Compartir
SMISHING / SERVICIOS

Estafa CFE por SMS: el "recibo vencido" que amenaza con cortarte la luz en 12 horas

Un mensaje de texto que parece de la CFE dice que tu recibo está vencido y que el servicio se corta en 12 horas si no pagas por el enlace. Es una estafa de smishing que crece en México durante 2026: el enlace lleva a una página de pago falsa que roba los datos de tu tarjeta y de tu banco.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 202610 min de lectura

Lo esencial en 60 segundos

Veredicto: estafa. Si recibes un SMS que dice que tu recibo de luz está vencido y que la CFE te cortará el servicio en pocas horas a menos que pagues por un enlace, no lo abras. La CFE nunca amenaza con un corte inmediato por mensaje de texto con un enlace de pago. Un corte real sigue un proceso de facturación formal con avisos en tu recibo y plazos de semanas, no un ultimátum de 12 horas por SMS. El enlace lleva a una página falsa que copia el logo de la CFE y roba los datos de tu tarjeta y de tu banca en línea; algunas variantes piden transferencias de 5.000 a 20.000 pesos a cuentas personales. Paga solo por los canales oficiales: el portal cfe.mx, la app CFE Contigo o un centro de pago autorizado. Nunca por un enlace que te llegó por mensaje. Denúncialo en la CONDUSEF y al 088.

Lo que están alertando en México ahora mismo

Durante 2026, la estafa del "recibo de luz vencido" por SMS se ha vuelto una de las campañas de smishing más reportadas en México. Medios nacionales emitieron avisos repetidos a principios de junio: Terra publicó una alerta el 4 de junio de 2026, El Universal documentó el mismo fraude, y portales regionales como Punto Norte lo reportaron el 3 de junio. No es un caso aislado: la campaña reaparece mes con mes, suele intensificarse cerca de las fechas de facturación, y rota números y dominios para esquivar los filtros.

El mensaje casi siempre dice lo mismo, con pequeñas variaciones: "CFE: su recibo de luz está vencido. Pague en las próximas 12 horas o se suspenderá el servicio. Liquide aquí:" seguido de un enlace acortado o de un dominio que imita a la CFE. La presión del tiempo es el motor de toda la estafa. La amenaza de quedarte sin luz, sobre todo en temporada de calor o con un negocio que depende del refrigerador o del aire acondicionado, empuja a la gente a tocar el enlace antes de pensarlo.

La razón por la que esto funciona es la confusión deliberada con un trámite real. La CFE sí envía recibos y sí puede suspender el servicio por falta de pago, así que la amenaza suena plausible. Pero el método no coincide. La Comisión Federal de Electricidad gestiona la facturación y la cobranza por sus canales formales, no manda un enlace de pago por texto con un reloj de 12 horas. Esa discrepancia entre lo que la CFE realmente hace y lo que el SMS exige es la prueba de que se trata de un fraude.

Cómo funciona la estafa, paso a paso

El SMS es solo la carnada. El daño ocurre cuando tocas el enlace y entregas tus datos en la página falsa. Vale la pena seguir la cadena completa.

Primero llega el mensaje de urgencia. Un SMS, a veces un WhatsApp, que aparenta venir de la CFE. Te dice que tienes un adeudo, que el recibo venció y que el corte es inminente: "paga en 12 horas o se corta el servicio". Algunos incluyen un monto falso para que parezca específico y real. El remitente suele ser un número de celular común, no un remitente institucional verificado.

Después, el enlace a la página falsa. El enlace te lleva a un sitio que copia el azul y el logotipo de la CFE, con un formulario para "liquidar tu adeudo". La página pide tu número de servicio, tu nombre y, sobre todo, los datos completos de tu tarjeta: número, vencimiento y CVV. Algunas variantes piden también tu usuario y contraseña de banca en línea, o un código de verificación que tu banco te envía por SMS en ese momento, que es justo lo que necesitan para vaciar tu cuenta.

Después, el cobro o la transferencia. En la versión de tarjeta, en cuanto capturas tus datos los estafadores hacen cargos o los venden. En otra variante, la página o un supuesto "ejecutivo de la CFE" que te llama te pide hacer una transferencia directa, de 5.000 a 20.000 pesos, a una cuenta personal "para reactivar el servicio de inmediato". Ninguna cuenta personal recibe pagos de la CFE. Ese es el momento en que el dinero sale y no regresa.

Después, la doble extracción. Si entregaste datos bancarios, pueden volver con una segunda llamada haciéndose pasar por tu banco o por la CONDUSEF, ofreciendo "ayudarte a recuperar" lo perdido a cambio de otra comisión. La víctima ya nerviosa es un blanco fácil para una segunda mordida.

Los enlaces de pago falsos que SafeBrowz marca (ilustrativos)

La página de pago es la única parte de la estafa que vive en tu navegador, y por eso es la pieza que un escáner puede atrapar antes de que captures un solo dato. Estas páginas se montan en alojamiento gratuito y dominios desechables que imitan a la CFE. Los ejemplos de abajo son imitaciones ilustrativas, no sitios reales. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • cfe-pago-mx.vercel.app
  • cfe-recibo-luz.pages.dev
  • cfe-corte-aviso.netlify.app

Fíjate en la forma. La palabra "cfe" va pegada a un sufijo de alojamiento gratuito que la verdadera CFE jamás usaría para cobrar. Una página de pago cuya dirección completa es un subdominio en vercel.app, pages.dev o netlify.app no es la Comisión Federal de Electricidad. El portal real de la CFE vive en cfe.mx y en su app CFE Contigo, nunca en un dominio gratuito improvisado. Usa el cuadro de abajo para analizar el enlace de cualquier "aviso de corte" que te haya llegado por SMS antes de capturar nada.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace del SMS antes de capturar tu tarjeta

¿Te llegó un mensaje de "adeudo de luz" o "corte de servicio" con un enlace? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Señales de alarma que delatan el fraude siempre

No necesitas saber nada de informática para detectar esto. La forma del mensaje es la pista.

  • Un ultimátum de pocas horas. "Paga en 12 horas o se corta el servicio." La CFE no opera con relojes de cuenta regresiva por SMS. Un corte real sigue un proceso de facturación con avisos impresos en tu recibo y plazos de semanas, no un castigo en el mismo día.
  • Un enlace de pago dentro del mensaje. La CFE no cobra adeudos por un enlace que te manda por texto. Cualquier liga de pago llegada por SMS o WhatsApp es la trampa.
  • El remitente es un número de celular cualquiera. Un aviso real de la CFE no llega desde un número personal de diez dígitos que te pide dinero al instante.
  • Te piden el CVV, tu contraseña de banca o un código que te llegó por SMS. Ningún cobro legítimo de servicios necesita tu CVV junto con tu usuario y contraseña del banco, y muchísimo menos el código de un solo uso que tu banco te envía. Ese código es la llave de tu cuenta.
  • Te piden transferir a una cuenta personal. La CFE no recibe pagos en cuentas a nombre de una persona. Si la "reactivación" exige una transferencia a una CLABE personal, es un robo directo.
  • El enlace vive en alojamiento gratuito. Una página de pago accesible solo como subdominio en vercel.app, pages.dev o netlify.app no es el portal de la CFE.
  • Errores de redacción y un dominio que no es cfe.mx. Acentos faltantes, frases torpes y una dirección que mete "cfe" entre guiones o en un dominio raro son marcas de la falsificación.
  • Te presionan a no colgar ni verificar. "No cuelgue, el sistema está activo solo ahora." El aislamiento es el estafador evitando que llames a la CFE y descubras que no debes nada.

La regla simple que vence a esta estafa

Toda esta campaña se desarma con una sola frase: la CFE nunca te amenaza con un corte inmediato por SMS con un enlace de pago. Si interiorizas eso, el mensaje pierde todo su poder, sin importar cuán urgente o convincente se vea.

El corte por falta de pago en México es un proceso, no un sobresalto. Llega un recibo, vence en una fecha impresa, y si no pagas hay periodos y avisos antes de cualquier suspensión. Nada de eso ocurre por un texto de un número desconocido con doce horas en el reloj. Cuando dudes de un adeudo, no toques el enlace: ve directamente a cfe.mx, abre la app CFE Contigo o acude a un centro de pago autorizado y consulta tu saldo real ahí. Si de verdad debes algo, lo verás en el canal oficial; si el SMS te asustaba con un adeudo que el portal no muestra, el SMS era la estafa.

Lo que SafeBrowz ve en la red

El SMS y la llamada ocurren fuera del navegador, donde el software no puede intervenir. Pero el enlace que hace posible el robo, la página de pago falsa, es una página web, y ahí es donde la detección del lado del navegador se gana su lugar. En todo el motor de SafeBrowz, estas páginas de "pago CFE" se leen de forma consistente en las tres capas de detección.

Primero, los dominios son jóvenes y desechables. Una página de cobro falsa casi siempre se registra días antes de la campaña de SMS y se abandona en cuanto la denuncian. El portal real de la CFE tiene un dominio verificado de años. Solo las señales de antigüedad del dominio ya marcan buena parte de estos sitios antes de que cargue contenido alguno.

Segundo, el alojamiento delata. Una gran parte de estas páginas corre en alojamiento gratuito, la palabra "cfe" atornillada a un subdominio de vercel.app, pages.dev o netlify.app, porque los operadores queman decenas de sitios desechables y el alojamiento gratuito no cuesta nada. La CFE no sirve su pasarela de pago desde un subdominio gratuito. La combinación de alojamiento gratuito más palabra de marca es por sí sola una señal de alta confianza, independiente de lo que diga la página.

Tercero, el contenido es una imitación de cobro. Un logotipo de la CFE, un formulario de "liquidar adeudo", campos para número de tarjeta, vencimiento y CVV, servidos desde un host sin huella institucional, son un perfil de manual de suplantación de servicios. El análisis a nivel de contenido atrapa una imitación recién creada que ninguna lista negra ha visto todavía, lo que importa porque estos sitios brotan más rápido de lo que cualquier lista estática puede seguir.

A qué marcas y tácticas pasan los operadores después

Las bandas de smishing siguen lo que funciona. Los siguientes movimientos creíbles, según la misma estructura, son predecibles.

  • Otras paraestatales y servicios. El mismo libreto del "adeudo vencido, paga ya" se recicla con el agua, el predial, el gas, Telmex o el SAT. La forma no cambia: urgencia, enlace, página falsa.
  • Falsos avisos de "saldo a favor" o "bono CFE". En lugar de amenazar con un corte, prometen un reembolso o un subsidio que "debes reclamar" capturando tus datos bancarios. El cebo positivo engancha a quien desconfía de las amenazas.
  • Llamadas de seguimiento con suplantación. Un supuesto "ejecutivo de la CFE" o de tu banco llama para guiarte por la página y presionarte a no colgar. Consulta nuestra cobertura sobre qué hacer si ya entregaste tus datos.
  • Apps falsas de "CFE pago rápido". Espera APK fuera de la tienda oficial que prometen pagar el recibo y en realidad capturan credenciales bancarias. Descarga apps solo de las tiendas oficiales.

La marca en el mensaje es intercambiable. La estructura, un dominio joven o de alojamiento gratuito que suplanta a un servicio y exige pago urgente, no lo es. Por eso una defensa estructural, del lado del navegador, supera a perseguir una marca a la vez.

Por qué atrapar el enlace temprano supera reaccionar después

Para cuando ya capturaste el número de tu tarjeta o el código de tu banco, la estafa ya ganó casi todo el camino. El cargo se hace en segundos y la transferencia es difícil de revertir. La intervención en esa etapa suele ser una carrera contra el reloj que la víctima pierde.

El único momento en que la tecnología rompe la cadena con limpieza es al inicio, cuando tocas el enlace del SMS y la página de pago está a punto de cargar. Ese enlace es una URL, y un escáner de la capa del navegador lo inspecciona directamente. Cuando abres un enlace de "pago CFE" falso, una extensión puede reconocer una suplantación de servicio en un dominio joven o de alojamiento gratuito y advertir antes de que el formulario siquiera aparezca, sin importar quién lo envió ni qué tan oficial se vea el mensaje. Los filtros de SMS y la atención del banco ayudan, pero actúan sobre el mensaje y sobre el dinero, las dos cosas que el estafador aprendió a sortear. La capa del navegador actúa sobre el destino, que la estafa no puede evitar: para robarte, tiene que aterrizarte en su página.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo directamente en la extensión antes de que la página se renderice. Atrapa al instante palabras de marca de servicios en subdominios de alojamiento gratuito, el abuso de TLD baratos y las familias de imitación de "pago" y "recibo".
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de las páginas de cobro falsas tienen días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas atrapa una página de pago CFE recién creada que ninguna lista negra ha visto todavía, incluidas páginas que imitan el portal real.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de "aviso de corte" y obtén un veredicto en segundos.

Qué hacer ahora mismo

Si te llegó el SMS, o sospechas que ya entregaste datos, esta es la respuesta correcta.

  1. No toques el enlace. Bórralo. No captures número de servicio, datos de tarjeta, contraseña de banca ni ningún código que te llegue por SMS en ese momento.
  2. Verifica tu adeudo solo por el canal oficial. Entra directo a cfe.mx, abre la app CFE Contigo o acude a un centro de pago autorizado. Ahí verás tu saldo real. Si el portal no muestra adeudo, el SMS era falso.
  3. Si capturaste datos de tu tarjeta o banca, llama a tu banco de inmediato. Usa el número impreso al reverso de tu tarjeta. Pide bloquear la tarjeta, reportar el cargo y, si diste tu contraseña o un código, cambia tus credenciales y activa la doble verificación.
  4. No pagues ninguna "comisión para recuperar" lo perdido. Si te vuelven a llamar ofreciendo recuperar tu dinero a cambio de un pago, es la segunda parte de la estafa.
  5. Denúncialo. Reporta ante la CONDUSEF (al 55 5340 0999 o en gob.mx/condusef) si hubo un cargo o fraude bancario, y ante PROFECO si la queja es por el servicio o un cobro indebido. Para el delito cibernético, reporta a la Policía Cibernética de la Guardia Nacional (CERT-MX / gob.mx/guardianacional) y llama al 088, la línea nacional de atención de la Guardia Nacional. Incluye el número que envió el SMS, el texto completo, el enlace y cualquier dato de cuenta que te hayan dado.
  6. Avisa a tu familia y vecinos. Esta campaña va por colonias enteras. Un mensaje a tu grupo familiar puede evitar que un familiar mayor caiga el mismo día.

Si lees esto por un padre o familiar mayor, haz una cosa más hoy: acuerda con esa persona que ningún pago de la CFE se hace por un enlace de SMS, nunca, y que ante cualquier "aviso de corte" te llame antes de tocar nada. Nuestra guía completa "Me estafaron, ¿qué hago ahora?" cubre en detalle los pasos de recuperación de la primera hora.

Preguntas frecuentes

¿La CFE manda avisos de corte por SMS con un enlace de pago?

No. La CFE no amenaza con un corte inmediato por mensaje de texto ni cobra adeudos por un enlace enviado por SMS o WhatsApp. La facturación y la suspensión por falta de pago siguen un proceso formal con avisos impresos en tu recibo y plazos de semanas. Cualquier SMS que exija pagar en pocas horas por un enlace para evitar el corte es una estafa de smishing.

El mensaje trae el logo de la CFE y se ve oficial. ¿No es real?

No. Copiar el logo y los colores de la CFE es trivial para un estafador. La apariencia no prueba nada. Lo que delata el fraude es el método: un número de celular cualquiera, un ultimátum de horas y un enlace de pago. Verifica siempre tu adeudo entrando por tu cuenta a cfe.mx o a la app CFE Contigo, nunca por el enlace del mensaje.

¿Cómo pago mi recibo de luz de forma segura?

Solo por los canales oficiales: el portal cfe.mx escribiendo tú mismo la dirección, la app CFE Contigo descargada de la tienda oficial, o un centro de pago y tiendas autorizadas (bancos, supermercados y comercios afiliados). Nunca pagues por un enlace que te llegó por SMS, correo o WhatsApp, y nunca transfieras a una cuenta personal: la CFE no recibe pagos en cuentas a nombre de una persona.

Ya capturé los datos de mi tarjeta en la página. ¿Qué hago?

Llama a tu banco de inmediato con el número al reverso de tu tarjeta. Pide bloquear la tarjeta y reportar posibles cargos no reconocidos. Si también diste tu usuario, contraseña de banca o un código que te llegó por SMS, cambia tus credenciales y activa la doble verificación. Denuncia ante la CONDUSEF (55 5340 0999) por el fraude bancario y reporta el delito a la Policía Cibernética de la Guardia Nacional o al 088. No pagues ninguna comisión a quien luego te ofrezca recuperar el dinero.

Me piden transferir 5.000 a 20.000 pesos para reactivar el servicio. ¿Es legítimo?

No. La CFE no exige transferencias a cuentas personales para reactivar el servicio. Una variante de esta estafa pide depósitos o transferencias de varios miles de pesos a una CLABE a nombre de una persona, a veces con un supuesto ejecutivo al teléfono presionando. Es un robo directo. No transfieras y verifica tu adeudo real solo en cfe.mx o en la app CFE Contigo.

¿Cómo verifico el enlace antes de tocarlo?

Pégalo en un verificador de URL gratuito antes de abrirlo. El portal real de la CFE es cfe.mx. Una página cuya dirección completa es un subdominio en vercel.app, pages.dev o netlify.app, o que mete "cfe" entre guiones en un dominio raro, o que se registró hace días, es una gran señal de alarma. SafeBrowz analiza el enlace a través de las capas local de patrones, de API y de contenido con IA, y devuelve un veredicto en segundos.

¿A quién denuncio esta estafa en México?

Denuncia ante la CONDUSEF (55 5340 0999 o gob.mx/condusef) si hubo fraude bancario, y ante PROFECO si la queja es por un cobro indebido o el servicio. Para el delito cibernético, reporta a la Policía Cibernética de la Guardia Nacional (CERT-MX, gob.mx/guardianacional) y llama al 088. Aporta el número que envió el SMS, el texto del mensaje, el enlace y cualquier dato de cuenta que el estafador te haya proporcionado.

Instala SafeBrowz gratis

Agrega la extensión de navegador que analiza cada enlace, incluido el "aviso de corte" que te llega por SMS, antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas