/ seguridad y privacidad / ¿Cómo distinguir un SMS real de Correos de una estafa de «paquete retenido» en 3 segundos?
Publicado el marzo 15, 2024

El bombardeo de SMS sobre paquetes es el camuflaje perfecto para el fraude, pero entender la táctica del estafador es la mejor defensa.

  • Los delincuentes explotan la urgencia y un contexto de confianza (esperas un paquete) para que actúes sin pensar.
  • Verificar el dominio real del enlace y desconfiar de cualquier micropago son los filtros más eficaces.

Recomendación: Aplica el protocolo de desconfianza activa. Si un mensaje te pide actuar rápido o confirmar un pago para recibir algo, es una estafa. Sin excepciones.

Recibir un SMS de Correos informando de un «paquete retenido» o una «entrega fallida» se ha convertido en una experiencia cotidiana para cualquiera que compre online. La reacción inicial suele ser una mezcla de confusión y prisa por solucionar el problema, especialmente cuando esperamos algo con ilusión. En ese breve instante de vulnerabilidad, los ciberdelincuentes han encontrado su campo de juego ideal. Saben que estás ocupado, que gestionas múltiples pedidos y que un pequeño pago de aduanas o una simple confirmación de dirección parecen trámites lógicos.

El consejo habitual se centra en buscar faltas de ortografía o no hacer clic en enlaces sospechosos. Si bien son pautas válidas, las estafas modernas son mucho más sofisticadas. Los mensajes están bien redactados, los logos son idénticos y las webs fraudulentas son clones casi perfectos de las originales. La defensa ya no puede basarse en detectar errores obvios, porque a menudo no los hay. Los estafadores no solo copian una web, sino que replican un proceso mental, aprovechando nuestros sesgos cognitivos.

Pero, ¿y si la clave no fuera buscar el fallo del estafador, sino entender su manual de tácticas? El verdadero poder no reside en una lista de prohibiciones, sino en deconstruir la psicología y la tecnología que usan para engañarnos. No se trata de tener miedo a cada SMS, sino de desarrollar un instinto entrenado, un protocolo mental que permita, en menos de tres segundos, discernir la intención detrás del mensaje. Este es el enfoque de un experto en análisis de fraude: no solo ver el anzuelo, sino comprender la caña, el sedal y la mente del pescador.

A lo largo de este artículo, desglosaremos las ocho tácticas principales que definen el fraude digital moderno en España. Analizaremos desde la presión psicológica hasta los trucos técnicos más sutiles, dándote las herramientas no solo para protegerte, sino para entender el porqué de cada recomendación.

Sommaire : Guía completa para identificar y neutralizar estafas digitales

Por qué los estafadores siempre te piden actuar «en menos de 24 horas» y cómo mantener la calma?

La táctica más antigua y eficaz del manual del estafador no es tecnológica, sino psicológica: la arquitectura de la urgencia. Frases como «su paquete será devuelto», «última oportunidad» o «actúe en 24 horas» no son casuales. Están diseñadas para activar una respuesta de pánico en nuestro cerebro, liberando cortisol y secuestrando nuestra capacidad de análisis racional. El objetivo es simple: que actúes por impulso, sin dar tiempo a que tu corteza prefrontal, la parte lógica del cerebro, se pregunte: «¿Esto tiene sentido?».

Esta estrategia es especialmente efectiva en el contexto de la paquetería porque se alinea con una expectativa real: la impaciencia por recibir un pedido. Los delincuentes saben que no quieres que tu paquete se pierda, y manipulan esa emoción. El pequeño importe que suelen solicitar, a menudo menos de dos euros, está calibrado para parecer insignificante, un «peaje» asumible para resolver el «problema» de inmediato. Es un cebo perfecto que minimiza la fricción de la decisión. Este tipo de fraude está en plena expansión, con un alarmante incremento del 200% en estafas por suplantación en el último año, según datos del Instituto Nacional de Ciberseguridad (INCIBE).

Para mantener la calma, el primer paso es reconocer esta táctica. Cuando sientas esa punzada de urgencia, haz una pausa consciente de tres segundos. Este breve lapso es suficiente para cortocircuitar la respuesta de pánico. Luego, aplica un protocolo simple: nunca uses el enlace del mensaje. Abre tu navegador y teclea manualmente la dirección oficial de la empresa (ej: `correos.es`). Utiliza el localizador de envíos oficial con el número de seguimiento que te proporcionó el vendedor. Esta simple acción traslada el control de la situación del estafador a ti.

Cómo leer la dirección web real escondida detrás de un enlace acortado en el móvil?

Los estafadores se esconden detrás de un velo digital para ocultar su verdadera identidad, y el arma más común para ello son los enlaces acortados (como bit.ly) o los dominios engañosos. Un SMS puede mostrar un texto que parece legítimo, pero el enlace te redirige a un sitio malicioso. En un ordenador, es más fácil pasar el ratón por encima para ver la URL real, pero en el móvil, la acción de «tocar» puede ser un billete directo al fraude. Afortunadamente, los sistemas operativos móviles modernos ofrecen una forma segura de inspeccionar estos enlaces.

La técnica es sencilla: en lugar de un toque corto y rápido (que activaría el enlace), mantén el dedo pulsado sobre el enlace durante uno o dos segundos. Esta acción le indica al sistema que no quieres visitar la página, sino ver más opciones. Aparecerá un menú contextual que, en la parte superior, mostrará una vista previa de la página y, lo más importante, la URL completa a la que realmente apunta. Este es el momento de la verdad. Aquí debes buscar el dominio principal, que es la parte que viene justo antes del «.es», «.com», etc.

Demostración visual de cómo identificar una URL fraudulenta en un smartphone al mantener pulsado un enlace.

Un enlace legítimo de Correos siempre tendrá la estructura `algo.correos.es` y nunca `correos.dominiofalso.com` o `correos-seguimiento.info`. Los estafadores registran dominios que imitan el nombre de la marca, añadiendo palabras como «gestor», «pago», «envío» o usando guiones para crear confusión. La regla de oro es: si el texto a la izquierda de «.es» no es exactamente «correos», es una estafa.

Plan de acción: Verificación de enlaces en 5 pasos

  1. Mantener pulsado: Nunca hagas un clic rápido. Mantén pulsado el enlace para previsualizar la URL completa.
  2. Leer el dominio: Ignora todo lo que venga después de la primera barra (/). Concéntrate en el nombre justo antes de «.es» o «.com».
  3. Validar la marca: El dominio principal debe ser EXACTAMENTE el nombre de la marca oficial (ej: `correos.es`, `bbva.es`).
  4. Desconfiar de subdominios falsos: Un enlace como `correos.gestorpago.online` no es de Correos. El dominio real es `gestorpago.online`.
  5. Identificar caracteres extraños: Guiones innecesarios (`correos-express.xyz`) o letras que parecen números (c0rreos) son señales de fraude.

El truco del «Spoofing» que hace que el SMS falso aparezca en el mismo hilo que los del banco real

Una de las técnicas más desconcertantes y peligrosas es el SMS spoofing. Consiste en falsificar el remitente de un mensaje de texto para que parezca provenir de una fuente legítima, como tu banco, una empresa de paquetería o incluso un contacto de tu agenda. El resultado es que el SMS fraudulento se inserta directamente en el hilo de conversación que ya tenías con la entidad real, eliminando la principal señal de alerta: un número de teléfono desconocido.

Este truco explota un punto ciego de confianza. Al ver el mensaje junto a notificaciones auténticas anteriores, tu cerebro asume que este nuevo SMS también es legítimo. ESET España documentó una campaña masiva de este tipo que suplantaba a Correos, aprovechando la infraestructura de un troyano bancario y coincidiendo con los retrasos de paquetería del temporal Filomena, lo que multiplicó su efectividad. Los delincuentes no necesitan hackear tu teléfono ni a la empresa; utilizan servicios online que permiten enviar SMS masivos especificando cualquier nombre o número como remitente. Es una vulnerabilidad del propio protocolo de mensajería SMS, que no fue diseñado con la seguridad en mente.

Dada esta realidad técnica, la única defensa fiable es ignorar por completo el remitente como factor de confianza. No importa si el SMS aparece en el hilo de tu banco; la regla de oro sigue siendo la misma. Como recuerda constantemente el INCIBE:

Ninguna entidad oficial española (ni Correos, ni bancos, ni la Agencia Tributaria) pedirá jamás datos personales, contraseñas o pagos a través de un enlace en un SMS.

– INCIBE, Alerta oficial sobre SMS Spoofing

Para aprender a distinguir el contenido, incluso cuando el remitente parece real, este cuadro comparativo basado en las guías oficiales de Correos es la mejor herramienta. La clave está en el contenido del mensaje, no en su procedencia aparente.

Diferencias clave entre un SMS legítimo y uno fraudulento de Correos
Característica SMS Legítimo de Correos SMS Fraudulento
Solicitud de pago Nunca solicita pagos por SMS Pide pagos urgentes de 0,27€ a 1,79€
Enlaces No incluye enlaces directos para pagos Enlaces acortados o dominios sospechosos
Tono del mensaje Informativo y profesional Urgente, amenazante o con errores
Datos solicitados Nunca pide datos personales o bancarios Solicita datos de tarjeta y personales

Dónde reenviar los correos de phishing para ayudar a cerrar las webs fraudulentas?

Cuando identificas un intento de estafa, ya sea por SMS (smishing) o por correo electrónico (phishing), tu primera reacción debe ser borrarlo. Sin embargo, antes de hacerlo, puedes dar un paso más que ayuda activamente a proteger a otros usuarios: reportarlo. Denunciar estos fraudes no es un gesto inútil; proporciona a las Fuerzas y Cuerpos de Seguridad del Estado y a los organismos de ciberseguridad la información necesaria para rastrear, identificar y desmantelar estas redes delictivas. De hecho, la colaboración ciudadana es clave en operaciones que han llegado a desarticular bandas que estafaron cientos de miles de euros.

Si ya has caído en la trampa y has proporcionado tus datos bancarios, los pasos son urgentes: contacta inmediatamente con tu banco para cancelar la tarjeta y bloquear las operaciones, cambia todas las contraseñas que hayas podido comprometer y presenta una denuncia formal. Pero si solo has recibido el mensaje, puedes contribuir reenviándolo a los canales adecuados. En España, el ecosistema para reportar ciberdelitos está bien definido y es accesible para cualquier ciudadano.

El principal organismo centralizador es el Instituto Nacional de Ciberseguridad (INCIBE). Reenviar el correo o una captura de pantalla del SMS a su equipo de respuesta a incidentes es la forma más directa de contribuir. Además, tanto la Policía Nacional como la Guardia Civil tienen portales específicos para delitos telemáticos. Aquí tienes la lista de canales oficiales a los que debes dirigirte:

  • INCIBE-CERT: Reenvía el correo o las capturas a la dirección incidencias@incibe-cert.es. Es el canal técnico principal.
  • Línea de Ayuda en Ciberseguridad: Llama al 017. Es un teléfono gratuito y confidencial del INCIBE donde te pueden guiar.
  • Policía Nacional: Utiliza el formulario de colaboración ciudadana en su web, en la sección de delitos telemáticos.
  • Guardia Civil: Reporta a través del portal del Grupo de Delitos Telemáticos (GDT).
  • Empresa suplantada: Informa a la compañía afectada (Correos, tu banco, etc.) a través de sus canales de seguridad oficiales para que puedan alertar a otros clientes.

Llamada del «servicio técnico» de Microsoft : cómo saber que es una estafa de voz?

El fraude no solo llega por mensaje de texto; el vishing (voice phishing) es una modalidad en auge donde los estafadores te llaman por teléfono. Una de las estafas más persistentes es la del falso soporte técnico de Microsoft. Recibes una llamada, a menudo con un número de teléfono español (prefijo 91, 93, etc.), y una persona, frecuentemente con acento extranjero, se identifica como técnico de Microsoft. Te informan de que han detectado un virus o un problema grave en tu ordenador y que necesitan acceso remoto para solucionarlo.

La mecánica del engaño se basa en el alarmismo y el abuso de la autoridad de una marca reconocida. Para «demostrar» el problema, te piden que abras herramientas del sistema como el «Visor de eventos» de Windows y te muestran los registros de errores normales, haciéndote creer que son prueba de una infección. El objetivo final es que instales un software de acceso remoto como TeamViewer, AnyDesk o Supremo. Una vez que les das el control, pueden robar tus archivos, instalar malware o ransomware, o acceder a tus cuentas bancarias. Con 97.348 incidentes de ciberseguridad gestionados por el INCIBE en el último ejercicio, este tipo de ataques representa una porción significativa del riesgo.

Persona con expresión de duda y cautela recibiendo una llamada sospechosa de un falso soporte técnico.

La regla para desmontar esta estafa es absoluta e inquebrantable: Microsoft NUNCA te llamará proactivamente para informarte de un problema en tu equipo. La compañía no monitoriza los ordenadores de particulares de esta forma. Cualquier llamada no solicitada que afirme ser de su soporte técnico es, sin lugar a dudas, un fraude. La única acción correcta es colgar inmediatamente. No intentes discutir, razonar o seguirles el juego. Simplemente, cuelga. Si realmente tienes dudas sobre la salud de tu ordenador, contacta tú mismo con el soporte oficial a través de su página web.

El error de confianza que permite a los estafadores vaciar tu cuenta por Bizum

Bizum ha revolucionado los pagos entre particulares en España por su inmediatez y sencillez. Sin embargo, esa misma facilidad es explotada por los estafadores a través de una ingeniosa táctica de ingeniería social: el Bizum inverso. Esta estafa es especialmente común en plataformas de compraventa como Wallapop, Vinted o Milanuncios y se aprovecha de un desconocimiento fundamental sobre cómo funciona la aplicación.

El escenario es el siguiente: pones un artículo a la venta. Un «comprador» contacta contigo, se muestra muy interesado y te dice que te va a pagar por Bizum. A continuación, en lugar de enviarte dinero, te envía una «solicitud de pago» por el mismo importe. Si no estás familiarizado con la interfaz, puedes pensar que debes aceptar esa solicitud para recibir el dinero. Al hacerlo, en realidad estás autorizando un pago desde tu cuenta a la del estafador. Este es un caso clásico de explotación del «punto ciego de confianza»: estás en un contexto de venta, esperando recibir dinero, y tu cerebro está predispuesto a aceptar notificaciones relacionadas con esa transacción.

El INCIBE ha alertado repetidamente sobre esta estrategia, que se basa en que la víctima actúe rápido y sin leer detenidamente. La regla para no caer es simple y categórica: para recibir dinero por Bizum, NO necesitas hacer NADA más que dar tu número de teléfono. El dinero llega a tu cuenta de forma automática sin que tengas que confirmar, aceptar o autorizar absolutamente nada. Cualquier notificación que te pida introducir tu clave o pulsar un botón de «Aceptar» para recibir un pago es, 100% seguro, una estafa.

La diferencia visual en la mayoría de aplicaciones bancarias es clara, pero en un momento de prisa, puede pasar desapercibida. Entender esta distinción es tu mejor escudo.

Diferencia crucial entre recibir y enviar dinero en Bizum
Acción Lo que ves en la app Acción requerida por ti Resultado final
Recibir dinero Notificación informativa de ingreso Ninguna (es automático) Tienes más dinero en tu cuenta
Solicitud de pago (ESTAFA) Pantalla de confirmación con «Pagar» o «Rechazar» Debes introducir tu clave para autorizar TÚ envías dinero de tu cuenta

Cómo saber si una tienda online es falsa fijándote solo en su Aviso Legal?

Las ofertas increíbles en tiendas online desconocidas son un cebo clásico. El diseño puede ser profesional y las fotos de los productos convincentes, pero a menudo, la legitimidad de una web se desmorona al realizar una simple autopsia legal de su pie de página. En España, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) obliga a todas las webs que realizan una actividad económica a mostrar de forma clara y accesible una serie de datos identificativos en su «Aviso Legal» o «Términos y Condiciones».

Los estafadores suelen ser perezosos en este aspecto. Pueden clonar una web entera, pero rellenar correctamente estos datos legales es más complicado. La ausencia o falsedad de esta información es una de las señales de alerta más fiables. No basta con que exista la página de «Aviso Legal»; su contenido debe ser completo y verificable. Un análisis de INCIBE sobre webs fraudulentas que suplantaban a empresas de paquetería reveló que, aunque el diseño era perfecto, la ausencia de CIF y domicilio fiscal era el delator definitivo.

La próxima vez que dudes de una tienda online, conviértete en detective y busca estos cinco elementos obligatorios en su Aviso Legal. La falta de uno solo de ellos es motivo suficiente para abortar la compra:

  • Razón Social completa y NIF/CIF: No es suficiente un nombre comercial («Tienda de Zapatillas Chulas»). Debe figurar el nombre legal de la empresa o autónomo y su número de identificación fiscal. Puedes verificar la validez de un CIF en herramientas online como el validador VIES de la Comisión Europea.
  • Domicilio fiscal físico: Debe especificarse una dirección física completa en España, no un apartado de correos. Una búsqueda rápida en Google Maps puede revelar si esa dirección corresponde a una oficina real o a un solar vacío.
  • Datos de contacto: Debe proporcionarse una dirección de correo electrónico y, a menudo, un teléfono de contacto. Desconfía si el único medio de contacto es un formulario web.
  • Datos de inscripción registral: Si es una sociedad, deben figurar los datos de su inscripción en el Registro Mercantil.

Puntos clave a recordar

  • La urgencia es una trampa psicológica. Cualquier mensaje que te presione a actuar rápido es sospechoso por defecto.
  • Verifica siempre antes de actuar: mantén pulsado el enlace para ver la URL real y nunca uses los links de un SMS para gestionar nada importante.
  • Ninguna entidad legítima (banco, Correos, Hacienda) te pedirá jamás datos personales, contraseñas o pagos a través de un enlace en un SMS.

Es seguro usar la app de tu banco en el WiFi de una cafetería o hotel?

Existe un miedo extendido a realizar operaciones bancarias en redes WiFi públicas, como las de aeropuertos, hoteles o cafeterías. La preocupación es lógica: ¿podría alguien en la misma red «espiar» mi conexión y robar mis credenciales? La respuesta, en lo que respecta a las aplicaciones bancarias modernas, es tranquilizadora: sí, es seguro usarlas, siempre y cuando sea la app oficial.

Las aplicaciones de los bancos españoles (como BBVA, CaixaBank, Sabadell, ING, etc.) no transmiten tus datos en texto plano. Utilizan múltiples capas de seguridad robustas. La conexión entre tu móvil y los servidores del banco está protegida por un fuerte cifrado de extremo a extremo (TLS/SSL). Además, la mayoría implementa una técnica llamada certificate pinning. Esto significa que la app solo confía en el certificado digital específico del servidor del banco, haciendo virtualmente imposible que un atacante intercepte la comunicación con un certificado falso (un ataque conocido como «Man-in-the-Middle»), incluso si controla la red WiFi.

El verdadero riesgo en las redes WiFi públicas no está en la app del banco, sino en el navegador web y, sobre todo, en los portales cautivos falsos. Un portal cautivo es esa página que aparece automáticamente para que aceptes los términos o inicies sesión en la red. Los ciberdelincuentes pueden crear puntos de acceso WiFi falsos con el mismo nombre que el de la cafetería («Cafeteria_Gratis») y presentar un portal cautivo falso que imita al real para robar las credenciales que introduzcas. Por ello, la regla es nunca introducir contraseñas importantes en estos portales y, si es posible, usar los datos móviles (4G/5G) para la conexión inicial.

Entender dónde reside el verdadero riesgo de una red WiFi pública te permite operar con seguridad, centrando tu atención en las amenazas reales y no en las imaginarias.

La ciberseguridad no es un destino, sino un proceso de aprendizaje y adaptación constante. Las tácticas de los estafadores evolucionan, pero sus principios fundamentales —explotar la urgencia, la confianza y el desconocimiento— permanecen. Al interiorizar los protocolos de verificación y comprender la psicología detrás de cada engaño, dejas de ser un objetivo fácil y te conviertes en un usuario consciente y preparado. Para protegerte de forma duradera, el siguiente paso es interiorizar este protocolo de desconfianza activa hasta que se convierta en un reflejo automático ante cualquier comunicación no solicitada.

Escrito por Lucía Bermúdez, Consultora de Ciberseguridad (CISSP) y Arquitecta de Redes con 12 años protegiendo infraestructuras críticas. Especialista en seguridad bancaria, privacidad digital y configuración de redes domésticas.
Cara o huella: ¿Qué es más difícil de hackear si te roban el móvil? La respuesta forense
¿Es posible que te roben dinero de la tarjeta pasando un datáfono cerca de tu bolsillo en el metro?
Recién publicado
Cómo configurar Alexa y Google Home para una persona mayor: una guía de ayuda y autonomía
¿Es seguro poner un altavoz inteligente en el dormitorio de tus hijos o en tu despacho?
TV vs. TV Box: ¿Qué opción te protege de la obsolescencia y garantiza tus apps favoritas por más años?
Piel oscura o tatuajes: por qué tu reloj inteligente no mide bien tu pulso y qué alternativas tienes
Fiabilidad médica vs. gadget: ¿puede confiar en el electrocardiograma de su reloj para detectar una arritmia?
Publicaciones similares
¿Es posible que un hacker acceda a tu red doméstica a través de tu nevera o bombilla inteligente?
¿Sospechas que te espían? Cómo saber si tu pareja o jefe ha instalado una app espía en tu móvil
Tu móvil hace cosas raras: ¿es un virus real o solo una app mal optimizada con publicidad?
Filtración masiva de datos: qué hacer paso a paso si tu correo ha sido expuesto