Cómo la ciberdelincuencia en mensajería se camufla entre tus propios paquetes

El auge imparable del comercio electrónico ha cambiado nuestros hábitos de consumoy también la forma de actuar de los ciberdelincuentes. España cerró 2024 con un récord histórico de 1.216,6 millones de envíos de paquetería, un 20% más que el año anterior, según datos de la Comisión Nacional de los Mercados y la Competencia (CNMC).

En paralelo, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó en 2025 un total de 122.223 incidentes de ciberseguridad, un 26% más, y el 14% de ellos estaban vinculados al "transporte". Dentro del fraude en línea, el phishing -la suplantación de identidad para robar datos- concentró 25.133 casos.

Para los expertos de la Universitat Oberta de Catalunya (UOC), la explicación es tan sencilla como inquietante: cuanto más normalizamos la inmediatez logística, más ruido generamos -avisos, incidencias y reprogramaciones- y más fácil resulta que un mensaje fraudulento pase desapercibido entre los legítimos.

La logística de la impaciencia

Cristian Castillo, profesor e investigador de los Estudios de Economía y Empresa de la UOC, describe un patrón cotidiano: compras frecuentes, múltiples vendedores y el domicilio como destino por defecto. Cuando esto se encadena, el consumidor no espera “un paquete”, sino varios y, con ellos, una cascada de notificaciones.

El momento crítico llega cuando el usuario recibe un mensaje de incidencia el mismo día en el que está prevista la entrega del paquete. "La parte más confusa sucede cuando el cliente recibe un mensaje de que su paquete se ha intentado entregar y no estaba en casa", explica Castillo. Es ahí donde se desatan los nervios porque el usuario se enfrenta a un imprevisto que exige una reacción inmediata.

Hay que decir que, el mismo SMS que provoca la frustración, ofrece una solución rápida ("confirma tus datos", "paga una tasa", "reprograma aquí"…), por lo que no es difícil caer en el engaño. En ese caso, el cliente no peca de ingenuo, sino que no duda, porque la situación encaja perfectamente con lo que dice el mensaje.

Mensajes genéricos

El sistema logístico, con sus rutas apuradas, decisiones de última hora y subcontratación que generan avisos genéricos o incluso erróneos, añade un plus de complejidad a la hora de detectar el fraude. El repartidor cobra por paquetes entregados, lo que incentiva los intentos de entrega acelerados. Además, a veces tiene que reorganizar las entregas fuera del almacén, lo que multiplica las notificaciones y las posibles incidencias, entre las que el mensaje falso se cuela como uno más.

Cómo reducir el "ruido"

Castillo propone dos medidas concretas para tratar de reducir el "ruido" y con ello los fraudes. La primera es no poner el domicilio como lugar de entrega si sabemos que no vamos a estar en casa; mejor optar por lockers o taquillas inteligentes. Y la segunda, que el repartidor no ofrezca plazos de entrega que no va a poder cumplir; al reducir la sensación de urgencia e incertidumbre, disminuye también la posibilidad de engaño.

El guion del ‘smishing’

Desde la perspectiva de la ciberseguridad, Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, describe el patrón habitual del smishing: un paquete retenido por una falta de dirección o por un supuesto problema en aduanas.

La primera regla es "tener claro si esperamos algún paquete" y, si no es así, no clicar nunca. Si se espera un envío,, hay que comprobar cuidadosamente la dirección web antes de entrar y, en ningún caso, facilitar el número de tarjeta ni códigos recibidos por SMS o WhatsApp. Las alertas institucionales coinciden en que clicar puede instalar un malware en dispositivos Android y comprometer datos personales.

Si el usuario ya ha introducido datos bancarios o códigos, la prioridad es avisar inmediatamente al banco para anular la tarjeta, así como regenerar contraseñas y accesos a aplicaciones clave.

Ya lo ves, tanto si esperas un paquete como si no, mantener la calma ante la llegada de un SMS de una empresa de mensajería es una de las mejores formas de autoprotección. La logística de la impaciencia no crea el smishing, pero sí le proporciona un caldo de cultivo ideal.