Las estafas a través del teléfono móvil vuelven a intensificarse en España con una nueva campaña de smishing que suplanta la identidad de empresas de paquetería en plena temporada de Navidad. El Instituto Nacional de Ciberseguridad (INCIBE) ha detectado un incremento significativo de SMS fraudulentos en los que se alerta falsamente al usuario de un problema en la entrega de un paquete, generalmente por la ausencia del número de la vivienda. El objetivo final no es resolver ninguna incidencia logística, sino obtener datos personales y bancarios para cometer fraude económico.

Este tipo de campañas aprovecha dos factores clave: la expectativa generalizada de recibir envíos, especialmente en un contexto de compras online continuas, y la confianza automática en los mensajes de texto, un canal que muchos usuarios siguen percibiendo como más seguro que el correo electrónico.

Cómo funciona la estafa paso a paso

El fraude comienza con la recepción de un SMS aparentemente legítimo. El mensaje suele ser breve, urgente y plantea un problema sencillo: el paquete no ha podido entregarse porque falta un dato, normalmente el número de la casa o un detalle de la dirección. Para resolverlo, se invita al usuario a pulsar un enlace incluido en el propio mensaje.

Ese enlace dirige a una página web fraudulenta que imita la estética y el lenguaje de una empresa de mensajería real. En una primera pantalla, se solicita seleccionar una franja horaria para una supuesta nueva entrega del paquete. A continuación, el usuario es conducido a un formulario donde se le pide actualizar datos personales, como nombre completo, dirección, teléfono o correo electrónico.

El último paso es el más crítico. Con la excusa de que la entrega fallida genera un coste adicional o requiere una verificación, la web solicita los datos de la tarjeta bancaria. Tras introducirlos, el sistema muestra un mensaje de error, dando a entender que la operación no se ha completado. Sin embargo, en ese momento, los ciberdelincuentes ya han obtenido toda la información necesaria para cometer cargos fraudulentos o vender los datos en mercados ilegales.

Quiénes son las víctimas potenciales

Según INCIBE, los recursos afectados son todas aquellas personas que han recibido el SMS, han pulsado el enlace y han introducido sus datos en los formularios de la web falsa. No es necesario haber completado ningún pago con éxito: el simple hecho de facilitar los datos bancarios ya supone una exposición grave.

El riesgo no se limita únicamente a cargos inmediatos. Las víctimas pueden enfrentarse posteriormente a suplantaciones de identidad, intentos de fraude adicionales, campañas de phishing personalizadas o incluso la apertura de cuentas y contratos fraudulentos utilizando su información.

Smishing: una técnica en auge

El smishing —una variante del phishing que utiliza SMS en lugar de correos electrónicos— se ha consolidado como una de las técnicas favoritas de los ciberdelincuentes. A diferencia del email, los mensajes de texto llegan directamente al móvil, un dispositivo personal que los usuarios consultan constantemente y donde las advertencias de seguridad suelen ser menos visibles.

Además, los atacantes explotan la sensación de urgencia: “último intento de entrega”, “acción requerida” o “paquete retenido”. Este tipo de mensajes reduce la capacidad crítica de la víctima y aumenta la probabilidad de que actúe de forma impulsiva.

Qué hacer si recibes uno de estos SMS

INCIBE es claro en sus recomendaciones. Si recibes un SMS que alerta de un problema con la entrega de un paquete:

  • No pulses en el enlace bajo ninguna circunstancia.

  • Desconfía especialmente si no estás esperando ningún envío o si el mensaje no identifica claramente a la empresa.

  • Si tienes dudas, verifica el estado del pedido directamente en la web oficial de la empresa de paquetería, accediendo manualmente desde el navegador y no desde el enlace recibido.

Si has recibido el mensaje, pero no has interactuado con él, la recomendación es reportarlo al buzón de incidentes de INCIBE, borrar el SMS y bloquear al remitente. Este paso es clave para alertar a otros usuarios y ayudar a frenar la campaña.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre