El timo del paquete retenido: cómo funcionan los SMS de Correos falsos

Son las tres de la tarde de un martes. Esperas un pedido de Amazon que salió de almacén hace dos días. Te llega un SMS: tu paquete está retenido en aduana y tienes 24 horas para pagar 1,95 € de gastos de gestión. El enlace parece oficial. El remitente dice «Correos». Llevas tres segundos mirando la pantalla y ya estás a punto de pulsar. Así empieza el SMS de Correos falso. Así funciona el timo del paquete retenido.

La anatomía del timo: qué ocurre por dentro

El esquema es simple y por eso funciona. Los estafadores compran o filtran bases de datos de números de teléfono, a veces vinculadas a hábitos de compra online. Envían el mismo SMS a decenas de miles de personas de forma simultánea. No saben si tienes un paquete en camino. Apuestan a que, estadísticamente, muchas personas sí lo tienen. Y aciertan con frecuencia suficiente como para que el negocio sea rentable.

El mensaje lleva un enlace que apunta a una página construida para imitar la web oficial de Correos. Logotipo, colores, formulario. La diferencia está en el dominio: en lugar de correos.es, la dirección es algo como correos-entregas.net/verificar o paquete-correos.com/pago. El objetivo no es cobrarte 1,95 €. Ese importe es el cebo. El objetivo real es capturar tu número de tarjeta, la fecha de caducidad y el CVV. Con esos tres datos pueden hacer compras online mientras tú sigues esperando tu pedido.

Algunas versiones más sofisticadas añaden un segundo paso: solicitan que instales una aplicación o que introduzcas el código que llega por SMS a tu teléfono. Eso les da acceso directo a la verificación en dos pasos de tu banco. A partir de ahí, el daño escala rápido.

Las señales que delatan el SMS de Correos falso

1. El dominio no es correos.es

Correos opera desde correos.es y sus subdominios directos. Cualquier variación —correos-aviso.com, entrega-correos.net, correos.seguimiento-paquete.es— es una señal de alarma inequívoca. Antes de pulsar cualquier enlace, lee el dominio completo. El nombre de la marca puede aparecer en cualquier parte de la URL; lo que importa es la parte que va justo antes del primer punto seguido de la extensión (.es, .com, .net).

2. Te piden dinero para liberar un paquete por SMS

Correos no solicita pagos pendientes mediante SMS con enlace directo. Si hay gastos de aduana reales, el proceso pasa por la oficina o por el área privada de la web oficial, con tu número de envío y tu identificación. Un SMS que pide introducir datos de tarjeta es, por definición, sospechoso.

3. Urgencia artificial con cuenta atrás

«Tienes 24 horas», «el paquete será devuelto al remitente», «plazo máximo hoy». La presión temporal es una técnica clásica para que no pares a pensar. Una empresa de mensajería no gestiona incidencias de aduana con cuentas atrás de un día en un SMS.

4. El remitente del SMS no es verificable

Muchos de estos mensajes aparecen en el mismo hilo que SMS legítimos de Correos porque los estafadores pueden falsificar el nombre del remitente (técnica conocida como spoofing de SMS). Ver «Correos» como remitente no garantiza nada. Lo que importa es el contenido y la URL.

5. Errores ortográficos o redacción extraña

No siempre aparecen, pero cuando los hay son concluyentes. Frases como «su paquete ha sido retenido en la aduana por impago de tasas de envio» (sin tilde en «envío»), mayúsculas aleatorias o construcciones que suenan a traducción automática son indicadores claros de que el mensaje no lo redactó nadie de Correos.

6. No tienes ningún pedido pendiente... y aun así llega el SMS

Si recibes el aviso y no esperas ningún paquete, la trampa es evidente. Pero también aplica al revés: que esperes un pedido no convierte el SMS en legítimo. Son dos hechos independientes. Verifica siempre desde la fuente oficial, no desde el enlace del mensaje.

Qué hacer ahora mismo si recibes uno

Primero: no pulses el enlace. Si ya lo has hecho pero no has introducido datos, cierra la pestaña, borra el historial del navegador y no vuelvas a esa dirección.

Si has introducido datos de tarjeta, actúa en este orden:

1. Llama a tu banco ahora. Pide el bloqueo preventivo de la tarjeta afectada. No esperes a ver si hay cargos.
2. Cambia la contraseña de tu banca online si usaste el mismo dispositivo.
3. Revisa los movimientos de los últimos días y activa alertas de gasto por SMS o correo electrónico.
4. Denuncia el caso ante la Policía Nacional o la Guardia Civil. Puedes hacerlo online en sus respectivas webs. Conserva el SMS como evidencia: captura de pantalla con la URL visible.
5. Reporta el SMS y la URL al INCIBE a través de su línea de ayuda en ciberseguridad (017) o al formulario de la Oficina de Seguridad del Internauta (OSI). Eso ayuda a retirar la página más rápido.

Si has instalado alguna aplicación siguiendo las instrucciones del mensaje, el paso siguiente es más delicado. Desinstálala, pero antes habla con tu banco porque es posible que esa app tenga permisos para interceptar SMS de verificación.

El mensaje real que circuló (reconstrucción ficticia pero representativa)

CORREOS: Su paquete N.ES-482910 no ha podido ser entregado por falta de pago de gastos de aduana (1,95€). Dispone de 24h para regularizar su situación o el paquete será devuelto al origen. Acceda aquí: correos-gestion-paquetes.net/pago

Fíjate en los detalles: número de seguimiento que parece real, importe pequeño para no levantar sospechas, plazo de 24 horas, y un dominio que incluye la palabra «correos» pero no es correos.es. Es el patrón de siempre, reempaquetado con pequeñas variaciones en cada oleada.

Decálogo contra el timo del paquete retenido

1. Lee el dominio completo antes de pulsar. Lo que importa es la parte justo antes de la extensión (.es, .com). Si no es correos.es, no es Correos.
2. Verifica desde la fuente, nunca desde el enlace del SMS. Abre el navegador, escribe correos.es a mano y busca tu número de seguimiento allí.
3. Desconfía de cualquier SMS que pida datos de tarjeta. Las empresas de mensajería no cobran deudas pendientes mediante un enlace en un SMS.
4. La urgencia es una trampa. Si el mensaje te presiona con un plazo de horas, eso es señal de que no quieren que pienses. Para y verifica.
5. El nombre del remitente no garantiza nada. Se puede falsificar. Evalúa el contenido y la URL, no quién firma el mensaje.
6. Si pulsaste el enlace pero no diste datos, no estás comprometido. Cierra, borra historial y sigue adelante.
7. Si diste datos de tarjeta, llama a tu banco antes de hacer nada más. El bloqueo preventivo es inmediato y gratuito.
8. Denuncia siempre. Aunque no hayas caído. La denuncia ayuda a rastrear las páginas y a retirarlas antes de que engañen a más gente.
9. Reporta a la OSI o al INCIBE. El teléfono 017 es gratuito y atiende exactamente este tipo de casos.
10. Habla de esto con quien lo necesite saber. Las personas que menos lo esperan son las que más se exponen. Pasar el artículo cuesta nada.