Estafa del mensaje de rastreo de DHL: la trampa de las tasas aduaneras y cómo detectarla

Cómo se ve la estafa

El SMS llega con un número que parece de rastreo, un breve mensaje de "problema de entrega" y una URL acortada o inusual. La URL lleva a una página falsa de DHL que le pide introducir su dirección (datos ya conocidos, usados para generar confianza) y luego pagar una pequeña tasa de aduanas o despacho con una tarjeta de crédito. La captura de la tarjeta es el verdadero objetivo. La "tasa aduanera de 2,99 USD" es solo la tapadera. A las pocas horas de pagar, la tarjeta se usa para compras fraudulentas de mayor valor (tarjetas de regalo, cargos de prueba en tiendas en línea, a veces aplicaciones de transporte o entrega de comida para verificar si la tarjeta sigue activa antes del saqueo mayor).

DHL real sí envía mensajes de estado de envío si usted se suscribió. Esos mensajes siempre enlazan a dhl.com o a una variante por país (dhl.de, dhl.co.uk, dhl.com.mx, etc.), nunca a un dominio acortado o desconocido, y DHL nunca solicita pagos de aduanas por SMS.

Las 7 variantes de mensaje en rotación activa

1. Retenido en aduanas

"DHL: Su paquete #1Z9N84... está retenido en aduanas por arancel impago de 2,99 USD. Pague para liberar: [URL acortada]"

2. Verificación de dirección

"DHL: No pudimos entregar su paquete. Por favor confirme su dirección de entrega: [URL]. Última oportunidad antes de devolver al remitente."

3. Franqueo insuficiente

"DHL: Su envío requiere franqueo adicional (1,99 USD). Pague ahora para evitar la devolución: [URL]"

4. La reprogramación

"DHL intentó la entrega hoy. Por favor reprograme: [URL]. Se aplica una tarifa de reentrega de 4,99 USD."

5. El código de casillero

"DHL: Su paquete está en el Casillero #4127. El código de recogida expira en 48h. Confirme la dirección para recibir el código: [URL]"

6. La retención de exportación (variante B2B)

"DHL Business: Su envío de exportación está retenido pendiente de verificación de documentos. Complete aquí: [URL]." Apunta a personas que realmente han enviado envíos internacionales por trabajo.

7. El reembolso por cargo duplicado

"DHL: Le debemos un reembolso de 19,45 USD por un cargo duplicado. Haga clic para recibir: [URL]" Invierte el ángulo habitual de "usted nos debe".

Cómo detectar el fraude en 10 segundos

• ¿Estaba esperando un paquete internacional? Si no, ignore el mensaje por completo. Si sí, no haga clic en el enlace del mensaje.
• Número de teléfono del remitente. Los SMS reales de DHL llegan desde códigos cortos (números de 5-6 dígitos) o desde remitentes numéricos registrados. Un móvil de 10 dígitos o un número internacional con prefijo "+" enviando mensajes de "DHL" es una estafa.
• URL. Las URL reales de DHL usan dhl.com o dominios por país (dhl.de, dhl.co.uk, dhl.com.mx, dhl.es, dhl.com.ar, etc.) como dominio base real. Una URL acortada (bit.ly/..., tinyurl/...) o un dominio extraño (dhl-customs.xyz, dhltrack.support, dhl-redelivery.net) es una estafa.
• Solicita pagos vía enlace SMS. DHL real maneja las tasas aduaneras a nivel nacional a través del agente aduanero del importador, a menudo pagadas en la entrega en efectivo o mediante una página oficial verificada por país. No cobran aranceles desde enlaces SMS aleatorios.
• Tarifa pequeña. Los "2,99 USD de tasa aduanera" son sospechosamente bajos: los aranceles reales sobre paquetes que superan el umbral libre de impuestos (varía según el país, entre 50 y 800 USD en la mayoría de los lugares) se calculan sobre el valor declarado, no como un número fijo y minúsculo. Una "tarifa de 2,99 USD" existe para que el pago se sienta intrascendente y usted no se detenga a pensar.

La forma correcta de verificar

1. No haga clic en el enlace del SMS.
2. Encuentre su número de seguimiento real en el correo de confirmación del pedido que le envió la tienda (Amazon, AliExpress, ASOS, Etsy, etc.).
3. Escriba dhl.com manualmente en su navegador y pegue el número de seguimiento en el cuadro de búsqueda. O use la propia página de seguimiento de la tienda.
4. Si la página real de DHL muestra que el paquete está genuinamente retenido en aduanas, la página le indicará cómo gestiona el cobro de aranceles la aduana de su país. Generalmente es a través del portal oficial de aduanas de su país (SAT en México, DIAN en Colombia, AFIP en Argentina, Agencia Tributaria en España, CBP en EE. UU., HMRC en Reino Unido, aduanas locales en UE/CCG/India), no DHL en sí.
5. Borre el SMS y repórtelo. En España, reenvíe el SMS sospechoso al 7726 (servicio gratuito). En México puede reportarlo a la Policía Cibernética (Guardia Nacional); en Colombia al CAI Virtual de la Policía Nacional; en Argentina al Programa Nacional Contra las Criminalidades Informáticas. DHL acepta reportes globales en phishing@dhl.com.

Si ya introdujo los datos de su tarjeta

1. Llame a su banco o abra la aplicación bancaria. Bloquee la tarjeta. La mayoría de las apps bancarias modernas tienen congelamiento con un toque.
2. Solicite una tarjeta de reemplazo con un número nuevo. Actualice las suscripciones legítimas cuando llegue.
3. Revise el estado de cuenta de la tarjeta en busca de pequeños cargos de prueba (0,99 USD, 1,05 USD, 4,99 USD) durante las próximas 24 horas. Son el atacante comprobando si la tarjeta sigue activa.
4. Dispute cualquier cargo no autorizado con su banco bajo "fraude" o "transacción no autorizada". La mayoría de las tarjetas reembolsan dentro de 7 días.
5. Repórtelo a la agencia antifraude de su país: en México a la Policía Cibernética, en Colombia al CAI Virtual, en Argentina al Programa Nacional Contra las Criminalidades Informáticas, en España al INCIBE (017), en EE. UU. a reportfraud.ftc.gov, en Reino Unido a Action Fraud.
6. Si también introdujo una contraseña de cuenta (algunas variantes piden "inicio de sesión de Amazon para verificar el envío"), cambie esa contraseña en cualquier lugar donde la haya reutilizado. Active la verificación en dos pasos (2FA).

Por qué DHL es el objetivo global

DHL tiene el mayor volumen internacional de paquetes de cualquier transportista. En países donde Amazon, AliExpress, Temu, Shein, ASOS, eBay y otras compras transfronterizas son comunes, "estoy esperando una entrega de DHL" es cierto para una proporción significativa de los usuarios móviles en cualquier momento dado. Los estafadores envían millones de mensajes a números de listas públicas de filtraciones y simplemente esperan al 0,1% al 1% que justo en ese momento está esperando un paquete de DHL.

La estafa funciona especialmente bien en mercados donde:

• Los aranceles aduaneros sobre las importaciones son reales (México, Colombia, Argentina, España, Brasil, el Golfo, India). En América Latina los cargos aduaneros son una preocupación legítima, lo que da credibilidad al gancho.
• La comunicación de DHL en el idioma local se mezcla con inglés, por lo que los usuarios no reconocen la redacción legítima de la plantilla.
• El SMS sigue siendo el canal principal de notificación de entregas (sectores demográficos mayores, zonas rurales).

La misma estafa funciona con FedEx, UPS, USPS, Royal Mail, Australia Post, India Post, Aramex, Emirates Post y básicamente cualquier otro transportista importante. La plantilla es intercambiable. Solo cambia el logotipo.

Cómo la defensa a nivel de navegador detecta esto antes

Los operadores móviles bloquean algunas URL de smishing a nivel de SMS, pero la tasa de detección está muy por debajo del 30% porque las URL rotan constantemente. La defensa que funciona está en el destino del clic. Cuando usted toca el enlace del SMS y aterriza en una página falsa de DHL, un escáner a nivel de navegador puede reconocer que la página está suplantando a DHL y bloquearla antes de que escriba el número de tarjeta.

SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge (con compatibilidad también para Edge en Android) que escanea cada URL antes de que la página se cargue. Su base de datos de más de 550 marcas incluye DHL, FedEx, UPS, USPS y los principales transportistas regionales. Instale SafeBrowz gratis en el dispositivo donde recibe los mensajes de paquetes.

Preguntas frecuentes

¿DHL alguna vez cobra tasas aduaneras a través de un enlace por SMS?

No. DHL cobra los aranceles a través del sistema aduanero de su país, generalmente en la entrega o mediante el portal oficial de aduanas nacional. DHL no envía enlaces de "pague ahora" por SMS para aduanas. Puede enviar una actualización de estado diciendo "su paquete necesita despacho aduanero", pero el paso de pago lo gestiona usted contactando al transportista o pagando en la entrega, no tocando un enlace de SMS.

El número de seguimiento en el mensaje parece real. ¿No prueba eso que el mensaje es de DHL?

No. El formato del número de seguimiento es público, y los estafadores generan números falsos que parecen correctos. Algunos estafadores también usan números de seguimiento reales obtenidos de filtraciones de datos. Un número de seguimiento de aspecto real no es prueba de legitimidad. Verifique escribiendo dhl.com manualmente e introduciendo el número allí.

Estoy en [México/Colombia/Argentina/España]. ¿DHL realmente se comunica en mi idioma local?

Sí. La mensajería real de DHL está localizada en los idiomas principales del país. Las estafas a menudo usan un español torpe o una mezcla de inglés y español mal traducido. La comunicación real de DHL, incluso en mercados de habla hispana, tiene una redacción corporativa consistente que los estafadores a menudo no logran imitar.

Pagué los 2,99 USD con mi tarjeta pero nunca recibí un paquete. ¿Era una tasa real de DHL?

No. No existe una tasa real de DHL de 2,99 USD. Si pagó, los 2,99 USD ahora están perdidos (un monto pequeño, generalmente por debajo del umbral de devolución del banco). El daño real es que el estafador ahora tiene los datos de su tarjeta y los usará para fraudes de mayor valor. Llame a su banco para bloquear la tarjeta de inmediato.

¿Y si tengo una entrega real de DHL en camino y me preocupa perderme la notificación legítima?

Use el seguimiento del pedido en la tienda, no el SMS. Las tiendas (Amazon, AliExpress, ASOS, Shein, etc.) enlazan directamente a la página de seguimiento del transportista real en su cuenta. Ese enlace está verificado. O abra la aplicación de DHL y añada el número de seguimiento manualmente.

¿Cómo reenvío un mensaje de phishing de DHL para que sea bloqueado?

En España, reenvíelo al 7726 (gratuito en la mayoría de los operadores). En México puede reportarlo a la Policía Cibernética (Guardia Nacional); en Colombia al CAI Virtual; en Argentina al Programa Nacional Contra las Criminalidades Informáticas. DHL también acepta reportes globales en phishing@dhl.com: reenvíe el SMS como captura de pantalla con el número del remitente visible.

Lectura relacionada

• Estafa del mensaje de "entrega fallida" de USPS - mismo manual, transportista de EE. UU.
• Estafa del mensaje de "entrega perdida" de FedEx
• Estafa de correo y SMS de "confirmación de pedido" de Amazon
• Cómo saber si un sitio web es una estafa

En resumen: La estafa de tasas aduaneras de DHL es la prima internacional de las estafas de USPS y FedEx: mismo manual, distinto logotipo. La defensa es idéntica. Nunca toque enlaces en SMS. Verifique escribiendo dhl.com manualmente. Los aranceles aduaneros reales se pagan a través del sistema aduanero de su país, no a través de enlaces de mensaje aleatorios. Añada un escáner a nivel de navegador como SafeBrowz para los momentos en que usted se olvide.