Qué intenta conseguir el mensaje
El smishing es phishing enviado por SMS. En las campañas de paquetería suele utilizar una entrega fallida, una dirección incompleta o una pequeña tasa pendiente para llevarte a una web falsa. Allí pueden pedir datos personales y bancarios o intentar que instales una aplicación maliciosa.
El importe reducido no hace inocente al cobro. Precisamente busca que pagues sin pensarlo demasiado.
Señales que justifican detenerse
Una comunicación verificable
- El número de seguimiento coincide con un envío que puedes abrir desde la cuenta oficial.
- La incidencia aparece también en la aplicación o web escrita por ti.
- El dominio pertenece claramente a la empresa y utiliza una ruta coherente.
- La gestión no exige instalar aplicaciones desde fuera de la tienda oficial.
Un mensaje que busca precipitarte
- Habla de un paquete sin identificar pedido ni transportista de forma verificable.
- Usa una URL acortada, un dominio parecido al real o caracteres añadidos.
- Pide una tasa pequeña, datos completos de tarjeta o credenciales.
- Amenaza con devolver o destruir el paquete en pocas horas.
- Solicita descargar un archivo o una aplicación mediante enlace directo.
La ortografía perfecta no demuestra legitimidad. Las estafas también han descubierto el corrector.
Protocolo de comprobación
- Cierra el mensaje. No respondas ni abras adjuntos.
- Entra por un acceso conocido. Usa la aplicación instalada, un marcador propio o escribe el dominio oficial.
- Localiza el pedido o seguimiento. Comprueba estado, transportista y cualquier incidencia registrada.
- Contrasta con el transportista. Si el envío existe pero el aviso no aparece, utiliza el teléfono o formulario publicado en su web oficial.
- Reporta y bloquea. Conserva una captura si vas a denunciar o pedir ayuda; después marca el mensaje como spam.
Caso práctico: “falta el número de tu casa”
Recibes un SMS que afirma que la dirección está incompleta. Coincide con una semana en la que esperas dos paquetes, así que el contexto parece creíble. El enlace abre un dominio que imita al transportista y pide datos personales y un pago.
En lugar de continuar, abres la tienda desde su aplicación. Los dos pedidos tienen dirección completa y seguimiento normal. No necesitas demostrar que cada píxel del SMS es falso: ya tienes un canal seguro que contradice su historia.
Decisión: Mensaje reportado y entrega comprobada desde el seguimiento oficial.
Si ya interactuaste con el enlace
Pulsar no equivale automáticamente a perder dinero, pero tampoco garantiza que no haya pasado nada. El riesgo depende de la página, las descargas, los permisos y los datos entregados.
Evidencias que conviene conservar
Errores que facilitan el trabajo al estafador
- Buscar el pedido entrando por su enlace.
- Confiar en el nombre visible del remitente.
- Pensar que una tasa pequeña no justifica una estafa.
- Reutilizar la contraseña comprometida en otros servicios.
- Borrar todas las pruebas después de pagar.
- Instalar una aplicación porque el navegador “no permite continuar”. Eso no es una incidencia logística; es una salida de emergencia.
Preguntas frecuentes
¿Si el pedido no aparece en mi cuenta, el mensaje es falso?
¿Una empresa de transporte puede cobrar una gestión real?
¿Dónde puedo pedir ayuda en España?
Fuentes y verificación
Contenido verificado: 2026-07-16Ámbito: EspañaSe han revisado campañas de smishing de paquetería y las recomendaciones de respuesta publicadas por INCIBE.- Campaña de smishing que suplanta empresas de paqueteríaINCIBEConsultado: 2026-07-16
- Smishing para descargar una aplicación maliciosaINCIBEConsultado: 2026-07-16