Comprar de segunda mano en Wallapop o Vinted en 2026 sigue siendo un chollo, pero también un campo minado. Las estafas wallapop y las estafas vinted se han profesionalizado: ya no hablamos del clásico "te pago por Bizum y desaparezco", sino de webs clonadas, mensajeros falsos y pasarelas de pago que parecen oficiales hasta que tu banco te llama. El timo wallapop más extendido este año combina ingeniería social con phishing bancario, y el fraude segunda mano en Vinted se ha disparado con la moda de zapatillas y bolsos de lujo. Esta guía repasa los engaños que más están circulando, las señales para detectarlos a tiempo y qué hacer si has picado para minimizar el daño. Porque la compraventa segura entre particulares existe, pero exige paranoia bien calibrada.
Cómo han evolucionado las estafas en plataformas de segunda mano
Hasta hace tres años, el estafador medio era un aficionado con una cuenta nueva y faltas de ortografía. Eso se acabó. Las redes que operan ahora en Wallapop y Vinted utilizan plantillas de phishing pulidas, dominios casi idénticos a los originales y SMS que llegan al mismo hilo que los mensajes legítimos de tu banco gracias al SMS spoofing.
La Oficina de Seguridad del Internauta (OSI) del INCIBE lleva avisando desde 2024 de un aumento sostenido de denuncias por compraventa entre particulares. La Policía Nacional y la Guardia Civil reportan cada trimestre operaciones contra grupos organizados que reciclan los mismos guiones traducidos al castellano, catalán y portugués.
Los puntos clave del cambio:
- Profesionalización: estafadores con infraestructura técnica (servidores, dominios, pasarelas falsas).
- Multicanal: el contacto empieza en la plataforma y salta a WhatsApp, SMS y email en cuestión de minutos.
- Suplantación de marca: clones perfectos de Wallapop Envíos, Vinted, Correos, SEUR y entidades bancarias.
- Ataques bidireccionales: ya no solo timan al comprador; el vendedor es objetivo prioritario en 2026.
Las estafas más comunes en Wallapop en 2026
El falso enlace de Wallapop Envíos
Eres vendedor. Publicas una PlayStation. Te escribe un "comprador" entusiasta que acepta el precio sin regatear (primera bandera roja). Te pide tu email o teléfono para "agilizar el envío con Wallapop Envíos". Minutos después recibes un correo o SMS con un enlace que imita el panel de Wallapop. Te pide introducir los datos de tu tarjeta para "recibir el cobro".
Spoiler: Wallapop nunca te pide la tarjeta para cobrar. El dinero llega a tu monedero virtual. Si introduces los datos, te vacían la cuenta.
El comprador que paga de más "por error"
Te muestran un justificante falso de transferencia o ingreso superior al precio acordado y te piden que devuelvas la diferencia por Bizum. La transferencia original nunca llega, pero el Bizum que has hecho tú sí ha salido. Pérdida neta y muy difícil de recuperar.
Suplantación de mensajería
El estafador te envía un email que parece de Correos, SEUR o MRW indicando que hay un problema con el paquete y que debes pagar una pequeña tasa aduanera (1,99 €, 2,49 €). El importe es ridículo a propósito: lo que buscan son los datos de la tarjeta para suscribirte a cargos recurrentes o realizar compras fraudulentas. Si quieres entender mejor el patrón técnico detrás de estos engaños, este artículo sobre seguridad en el móvil para Android e iPhone explica cómo se interceptan estos SMS y qué configuraciones bloquearlos.
El producto fantasma
Anuncios con precios muy por debajo del mercado (iPhone 16 Pro por 350 €, por ejemplo). Cuentas recién creadas, sin valoraciones, con fotos sacadas de Google Imágenes. Insisten en cobrar fuera de la plataforma "para ahorrarse comisiones". Pagas, no recibes nada, el perfil desaparece.
Las estafas más extendidas en Vinted
El falso comprador con QR
Variante del timo del enlace pero adaptada a Vinted. Te llega un QR por WhatsApp supuestamente generado por la plataforma para "validar el cobro". Al escanearlo entras en una pasarela clonada que captura las credenciales bancarias. En algunos casos el QR inicia directamente un Bizum saliente desde tu cuenta.
Réplicas de lujo vendidas como auténticas
Bolsos, zapatillas y relojes con fotos reales del producto pero envío de una falsificación. El sistema de protección al comprador de Vinted cubre parte del fraude, pero el proceso de reclamación es lento y muchas devoluciones se complican cuando el vendedor desaparece.
El cambio de etiqueta
El vendedor envía el paquete con una etiqueta a un destinatario distinto. El sistema de Vinted registra "entregado" porque alguien firmó, pero tú no recibes nada. Suele combinarse con cuentas que llevan meses inactivas y son reactivadas para una sola operación masiva.
Phishing posventa
Después de una compra real, recibes un email "de Vinted" diciendo que ha habido un problema con el pago y que debes confirmar tus datos. El email replica el diseño oficial al milímetro. Si miras la cabecera, el remitente es un dominio raro tipo vinted-support-eu.com.
Señales de alerta que deberían encender todas las luces
| Señal | Qué significa |
|---|---|
| Cuenta sin valoraciones o creada hace menos de una semana | Alta probabilidad de cuenta desechable |
| Insistencia en salir de la plataforma (WhatsApp, email, Telegram) | Quieren evitar el rastro y la protección al usuario |
| Precio muy por debajo del mercado | Trampa casi segura para captar pagos rápidos |
| Enlaces acortados o dominios extraños | Phishing casi seguro |
| Prisa, presión emocional, "tengo otro comprador esperando" | Ingeniería social clásica |
| Justificantes de pago en imagen JPG | Fácilmente falsificables con cualquier editor |
| Petición de datos bancarios para "cobrar" | Las plataformas nunca lo hacen así |
Herramientas para verificar antes de pagar
Antes de cerrar cualquier operación que te genere la mínima duda, dedica cinco minutos a comprobar:
- Búsqueda inversa de imágenes: Google Lens o TinEye revelan si las fotos del anuncio están sacadas de otra web. Tarda treinta segundos y descarta la mayoría de fraudes.
- VirusTotal: pega cualquier enlace sospechoso en virustotal.com. Si varios motores lo marcan como malicioso, ni lo abras.
- Have I Been Pwned: comprueba si tu email aparece en filtraciones recientes. Si has reutilizado contraseñas, cámbialas y plantéate empezar a usar un gestor de contraseñas.
- Whois del dominio: si te llega un enlace, comprueba la antigüedad del dominio. Un dominio registrado hace tres días con datos ocultos no es de fiar.
- Validador de IBAN: si te dan un número de cuenta, verifica que el código del banco coincide con una entidad real española.
Qué hacer si has picado en una estafa
Si ya has caído, el tiempo juega en tu contra. Las primeras horas son decisivas para frenar el dinero o limitar el daño.
- Contacta inmediatamente con tu banco: bloquea la tarjeta, cancela la operación si aún es posible y solicita el chargeback si pagaste con tarjeta. Muchas entidades tienen línea 24/7 específica para fraudes.
- Cambia las contraseñas del banco, email y plataforma afectada. Activa el doble factor de autenticación en todo.
- Denuncia en la plataforma: Wallapop y Vinted tienen formularios específicos. Aporta capturas de chat, perfil del estafador y comprobantes de pago.
- Denuncia ante la policía: Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos). Puedes hacerlo online o presencialmente. Sin denuncia no hay caso.
- Reporta a INCIBE a través de la Línea 017. Aportan asesoramiento gratuito y recopilan datos para perseguir redes organizadas.
- Avisa a la AEPD si han usado tus datos personales para suplantarte.
Si el estafador ha conseguido instalarte algún archivo o app sospechosa durante el proceso, repasa también los consejos para borrar datos de forma segura antes de reutilizar cualquier dispositivo comprometido. Y si trabajas con varios dispositivos o gestionas tienda online, conviene conocer cómo se detectan patrones de intrusión con herramientas como las descritas en este análisis de Snort IDS para detección de intrusos.
Buenas prácticas para una compraventa entre particulares sin sustos
- Usa siempre el sistema de envío y pago de la plataforma. Sí, cobran comisión. También te dan protección al comprador.
- Desconfía de cualquier mensaje que te saque del chat oficial.
- No facilites tu número de teléfono ni email hasta haber confirmado la venta.
- Para entregas en mano, queda en lugares públicos con cámaras (estaciones, centros comerciales) y nunca de noche.
- Revisa el producto antes de aceptar la entrega. Una vez aceptada, recuperar el dinero es complicado.
- Activa notificaciones del banco para cualquier movimiento, por pequeño que sea.
- Si vendes electrónica, restaura siempre a fábrica y borra cuentas vinculadas.
Si estás montando un negocio digital y necesitas pasarela propia, comparativas de plataformas o asesoramiento técnico, equipos como creación de páginas web a medida o soluciones de inteligencia artificial para empresas ayudan a integrar verificaciones automatizadas. Para guías más generalistas en castellano sobre vida digital, facilparatodos publica recursos pensados para usuarios no técnicos.
Marco legal: qué dice la normativa
El fraude en compraventa entre particulares está tipificado en el artículo 248 del Código Penal español como estafa. Las penas van desde multa hasta prisión según la cuantía y agravantes. La Ley 34/2002 de Servicios de la Sociedad de la Información y el Reglamento General de Protección de Datos (RGPD) protegen también frente al uso indebido de datos personales obtenidos durante el fraude.
El Reglamento (UE) 2022/2065, conocido como Digital Services Act (DSA), endureció desde 2024 las obligaciones de moderación y transparencia de los marketplaces. Vinted, designada como plataforma de gran tamaño (VLOP) por la Comisión Europea en mayo de 2024, está sujeta a auditorías anuales y obligaciones reforzadas. Wallapop, sin esa designación, queda bajo el régimen general de la DSA y la supervisión nacional.
Preguntas frecuentes
¿Wallapop devuelve el dinero si me estafan?
Solo si has utilizado Wallapop Envíos y el pago se ha hecho dentro de la plataforma. Si pagaste por Bizum, transferencia o fuera del sistema oficial, la plataforma no cubre la operación y la única vía es la denuncia penal y la reclamación al banco.
¿Es seguro dar mi número de cuenta a un comprador en Vinted?
Dar el IBAN para recibir un ingreso no permite por sí solo extraer dinero, pero combinado con otros datos (DNI, dirección, fecha de nacimiento) sí puede usarse para suplantación o solicitar productos financieros. Mejor cobra siempre dentro de la plataforma.
¿Cómo sé si un email de Wallapop o Vinted es real?
Comprueba la dirección completa del remitente, no solo el nombre que aparece. Los dominios legítimos son @wallapop.com y @vinted.es. Cualquier variante (@wallapop-support.eu, @vinted-pay.com) es phishing. Ante la duda, accede a la app directamente sin pinchar en enlaces.
¿Qué pasa si pago con Bizum a un estafador?
Bizum es una transferencia inmediata e irrevocable. Tu banco no puede cancelarla. La única vía es denunciar el fraude e intentar que el banco del receptor congele los fondos, lo que rara vez ocurre a tiempo. Por eso Bizum no debería usarse nunca con desconocidos.
¿Las réplicas de marca en Vinted son legales?
No. Vender productos falsificados como originales constituye un delito contra la propiedad industrial (artículo 274 del Código Penal). Vinted retira los anuncios denunciados, pero la responsabilidad última recae sobre el vendedor.
El siguiente paso
Abre ahora mismo la app de tu banco y activa las notificaciones push para cualquier movimiento, por pequeño que sea. Es gratis, tarda dos minutos y convierte cualquier intento de cargo fraudulento en una alerta inmediata en tu pantalla. Si detectas algo raro, tienes margen para bloquear la tarjeta antes de que el daño se multiplique.
