Las estafas en Wallapop y Milanuncios se han convertido en el pan de cada día para quien compra o vende de segunda mano en España. El phishing en Wallapop, el fraude en compraventa online y los timos en Milanuncios siguen un patrón reconocible: alguien te contacta con urgencia, te saca de la plataforma y te redirige a una web falsa donde introduces tus datos bancarios. Así de simple, así de efectivo. Y lo peor es que las víctimas de estafas de segunda mano muchas veces no denuncian porque sienten vergüenza. Aquí vamos a destripar cada técnica, con ejemplos reales y señales concretas para que no te la cuelen.
Cómo funciona el phishing en plataformas de compraventa
El esquema es casi siempre el mismo. Un comprador o vendedor aparentemente interesado te contacta por la app y, en cuestión de minutos, intenta llevarte fuera de ella: WhatsApp, Telegram o email. La razón es obvia: dentro de Wallapop o Milanuncios hay filtros que detectan enlaces sospechosos. Fuera, estás solo.
Una vez en terreno neutral, te envían un enlace que imita la pasarela de pago de la plataforma. Las URLs suelen ser variaciones como wallapop-envios.es, wallapop-pay.com o milanuncios-seguro.online. La página clonada te pide número de tarjeta, fecha de caducidad y CVV. A veces incluso simula una verificación 3D Secure para que introduzcas el código SMS de tu banco.
Según datos del INCIBE (Instituto Nacional de Ciberseguridad), las denuncias relacionadas con fraude en compraventa entre particulares representan una proporción significativa de los incidentes de phishing reportados en España. La Policía Nacional y la Guardia Civil alertan periódicamente sobre estas campañas, especialmente antes de Navidad y en septiembre, cuando el mercado de segunda mano se dispara.
Las 5 estafas más comunes (con ejemplos reales)
1. El falso comprador con enlace de pago
Publicas un iPhone. En menos de una hora, alguien te escribe: "Me interesa, ¿puedes enviarlo por el servicio de envíos de Wallapop?". Aceptas. Te llega un mensaje (fuera de la app) con un enlace para "confirmar el pago". Introduces tus datos bancarios para "recibir el dinero" y acabas pagando tú.
Señal de alerta: Wallapop nunca te pide datos bancarios por enlace externo. El pago se gestiona íntegramente dentro de la app.
2. El vendedor fantasma con precio irresistible
Una PS5 a 150 €. Una bicicleta de carbono por 200 €. Precios que no cuadran, pero la tentación es fuerte. El vendedor tiene prisa: "Me mudo mañana", "Tengo otro comprador interesado". Te pide un Bizum como señal o una transferencia directa. Pagas y desaparece.
Señal de alerta: Si el precio es demasiado bueno, probablemente sea un timo en Wallapop o Milanuncios. Comprueba la antigüedad del perfil y las valoraciones.
3. El Bizum inverso
Este es elegante en su maldad. El "comprador" te dice que te va a enviar dinero por Bizum. Lo que realmente te envía es una solicitud de dinero. Si no lees bien la notificación, aceptas y le pagas tú a él. Así de absurdo, así de frecuente.
4. El intermediario falso (triangulación)
Un estafador ve tu anuncio de un portátil a 500 €. Publica ese mismo portátil en otra plataforma a 500 €. Cuando un tercero le compra, le da tu dirección para el envío. Tú recibes el pago del tercero, envías el portátil al estafador (o a su cómplice), y el tercero acaba reclamándote a ti. Todos pierden excepto el intermediario.
5. El SMS de "tu envío está retenido"
Acabas de vender algo por envío. Recibes un SMS: "Tu paquete de Wallapop está retenido en aduanas. Paga 1,99 € para liberarlo". El enlace lleva a una réplica de la web de Correos o de una empresa de mensajería. Este tipo de estafa de segunda mano combina el phishing clásico con el contexto de una venta real para ganar credibilidad.
Si te interesa entender mejor cómo el software malicioso puede complementar estas estafas —por ejemplo, robando credenciales almacenadas en tu navegador—, te recomiendo leer sobre cómo funciona el spyware y cómo detectarlo.
Señales para detectar un fraude antes de picar
- Te sacan de la plataforma. Cualquier intento de mover la conversación a WhatsApp, Telegram o email debería activar tus alarmas.
- Urgencia artificial. "Me voy de viaje", "Tengo otro comprador", "Solo hasta hoy". La presión temporal anula el pensamiento crítico.
- Enlaces externos. Ninguna plataforma legítima te envía enlaces de pago por chat privado. Punto.
- Perfil reciente sin valoraciones. No es prueba definitiva, pero un perfil creado hace dos días con un chollazo debería hacerte sospechar.
- Castellano extraño. Traducciones automáticas, frases que suenan raras, errores gramaticales inusuales. Muchas redes de phishing en compraventa operan desde fuera de España.
- Te piden fotos del DNI. Ni Wallapop ni Milanuncios necesitan tu DNI para completar una venta. Si te lo piden, huye.
- Bizum como "prueba de identidad". Nadie necesita que le envíes 1 € para verificar tu cuenta. Es un cebo para obtener tu número de teléfono vinculado al banco.
Conviene tener a mano herramientas gratuitas de ciberseguridad que te permitan verificar enlaces sospechosos antes de hacer clic. VirusTotal analiza URLs en segundos y te dice si están catalogadas como maliciosas.
Qué hacer si ya has picado
- Bloquea tu tarjeta inmediatamente. Llama a tu banco. La mayoría tienen número 24h. Cada minuto cuenta.
- Cambia contraseñas. Si usaste la misma contraseña en la plataforma y en tu email (no deberías, pero la realidad es la que es), cámbiala en todos los servicios. Usa un gestor de contraseñas como Bitwarden o 1Password.
- Guarda todas las pruebas. Capturas de pantalla de la conversación, del enlace, del SMS, de los movimientos bancarios. Todo.
- Denuncia en la policía. Puedes hacerlo online en la web de la Policía Nacional o presencialmente. Necesitarás las pruebas del paso anterior.
- Reporta en la plataforma. Tanto Wallapop como Milanuncios tienen mecanismos para reportar perfiles fraudulentos. No servirá para recuperar tu dinero, pero sí para proteger al siguiente.
- Denuncia al INCIBE. Puedes contactar con el 017, la línea gratuita de ayuda en ciberseguridad. Atienden por teléfono, WhatsApp y Telegram.
Para un protocolo más detallado sobre qué hacer cuando te comprometen una cuenta, revisa nuestra guía de pasos exactos tras un hackeo.
Cómo protegerte: reglas de oro para compraventa segura
| Regla | Por qué funciona |
|---|---|
| Nunca salgas de la app para negociar | Los filtros internos detectan enlaces maliciosos y registran la conversación como prueba |
| Usa solo los métodos de pago integrados | Wallapop Protect y similares retienen el dinero hasta confirmar recepción |
| Queda en persona para artículos caros | Elimina el 100% del riesgo de phishing. Sitio público, de día |
| Verifica el perfil del otro usuario | Antigüedad, valoraciones y número de ventas son indicadores útiles (no infalibles) |
| Activa la verificación en dos pasos | Aunque roben tu contraseña, no accederán sin el segundo factor |
| Desconfía de Bizum con desconocidos | Bizum es instantáneo e irreversible. No hay "botón de cancelar" |
Para compras online en general —no solo en apps de segunda mano—, comprueba siempre que la web donde introduces datos tenga certificado SSL (el candado en la barra de direcciones) y que el dominio sea el oficial. Si tienes dudas sobre un enlace, pégalo en VirusTotal o en URLScan.io antes de abrirlo.
El marco legal: qué dice la ley sobre estas estafas
El fraude en compraventa online está tipificado como estafa en el artículo 248 del Código Penal español. Las penas van de 6 meses a 3 años de prisión si la cuantía supera los 400 €. Para cantidades menores, se considera delito leve con penas de multa.
El Reglamento General de Protección de Datos (RGPD) obliga a las plataformas a proteger tus datos, pero no cubre el caso en que tú mismo los entregas voluntariamente en una web de phishing. Ahí la responsabilidad es tuya, por mucho que duela.
El Real Decreto-ley 19/2018 sobre servicios de pago establece que los bancos deben reembolsar operaciones no autorizadas, salvo que demuestren negligencia grave del titular. Si fuiste víctima de un phishing sofisticado, tu banco podría tener que devolverte el dinero. La jurisprudencia reciente está evolucionando a favor del consumidor, especialmente cuando el timo de Wallapop o Milanuncios implica suplantación de la propia plataforma.
Preguntas frecuentes
¿Puedo recuperar el dinero si me estafan en Wallapop o Milanuncios?
Si pagaste con tarjeta, contacta con tu banco y solicita un chargeback (retrocesión). Si usaste Bizum o transferencia bancaria, la recuperación es mucho más difícil porque son operaciones instantáneas e irreversibles. Denuncia igualmente: a veces las investigaciones policiales consiguen bloquear cuentas receptoras.
¿Cómo distingo un enlace real de Wallapop de uno falso?
Los únicos dominios oficiales son wallapop.com y las URLs dentro de la propia app. Cualquier variación —wallapop-envios.es, wallapop-pay.com, wa11apop.com— es fraudulenta. Copia el enlace (sin abrirlo) y analízalo en VirusTotal.
¿Wallapop Protect es seguro?
Sí, dentro de la app. El sistema retiene el pago hasta que el comprador confirma que ha recibido el producto en buen estado. El problema aparece cuando el estafador te saca de la app y te envía un enlace que imita Wallapop Protect pero es una web clonada.
¿Los estafadores pueden ir a la cárcel?
Legalmente sí: estafa por importe superior a 400 € conlleva penas de hasta 3 años de prisión. En la práctica, muchas de estas redes operan desde fuera de España, lo que dificulta la persecución. Pero la colaboración policial internacional, especialmente a través de Europol, está dando resultados con operaciones que desmantelan redes organizadas de fraude en compraventa.
El siguiente paso
Ahora mismo, abre Wallapop o Milanuncios y revisa tus conversaciones activas. Si alguien te ha pedido que continues por WhatsApp, te ha enviado un enlace externo o te ha propuesto un pago fuera de la plataforma, corta la comunicación y reporta el perfil. Lleva menos de dos minutos y puedes ahorrarte un disgusto. Y si quieres entender mejor cómo proteger también tus dispositivos y cuentas en general, pásate por nuestro verificador de seguridad de contraseñas para comprobar si alguna de las tuyas ya está comprometida.
