Compartir
SMISHING

SMS falso de Correos: "paquete retenido, paga 1,99 € de tarifa"

Un SMS dice que tienes un paquete retenido en aduana o en reparto y te pide una pequeña tarifa de 1,99 € a través de un enlace. Ese enlace lleva a una página clavada a Correos que solo existe para robarte los datos de la tarjeta. La tarifa minúscula es el cebo.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 202610 min de lectura

En pocas palabras

Veredicto: estafa. Correos no cobra tasas de aduana ni tarifas de reparto mediante un enlace en un SMS. Si recibes un mensaje del tipo "tu paquete está retenido, abona 1,99 € para la reexpedición" con un enlace para pagar, es smishing. El importe es ridículo a propósito: 1,99 € no duele, así que metes la tarjeta sin pensar, y la página falsa se queda con el número completo, la caducidad y el CVV para después vaciarte la cuenta o suscribirte a cargos recurrentes. El seguimiento real de un envío solo está en correos.es o en la app de Correos. No toques el enlace, no pagues, y denúncialo al 017 de INCIBE.

Por qué este SMS está inundando los móviles ahora

El smishing que suplanta a Correos lleva años circulando, pero en 2026 ha vuelto con fuerza. Que.es recogió el 4 de junio de 2026 una nueva oleada de mensajes que avisan de un paquete "retenido" y piden una tasa pequeña para liberarlo. La cobertura de prensa del 24 de marzo y del 6 de mayo de 2026 documentó casos reales, incluido el de una víctima que acabó perdiendo unos 12.000 € después de que la cadena escalara de esa tarifa de 1,99 € a una llamada de falso "soporte bancario". En marzo de 2026 se contabilizaron más de 120 dominios activos que imitaban a Correos al mismo tiempo, una cifra que da idea de la escala industrial de la campaña.

El Instituto Nacional de Ciberseguridad (INCIBE) publicó su aviso oficial alertando del fraude, y la Oficina de Seguridad del Internauta (OSI) mantiene la advertencia activa. La buena noticia regulatoria llegó el 7 de junio de 2026: la norma de la Comisión Nacional de los Mercados y la Competencia (CNMC) que obliga a los operadores a bloquear los SMS que usan alias o remitentes alfanuméricos suplantados entró en vigor. Es un paso enorme, pero no es una vacuna: los delincuentes ya están migrando a remitentes numéricos normales y a servicios de mensajería como WhatsApp, así que el mensaje sigue llegando.

La razón por la que esta estafa funciona tan bien en España es el volumen de comercio electrónico. Casi todo el mundo está esperando un paquete en cualquier momento dado. Cuando llega un SMS que menciona un envío retenido, encaja con algo que de verdad esperas, y ahí es donde baja la guardia.

Cómo funciona la cadena, de principio a fin

La tarifa de 1,99 € es solo la puerta de entrada. Para entender por qué tanta gente acaba metiendo la tarjeta, hay que ver la mecánica completa.

Primero, el SMS que se cuela en el hilo real. Mediante la suplantación del remitente (SMS spoofing), el mensaje fraudulento aparece en la misma conversación donde tienes los avisos auténticos de Correos. El móvil agrupa los SMS por el nombre del remitente, así que un mensaje falso que diga "Correos" cae justo debajo de los reales. Esa proximidad es la que da credibilidad: si los avisos anteriores eran de verdad, este parece serlo también.

Después, la urgencia con un coste minúsculo. El texto dice que tu paquete está retenido en aduana o en el centro de distribución, que falta una pequeña tasa de reexpedición de 1,99 € y que tienes un plazo corto antes de que el envío se devuelva. El importe es deliberadamente bajo. Una cifra grande te haría sospechar; 1,99 € parece tan trivial que mucha gente paga sin verificar nada.

Después, la página clonada. El enlace lleva a una web que copia la imagen de Correos, con su logo amarillo, su tipografía y un formulario de pago de aspecto profesional. Te pide el número de tarjeta, la fecha de caducidad y el CVV "para abonar la tarifa". En realidad esa página no cobra 1,99 €: captura los datos completos de la tarjeta y se los envía al estafador.

Después, el vaciado. Con tu tarjeta en su poder, los delincuentes intentan cargos mayores, te dan de alta en suscripciones recurrentes o revenden los datos. En los casos peores llega una segunda llamada haciéndose pasar por el "departamento de fraude" de tu banco que, con la excusa de "proteger tu cuenta", te guía para autorizar transferencias o leer los códigos de confirmación. Así es como una tarifa de 1,99 € termina en una pérdida de miles de euros.

Los enlaces falsos que SafeBrowz marca (ilustrativos)

La página de pago es la única pieza de toda la estafa que vive en tu navegador, así que es la pieza que un escáner puede atrapar antes de que metas la tarjeta. Estas webs se montan sobre alojamiento gratuito y dominios desechables que se queman en cuanto se denuncian. Los ejemplos de abajo son imitaciones ilustrativas, no servicios reales. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • correos-paquete.vercel.app
  • correos-envio-pago.pages.dev
  • correos-aduana.netlify.app

Fíjate en la forma. La palabra "correos" va delante, atornillada a un sufijo de alojamiento gratuito que la Correos real jamás usaría para cobrar. El portal auténtico de Correos vive en correos.es, su dominio verificado de toda la vida, y solo ahí. Una dirección cuya parte accesible completa es un subdominio en vercel.app, pages.dev o netlify.app, o un dominio raro con "correos" pegado a guiones y palabras como "envio", "pago" o "aduana", no es Correos. Usa el cuadro de abajo para analizar el enlace de cualquier SMS antes de tocarlo.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace del SMS antes de meter la tarjeta

¿Te llegó un SMS de "Correos" con un enlace para pagar una tasa? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Señales de alarma que delatan el fraude siempre

No hace falta ser experto para detectarlo. La estructura del mensaje es la pista.

  • Correos te pide pagar una tasa por SMS con un enlace. Esta es la concluyente. Correos no cobra tasas de aduana ni tarifas de reparto a través de un enlace en un mensaje de texto. La gestión de un envío real se hace en correos.es o en la app, nunca pagando desde un enlace que te llega por SMS.
  • El importe es minúsculo: 1,99 €, 2,99 € o parecido. Una cifra pequeña no es una señal de inocencia, es la táctica. El objetivo no es la tarifa, es que metas los datos completos de tu tarjeta sin pararte a pensar.
  • El enlace no es correos.es. Mira el dominio antes del primer barra después de "https://". Si no termina exactamente en correos.es, no es Correos, por mucho que el texto y la página parezcan auténticos.
  • Urgencia y plazo corto. "Tu paquete se devolverá en 24 horas", "última oportunidad para liberar el envío". La prisa es para que actúes antes de comprobar nada.
  • El SMS aparece en el hilo real de Correos. Que el mensaje caiga en la misma conversación que tus avisos auténticos no lo valida: es spoofing del remitente. Un mensaje legítimo nunca te pedirá la tarjeta por un enlace.
  • Te piden número de tarjeta, caducidad y CVV en una web. Una tasa de reexpedición real jamás se cobra capturando los tres datos en un formulario al que llegas desde un SMS. Eso es un robo de tarjeta puro y duro.
  • Pequeños fallos en la página. Una URL extraña, faltas de ortografía, un certificado raro o un diseño casi perfecto pero no del todo. Las páginas clonadas se montan deprisa y se queman rápido.

Lo que SafeBrowz ve en la red

El SMS y la llamada posterior ocurren fuera del navegador, donde ningún software del lado web puede intervenir. Pero el enlace que hace posible todo el robo, la página de pago clonada, es una web, y ahí es donde la detección en el navegador se gana su lugar. En el motor de SafeBrowz, estas páginas de smishing postal se leen de forma consistente en las tres capas.

Primero, los dominios son jóvenes y desechables. Una página falsa de Correos casi siempre se registra días u horas antes de enviarse en los SMS, y se abandona en cuanto la denuncian. El portal real de Correos tiene un dominio verificado de años. Solo las señales de antigüedad del dominio ya marcan buena parte de estas webs antes de que cargue contenido alguno.

Segundo, el alojamiento delata. Una enorme proporción de estas páginas corre en alojamiento gratuito, la palabra "correos" pegada a un subdominio de vercel.app, pages.dev o netlify.app, porque los operadores queman cientos de webs desechables y el alojamiento gratuito no cuesta nada. Correos no sirve su página de pago desde un subdominio gratuito. La combinación de alojamiento gratuito más la palabra de la marca es en sí misma una señal de alta confianza, independiente de lo que muestre la página.

Tercero, el contenido es una copia descarada. Un logo amarillo de Correos, un formulario que pide tarjeta, caducidad y CVV por una "tasa" mínima, y una interfaz que imita el portal real, todo servido desde un host sin huella oficial, es un perfil de manual de suplantación de marca. El análisis a nivel de contenido atrapa una imitación recién creada que ninguna lista negra ha visto todavía, lo que importa porque estos sitios surgen más rápido de lo que cualquier lista estática puede seguir.

Qué hacen los estafadores después

El smishing postal no termina en la página de pago. La estructura de incentivos hace predecibles los siguientes movimientos.

  • La llamada de falso "soporte bancario". Días después del pago, una llamada que se hace pasar por tu banco te avisa de "movimientos sospechosos" y te guía para mover el dinero a una "cuenta segura" o para leer los códigos SMS de confirmación. Es la fase que convierte una tarjeta robada en miles de euros perdidos.
  • Suscripciones recurrentes silenciosas. Con la tarjeta capturada, dan de alta cargos pequeños y periódicos que pasan desapercibidos en el extracto durante meses.
  • Salto a otras marcas de paquetería. El mismo molde se reutiliza con DHL, SEUR, MRW, GLS o las aduanas. Cambia el logo, no la mecánica: paquete retenido, tasa pequeña, enlace que roba la tarjeta.
  • Migración a WhatsApp y remitentes numéricos. Con el bloqueo de alias de la CNMC vigente desde el 7 de junio de 2026, los delincuentes están moviendo la campaña a números normales y a mensajería instantánea para esquivar el filtro.

La marca del paquete es intercambiable. La estructura, un dominio joven o de alojamiento gratuito que suplanta a una empresa de mensajería, no lo es. Por eso una defensa estructural, del lado del navegador, supera a perseguir un logo cada vez.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo directamente en la extensión antes de que la página se renderice. Atrapa al instante la palabra "correos" en subdominios de alojamiento gratuito, el abuso de TLD baratos y las familias de imitación de paquetería.
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de las páginas falsas de Correos tienen horas o días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas atrapa una página falsa de Correos recién creada que ninguna lista negra ha visto todavía, incluidas las que imitan al detalle el portal de pago real.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de un SMS de "Correos" y obtén un veredicto en segundos.

Qué hacer ahora mismo

Si has recibido el SMS, o sospechas que ya has metido la tarjeta, esta es la respuesta correcta.

  1. No toques el enlace y no pagues. Borra el SMS. Si quieres comprobar un envío real, entra a mano en correos.es o abre la app de Correos y busca por tu número de seguimiento. Nunca a través del enlace del mensaje.
  2. Si ya metiste la tarjeta, llama a tu banco de inmediato. Usa el número del reverso de tu tarjeta, bloquéala y solicita una nueva. Cuanto antes, menos margen tienen para los cargos.
  3. Desconfía de la llamada que vendrá después. Tu banco real nunca te pedirá mover el dinero a "una cuenta segura" ni que le leas códigos SMS. Si te llaman tras el fraude, cuelga y llama tú al banco por el número oficial.
  4. Revisa tus extractos. Busca cargos pequeños y recurrentes que no reconozcas y reclámalos. La captura de tarjeta a menudo se cobra en suscripciones silenciosas.
  5. Denúncialo. Llama gratis a la línea 017 de INCIBE (ayuda en ciberseguridad) o consulta la osi.es. Presenta denuncia ante la Policía Nacional o la Guardia Civil; el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica de la Policía gestionan estos casos. Aporta el texto del SMS, el enlace y cualquier captura.
  6. Reenvía el SMS a tu operador. Comunica el mensaje fraudulento a tu compañía móvil para que ayude a bloquear el remitente conforme a la norma de la CNMC.

Si gestionas el móvil de un familiar mayor, dedica un minuto hoy a una regla simple: ningún SMS de Correos, banco o paquetería se atiende desde su enlace, nunca; siempre se entra a mano en la web oficial o en la app. Esa única costumbre desactiva la inmensa mayoría del smishing. Nuestra guía "Me estafaron, ¿qué hago ahora?" detalla los pasos de recuperación de la primera hora.

Preguntas frecuentes

¿Correos cobra tasas de aduana o de reparto por SMS?

No. Correos no cobra tasas de aduana ni tarifas de reexpedición a través de un enlace en un SMS. Si hay alguna gestión o pago pendiente de un envío real, se realiza en el portal oficial correos.es o en la app de Correos, donde tú entras por tu cuenta. Un SMS con un enlace para pagar una tarifa pequeña es smishing.

¿Por qué la tarifa es solo de 1,99 €?

Porque un importe minúsculo no levanta sospechas. Una cifra grande te haría dudar y verificar; 1,99 € parece tan trivial que muchas personas meten la tarjeta sin pensar. El objetivo del estafador no es esa tasa, sino capturar el número completo de la tarjeta, la caducidad y el CVV para después hacer cargos mayores o suscripciones recurrentes.

El SMS apareció en el mismo hilo de mis avisos reales de Correos. ¿No es legítimo?

No. Los delincuentes usan suplantación del remitente (SMS spoofing) para que el mensaje aparezca bajo el nombre "Correos", y el móvil lo agrupa con los avisos auténticos. Esa proximidad es precisamente la táctica: hace que el mensaje falso herede la credibilidad de los reales. Un aviso legítimo nunca te pedirá pagar una tasa desde un enlace.

¿Cómo compruebo si un enlace de un SMS de Correos es real?

Mira el dominio antes de la primera barra tras "https://". El único portal de Correos es correos.es. Si la dirección termina en un subdominio de alojamiento gratuito como vercel.app, pages.dev o netlify.app, o es un dominio raro con "correos" pegado a guiones y palabras como "pago" o "aduana", es falso. Puedes pegar el enlace en un verificador de URL gratuito: SafeBrowz lo analiza con sus capas local, de API y de IA y da un veredicto en segundos.

Ya metí los datos de mi tarjeta. ¿Qué hago?

Llama a tu banco de inmediato con el número del reverso de la tarjeta, bloquéala y pide una nueva. Vigila tu extracto por si aparecen cargos pequeños y recurrentes. Desconfía de cualquier llamada posterior que diga ser tu banco y te pida mover el dinero o leer códigos: cuelga y llama tú al número oficial. Denúncialo en la línea 017 de INCIBE y ante la Policía o la Guardia Civil.

¿Sirve de algo la nueva norma de la CNMC contra estos SMS?

Ayuda, pero no lo resuelve del todo. Desde el 7 de junio de 2026, los operadores deben bloquear los SMS que suplantan alias o remitentes alfanuméricos, lo que corta una vía importante. Sin embargo, los estafadores ya migran a remitentes numéricos normales y a aplicaciones como WhatsApp. La defensa que no caduca sigue siendo la misma: no pagues nunca una tasa desde el enlace de un mensaje y entra a mano en correos.es.

¿Cómo denuncio este fraude en España?

Llama gratis a la línea 017 de INCIBE para orientación, o consulta los avisos en osi.es. Presenta denuncia ante la Policía Nacional o la Guardia Civil, cuyas unidades de delitos tecnológicos gestionan el smishing. Aporta el texto del SMS, el enlace, la fecha y cualquier captura. Reenvía además el mensaje a tu operador para que colabore en el bloqueo del remitente.

Instala SafeBrowz gratis

Agrega la extensión de navegador que analiza cada enlace, incluido el de ese SMS de "Correos", antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas