El phishing de Correos y empresas de paquetería se ha convertido en una de las estafas más repetidas en España. Recibes un SMS de Correos falso o un email diciendo que tienes un paquete retenido, que pagues una tasa de aduanas o que confirmes tus datos. Y picas. Porque estabas esperando un pedido, porque el mensaje parece legítimo, porque tenías prisa. La estafa del paquete funciona precisamente por eso: todos recibimos envíos constantemente. Los ciberdelincuentes lo saben y explotan ese hábito con campañas masivas de phishing de paquetería que imitan a Correos, SEUR, DHL, FedEx, Amazon Logistics y cualquier empresa de mensajería que se te ocurra. El fraude de envío de paquete no discrimina: da igual que tengas 20 años o 70, si el timing coincide con un pedido real, la trampa está servida.
Anatomía de un SMS o email de paquetería falso
El mensaje suele llegar por SMS (lo que se conoce como smishing) o por correo electrónico. El formato es casi siempre el mismo: un texto breve, con urgencia, y un enlace acortado o con un dominio que se parece al oficial pero no lo es.
Ejemplos reales que circulan desde 2023:
- "Correos: su paquete está retenido en aduanas. Pague la tasa de 1,79€ para liberarlo:" seguido de un enlace tipo
correos-entrega.infoo similar. - "SEUR: no hemos podido entregar su envío. Confirme su dirección aquí:" con un enlace a un dominio registrado hace tres días.
- "DHL: su paquete nº ES-38291 requiere verificación. Actualice sus datos:" y una web clonada pixel a pixel.
- "Tienes un paquete pendiente de entrega. Programa la entrega pagando 0,99€:" el clásico microcobro que parece inofensivo.
Todos comparten un patrón: urgencia + acción inmediata + enlace sospechoso. La cantidad que piden suele ser ridícula (entre 0,99€ y 2,99€) para que no te lo pienses. Pero el objetivo no son esos dos euros. Lo que buscan son los datos de tu tarjeta de crédito.
Cómo identificar un phishing de Correos o paquetería en 30 segundos
No necesitas ser analista de ciberseguridad para detectar estas estafas. Basta con fijarte en cinco puntos concretos.
- El remitente. Correos envía desde direcciones
@correos.es. Si recibes un email desdecorreos-envios@gmail.comonotificacion@correos-express.info, es falso. En SMS, el número suele ser genérico, no un shortcode oficial. - El enlace. Antes de pulsar, mantén el dedo sobre el enlace (en móvil) o pasa el ratón por encima (en PC). Si el dominio no es
correos.es,seur.como el oficial de la empresa, no entres. Dominios comocorreos-tracking-es.comson siempre fraudulentos. - La urgencia artificial. "Último aviso", "su paquete será devuelto en 24h", "acción requerida inmediatamente". Las empresas reales no te amenazan con destruir tu paquete si no pagas en dos horas.
- Errores de texto. Tildes mal puestas, frases raras, mezcla de idiomas. Muchas campañas de SMS de Correos falso se generan con traducción automática y se nota.
- El cobro. Correos nunca pide pagos por SMS. Si hay tasas aduaneras reales, se gestionan a través de su web oficial o en la propia oficina. SEUR, DHL y las demás tampoco envían enlaces de pago por mensaje de texto.
Si aún así tienes dudas, abre una pestaña nueva y ve directamente a la web oficial de la empresa. Introduce el número de seguimiento allí. Si no tienes número de seguimiento, probablemente no hay ningún paquete.
Qué pasa si picas: la cadena del fraude
Supongamos que has pulsado el enlace y has metido los datos de tu tarjeta. Esto es lo que ocurre a continuación, paso a paso.
Fase 1: el microcobro. Te cobran los 1,79€ o lo que fuera. Parece que no ha pasado nada grave. Pero tus datos de tarjeta ya están en manos de los atacantes.
Fase 2: cargos mayores. En las siguientes horas o días, empiezan a aparecer cargos de 50€, 100€, 200€ en servicios online, suscripciones que nunca contrataste o compras en tiendas extranjeras. A veces usan tus datos para hacer compras en criptomonedas.
Fase 3: venta de datos. Tu número de tarjeta, junto con miles de otros, se vende en foros de la dark web. Paquetes de datos de tarjetas españolas se comercializan por pocos dólares la unidad. Tu información puede acabar siendo usada meses después por otro grupo criminal distinto.
Si además del pago te han pedido que instales una app o descargues un archivo, la cosa se complica: podrías tener malware en tu dispositivo sin saberlo. En móviles Android, algunas campañas de phishing de paquetería distribuyen troyanos bancarios como Anatsa o Xenomorph — sucesores del ya desmantelado FluBot — que interceptan tus SMS (incluidos los códigos de verificación de tu banco) y vacían tu cuenta.
Qué hacer si ya has caído en la estafa del paquete
Actúa rápido. Cada minuto cuenta.
- Bloquea la tarjeta. Llama a tu banco o usa la app para bloquear la tarjeta que introdujiste. Hazlo ahora, antes de seguir leyendo.
- Revisa los movimientos. Comprueba si ya hay cargos que no reconoces. Si los hay, inicia la reclamación con tu entidad bancaria. Tienes derecho a que te devuelvan cargos fraudulentos según la normativa PSD2 de la Unión Europea.
- Cambia contraseñas. Si usaste la misma contraseña del email en el formulario falso (mucha gente lo hace sin pensar), cámbiala inmediatamente. Activa la verificación en dos pasos. Comprueba en Have I Been Pwned si tu correo está comprometido en otras filtraciones.
- Escanea tu dispositivo. Si descargaste algún archivo o app, analiza el dispositivo con un antivirus actualizado. En Android, revisa los permisos de las apps instaladas recientemente. Cualquier app con permisos de SMS y accesibilidad que no reconozcas debe desaparecer.
- Denuncia. Puedes reportar a la Policía Nacional, Guardia Civil o al INCIBE (017, gratuito). También puedes reportar el SMS o email fraudulento en la web de Correos y en la OSI (Oficina de Seguridad del Internauta). Esto ayuda a que bloqueen los dominios más rápido.
Si sospechas que tu móvil tiene malware después de la estafa, la diferencia entre iOS y Android importa: en iPhone es bastante más difícil que se instale software malicioso, pero no imposible.
Las variantes que están funcionando ahora
Los estafadores evolucionan sus técnicas constantemente. Estas son las variantes de fraude de envío de paquete más activas según alertas del INCIBE y OSI durante 2025 y principios de 2026:
| Variante | Cómo funciona | Señal de alerta |
|---|---|---|
| SMS de aduanas | Piden pagar una tasa para liberar un paquete internacional | Correos gestiona aduanas en su web oficial, nunca por SMS |
| Email con factura adjunta | PDF o ZIP adjunto que contiene malware | Las empresas de paquetería no envían facturas no solicitadas |
| WhatsApp de "repartidor" | Mensaje desde número desconocido pidiendo confirmar dirección | Ninguna empresa contacta por WhatsApp personal |
| QR en aviso de entrega | Dejan una nota física en el buzón con un QR que lleva a web falsa | Los avisos reales tienen código de barras estándar, no QR |
| App de seguimiento falsa | Te invitan a instalar una app para "rastrear tu envío" | Las apps oficiales solo se descargan desde las stores oficiales |
La variante del QR en el buzón es especialmente retorcida. Los atacantes imprimen avisos de entrega que parecen de Correos o Amazon, los meten en buzones físicos y el código QR redirige a una web de phishing. Se han detectado campañas de este tipo en Madrid, Barcelona y Valencia. Si recibes un aviso físico sospechoso, verifica directamente en la web oficial con el número de envío.
Preguntas frecuentes
¿Correos cobra por entregar paquetes retenidos en aduanas?
Sí, pero el cobro se realiza exclusivamente a través de su plataforma oficial (correos.es) o directamente en la oficina de Correos. Nunca te pedirán que pagues a través de un enlace enviado por SMS. Si tienes un paquete internacional con tasas pendientes, lo verás en el seguimiento oficial con tu número de envío.
¿Puedo recuperar el dinero si me han estafado con un phishing de paquetería?
En la mayoría de casos, sí. La directiva PSD2 obliga a los bancos a devolver pagos no autorizados si denuncias en un plazo razonable. Contacta con tu banco lo antes posible, aporta pruebas del SMS falso o email y presenta denuncia policial. El banco tiene 15 días hábiles para resolver.
¿Cómo sé si una app de seguimiento de paquetes es legítima?
Descárgala solo desde Google Play Store o Apple App Store. Verifica que el desarrollador sea la empresa oficial (Sociedad Estatal Correos y Telégrafos para Correos, por ejemplo). Revisa los permisos que pide: una app de seguimiento no necesita acceso a tus SMS, contactos ni servicios de accesibilidad.
¿Qué hago si he instalado una app falsa de paquetería en mi Android?
Ponlo en modo avión inmediatamente para cortar la comunicación con el servidor del atacante. Después, arranca en modo seguro, desinstala la app y ejecuta un análisis con un antivirus. Si la app tenía permisos de accesibilidad, considera un restablecimiento de fábrica: algunos troyanos como Anatsa son persistentes y difíciles de eliminar por completo. Cambia las contraseñas de tu banca online desde otro dispositivo.
¿El iPhone es inmune al phishing de SMS de Correos?
No. El phishing funciona en cualquier dispositivo porque el objetivo es engañarte a ti, no a tu sistema operativo. La diferencia es que iOS hace más difícil que instales apps maliciosas fuera de la App Store, pero si introduces tus datos de tarjeta en una web falsa, da igual que uses iPhone, Android o un Nokia 3310 con navegador.
El siguiente paso
Abre ahora mismo la app de mensajes de tu móvil y busca SMS de los últimos meses con palabras como "paquete", "entrega", "aduanas" o "Correos". Si encuentras alguno con un enlace que no sea del dominio oficial, repórtalo al 017 (línea gratuita del INCIBE) o directamente a través de la web oficial de Correos (comprueba el canal de reporte actualizado en correos.es). Borrar esos mensajes también evita que alguien con acceso a tu teléfono pulse el enlace por accidente. Y si quieres proteger tu bandeja de entrada de amenazas más sofisticadas, como el scareware que se cuela disfrazado de antivirus, pásate por el resto del blog: tenemos material para rato.
