Blog
Phishing·27 de marzo de 2026·9 min de lectura

El SMS de 'paquete pendiente de entrega': anatomía de una estafa que aún funciona.

¿Por qué este viejo truco sigue atrapando a miles de personas cada mes? Desmontamos la operación, desde los servidores de envío hasta los datos bancarios robados.

ME
Mohamed ESSID
Fundador — Trasimène

La infraestructura detrás de la estafa

Estos mensajes no proceden de un adolescente en un garaje con un teléfono de prepago. Detrás de una campaña profesional de phishing por SMS hay una infraestructura industrial.

Los servidores de envío masivo suelen estar alojados fuera de la Unión Europea —Ucrania, Moldavia, algunos países del sudeste asiático—, lo que complica la cooperación judicial. Los números de remitente son números desechables que se renuevan cada hora para eludir las listas negras. Las páginas web fraudulentas se alojan en dominios registrados entre 24 y 48 horas antes de la campaña, a menudo a través de registradores sin escrúpulos.

El coste total de una campaña llave en mano —servidor, números, dominio, página clonada— se estima entre 150 € y 300 €. Con una tasa de clics del 2 % sobre 100 000 mensajes enviados y una tasa de conversión del 10 % (datos bancarios introducidos), el retorno de la inversión es enorme.

La página de phishing

La página falsa suplanta a DHL, La Poste, Colissimo o Chronopost con una precisión inquietante: los logotipos correctos, los colores corporativos correctos, a veces incluso una barra de progreso de la entrega y un número de seguimiento generado al azar pero con un formato convincente.

La solicitud es de 1,99 € en 'gastos de aduana' o 'gastos de reenvío'. La cantidad es deliberadamente baja: no dispara la alarma psicológica que acompaña a una transacción importante.

El objetivo no son esos 2 €. Es tu número de tarjeta de 16 dígitos, su fecha de caducidad y el CVV del reverso. Con estos tres datos, se puede realizar un cargo en cualquier servicio de pago en línea.

Lo que ocurre después

A las pocas horas de introducir los datos, tu tarjeta se 'prueba': microtransacciones de 0,01 € a 0,50 € en plataformas que aceptan pagos sin autenticación reforzada (algunos servicios de suscripción, propinas, donaciones).

Una vez validada la tarjeta como activa, se suceden compras mayores. La técnica preferida: la compra de tarjetas regalo de Steam, Amazon o Google Play, que se convierten en dinero líquido en mercados secundarios en cuestión de minutos y sin dejar un rastro bancario directo.

Recuperar tu dinero mediante un procedimiento de contracargo (chargeback) tarda de media entre 3 y 6 meses. Tu banco reembolsará en la práctica totalidad de los casos, pero solo si has impugnado las transacciones dentro del plazo (13 meses como máximo para los pagos en Francia).

Cómo dejar de caer en la trampa

Cuatro reglas sencillas que eliminan el 95 % del riesgo:

  • No hagas nunca clic en un enlace de un SMS de entrega: ve directamente al sitio web oficial del transportista (laposte.fr, dhl.fr) e introduce manualmente el número de seguimiento que te dio el vendedor.
  • Comprueba la URL antes de introducir nada: 'laposte-colis-paiement.com' o 'colissimo-fr.net' no son La Poste. La URL legítima es siempre laposte.fr.
  • Los transportistas reales nunca piden una tarjeta bancaria por SMS para una entrega: es un indicador absoluto de fraude.
  • Denuncia el SMS al 33700 (la plataforma nacional francesa contra el smishing gestionada por la GSMA): esto ayuda a dar de baja los números fraudulentos más rápido.
Trasimène analiza las URL en tiempo real. Si pulsas o abres un enlace fraudulento, el acceso se bloquea antes de que se cargue la página.

Estas estafas persisten porque explotan un contexto perfectamente verosímil: todos pedimos paquetes y, a menudo, tenemos varios en camino a la vez. La vigilancia sistemática sobre cada enlace recibido por SMS, sin excepción, es la única defensa real. Un enlace en un SMS de entrega: nunca hagas clic directamente.

Fuentes
  1. Cybermalveillance.gouv.fr (French national cybersecurity assistance platform, GIP ACYMA), "L'hameçonnage à la livraison de colis" (Package-delivery phishing scam)
  2. 33700 — French national platform against SMS spam and smishing (operated by the French telecom operators)
  3. Code monétaire et financier, Article L133-24 (Légifrance) — 13-month deadline to report/contest an unauthorized payment operation
Trasimène — Seguridad móvil

Activa la protección contra phishing

Descargar Trasimène →
Artículos relacionados
Volver al blog