Durante el primer semestre de 2025, el Centro de Ciberseguridad Industrial y el equipo de respuesta del INCIBE-CERT documentaron oleadas recurrentes de mensajes fraudulentos que suplantaban a Correos y a operadores logísticos nacionales. El patrón no era nuevo, pero sí su escala y refinamiento: remitentes alfanuméricos indistinguibles del identificador legítimo, dominios registrados horas antes del envío masivo, y páginas de captura que replicaban con fidelidad la guía de estilos corporativa del operador postal. El resultado más visible fue un incremento sostenido de reportes ciudadanos en el portal de fraude del INCIBE, que en 2024 ya situaba las campañas de smishing logístico entre las tres tipologías más denunciadas en España.
Este artículo disecciona la anatomía forense de un SMS de Correos falso de paquete retenido, identifica las seis señales técnicas que lo delatan y expone el gap operativo que persiste entre el centro de operaciones de seguridad de su entidad y el dispositivo móvil de su cliente final. Ese gap es, con precisión, donde se produce el daño.
I. Por qué este vector sigue siendo rentable en 2026
La persistencia de la tipología no es un accidente. Responde a una ecuación de coste-beneficio que favorece al atacante en tres dimensiones simultáneas.
En primer lugar, la superficie de ataque es universal. Correos gestiona más de 3.500 millones de envíos anuales según datos públicos de la compañía. En la práctica, cualquier titular de línea móvil en España es destinatario plausible de una comunicación logística, lo que elimina la necesidad de segmentación previa por parte del fraude masivo.
En segundo lugar, el canal SMS carece de la capa de autenticación visual que el correo electrónico ha ido incorporando. El receptor no ve cabeceras técnicas, no dispone de indicadores de firma DKIM y, con frecuencia, visualiza el mensaje en el mismo hilo conversacional que comunicaciones legítimas anteriores del mismo remitente alfanumérico, gracias a la suplantación de Sender ID.
En tercer lugar, el pretexto logístico genera urgencia percibida sin alarmar: una pequeña cantidad pendiente de arancel o de gastos de almacenamiento —habitualmente entre 1,20 y 2,50 euros en los mensajes analizados— reduce la fricción psicológica del pago y desvía la atención del usuario del vector real: la captura de credenciales bancarias o datos de tarjeta en la página de destino.
"El fraude por medios telemáticos, y en particular el phishing y sus derivados, constituye la tipología de mayor crecimiento en las estadísticas de criminalidad económica en España. Las entidades financieras están obligadas a adoptar medidas proporcionales de monitorización del canal digital conforme al artículo 31 de la Directiva PSD2 (transpuesta en el Real Decreto-ley 19/2018) y al Artículo 5.1 del Reglamento DORA, que exige a las entidades financieras identificar, clasificar y documentar de forma continua los riesgos de TIC derivados de terceros y del canal de comunicación con el cliente."
Síntesis regulatoria a efectos de esta nota a partir de PSD2 Art. 31, DORA Art. 5 y las directrices EBA/GL/2022/02 sobre gestión de riesgos de TIC.
II. Disección técnica: las seis señales que identifican el SMS fraudulento
La campaña tipo de SMS de Correos falso con paquete retenido presenta una estructura reproducible. El análisis forense de muestras anonimizadas recogidas en el primer semestre de 2025 permite establecer seis señales de alerta con capacidad diagnóstica diferencial.
Señal 1. Divergencia entre remitente visible y ruta técnica de entrega
El campo Sender ID del mensaje muestra cadenas como Correos o CorreosES, indistinguibles visualmente del identificador que el operador postal usa en sus comunicaciones legítimas. Sin embargo, la ruta técnica de entrega —visible en los metadatos del operador de la red móvil, no en la pantalla del usuario— revela agregadores de SMS de jurisdicciones externas a la Unión Europea o redes comprometidas de reenvío. Esta divergencia es indetectable para el cliente final, pero trazable a nivel de operador de red.
Señal 2. Dominio de destino registrado en ventana inferior a 72 horas
Las URLs incluidas en los mensajes de esta campaña siguen un patrón consistente: dominio de segundo nivel de apariencia institucional —ejemplos tipo correos-seguimiento.net/acceso, paquete-correos.es/gestionar o banco-operaciones.net/verificar— con antigüedad de registro inferior a 72 horas en el momento del envío masivo. Este dato es accesible mediante consulta WHOIS y constituye uno de los indicadores de compromiso más fiables en análisis de dominio.
Señal 3. Certificado TLS válido sobre dominio fraudulento
Hasta un porcentaje elevado de las páginas de destino analizadas disponía de certificado TLS activo. La presencia del candado en el navegador, que el usuario interpreta habitualmente como sinónimo de seguridad, no implica legitimidad del dominio: únicamente certifica que la conexión está cifrada. Esta confusión semántica es explotada deliberadamente por el diseño de la campaña.
Señal 4. Solicitud de datos bancarios desproporcionada al pretexto
El pretexto —pago de entre 1 y 3 euros por gastos de almacenamiento o despacho— no justifica ningún formulario de captura de datos de tarjeta completos, incluyendo CVV y fecha de caducidad. El flujo de pago legítimo de Correos redirige a pasarelas certificadas con autenticación reforzada (SCA) conforme al artículo 97 de PSD2. La solicitud directa de datos de tarjeta en dominio propio de la página fraudulenta constituye una señal de alerta de primer orden.
Señal 5. Ausencia de número de seguimiento verificable
Los mensajes fraudulentos incluyen ocasionalmente cadenas alfanuméricas que simulan localizadores de envío, pero que no corresponden a ningún expediente real en la plataforma oficial de Correos. Una verificación directa en correos.es, sin seguir el enlace recibido, devuelve resultado nulo. Esta comprobación, trivial para un analista, no forma parte del comportamiento espontáneo del cliente bajo presión de urgencia.
Señal 6. Redacción con deslizamientos morfosintácticos de alta especificidad
Aunque las campañas recientes han mejorado notablemente la calidad lingüística respecto a oleadas anteriores, persisten marcadores residuales: uso incorrecto del artículo determinado ante cifras ("el 1.80€"), estructuras calco del inglés en llamadas a la acción ("proceder al pago de su paquete retenido") y ausencia de número de atención al cliente verificable en el cuerpo del mensaje. Ninguna de estas señales es concluyente por sí sola, pero su combinación eleva significativamente la probabilidad de fraude en un modelo de puntuación multiseñal.
III. El gap operativo que transforma la detección en daño
Las seis señales descritas son identificables. El problema no es técnico en origen: es de cobertura operativa.
La arquitectura habitual de protección en una entidad financiera o aseguradora de tamaño medio contempla un SOC interno o externalizado con capacidad de respuesta ante incidentes confirmados, un equipo de fraude que actúa sobre transacciones anómalas ya ejecutadas y, en los casos más maduros, herramientas de monitorización de marca para detectar dominios imitadores. Esta arquitectura cubre razonablemente el perímetro interno y la capa transaccional.
Lo que no cubre es el vector pre-transaccional en el canal móvil del cliente: el momento entre la recepción del SMS y la decisión de pulsar el enlace. En ese intervalo —medido en segundos— el cliente no está dentro del perímetro de su entidad. Está en su bandeja de mensajes, sin indicadores de alerta, sin contexto comparativo y bajo un pretexto diseñado para neutralizar la fricción de la duda.
Es precisamente ahí donde una capa de verificación operativa, activa en el momento de entrega del mensaje y no en el momento de la alerta de fraude, modifica el resultado. No es una función del SOC, porque el SOC actúa sobre telemetría interna. No es una función del equipo de fraude, porque el fraude ya se ha producido cuando activa la investigación. Es una capa independiente, orientada al canal y al momento de exposición.
VeriMsg opera en esa capa. Cada mensaje que circula a través de la infraestructura es evaluado contra un modelo de señales estructurales —remitente, dominio, antigüedad, coherencia semántica, patrón de entrega— antes de que llegue al dispositivo del destinatario. El resultado es un veredicto trazable: puntuación de riesgo, señales activadas por fase de análisis, y registro auditable alineado con los requisitos de documentación continua del Artículo 5 de DORA y las directrices EBA/GL/2022/02 sobre gestión de riesgos de TIC y seguridad.
La capa no suplanta al SOC del partner. Lo complementa en el único segmento que el SOC no puede cubrir por diseño: el canal de comunicación con el cliente final, antes de la interacción.
Checklist ejecutivo para su comité de riesgos
- Audite la cobertura del canal SMS en su mapa de riesgos de TIC. Si el canal de mensajería al cliente final no figura como superficie de riesgo documentada, el cumplimiento del Artículo 5 de DORA presenta una laguna argumentativa ante auditoría externa. Verifique que existe trazabilidad de los mensajes enviados en nombre de su entidad y de los mensajes fraudulentos que la suplantan.
- Establezca un indicador de volumen de suplantación de su identificador de remitente. Los operadores de red y los agregadores de mensajería tienen capacidad de reportar métricas de Sender ID anómalo. Si su entidad no recibe ese dato de forma periódica, no puede cuantificar su exposición reputacional ni calibrar la proporcionalidad de sus medidas conforme al principio de gestión basada en riesgo de PSD2.
- Separe la detección pre-transaccional de la respuesta post-fraude. Un equipo de fraude que actúa sobre transacciones ya ejecutadas no puede reducir la tasa de victimización inicial. Evalúe si su arquitectura actual contempla alguna capa que opere en el intervalo entre entrega del mensaje y decisión del cliente. Si no la contempla, ese gap es medible y documentable.
- Revise los flujos de escalado entre el SOC y el equipo de fraude para incidentes de smishing. Las guías INCIBE para entidades de interés general recomiendan que los flujos de comunicación de incidentes incluyan tiempos de respuesta definidos y responsables nominados. La tipología logística tiene ciclos de campaña cortos —frecuentemente inferiores a 48 horas—, por lo que un protocolo de escalado pensado para incidentes de semanas pierde efectividad.
- Solicite un análisis de dominio retrospectivo sobre el último trimestre. Con los datos de remitentes alfanuméricos asociados a su marca y un análisis WHOIS de dominios registrados en ese período, puede obtener una estimación del volumen de infraestructura fraudulenta activa que ha estado operando bajo su identidad corporativa. Ese dato, expresado en número de dominios y ventanas de actividad, es el punto de partida para dimensionar cualquier medida de respuesta.
Si su entidad quiere contrastar estos indicadores sobre su superficie real de exposición en mensajería, el Pilot Readiness Pack de VeriMsg ofrece un análisis estructurado de 30 días sin compromiso de implantación. Los resultados incluyen veredicto por tipología de señal, trazabilidad auditable y un informe ejecutivo adaptado a los formatos habituales de presentación ante comité de riesgos.