema no es solo técnico, es de confianza: distinguir a simple vista quién está realmente al otro lado.

Durante años, el SMS ha tratado por igual a un mensaje legítimo y a otro fraudulento, y esa neutralidad es justo lo que explotan los atacantes. Campañas maliciosas detectadas en España muestran cómo se copian nombres y formatos de entidades conocidas para ganarse la confianza del receptor. Estos mensajes están diseñados para no levantar sospechas. Y, a menudo, cuando la duda llega, ya es tarde para reaccionar.

Dile ‘hola’ a los mensajes verificados. Ante la erosión de la confianza en el SMS tradicional, la industria ha optado por reforzar la identidad del emisor en lugar de cargar toda la responsabilidad en el usuario. Los mensajes verificados introducen un cambio relevante: hacen visible si una empresa ha sido reconocida como legítima antes de que el mensaje llegue al móvil. Apoyados en el protocolo RCS, estos mensajes añaden nombre, logotipo e indicadores de verificación con la intención de reducir una de las principales armas del fraude, la confusión sobre el origen real del mensaje.

BBVA. Así se ve en el móvil. En España, BBVA ha sido uno de los primeros grandes bancos en mostrar este cambio de forma visible para el usuario. En Android, los mensajes oficiales del banco aparecen identificados con su nombre y logotipo, acompañados de un indicador que los señala como canal oficial. Al pulsar sobre ese logo, el usuario puede comprobar que los datos asociados, como el teléfono o la web, coinciden con los del banco. Además, estas comunicaciones llegan en un hilo distinto al de los SMS tradicionales, precisamente para evitar que se mezclen con mensajes fraudulentos.

Bankinter también ha dado el salto. Bankinter se ha asociado con Telefónica para distribuir mensajes verificados. La entidad explica que esto permitirá mejorar la seguridad de “comunicaciones críticas”, como los códigos de un solo uso para transferencias o pagos online. Aquí también nos encontraremos con la confirmación de verificación del remitente, el logo oficial e información adicional como el sitio web y un teléfono.

Cómo funciona la verificación. Detrás de ese distintivo visible hay un proceso mucho menos evidente para el usuario. El estándar definido por la GSMA establece varias etapas previas antes de que una empresa pueda enviar un solo mensaje verificado. Primero, la entidad debe registrar su identidad, con un nombre y un logotipo concretos, y someterlos a una certificación externa por un tercero que valida que la entidad puede usar ese nombre y ese logotipo. Esa validación no basta por sí sola: la autoridad que la emite debe estar incluida en la lista de confianza de la operadora del destinatario. Sin esa cadena completa, la verificación simplemente no se muestra.

Quién verifica a quién. Aquí entran en escena las llamadas Autoridades de Verificación como terceros encargados de validar que una empresa es quien dice ser antes de que pueda enviar mensajes verificados. Ese papel puede recaer en empresas privadas especializadas en verificación digital, en operadores móviles o incluso en entidades gubernamentales, dependiendo del despliegue y del país. Después, es la operadora del usuario la que decide si confía en esa autoridad, algo que a veces se refleja de forma visible en el propio mensaje, como ocurre en un ejemplo oficial de Bankinter, donde el sistema indica que la verificación ha sido efectuada por Movistar.

La comprobación definitiva se produce en el momento en que el mensaje llega al teléfono. Según el estándar de la GSMA, la app de mensajería descarga automáticamente el perfil del remitente y ejecuta una serie de verificaciones técnicas antes de mostrar cualquier distintivo. Se revisa que la firma siga vigente, que la autoridad que la emitió sea aceptada por la operadora del usuario y que los datos no hayan sido alterados. Solo si todo encaja aparece el indicador de verificación; si algo falla, el mensaje pierde esa apariencia de legitimidad.

¿Funciona en iOS y Android? Este esquema no es exclusivo de Android. Apple incorporó el soporte para RCS como servicio del operador a partir de iOS 18, lo que permite enviar y recibir mensajes con funciones avanzadas cuando no se utiliza iMessage. En la práctica, el comportamiento es el mismo: si el operador soporta RCS y el estándar está implementado, el sistema puede mostrar nombre, logotipo e indicadores asociados al remitente. Sin ese respaldo del operador, el mensaje vuelve al terreno conocido del SMS o del MMS, sin señales adicionales de verificación.

Para el usuario, el aprendizaje práctico es sencillo: un mensaje verificado ofrece más contexto y más pistas que un SMS convencional, pero no elimina la necesidad de mantener la cautela. Saber que existe un proceso técnico detrás de ese distintivo ayuda a interpretar mejor lo que llega a nuestros teléfonos móviles y a desconfiar cuando algo no coincide. Sin embargo, en un entorno donde los actores maliciosos nunca duermen, la prudencia sigue siendo imprescindible.

Imágenes | Vitaly Gariev | BBVA | Bankinter | Gemini 3 Pro

En Xataka | Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

EFE.- El cantante británico Harry Styles anunció este jueves el lanzamiento de su cuarto álbum de estudio, el primero en cuatro años, que tendrá por título “Kiss All The Time. Disco, Occasionally” (“Besa todo el tiempo. Disco, ocasionalmente”) y saldrá el 6 de marzo.

El artista, de 31 años, lo hizo público hoy revelando la fecha de lanzamiento y la imagen de la portada del álbum, en la que se observa a Styles en una esquina, colocándose unas gafas de sol, sobre un paisaje oscuro y una bola de discoteca sostenida en el aire.

El disco, producido por Kid Harpoon, contiene 12 temas y ya está disponible para adquirir en preventa en su página web y en el resto de tiendas a partir de este viernes, indicó su discográfica, Sony Music, en un comunicado.

Los rumores del regreso a la música de Styles se habían incrementado en los últimos días, después de que varias ciudades británicas y del resto del mundo amanecieran esta semana con unos enigmáticos pósteres en los que se podía leer: “We Belong Together” (Somos el uno para el otro).

Una frase con la que había cerrado un video publicado en su canal de YouTube el 27 de diciembre, titulado “Forever, forever”, sobre su último concierto en Italia.

Tras el anuncio, el exintegrante de “One Direction” ha cambiado su foto de perfil en Instagram, en la que aparece con unas gafas de sol naranjas y portando un jersey amarillo, sobre una camisa de lunares y una corbata roja.

La carrera en solitario de Styles despegó después de abandonar la boyband británica “One Direction” en 2016 y, un año más tarde, debutó con su álbum homónimo, “Harry Styles”,para después continuar en 2019 con “Fine Line” y, por último, con “Harry´s House” (2022).

Este último trabajo discográfico le valió numerosos reconocimientos a nivel global, como tres premios Grammy, incluido el de mejor álbum del Año, un galardón que también obtuvo en los premios Brit de la música británica.

Hace apenas un año llegó a las tiendas de apps MiDNI, la app oficial del Gobierno de España para llevar el DNI en el móvil. Honestamente, llevar el carnet de identidad era la única razón por la que seguía llevando la cartera en el bolsillo. Ya tengo el carnet de conducir gracias a MiDGT y hace años que no uso una moneda o billete para pagar, así que solo quedaba el DNI. 

¿Y por qué os cuento todo esto? Porque como me caducaba el carnet en unos días, pedí cita para renovarlo hoy por la mañana. Y ya que estaba en la comisaría, he aprovechado para hacer ese paso que, hasta la fecha, ha evitado que pueda usar MiDNI: la activación presencial.

De visita a la comisaría. A diferencia de MiDGT, para usar MiDNI es necesario hacer un registro previo en el sistema. Básicamente, tenemos que asociar el número de teléfono a nuestra identidad, y eso solo lo podemos hacer de tres formas:

1. En la web de la Policía Nacional usando el DNI físico y un lector de DNI, dispositivo que yo no poseo.
2. En un Punto de Actualización de Documentación (PAD) que encontrarás, efectivamente, en las comisarías y unidades de documentación de la Policía.
3. En persona en dichas unidades de documentación.

Punto de Actualización del DNI electrónico en la sede de Policía Local de Villanueva de la Cañada | Imagen: Ayuntamiento de Villanueva de la Cañada

¿Lo más fácil? Lo que he hecho yo: usar el PAD. Es una especie de cajero automático como el de la foto superior. Introduces el DNI con el chip hacia arriba y sigues los pasos, que consisten en introducir tu correo electrónico, tu teléfono y una contraseña. Completado el proceso, solo hay que verificar la cuenta introduciendo el código que nos enviarán y listo.

Aquí me veo obligado a pegarle un tirón de orejas a la Policía Nacional por una cuestión de usabilidad. Si muestras en pantalla un teclado digital y el número 2 muestra la @ arriba, lo que entenderá el usuario, que está acostumbrado a usar el móvil o la tablet, es que debe dejar pulsado el 2 para seleccionar el @. En ningún momento asumirá que hay que pulsar “Bloq Mayus” antes para poder introducir los símbolos. La solución más sencilla sería poner un botón dedicado al @.

¿Y por qué el PAD? Porque no necesitas cita previa. Si vas a renovar el DNI, puedes aprovechar que estás allí con tu carnet nuevecito y sus cinco-diez años de validez (según tu edad), y darlo de alta en el sistema. Si no lo tienes que renovar, pero pasas cerca de una comisaría, puedes darte un salto y hacerlo en apenas unos minutos, sobre todo ahora que sabes cómo poner la @.

El DNI físico no lo guardes lejos. Aunque llevar el DNI en el móvil suena de escándalo, lo cierto es que todavía será necesario seguir teniendo a mano el DNI físico. Tal y como señala la Policía Nacional, el DNI físico y MiDNI son “complementarios”, habiendo casos de uso en los que el DNI físico seguirá siendo necesario:

• Si tu móvil se queda sin batería, sin conexión o se rompe, tendrás que usar el DNI físico.
• MiDNI no lo puedes usar como documento de viaje para pasar fronteras o en otros países.
• Tampoco puedes usarlo para operaciones por internet o gestiones telemáticas que requieran de autenticación o firma electrónica. Estas siguen dependiendo de Cl@ve, certificado digital, etc.

Y por si esto fuera poco, hasta el 1 de abril de 2026 no es obligatorio que entidades públicas y privadas te acepten el DNI digital. Pero bueno, al menos es un paso.

Imagen de portada | Xataka

En Xataka | Cómo compartir tu DNI por internet de forma segura para evitar peligros