El Ministerio del Interior registró más de 430.000 estafas informáticas en España durante 2025, y la mayoría comenzaron con un SMS de Correos pidiendo menos de tres euros. El año siguiente, solo en los primeros meses de 2026, las denuncias por fraude vía SMS ya superaban las 340.000. La cifra no es un accidente: detrás hay una industria criminal organizada que perfecciona su técnica mes a mes.
El gancho siempre es el mismo: recibes un mensaje que parece oficial, con el logo y los colores corporativos de Correos, que te avisa de que tu paquete está retenido en aduanas y que debes abonar 1,79 euros para liberarlo. Esa cantidad ridícula es precisamente el cebo. Lo que los delincuentes quieren no son esos dos euros, sino los datos completos de tu tarjeta y el código de verificación que te enviará el banco.
Cómo funciona la estafa de Correos paso a paso
El SMS llega en cualquier momento, casi siempre cuando estás esperando un pedido online. El texto es impecable —sin faltas de ortografía gracias al uso de inteligencia artificial generativa— y el enlace adjunto conduce a una web que replica con precisión el diseño actual de Correos, incluyendo el amarillo corporativo y la barra de navegación completa. El engaño visual es prácticamente perfecto.
Una vez dentro, el formulario pide tu nombre, dirección y, a continuación, los datos completos de tu tarjeta. Cuando introduces el código SMS que te envía el banco para "confirmar el pago de 1,79 euros", les estás dando permiso para vincular tu tarjeta a un Apple Pay o Google Pay fraudulento, o para autorizar transferencias de importes mucho mayores. El objetivo nunca fueron esos casi dos euros, sino el acceso ilimitado a tu cuenta.
Correos y el Smishing: por qué eres el objetivo perfecto
Correos es la empresa postal más reconocida de España, lo que la convierte en la tapadera ideal para estas campañas. El Smishing —la variante del phishing que opera por SMS— aprovecha que millones de españoles esperan un paquete en cualquier momento del año, lo que hace que el mensaje resulte creíble casi siempre.
Los estafadores envían oleadas masivas de mensajes sin saber si eres cliente o no. Juegan con la estadística: si Spain recibió más de 1.100 millones de paquetes en 2025, las probabilidades de que alguien esté esperando un envío cuando llega el SMS son muy altas. Además, los delincuentes emplean la técnica del spoofing, que permite que el mensaje fraudulento aparezca dentro del mismo hilo de mensajes legítimos que ya tienes de Correos, aumentando exponencialmente su credibilidad.
Qué pasa si ya has pulsado el enlace
Si has introducido los datos de tu tarjeta en el formulario falso, actúa en los próximos minutos: llama a tu banco para bloquear la tarjeta y solicita la devolución de cargos bajo la normativa PSD2, que obliga a la entidad a reembolsar operaciones no autorizadas. No borres nada del móvil, ya que el historial puede ser necesario como prueba ante la Policía Nacional o la Guardia Civil.
La buena noticia es que el Tribunal Supremo español estableció en 2025 que la carga de demostrar la negligencia del cliente recae sobre el banco, no sobre la víctima. Si tu entidad se niega a devolverte el dinero, puedes reclamar ante el Banco de España y, en última instancia, por vía judicial. Las sentencias recientes tienden a favorecer al afectado en casos de smishing sofisticado.
Señales que delatan el SMS falso de Correos
Detectar el fraude es más fácil de lo que parece si sabes qué mirar. Correos tiene una política sin excepciones: nunca solicita pagos ni datos personales a través de un enlace en un SMS. Cualquier mensaje de este tipo es, por definición, una estafa. Pero hay más señales concretas:
- La URL del enlace no termina en correos.es, sino en dominios con patrones como "correos-entrega-[código].com".
- El mensaje transmite urgencia con frases como "último aviso" o "su paquete será devuelto hoy".
- El importe es simbólico: ninguna tasa aduanera real de Correos se cobra por SMS con enlace de pago.
- El SMS aparece como número desconocido o, en versiones más elaboradas, en el hilo oficial gracias al spoofing.
Qué hacer si recibes un SMS sospechoso de Correos
No pulsar el enlace bajo ningún concepto
Aunque tengas un paquete en camino y el mensaje parezca completamente real, entra directamente en correos.es escribiendo la URL tú mismo o usa la app oficial para comprobar el estado de tu envío. Ningún trámite legítimo de Correos requiere que sigas un enlace de un SMS para realizar un pago.
Denunciar y reportar
Si recibes un SMS de este tipo, repórtalo al INCIBE enviando el número y el contenido a través de su línea de ayuda 017 o al correo incibe@incibe.es. Cada denuncia ayuda a rastrear las redes criminales y a bloquear los dominios fraudulentos con mayor rapidez. La Oficina de Seguridad del Internauta (OSI) también recoge estos avisos para alertar al resto de ciudadanos.
El futuro del smishing y cómo prepararte
La industria criminal detrás de estas campañas no va a frenarse. Plataformas como Darcula, que operan bajo el modelo de phishing-as-a-service, ya incorporan inteligencia artificial generativa que elimina los errores ortográficos y personaliza los mensajes a escala masiva. En 2026, la CNMC ha obligado a los operadores a bloquear SMS con remitentes no verificados a partir de junio, lo que reducirá —aunque no eliminará— una vía clave de suplantación.
La defensa más efectiva sigue siendo una norma muy sencilla que no requiere ninguna tecnología: ningún pago legítimo de Correos llegará jamás a través de un enlace en un SMS. Grabarte esa frase en la memoria vale más que cualquier antivirus. La pausa de tres segundos antes de pulsar un enlace es el único cortafuegos que no tiene precio.
