¿De verdad crees que Correos te va a enviar un SMS pidiéndote 2,50 euros para liberar un paquete? Millones de españoles lo han creído, y algunos han terminado sin los ahorros de toda una vida. La empresa postal pública nunca solicita pagos a través de enlaces en mensajes de texto, y sin embargo esa mentira sigue funcionando mejor que cualquier otro fraude digital del país.
En 2025, las estafas informáticas en España alcanzaron las 430.493 denuncias, según datos oficiales del Ministerio del Interior, un incremento del 513,4% en solo diez años. Detrás de buena parte de esa estadística hay un SMS, un logotipo de Correos y una página web que parece real hasta que ya es demasiado tarde.
El SMS de Correos que empieza con 2,50 euros y acaba con la cuenta vacía
El mensaje llega en cualquier momento, normalmente cuando estás esperando un pedido online. Dice que hay un problema con la entrega de tu paquete y que Correos necesita que abones una pequeña tasa de gestión —casi siempre menos de tres euros— para liberarlo. El enlace adjunto lleva a una web que replica con precisión quirúrgica el diseño oficial de la compañía.
El error que comete la víctima no es ser descuidada: es confiar en que perder dos euros y medio no merece un escándalo. En ese momento, introduce sus datos bancarios completos en el formulario falso, y los delincuentes ya tienen todo lo que necesitan para operar con su cuenta sin límite.
Cómo funciona el smishing que suplanta a Correos en cada envío masivo
La técnica que hay detrás se llama smishing, una variante del phishing que opera exclusivamente a través de SMS, y los datos del INCIBE confirman que creció un 400% entre 2023 y 2025 solo en fraudes de paquetería. Los delincuentes lanzan oleadas masivas de mensajes que pueden llegar a millones de teléfonos en pocas horas, con textos casi idénticos a las comunicaciones reales de Correos.
Lo que hace especialmente efectivo este fraude es la técnica del spoofing: el SMS fraudulento puede aparecer dentro del mismo hilo de mensajes legítimos de Correos que ya tienes en tu móvil, porque los delincuentes manipulan el identificador del remitente. Ver el mensaje en ese hilo conocido desactiva todas las alarmas, incluso en personas que se consideran precavidas.
Por qué caen incluso los que creen que nunca caerían
La clave psicológica de esta estafa no es el engaño visual, sino la cantidad insignificante. El cerebro humano no activa el mismo nivel de alerta ante 2,50 euros que ante una transferencia de 500. Los criminales lo saben y calibran el anzuelo para que la cantidad sea tan pequeña que desactive el pensamiento crítico. Correos se convierte así en el señuelo perfecto: todo el mundo espera paquetes, todo el mundo ha pagado tasas de aduanas alguna vez.
El problema se agrava porque la web falsa está diseñada para capturar no solo el número de tarjeta, sino también el CVV y los códigos de verificación en tiempo real. Con eso, los atacantes pueden completar transferencias o compras mientras tú sigues con tu vida, convencido de que solo pagaste una pequeña gestión postal.
Lo que ocurrió después del clic: el vaciado silencioso de la cuenta
Una vez que Correos —o quien suplanta a Correos— tiene tus credenciales bancarias, el robo no suele producirse en los siguientes segundos, sino días o semanas después. Esperan a que bajes la guardia, a que olvides incluso haber introducido esos datos. Luego actúan en horario nocturno, con transferencias fragmentadas para no activar los sistemas antifraude del banco.
En los casos más graves, los delincuentes combinan los datos robados con llamadas telefónicas posteriores en las que se hacen pasar por el servicio de seguridad del banco, confirmando la estafa y obteniendo nuevos códigos de verificación. Para entonces, recuperar el dinero depende casi exclusivamente de la rapidez con que se denuncie y de la política de cada entidad bancaria.
| Fase del ataque | Acción del estafador | Señal de alerta |
|---|---|---|
| 1. Captación | SMS con logo de Correos y enlace falso | URL que no termina en correos.es |
| 2. Suplantación | Web clonada con formulario de pago | Dominio extraño o con variaciones mínimas |
| 3. Robo de datos | Captura de tarjeta, CVV y código SMS | Nunca pedido por Correos en un enlace |
| 4. Vaciado | Transferencias nocturnas fragmentadas | Movimientos en horas insólitas |
| 5. Engaño secundario | Llamada falsa del «banco» para obtener más códigos | Ningún banco te pedirá códigos por teléfono |
Qué hacer ahora mismo para no ser la próxima víctima de Correos
La buena noticia es que Correos tiene una política pública muy clara: nunca solicita pagos ni datos personales a través de un enlace en un SMS. Si recibes uno, la instrucción oficial es no pulsar el enlace, no introducir ningún dato y reportar el número al INCIBE a través del correo incibe@incibe.es. Esta regla no tiene excepciones y no depende del aspecto del mensaje. En 2026, las autoridades españolas han intensificado los protocolos de coordinación con operadoras para bloquear los números emisores con mayor rapidez.
El futuro próximo apunta a que el smishing seguirá evolucionando con inteligencia artificial generativa, produciendo mensajes sin errores ortográficos y webs aún más difíciles de distinguir de las reales. La mejor defensa no es reconocer la estafa por su aspecto, sino aplicar una norma inamovible: ningún pago legítimo de Correos llegará jamás a través de un enlace en un SMS. Quien interiorice esa regla tiene el escudo más efectivo que existe contra este fraude.
La entrada Mi madre recibió un SMS de Correos, pagó 2,50 euros y perdió 12.000: la estafa que ya ha engañado a más españoles que el paro juvenil aparece primero en Moncloa.
