(Fecha Publicación: 18 de diciembre de 2025)
Si normalmente el fraude electrónico llegaba a través del email, ahora las campañas de fraude por SMS —conocidas como smishing— se han disparado vertiginosamente, especialmente las que suplantan a empresas de paquetería. El motivo es simple: casi todo el mundo espera algún envío, y un mensaje corto genera menos desconfianza que un email largo y es más fácil «picar» con las prisas de hoy en día.
El SMS de paquetería: la estafa más común ahora mismo
Los mensajes suelen ser muy parecidos entre sí y juegan con la urgencia. Algunos ejemplos reales o muy habituales:
“Amazon: Su paquete está pendiente de entrega. Confirme sus datos aquí.”
“(Empresa local de paquetería): intento de entrega fallido. Acceda al enlace para reprogramar.”
“Correos: falta información para entregar su envío.”
El SMS incluye un enlace que no lleva a la web real, sino a una página falsa que simula a la empresa real. Ahí piden datos personales, número de tarjeta o incluso un pequeño pago “de gestión” de 1 o 2 euros. Ese pago es la excusa: lo que buscan es tu tarjeta.
Señales claras de que es un SMS fraudulento
No hace falta ser experto, aunque cada vez son más sofisticados y hay que prestar atención patrones que suelen se repiten casi siempre.
• El remitente es un número móvil estándar (no un 900 o 901) o con un nombre genérico (por ejemplo SEUR Express). También suelen remitirse desde el extranjero.
• El enlace no coincide con el dominio real (por ejemplo, algo como http://dhl-entrega.info).
• El mensaje no incluye tu nombre ni datos concretos del envío.
• Se transmite urgencia: “último aviso”, “en 24 horas”, “se devolverá el paquete”.
Si ves uno solo de estos indicios, desconfía. Si ves varios, es fraude casi seguro.
¿Y los correos electrónicos? Siguen ahí, pero han evolucionado
El phishing por email no ha desaparecido, pero ahora suele ser más elaborado. Suplantan bancos, compañías eléctricas, plataformas de streaming o administraciones públicas. El objetivo es el mismo: que pulses un enlace y entregues tus credenciales.
Un detalle importante: muchos correos ya no tienen faltas de ortografía. Son más creíbles que antes. También pueden incluir datos personales obtenidos en internet (por ejemplo, tu nombre y apellido, nombre de empresa, domicilio, etc.)
Por eso el criterio para sospechar debe ser…
• ¿Esperaba este mensaje?
• ¿Me están pidiendo algo que una empresa seria no pediría por email?
Regla básica que nunca falla
Las empresas de paquetería, los bancos y las administraciones no te piden datos sensibles por SMS ni por correo. NUNCA.
Si hay un problema real con un envío o una cuenta, puedes comprobarlo entrando tú mismo en la web oficial o app oficial, sin usar enlaces del mensaje.
Qué hacer cuando recibes un SMS o correo sospechoso
No pulses el enlace.
No respondas al mensaje.
No llames al número que aparece.
Haz esto en su lugar:
• Abre el navegador y entra manualmente en la web oficial de la empresa.
• Consulta tu cuenta o número de seguimiento desde ahí.
Si no hay aviso, el mensaje era falso.
Para asegurarte de que estás en la web real:
• Revisa que la URL comience con “https://” y que aparezca el candado de seguridad.
• Comprueba que el dominio es correcto (por ejemplo, dhl.com, correos.es) y no contiene letras o palabras adicionales que imiten al original (como “dhl-entrega.info” o “correos-seguro.com”).
Si tus dudas persisten, contacta directamente con la empresa por mediante los canales de comunicación habituales de la empresa (teléfono o correo electrónico; algunas incluyen contacto vía WhatsApp)
En caso de duda, es mejor perder unos minutos realizando las comprobaciones necesarias que perder dinero o consigan tus datos personales para estafarte directamente a ti o en tu nombre.
El error que lo empeora todo: reutilizar contraseñas
Muchos fraudes no terminan en una sola cuenta. Si introduces tu contraseña en una web falsa y usas esa misma clave en varios servicios, el daño se multiplica. Con una sola contraseña robada pueden acceder a correo, redes sociales, tiendas online o incluso banca digital.
Por eso es clave usar contraseñas únicas y robustas o, si no quieres recordarlas todas, un gestor de contraseñas integrado en tu dispositivo.
Es por ello que te recomiendo que leas mi artículo anterior «Crear una contraseña segura… en menos de un minuto«
Qué hacer en caso que ya has pulsado un enlace o introducido datos
Cambia inmediatamente la contraseña del servicio afectado.
Si has puesto datos bancarios, contacta con tu banco cuanto antes.
Bloquea la tarjeta si es necesario.
Guarda el mensaje y repórtalo a las autoridades o al servicio de ciberseguridad correspondiente (en España puedes llamar al 017)
Conclusión
El fraude ya no llega solo por email. Hoy llega por SMS, corto, directo y diseñado para pillarte con prisas. La mejor defensa es parar un momento, leer dos veces, preguntarse a uno mismo si esperaba dicho mensaje y si es lógico que una empresa seria se comunique contigo de esa forma y por ultimo comprobar la veracidad por tu cuenta.
La educación digital no es una opción y aplicada en el día a día, sigue siendo la mejor herramienta contra este tipo de estafas.
Mr. Lynx
Sobre el autor, licencia, derechos de autor y nota.
• Mr. Lynx es un seudónimo bajo el cual Félix Iturbide comparte su conocimiento, análisis y opiniones. Para consultas, colaboraciones o cualquier comentario, puede contactarme en: buzon@felixiturbide.com
• Este contenido se publica bajo la licencia Creative Commons Attributton-Nonconnexotal-NoDersvatives 40 International (CC BY-NOND 4). Esto significa que puedes compartir y redistribuir el contenido siempre que: a) Se reconozca y cite la autoría original, b) No se utilice para fines comerciales y c) No se creen obras derivadas basadas en este contenido.
• Cualquier opinión o punto de vista aqui expresado es personal y pertenece únicamente a mi persona, no representando necesariamente los de las personas, instituciones u organizaciones con las que pueda o no estar asociado profesional o personalmente, salvo que se indique explícitamente. Además, ninguna de las opiniones expresadas tiene la intención de dañar a ninguna religión, grupo étnico, club, organización, empresa o individuo.