El Instituto Nacional de Ciberseguridad (INCIBE) ha detectado una campaña de SMS fraudulentos que suplanta a empresas de paquetería con la excusa de un supuesto problema en la entrega de un paquete por “falta del número de casa”. El objetivo de esta estafa es obtener datos personales y bancarios de las víctimas, a través de enlaces que conducen a páginas web falsas diseñadas para aparentar legitimidad.
INCIBE advierte de que esta práctica, conocida como smishing, está afectando a usuarios que reciben el mensaje, acceden al enlace incluido y rellenan los formularios solicitados, quedando expuestos a un fraude económico y a la sustracción de información sensible.
Cómo funciona la estafa del falso paquete
La campaña detectada se basa en el envío masivo de mensajes SMS que simulan proceder de una empresa de paquetería. En el texto se informa al destinatario de que la entrega no ha podido realizarse debido a que falta el número de la vivienda, instándole a pulsar un enlace para resolver la incidencia.
Una vez se accede a la URL incluida en el mensaje, la víctima es redirigida a una página web fraudulenta. En ella, se solicita inicialmente seleccionar una franja horaria para una supuesta nueva entrega del paquete. Posteriormente, el sitio pide actualizar los datos personales, reforzando la sensación de estar ante un trámite legítimo.
El siguiente paso es el más peligroso: la web solicita los datos de la tarjeta bancaria, bajo el pretexto de realizar un pequeño pago por la nueva entrega o por no haberse podido completar el primer intento. Tras introducir la información, suele aparecer un mensaje de error, pero para entonces los ciberdelincuentes ya han obtenido todos los datos.
Personas y recursos afectados
INCIBE señala que están especialmente afectadas las personas que han recibido el SMS, han pulsado el enlace y han introducido sus datos en los formularios. En estos casos, el riesgo no se limita a un cargo inmediato, sino que puede extenderse en el tiempo mediante usos fraudulentos posteriores de la información bancaria y personal.
Qué hacer si recibes este SMS
El organismo de ciberseguridad insiste en que, si se recibe un mensaje de este tipo, no se debe pulsar el enlace bajo ningún concepto. Ante cualquier duda sobre una supuesta entrega, la recomendación es consultar siempre fuentes oficiales, como la web de la empresa de paquetería que aparentemente envía el aviso.
Además, INCIBE recuerda que está disponible la Línea de Ayuda en Ciberseguridad 017, donde expertos pueden orientar sobre cómo actuar ante este tipo de fraudes o extorsiones.
Si el usuario ha recibido el mensaje, pero no ha accedido al enlace, se aconseja reportarlo a través del buzón de incidentes de INCIBE para ayudar a alertar a otros usuarios. Tras ello, se debe borrar el SMS y bloquear al remitente.
Medidas urgentes si ya has facilitado tus datos
En los casos en los que la víctima haya accedido al enlace y introducido datos personales y bancarios, INCIBE recomienda actuar con rapidez y seguir varios pasos fundamentales:
- Contactar de inmediato con la entidad bancaria para bloquear la tarjeta y vigilar posibles movimientos sospechosos.
- Recopilar y conservar todas las evidencias del fraude, incluidos enlaces, mensajes y capturas de pantalla, pudiendo apoyarse en testigos online para validar estas pruebas.
- Durante los meses siguientes, practicar egosurfing, es decir, comprobar periódicamente la presencia de los datos personales en la Red, y ejercer el derecho al olvido si fuera necesario.
- Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando toda la documentación recopilada.
Un recordatorio clave para evitar el smishing
Desde INCIBE subrayan la importancia de desconfiar de cualquier notificación recibida por SMS que solicite datos personales o bancarios, especialmente cuando incluye enlaces y genera sensación de urgencia. Las empresas de paquetería no suelen pedir este tipo de información por mensajes de texto.
Contrastar siempre las notificaciones mediante canales oficiales y mantener una actitud preventiva sigue siendo la mejor defensa frente a un tipo de fraude que, como demuestra esta campaña, continúa evolucionando y afectando a un número creciente de usuarios.
