Resumen rápido. Entre Black Friday y mediados de enero, los SMS de smishing que suplantan a USPS, FedEx, DHL, UPS, Royal Mail, Australia Post, Canada Post y La Poste Colissimo triplican su volumen. La variante dominante de 2026 dice que tu paquete está retenido en aduanas y pide una pequeña tasa de importación (de 3 a 8 dólares o de 2 a 8 euros) en una página falsa que imita a la mensajería. La tasa es la tapadera. Los datos de la tarjeta son el objetivo real, y suelen probarse para fraude de mayor importe entre seis y doce semanas después, cuando los extractos navideños ya se han ignorado. Las USPS, FedEx, DHL y Royal Mail reales nunca cobran tasas aduaneras por enlace SMS. Teclea el dominio de la mensajería a mano y verifica allí el número de seguimiento. Si ya pagaste, llama hoy mismo al emisor de tu tarjeta y disputa el cargo.

Los 4,50 € de tasa aduanera que pagó Rebecca a finales de diciembre

Rebecca pidió un regalo de Navidad para su hermana pequeña el 14 de diciembre: un perfume de 89 dólares en la web de una pequeña boutique francesa de la que había leído en una guía de regalos navideños. La confirmación del pedido decía entre diez y catorce días hábiles para la entrega internacional. El cumpleaños de su hermana caía el 3 de enero, así que el plazo cuadraba de una manera u otra.

El 22 de diciembre, hacia las 20:40, le llegó el SMS.

"USPS: Tu paquete internacional está retenido en aduanas. 4,50 € de tasa de importación pendientes. Haz clic aquí para liberar: usps-customs-pay.com/release/9821"

Rebecca lo pensó durante unos cuatro segundos. Sí, había pedido algo a Francia. Sí, los paquetes internacionales a veces llevan tasas aduaneras. 4,50 € era menos que un café. El nombre de la mensajería, USPS, aparecía al principio del mensaje. El regalo de su hermana estaba dentro del paquete. Faltaban tres días para Navidad. La carga mental de aquella semana era un noventa por ciento logística de regalos y un diez por ciento todo lo demás.

Tocó el enlace. La página que se abrió era un clon casi perfecto del portal de pago de USPS: el logotipo del águila azul, el tono exacto de rojo y blanco, un widget de seguimiento que devolvía un genérico "Retenido: Centro de Servicio de Importación" al introducir el número falso del SMS. Había un formulario para número de tarjeta, caducidad, CVV y código postal de facturación. Pagó los 4,50 € con la tarjeta de débito Visa vinculada a su cuenta corriente principal. La pantalla de confirmación decía "Pago recibido. Tu paquete será liberado en 24 horas." Un número de confirmación de apariencia real. Nada parecía raro.

El paquete real de la boutique francesa llegó el 28 de diciembre, totalmente desconectado del SMS, sin tasas aduaneras, sin drama. A Rebecca le pareció brevemente extraño el momento, pero no ató cabos. Pasaron las fiestas. Año Nuevo. Visitas familiares. Vuelta al trabajo. La caja del perfume de 89 dólares pasó del árbol a su hermana.

El 8 de febrero, seis semanas y media después del SMS, Rebecca abrió la aplicación del banco a la hora de comer y encontró tres transacciones que no reconocía. Un cargo de 640 dólares en una tienda online de lujo que nunca había usado. Una recarga de 720 dólares en una app de transporte en una ciudad que nunca había visitado. Una compra de tarjetas regalo de 440 dólares. Total: 1.800 dólares. Una semana antes habían probado la tarjeta con un cargo pequeño de 1,50 dólares que ella había pasado por alto porque parecía una cuota recurrente de algún servicio. Luego la vaciaron.

El banco le devolvió los cargos tras una disputa de cuatro semanas, que es la ventana habitual de la Fair Credit Billing Act de EE. UU. para transacciones no autorizadas. Recuperó el dinero. Pero los datos de la tarjeta del 22 de diciembre ya se habían revendido en un mercado mayorista de la dark web al menos dos veces antes de que la disputa cerrara la ventana, lo que significa que los datos siguen circulando. Le reemitieron la tarjeta. Su correo y su teléfono son ya elementos permanentes en varias listas de objetivos de estafa, y eso es un problema lento de combustión propia.

Los datos de la tarjeta fluyeron hacia el mismo ecosistema amplio que describimos en nuestra guía de pagos online seguros y tarjetas virtuales para 2026. Los mercados mayoristas de tarjetas robadas en la dark web procesan millones de registros de tarjetas por trimestre según varios análisis de mercados clandestinos de 2024, y las olas estacionales de smishing son uno de sus mayores eventos de reabastecimiento del año.

Rebecca es un ejemplo. El informe Consumer Sentinel Network 2024 de la FTC muestra que el fraude conducido por mensajes de texto costó a los consumidores estadounidenses 470 millones de dólares en 2024, la cifra más alta jamás registrada para este vector, y el trimestre navideño es de manera constante el más pesado. El aviso del Internet Crime Complaint Center del FBI de 2024 sobre estafas de SMS de entrega y aduanas señaló específicamente la ventana de noviembre a enero como el período de mayor riesgo.

Por qué de noviembre a enero es la ventana perfecta para la estafa

El trimestre navideño no solo concentra más volumen de smishing. Es estructuralmente más fácil de atacar para los criminales en esta ventana por cuatro motivos concretos.

Motivo 1: El volumen real de paquetes internacionales está en su pico anual. El aviso de temporada navideña 2024 de la Oficina del Inspector General de USPS señaló que el volumen entrante de paquetes internacionales a EE. UU. se duplica entre mediados de noviembre y finales de diciembre frente al resto del año, impulsado por compras de regalos de comercio electrónico desde el extranjero. El mismo patrón aparece en los datos de Royal Mail en el Reino Unido, de Canada Post en Canadá y de Australia Post en Australia. Más paquetes internacionales reales significa más destinatarios capaces de creer plausiblemente "sí, pedí algo del extranjero".

Motivo 2: Las múltiples entregas previstas confunden cuál es cuál. Un hogar estadounidense típico recibe entre cinco y quince paquetes entre Black Friday y el 25 de diciembre según el análisis de BBB Scam Tracker de las reclamaciones navideñas de 2024. Con tantos paquetes entrantes, el coste mental de cruzar un aviso por SMS concreto con un pedido concreto es alto. El destinatario a menudo no sabe en realidad qué mensajería lleva qué pedido, sobre todo cuando los comercios reparten entre varias mensajerías según el almacén de origen. "USPS dice que mi paquete está retenido" se registra como plausible sin más comprobaciones.

Motivo 3: El atasco postnavideño alarga la ventana creíble. El mito de que la ola de smishing termina el 25 de diciembre es falso. Las propias mensajerías publican cada año avisos de "se esperan retrasos hasta mediados de enero", lo que significa que los SMS que afirman "tu paquete está retrasado en aduanas" siguen siendo plausibles bien entrado el año nuevo. El aviso de Ciberseguridad para Compras Navideñas de CISA de 2024 señaló específicamente el período postnavideño de enero como un periodo de alto riesgo continuado, no la temporada baja que la mayoría de consumidores asume.

Motivo 4: Vigilancia reducida durante la ventana de estrés. La temporada navideña se correlaciona con estrés elevado, menos sueño, más decisiones financieras por día y más volumen de SMS en general. La combinación baja el umbral medio de "comprobar antes de tocar" del usuario. El aviso navideño de 2024 de Action Fraud UK señaló que las pérdidas reportadas por víctima son entre un 30 y un 40 por ciento más altas en la ventana de noviembre a enero que en el resto del año, lo que sugiere que las víctimas no solo son más numerosas, sino que también recorren más pasos del embudo antes de detenerse.

Las 5 variantes activas de 2026

El texto rota cada pocas semanas a medida que los filtros antispam de las operadoras se ponen al día, pero las plantillas subyacentes son estables. Si tu SMS entrante encaja con cualquiera de estas, trátalo como estafa por defecto.

Variante 1: El SMS de tasa aduanera

"USPS: Tu paquete internacional está retenido en aduanas. 4,50 € de tasa de importación pendientes. Paga para liberar: [enlace]"

La variante dominante de 2026. Funciona porque la cuantía es deliberadamente pequeña (típicamente 2,99 a 8,99 dólares o 2 a 8 euros), el pretexto aduanero es singularmente creíble en envíos internacionales y la presión temporal es implícita ("antes de la entrega"). Los datos de la tarjeta se recogen en una página casi perfecta que imita a USPS, FedEx, DHL, Royal Mail o Colissimo. Las USPS, FedEx, DHL, UPS, Royal Mail, Australia Post, Canada Post y La Poste Colissimo reales nunca cobran tasas aduaneras a través de un enlace SMS. La aduana se gestiona en el momento de la entrega en persona, mediante tu agente aduanero o vía una factura del departamento de facturación de la mensajería por correo electrónico o postal.

Variante 2: Reprogramar entrega fallida

"USPS: Intentamos entregar tu paquete hoy pero no había nadie disponible. Reprograma antes de devolverlo al remitente: [enlace]. Se aplica una tasa de 1,99 $ por reentrega."

La clásica plantilla de entrega fallida, reutilizada para la ventana navideña. Contenido hermano cubre esto en detalle en nuestra guía del SMS falso de entrega no realizada de FedEx y en nuestra guía del SMS falso de entrega fallida de USPS. La temporada navideña dispara la tasa de conversión porque el destinatario espera entregas de verdad y no está en casa para comprobar si hubo un intento real de entrega. Las mensajerías reales dejan avisos físicos o notificaciones dentro de la cuenta en la app, nunca enlaces de pago por SMS.

Variante 3: Verificación de dirección

"FedEx: No pudimos verificar la dirección de destino para el número de seguimiento 7747... Confirma en [enlace] en las próximas 24 horas."

El número de seguimiento falso parece real (los números de las mensajerías siguen reglas de longitud y patrón estándar que son fáciles de imitar), lo que aporta legitimidad. La página recoge la reintroducción completa de la dirección y a veces teléfono, correo y fecha de nacimiento. Cosecha de perfil de identidad, a veces combinada con un "cargo de verificación de 0,99 $" para capturar la tarjeta. La versión DHL de esto está cubierta en nuestra guía de la estafa SMS de seguimiento de paquetes DHL.

Variante 4: Impuesto pendiente antes de la entrega

"Royal Mail: Tu paquete desde [país] está retenido por un pago de IVA de 2,99 £. Paga ahora para recibir la entrega: [enlace]"

La variante específica de Reino Unido y la UE. El IVA sobre bienes importados es una obligación real para paquetes por encima de ciertos umbrales de valor (135 £ en el Reino Unido, 150 € en la UE según las reglas aduaneras vigentes), lo que da al pretexto un peso real. Action Fraud UK y Police Scotland señalaron esta variante en sus avisos navideños de 2024 como la plantilla de smishing británica de mayor volumen durante diciembre y enero. Las HMRC, Royal Mail y La Poste Colissimo reales nunca cobran IVA vía enlace SMS. Nuestra guía de smishing de entregas Colissimo y La Poste en Francia cubre la versión francesa de esta estafa en profundidad.

Variante 5: Regalo de Navidad retenido en almacén

"Servicio Navideño de USPS: Tu paquete de regalo está retenido en nuestro almacén navideño. Confirma las preferencias de entrega y paga 3,99 $ de tasa de liberación urgente: [enlace]"

La variante específicamente estacional, que solo se ejecuta desde finales de noviembre hasta principios de enero. Juega con el peso emocional de la entrega de regalos (no quieres que el regalo navideño de tu hermana se quede atascado en un almacén). El marco de "tasa de liberación urgente" hace que el pequeño pago parezca una mejora de servicio en lugar de un impuesto. Los datos de la tarjeta fluyen al mismo backend que el resto de variantes. No existe ningún "almacén navideño" en ninguna mensajería real. Las rutas de entrega estándar se aplican todo el año.

Cómo funcionan de verdad las notificaciones reales de USPS, FedEx, DHL y aduanas

La defensa más sencilla es saber cómo es una notificación real. Memoriza estos hechos.

  • Las mensajerías reales solo te escriben si te suscribiste. USPS Informed Delivery, FedEx Delivery Manager, las notificaciones de DHL eCommerce, las alertas Track and Trace de Royal Mail, las Delivery Notifications de Canada Post y las alertas de la app AusPost de Australia Post son servicios de suscripción opcional vinculados a una cuenta real y a un número de seguimiento real que registraste. Los SMS aleatorios no solicitados a personas que nunca se suscribieron no son legítimos.
  • Las tasas aduaneras reales se pagan en el momento de la entrega en persona o en la cuenta de la app de la mensajería. USPS cobra cualquier tasa aduanera debida al destinatario en la puerta antes de entregar el paquete. FedEx y UPS facturan la aduana a través de tu cuenta o envían una factura por correo. DHL cobra a través de la cuenta de la app del destinatario o en la puerta. La Poste Colissimo y Royal Mail gestionan la aduana mediante sus apps oficiales o enviando una factura pagable por canal postal. Ninguna de estas compañías usa un enlace SMS para cobrar una tasa aduanera de 4 dólares a una tarjeta Visa.
  • Los SMS reales de mensajería no contienen enlaces de pago en los que se pueda hacer clic. Los mensajes de estado reales te dirigen al dominio principal de la mensajería para hacer el seguimiento y pagar. Escribes el dominio a mano, no haces clic.
  • Las tasas aduaneras no aparecen antes de que el paquete llegue al país. Si pediste algo el 14 de diciembre y recibes un SMS de "retenido en aduanas" el 22 de diciembre, es posible que el paquete ni siquiera haya salido del país de origen. Comprueba el estado del tránsito en el sitio real de la mensajería antes de pagar cualquier "tasa".
  • Las tasas aduaneras reales no se cobran a paquetes bajo los umbrales de valor. En EE. UU. de minimis por debajo de 800 dólares, en la UE por debajo de 150 € exento de IVA, en el Reino Unido por debajo de 135 £ exento de IVA (reglas posteriores a 2021). Un perfume de 89 € desde una boutique francesa está por debajo del umbral de aranceles de EE. UU. y la UE es irrelevante para un destinatario estadounidense. Una reclamación de "4,50 € de tasa aduanera" sobre un paquete por debajo del umbral es matemáticamente errónea.

Señales de alerta en cualquier SMS de entrega

  • El SMS lleva un enlace en el que se puede hacer clic que pide una tasa. Los SMS reales de mensajería nunca cobran pagos vía enlace incrustado. La pista más grande.
  • La URL no está en el dominio real de la mensajería. El USPS real vive en usps.com. El FedEx real en fedex.com. El DHL real en dhl.com o sus variantes por país. La Royal Mail real en royalmail.com. La Poste Colissimo real en laposte.fr o colissimo.fr. Cualquier otra cosa es falsa.
  • El enlace está acortado. bit.ly, tinyurl.com, t.ly, cutt.ly, urlkub.co o cualquier otro acortador. Las mensajerías reales no acortan sus propias URLs.
  • El dominio mezcla la palabra de la mensajería con guiones. Ejemplos: usps-customs-pay.com, fedex-tracking.live, dhl-clearance.xyz, royalmail-postage.click, colissimo-verify.top. Las mensajerías reales no juntan el nombre de la marca con palabras descriptivas mediante guiones.
  • El dominio usa un TLD sospechoso. .xyz, .top, .live, .click, .cn, .ru, .icu u otros TLDs de bajo coste. Las mensajerías reales usan .com, dominios de código de país como .co.uk, .fr, .de, .ca o .com.au.
  • El número de seguimiento no encaja con el formato de la mensajería. Los de USPS tienen 20 a 22 dígitos. Los de FedEx 12 a 15 dígitos. Los de DHL 10 dígitos o alfanuméricos. Los de UPS empiezan con 1Z y tienen 18 caracteres. Los de Royal Mail tienen 13 caracteres terminados en GB. Cualquier cosa fuera de patrón es falsa.
  • Lenguaje de urgencia atado a una tasa pequeña. "Paga en 24 horas" más "tasa de 2,99 $" es el diseño emocional exacto que usan los kits de smishing para saltarse la verificación del usuario.
  • El importe es sospechosamente específico y pequeño. Las tasas reales de las mensajerías son o bien cero (la mensajería las absorbe) o bien se facturan a través de tu cuenta. No aparecen como una demanda de 3,97 $ o 4,50 € vía enlace SMS.

La comprobación de URL de 5 segundos

No hace falta memorizar todos los patrones de URL. Usa esta rutina con cualquier SMS navideño.

  1. No toques el enlace. Trata cualquier SMS de mensajería con enlace de pago como una estafa por defecto.
  2. Abre una pestaña nueva del navegador. Teclea el dominio real de la mensajería a mano: usps.com, fedex.com, dhl.com, ups.com, royalmail.com, canadapost.ca, auspost.com.au, laposte.fr. Guárdalos como favoritos para el año que viene.
  3. Busca el número de seguimiento en el sitio real. Pega el número del SMS (si lo hay) en la caja oficial de seguimiento. Los números falsos devuelven "Sin información". El seguimiento real muestra el historial completo de tránsito. Si el número no existe, el SMS es falso.
  4. Si tienes que pagar aduana, hazlo desde la cuenta de la mensajería o en su app. El cobro real de aduanas pasa por la cuenta autenticada de la mensajería o en la entrega, no por un enlace SMS aleatorio.
  5. Denuncia el SMS de smishing. Reenvía al 7726 (el código corto universal de spam por SMS en EE. UU., Canadá, Reino Unido y Australia), denuncia en reportfraud.ftc.gov, abre denuncia en FBI IC3 y denuncia la suplantación de mensajería en uspis.gov/report específicamente para la suplantación de USPS. Después borra el mensaje.

Si quieres una segunda opinión sobre un enlace concreto, pégalo en el verificador de URL de SafeBrowz. El verificador desenvuelve los acortadores, comprueba la edad del dominio (la mayoría de destinos de smishing tienen menos de 30 días), pasa la URL por listas negras comunitarias y devuelve un veredicto en pocos segundos. No necesita inicio de sesión.

La defensa con tarjeta virtual

La mejor defensa técnica contra la captura de tarjetas en Navidad es no introducir nunca tu número principal de tarjeta en un formulario al que llegaste por SMS. Aunque la página parezca real. Usa un número de tarjeta virtual desde tu banco, desde la app del emisor de tu tarjeta o desde servicios como Privacy.com, las Tarjetas Virtuales Desechables de Revolut, la Tarjeta Virtual de Wise o la función Número de Tarjeta de tu Apple Card. Una tarjeta virtual te permite poner un límite por transacción o por comercio, y puedes matar el número con un toque si te lo estafan. Nuestro repaso completo está en la guía de pagos online seguros y tarjetas virtuales para 2026.

Para tarjetas de crédito, la Fair Credit Billing Act de EE. UU. te da 60 días para disputar transacciones no autorizadas, la Consumer Credit Act del Reino Unido da 13 meses para contracargos de la Sección 75 sobre compras superiores a 100 £, y el código PSP de Canadá da 30 días. Conocer la ventana importa porque el ciclo smishing-fraude de tarjeta a menudo tarda de seis a doce semanas en desplegarse, mucho más allá del momento del toque original.

Qué hacer si ya pagaste la tasa falsa

Si tocaste el enlace y pagaste la tasa, trátalo como un compromiso de tarjeta, no como una pequeña pérdida.

  • Llama al emisor de tu tarjeta de inmediato. El número del dorso de tu tarjeta física. No busques en Google "número de fraude [banco]" porque los estafadores de soporte técnico operan listados falsos, en particular durante la ventana navideña cuando el volumen de llamadas es alto. El banco cancelará la tarjeta y emitirá una nueva. La mayoría de grandes emisores tiene líneas de fraude 24/7.
  • Revisa el historial de transacciones por cargos no autorizados. Disputa cualquier cosa sospechosa en 60 días (Fair Credit Billing Act de EE. UU.), 13 meses (Sección 75 del Reino Unido) o la ventana equivalente en tu país. La mayoría de atacantes esperan de seis a doce semanas antes de probar la tarjeta, lo que significa que tienes que seguir revisando durante enero y febrero.
  • Añade una alerta de fraude en las tres centrales de crédito de EE. UU. (Equifax, Experian, TransUnion). Una llamada a cualquiera de las tres se propaga a las otras. La alerta es gratis y dura 12 meses. Los residentes del Reino Unido lo hacen vía Experian, Equifax o TransUnion UK. Los canadienses vía Equifax Canada o TransUnion Canada.
  • Presenta denuncia en reportfraud.ftc.gov (EE. UU.), actionfraud.police.uk (Reino Unido) o antifraudcentre-centreantifraude.ca (Canadá). Esto alimenta los datos de fuerzas del orden y protección al consumidor.
  • Si también introdujiste número de seguro social, pasaporte o fecha de nacimiento, coloca un bloqueo de crédito en las tres centrales (gratuito, bloquea cuentas nuevas a tu nombre), abre denuncia en identitytheft.gov y revisa tu cuenta del IRS o HMRC para asegurarte de que no se ha presentado ninguna declaración fraudulenta.
  • Si descargaste un APK en Android, desinstálalo de inmediato y ejecuta un escáner antivirus móvil. Algunas variantes navideñas de smishing de 2026 instalan una "app de seguimiento de mensajería" que en realidad es un troyano bancario que cosecha códigos SMS de un solo uso de las apps reales de banca.

Cómo denunciar el smishing navideño

Denunciar alimenta las señales de detección a nivel de red y da a las autoridades de protección al consumidor los datos que necesitan para emitir nuevos avisos. Los canales útiles:

  • Reenvía el SMS al 7726. Código corto universal de spam por SMS en EE. UU. (funciona en AT&T, Verizon, T-Mobile), Canadá, Reino Unido y Australia. Gratis. Tu operadora bloquea al remitente en horas si se acumulan varias denuncias.
  • FTC Consumer Sentinel. reportfraud.ftc.gov. Base de datos federal de protección al consumidor de EE. UU. Alimenta a las fuerzas del orden y a las políticas públicas.
  • FBI IC3. ic3.gov. Internet Crime Complaint Center de EE. UU. Importante para pérdidas por encima de 500 dólares o para robo de identidad documentado.
  • USPIS para suplantación de USPS. uspis.gov/report. Servicio de Inspección Postal de EE. UU. Gestiona el fraude postal y de paquetería específicamente.
  • Buzones de fraude de FedEx, DHL, UPS. abuse@fedex.com, phishing-dpdhl@dhl.com, fraud@ups.com. Las mensajerías mantienen equipos de seguridad dedicados que rastrean campañas y solicitan retiradas a los proveedores de hosting.
  • Action Fraud UK. actionfraud.police.uk o 0300 123 2040. Centro nacional británico de denuncia de fraude y ciberdelito.
  • Canadian Anti-Fraud Centre. antifraudcentre-centreantifraude.ca o 1-888-495-8501. Base de datos nacional con sólidas analíticas de la ventana navideña.
  • ScamWatch Australia. scamwatch.gov.au. Brazo de protección al consumidor de la ACCC.
  • Cybermalveillance.gouv.fr. Portal nacional francés de ciberdelincuencia. También accesible mediante 33700 para denunciar spam SMS en Francia.
  • España e INCIBE. En España, denuncia ante el Grupo de Delitos Telemáticos de la Guardia Civil o la Policía Nacional, y reporta el caso al INCIBE en incibe.es.

Por qué la ola navideña sigue creciendo año tras año

Los datos de la temporada navideña 2024 de BBB Scam Tracker mostraron que la categoría de smishing y estafa de paquetes de noviembre a enero subió aproximadamente un 35 por ciento interanual, con pérdidas reportadas concentradas en la ventana postnavideña, cuando las víctimas descubren el fraude solo después de recibir los extractos navideños. Tres motivos estructurales.

La infraestructura de ataque es ya llave en mano. Los kits de Phishing-as-a-Service que se venden en mercados clandestinos por entre 50 y 500 dólares vienen con plantillas de suplantación prefabricadas para USPS, FedEx, DHL, UPS, Royal Mail, Canada Post, Australia Post, La Poste Colissimo y Deutsche Post DHL. No hace falta nivel técnico para lanzar una campaña. Un portátil, unos dólares en registros de dominio, una lista de números de teléfono, y ya estás en marcha.

SMS no tiene equivalente al filtrado antispam de correo. El filtrado antispam a nivel de operadora existe pero va veinte años por detrás del email y procesa solo una fracción del tráfico de mensajes. Hasta que la autenticación de remitente al estilo STIR/SHAKEN se despliegue del todo para SMS (se discute desde 2022 y sigue incompleta), el canal está esencialmente abierto de par en par.

El coste de una campaña fallida es prácticamente cero. Los dominios se queman en 24 a 72 horas tras las primeras denuncias por abuso, pero el atacante levanta el siguiente de inmediato. El hosting en Cloudflare Pages, Vercel, Netlify o cualquier plataforma gratuita con TLS es automático e instantáneo. El ciclo de retirada es ruido de fondo permanente; los atacantes operan en ciclos más cortos que los defensores.

Nota editorial sobre las fuentes. El escenario de Rebecca es ilustrativo, no un caso único específico. Se construyó a partir de patrones de ataque reales documentados en 2024 y 2025 por el aviso de 2024 del Internet Crime Complaint Center del FBI sobre estafas SMS de entrega y aduanas, el dossier de datos del Consumer Sentinel Network 2024 de la FTC, el aviso de temporada navideña 2024 de la Oficina del Inspector General de USPS, el aviso de Ciberseguridad para Compras Navideñas 2024 de CISA, los informes de noviembre a enero 2024 de BBB Scam Tracker, los avisos navideños 2024 de Action Fraud UK, las advertencias de fraude navideño 2024 de Police Scotland y el boletín sobre la ola navideña 2024 del Canadian Anti-Fraud Centre. Los nombres, lugares, diálogos y cantidades concretas del escenario de Rebecca están dramatizados para ganar claridad. Las víctimas reales han vivido prácticamente la misma cadena de eventos en volúmenes significativos en las cuatro jurisdicciones. La mención de Privacy.com, Revolut, Wise y Apple Card es ilustrativa de la categoría de tarjeta virtual y no constituye un respaldo de SafeBrowz.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1, Detección local: más de 60 firmas de patrones de URL junto con más de 550 firmas específicas de marca (USPS, FedEx, DHL, UPS, Royal Mail, Canada Post, Australia Post, La Poste Colissimo, Deutsche Post DHL, Japan Post, India Post y otras marcas de mensajería) corren directamente en tu navegador. Atrapa los patrones de palabra-de-mensajería-en-TLD-no-de-mensajería, los lookalike con guiones, los homógrafos cirílicos y los subdominios de hosting gratuito en el momento del clic, antes de que cargue la página falsa de pago.
  • Capa 2, Verificación con APIs: Google Safe Browsing, PhishTank, URLhaus y ScamAdviser cruzan referencias en el servidor. Atrapa URLs maliciosas conocidas en el momento en que se denuncian en cualquier parte del mundo, incluidos los dominios lookalike desechables que se queman y reconstruyen cada 24 a 72 horas durante la ventana navideña.
  • Capa 3, Análisis IA profundo (Premium): el análisis de contenido detecta páginas de suplantación de mensajería completamente nuevas que ninguna lista de bloqueo ha visto todavía. La página falsa de aduanas de USPS que se publicó hace cuatro horas y se está difundiendo por SMS justo ahora. Funciona en más de 100 idiomas, así que el mismo motor atrapa los lookalike franceses de Colissimo, los lookalike británicos de Royal Mail, los lookalike australianos de AusPost y los lookalike canadienses de Canada Post de la misma manera.

Las firmas de detección se derivan de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de datos de navegación del usuario. SafeBrowz no almacena historial de navegación por usuario.

Bloquea automáticamente los destinos de smishing navideño

SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge que detecta páginas de suplantación de USPS, FedEx, DHL, UPS, Royal Mail, La Poste Colissimo, Canada Post, Australia Post y otras mensajerías en el momento en que cargan. La protección base es gratis para siempre. Premium añade detección de JavaScript de drainer y análisis IA profundo ilimitados por 14,99 $ al año, o mantén 10 millones de tokens $SAFEBROWZ en Base para acceso Premium ilimitado. No se necesita instalación para revisar un único enlace; el verificador público gratuito de URL cubre los casos puntuales.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Preguntas frecuentes sobre estafas de aduanas navideñas

¿Cobran las mensajerías reales tasas aduaneras por SMS?

No. USPS, FedEx, DHL, UPS, Royal Mail, La Poste Colissimo, Canada Post y Australia Post no cobran aranceles aduaneros ni tasas de importación vía enlace SMS. La aduana real se cobra en la entrega en persona, mediante la cuenta o app autenticada del destinatario en la mensajería, o por factura del departamento de facturación enviada por correo electrónico o postal. Cualquier SMS que te pida pagar una tasa aduanera en un formulario de tarjeta mediante un enlace en el que se hace clic es una estafa.

¿Por qué la estafa de tasa aduanera es más común en Navidad?

Tres motivos. El volumen real de paquetería internacional hacia EE. UU., el Reino Unido, la UE, Canadá y Australia se duplica aproximadamente entre mediados de noviembre y finales de diciembre, lo que significa que más gente cree de verdad que tiene un paquete internacional entrante. Las múltiples entregas previstas mezclan qué mensajería lleva qué pedido, reduciendo el coste mental de comprobar. Y el estrés navideño baja el umbral medio del usuario para verificar antes de tocar. Action Fraud UK señaló que las pérdidas por víctima son entre un 30 y un 40 por ciento más altas en la ventana de noviembre a enero que en el resto del año.

Pagué la pequeña tasa falsa. ¿Debería preocuparme por algo más que los 5 dólares?

Sí. La tasa no es el objetivo; tu número completo de tarjeta, caducidad, CVV y código postal de facturación lo son. Los datos de la tarjeta se revenden en mercados mayoristas de la dark web y suelen probarse con fraude de mayor importe entre seis y doce semanas después del toque original, a menudo después de que los extractos navideños ya se hayan revisado y cerrado. Llama hoy mismo al emisor de tu tarjeta para cancelar y reemitir. La Fair Credit Billing Act de EE. UU. te da 60 días para disputar cargos no autorizados. La protección de la Sección 75 del Reino Unido corre 13 meses para compras superiores a 100 £. Actuar ahora previene el fraude lento que viene después.

¿Cómo compruebo si una tasa aduanera es real?

Teclea el dominio real de la mensajería a mano en tu navegador (usps.com, fedex.com, dhl.com, royalmail.com, colissimo.fr, canadapost.ca, auspost.com.au). Entra en tu cuenta o usa la búsqueda de seguimiento para consultar el número del SMS. Las tasas reales aparecen dentro de tu cuenta autenticada. Si el número de seguimiento devuelve "Sin información" o no existe, el SMS es falso. Comprueba también si el valor del paquete siquiera cruzaría el umbral aduanero en tu país (de minimis en EE. UU. 800 dólares, en la UE 150 € exento de IVA, en el Reino Unido 135 £ exento de IVA). Los paquetes por debajo del umbral no deben aranceles.

El SMS vino de un número de 10 dígitos, no de un código corto. ¿Importa?

Sí, eso ya es en sí una señal de alerta. Las notificaciones reales de mensajería vienen de códigos cortos registrados a la mensajería (USPS usa 28777, FedEx usa 48773, DHL usa varios códigos cortos específicos por país). Un número aleatorio de 10 dígitos enviándote un aviso de entrega es casi con seguridad una estafa. Reenvíalo al 7726 para denunciarlo.

Denuncio estafas cada año y el volumen solo crece. ¿Sirve denunciar de verdad?

Sí, aunque las denuncias individuales se sientan de bajo impacto. Las denuncias al 7726 alimentan el bloqueo de remitentes a nivel de operadora, que entra en vigor en horas cuando las denuncias se acumulan. Los datos de la FTC, FBI IC3, Action Fraud, Anti-Fraud Centre y ScamWatch impulsan avisos publicados que advierten a otros consumidores y alimentan la priorización de las fuerzas del orden. Los buzones de fraude de las mensajerías (abuse@fedex.com, phishing-dpdhl@dhl.com) alimentan solicitudes de retirada a los proveedores de hosting. El efecto agregado es real aunque cada denuncia individual se sienta pequeña.

Última actualización 2026-05-29

Cobertura relacionada de SafeBrowz