El timo del paquete retenido: cómo funcionan los SMS de Correos falsos

Son las 11 de la mañana de un martes. Llevas tres días esperando un paquete de ropa que compraste por internet. El móvil vibra. SMS de un número desconocido: «Su paquete ha sido retenido en nuestra oficina por falta de pago de tasas de aduana. Abone 1,79 € para recibir su envío hoy». Hay un enlace. Es corto, parece inofensivo. Y encima llevas días mirando el seguimiento.

Un SMS de Correos falso es un mensaje que suplanta la identidad del servicio postal para engañarte y que visites una página fraudulenta donde te roban los datos de tu tarjeta. El pretexto es siempre el mismo: un pequeño importe pendiente retiene tu paquete. La urgencia hace el resto. Estos mensajes no proceden de Correos, no tienen relación con ningún envío real y el cargo de 1 a 2 euros es solo el anzuelo para capturar los datos de tu tarjeta bancaria.

¿Cómo funciona por dentro el timo del paquete retenido?

El esquema tiene cuatro fases bien definidas. Entenderlas es la mejor defensa.

Fase 1: el cebo. Los estafadores envían SMS masivos a miles de números sin saber si el destinatario espera un paquete o no. Estadísticamente, en una época con tanto comercio electrónico, muchos receptores sí tienen un envío pendiente. Eso convierte un disparo al azar en algo que parece una bala dirigida.

Fase 2: la página trampa. El enlace lleva a un sitio que copia con bastante fidelidad el diseño de Correos: mismo logotipo, mismos colores, mismo tipo de letra. La URL, sin embargo, no es correos.es. Suele ser algo como correos-seguimiento.net/verificar o entrega-correos.es/pago. La página pide nombre, dirección, número de tarjeta, fecha de caducidad y CVV.

Fase 3: el cargo pequeño. El importe es ridículo a propósito. 1,79 €. Nadie llama al banco por menos de dos euros. Pero el formulario ya tiene todos tus datos. Lo que viene después no es un pago de dos euros: es un cargo de 200, de 400, o la venta de tus datos a terceros para otros fraudes.

Fase 4: la confirmación falsa. Tras «pagar», la página muestra una pantalla de confirmación con número de seguimiento inventado. Eso da tiempo a los estafadores antes de que la víctima sospeche.

¿Cuáles son las señales que delatan un SMS de Correos falso?

Hay seis indicios que aparecen casi siempre juntos. Con uno solo ya tienes motivo para detenerte; con dos o más, archiva el mensaje y llama a Correos directamente.

Ejemplo real de mensaje fraudulento (reconstrucción ficticia):

«CORREOS: Su paquete [ES928374650ES] no ha podido ser entregado. Hay una tasa de aduana pendiente de 1,79€. Realice el pago antes de las 24h o el paquete será devuelto al remitente: correos-gestion-envios.net/pago»

1. El remitente es un número largo o extranjero. Correos usa identificadores alfanuméricos oficiales en sus SMS (aparece el texto «Correos» como remitente, no un número de nueve dígitos). Si el SMS viene de un número que empieza por +44, +34 6XX o un string de diez dígitos sin nombre, es una señal.

2. La URL no es correos.es. El dominio oficial de Correos es correos.es y punto. Cualquier variación —correos-seguimiento.net, correos-entrega.com, mi-correos.es— es falsa. Mira la URL completa antes de pulsar nada, preferiblemente copiándola en un bloc de notas.

3. Te piden datos de tarjeta para un importe ridículo. Correos no cobra tasas de aduana mediante un enlace de SMS. Las tasas aduaneras reales se gestionan presencialmente o a través del área privada de correos.es con identificación previa. Un formulario con número de tarjeta por 1,79 € es una trampa.

4. Hay urgencia artificial. «Tienes 24 horas», «el paquete será devuelto hoy», «actúa antes de las 23:59». La prisa es una herramienta de manipulación, no una política logística. Los plazos reales de retención de paquetes en Correos son de semanas, no horas.

5. El número de seguimiento no existe o no coincide. Copia el número que aparece en el SMS y búscalo directamente en correos.es. Si el resultado dice «envío no encontrado» o corresponde a otra persona, el SMS es falso.

6. Hay errores de redacción o formato extraño. No siempre, pero con frecuencia aparecen tildes que faltan, comas mal puestas o frases que suenan a traducción automática. «Su paquete ha sido retenido por falta de pago de tasas» es una construcción que Correos no utiliza en sus comunicaciones.

¿Qué haces ahora mismo si recibes este SMS?

Primero: no pulses el enlace. Ni para «ver a dónde lleva». Los sitios fraudulentos más sofisticados pueden registrar que has visitado la página y usarlo para personalizar un ataque posterior. No hace falta curiosidad aquí.

Segundo: comprueba tu pedido real. Ve directamente a la tienda donde compraste o al área privada de correos.es y revisa el estado del envío desde ahí, sin usar el enlace del SMS.

Tercero: reporta el mensaje. En España, la Oficina de Seguridad del Internauta (OSI) recibe notificaciones de este tipo de fraudes a través de su formulario web. La Policía Nacional también tiene el canal de denuncia en línea en su página oficial. Cuantos más reportes reciban, más rápido se actúa contra los dominios fraudulentos.

Cuarto: si ya pulsaste el enlace pero no introdujiste datos, estás probablemente a salvo. Borra el historial del navegador y no vuelvas al sitio.

Quinto: si introdujiste datos de tarjeta, llama a tu banco ahora. Pide el bloqueo preventivo de la tarjeta y revisa los movimientos de las últimas horas. El cargo pequeño puede haber llegado ya; los grandes, a veces, se hacen esperar un par de días para no activar alertas inmediatas.

Preguntas frecuentes

¿Correos envía SMS con enlaces para cobrar tasas de aduana?

No. Correos no solicita pagos de tasas aduaneras mediante un enlace en un SMS. Si tu envío tiene gastos pendientes, la comunicación llega por carta física o a través del área privada de correos.es con acceso identificado, nunca a través de un formulario enlazado en un mensaje de texto.

¿Es peligroso solo abrir el enlace sin introducir datos?

El riesgo principal está en introducir datos. Visitar la URL sin rellenar nada rara vez tiene consecuencias directas en dispositivos actualizados. Aun así, no compensa comprobarlo: la información que buscas la tienes en correos.es sin necesidad de usar el enlace del SMS.

¿Cómo sé si el SMS viene realmente de Correos?

Los SMS oficiales de Correos muestran «Correos» como nombre de remitente, no un número de teléfono. Además, nunca incluyen un enlace a un dominio distinto de correos.es. Si el remitente es un número o el dominio del enlace tiene guiones o palabras adicionales, el mensaje es falso.

¿Dónde denuncio un SMS de Correos falso en España?

Puedes reportarlo a la OSI (osi.es), a la Policía Nacional a través de su portal de denuncia en línea, o directamente a Correos en su página oficial, donde tienen un apartado específico de avisos de fraude. Guarda una captura de pantalla del mensaje antes de borrarlo.

Decálogo: diez reglas para no caer en el timo del paquete retenido

1. No sigas enlaces de SMS. Busca el seguimiento directamente en correos.es, nunca desde el enlace del mensaje.
2. Comprueba el remitente. Si es un número de teléfono en lugar del nombre «Correos», descarta el mensaje.
3. Lee la URL completa. El único dominio legítimo es correos.es. Cualquier variación es una copia fraudulenta.
4. Desconfía de los importes pequeños. Un cargo de menos de dos euros para liberar un paquete no es una tasa real; es el anzuelo.
5. Ignora la urgencia artificial. Los plazos de horas son presión psicológica, no política logística.
6. Verifica el número de seguimiento. Cópialo y búscalo en correos.es. Si no existe, el SMS es falso.
7. No introduzcas datos de tarjeta en formularios llegados por SMS. Ningún servicio postal legítimo lo hace así.
8. Reporta el mensaje. OSI y Policía Nacional tienen canales de denuncia en línea. Úsalos.
9. Si ya diste tus datos, llama al banco. Bloqueo preventivo de tarjeta, revisión de movimientos, punto final.
10. Avisa a tu entorno. El SMS llega a miles de números a la vez. Si tú lo reconociste, tu madre o tu compañero de trabajo quizá no.