Estafas de paquetería: el SMS falso de Correos, SEUR y aduanas

Si te llega un SMS diciendo que tu paquete está retenido y debes pagar una pequeña tasa por un enlace, es smishing. Correos, SEUR y las empresas de transporte nunca cobran aranceles ni "gastos de gestión" mediante un enlace por SMS. Esos pocos euros son solo el cebo: lo que buscan son tus datos de tarjeta.

Casi todos hemos esperado un paquete alguna vez. Esa es exactamente la baza que juegan los estafadores. Cuando esperas una entrega, un mensaje sobre "tu envío" deja de parecer raro y empieza a parecer urgente. Aquí no hablamos del smishing genérico, sino de un patrón muy concreto: el falso aviso de entrega o de tasa de aduana. Vamos a desmontarlo pieza por pieza.

¿Cómo es exactamente el SMS falso de paquetería?

El mensaje casi siempre sigue el mismo guion. No hace falta que sea perfecto; le basta con sonar verosímil durante los diez segundos que tardas en pulsar el enlace.

Estos son los tres formatos que más se repiten:

1. Paquete retenido por una tasa pendiente. "Su paquete está retenido en nuestro almacén. Abone 1,99 € para liberarlo." La cantidad es pequeña a propósito: nadie discute por dos euros.
2. Reprogramar la entrega. "No hemos podido entregar su envío. Confirme la dirección y la franja horaria aquí." Te lleva a un formulario que pide datos personales y de pago.
3. Tasa de aduana de un paquete internacional. "Su paquete procedente del extranjero requiere el pago de aranceles aduaneros." Aprovecha que muchos compramos en tiendas asiáticas y no sabemos bien cómo funcionan las aduanas.

Todos comparten la misma estructura: una excusa creíble, una cantidad pequeña y un enlace. El enlace es el corazón de la trampa. Te lleva a una web clonada que imita a Correos, SEUR, DHL o la Agencia Tributaria, con su logo y sus colores. Allí introduces los datos de la tarjeta "para pagar la tasa" y, sin saberlo, se los entregas directamente al estafador.

Lo grave no es la tasa. Es lo que viene después. Con tus datos de tarjeta intentarán cargos mucho mayores, o te llamarán días después haciéndose pasar por tu banco para "anular un cargo sospechoso" (eso es vishing, lo explicamos en cómo verificar si una llamada o SMS de tu banco es real). El SMS de paquetería es muchas veces solo la puerta de entrada a un fraude más grande.

¿Por qué el enlace es siempre la pista que delata el fraude?

Los estafadores pueden copiar un logo en segundos. Lo que no pueden copiar es el dominio oficial. Ahí está tu mejor herramienta de detección.

Una empresa real usa su propio dominio. Correos usa correos.es. SEUR usa seur.com. La Agencia Tributaria usa agenciatributaria.gob.es. Un dominio oficial termina siempre en esa raíz, justo antes de la primera barra.

Los dominios falsos juegan a parecerse. Estos son los trucos más comunes que usan:

La regla práctica: lee el dominio de derecha a izquierda. Lo que importa es la parte que va justo antes de la primera /. Si ahí no aparece el dominio oficial exacto de la empresa, es falso. Da igual cuántas veces aparezca el nombre "Correos" en el resto de la dirección.

Y un detalle más: el candado de "https" no significa nada. Cualquiera puede poner un candado en su web falsa. El candado solo dice que la conexión está cifrada, no que la web sea legítima.

¿Cómo verifico si un paquete real está esperándome?

Esta es la parte que de verdad te protege. En vez de fiarte del SMS, comprueba el envío por tu cuenta. Nunca uses el enlace del mensaje.

Sigue estos pasos:

1. No pulses el enlace. Ni para "ver qué es". La web puede intentar instalarte algo o registrar tu visita.
2. Recupera el número de seguimiento desde tu compra. Búscalo en el correo de confirmación de la tienda donde compraste, o dentro de tu cuenta de esa tienda. Ese número es la única referencia fiable.
3. Entra tú mismo a la web oficial. Escribe la dirección a mano: correos.es, seur.com, la web de la empresa que corresponda. No la busques pulsando el SMS.
4. Pega el número de seguimiento en su rastreador oficial. Si tienes un envío de verdad, aparecerá ahí, con su estado actualizado.
5. Si no esperas ningún paquete, ignóralo. No hay envío, no hay tasa, no hay nada que pagar. Borra el mensaje.

La regla de oro de las aduanas: cuando un paquete internacional tiene que pagar aranceles de verdad, el cobro se gestiona por canales oficiales, no por un SMS con un enlace de pago instantáneo. Correos lo notifica a través de sus canales oficiales y permite gestionarlo en su web o en oficina, no pidiéndote la tarjeta en una página externa que te ha llegado por mensaje. Si tienes dudas con un envío internacional, gestiónalo siempre desde correos.es o desde la oficina física.

Esta lógica de "verifica por tu cuenta, nunca por el enlace que te mandan" sirve para más cosas. Es la misma que aplicamos ante una supuesta notificación de Hacienda o la Seguridad Social: los organismos oficiales tienen sus propias sedes electrónicas y no te piden pagos por SMS.

¿Qué señales delatan el SMS aunque tengas prisa?

A veces el mensaje llega justo cuando esperas un paquete y bajas la guardia. Memoriza estas señales y serán tu alarma automática:

• Urgencia artificial. "Última oportunidad", "su paquete será devuelto hoy", "caduca en 24 horas". La prisa es la herramienta favorita del estafador: quiere que actúes antes de pensar.
• Una tasa pequeña por adelantado. 1,99 €, 2,50 €, "gastos de gestión". Las empresas de paquetería no te cobran tasas sueltas por SMS con enlace.
• Te piden datos de tarjeta en una web externa. Confirmar la entrega de un paquete nunca requiere el número completo de tu tarjeta.
• El remitente es un número de móvil cualquiera. Muchos llegan desde un +34 corriente, o incluso desde un número internacional. Los avisos legítimos de paquetería no suelen pedirte pagos así.
• Faltas, traducciones raras o saludos genéricos. "Estimado cliente" sin tu nombre, frases mal construidas. No siempre las hay, pero cuando aparecen, confirman el fraude.
• El enlace no lleva al dominio oficial. Ya lo viste arriba: esta es la pista definitiva.

Ninguna señal por sí sola es una prueba absoluta, pero en cuanto veas dos o tres juntas, trátalo como fraude sin dudar.

Conviene saber también que el número desde el que llega el SMS puede estar falsificado. Igual que ocurre con las llamadas, el identificador de un mensaje se puede manipular para que parezca que viene de un remitente conocido. Por eso no basta con mirar quién lo envía: lo que cuenta es el contenido y el enlace, no el nombre que aparece arriba.

¿Y si ya he pulsado el enlace o he metido mis datos?

Que no cunda el pánico, pero actúa rápido. El tiempo importa.

1. Llama a tu banco ya. Usa el número que está detrás de tu tarjeta o en la app oficial, nunca uno que te hayan dado por teléfono. Bloquea la tarjeta y explica que has sufrido un fraude.
2. Vigila tus movimientos. Revisa cargos los días siguientes. Los estafadores a veces esperan antes de actuar.
3. Desconfía de la "llamada de tu banco" que vendrá después. Es muy habitual que, tras caer en el SMS, recibas una llamada de alguien que dice ser tu banco para "ayudarte a recuperar el dinero". Es la segunda fase del fraude. Cuelga y llama tú al banco.
4. Cambia contraseñas si las introdujiste en la web falsa, sobre todo si reutilizas la misma en varios sitios.
5. Reporta el caso al INCIBE en el 017 (también por WhatsApp en el 900 116 117), su línea gratuita de ayuda en ciberseguridad. Te orientan sobre los siguientes pasos.

Tenemos una guía completa con el plan de acción paso a paso por si ya has dado tus datos; revisa nuestras guías para el procedimiento detallado.

¿Por qué la paquetería es el cebo perfecto?

Hay una razón sencilla detrás de la insistencia con este tipo de fraude: funciona porque encaja con la vida normal de la gente. Compramos por internet constantemente. Esperamos paquetes a menudo. Y cuando esperas algo, un mensaje sobre "tu envío" baja tus defensas.

Por nuestros datos en NoCall, la suplantación de marcas conocidas y empresas de logística es uno de los patrones que más aparecen en las campañas de SMS fraudulentos que rastreamos. No es casualidad: el estafador no necesita conocerte. Le basta con enviar el mismo mensaje a miles de números a la vez. Una parte de los destinatarios estará esperando un paquete justo en ese momento, y ahí es donde pica el anzuelo.

Por eso la defensa no es solo individual, también es colectiva. Cuando alguien reporta un número o un dominio fraudulento, ayuda a que los demás lo reconozcan antes. Puedes consultar y reportar números en nuestro directorio de números spam, revisar qué prefijos móviles son los más reportados en España y ver el panorama general en nuestra sección de tendencias.

En resumen: la regla que nunca falla

Si tuvieras que quedarte con una sola idea, que sea esta: ninguna empresa de paquetería seria te cobra una tasa por un enlace que te llega por SMS. Punto.

Cuando recibas uno de estos mensajes:

• No pulses el enlace.
• Comprueba el envío tú mismo, escribiendo a mano la web oficial y usando tu número de seguimiento.
• Si no esperas nada, bórralo.
• Si caíste, llama a tu banco de inmediato y reporta al 017.

El smishing de paquetería seguirá llegando porque es barato de enviar y, de vez en cuando, alguien pica. Tu mejor defensa es conocer el patrón. Una vez que lo identificas, deja de funcionar contigo.

Si has recibido un SMS o una llamada sospechosa relacionada con un envío, repórtalo en nuestro directorio de números spam. Cada reporte ayuda a la comunidad a reconocer el fraude antes de caer. Y si quieres entender mejor cómo se manipula la identidad de quien te escribe o te llama, echa un vistazo a cómo leer las señales de riesgo de un número.