Mensajes bancarios y administrativos falsos: la estafa por e-mail y SMS

Un correo electrónico urgente de su banco le anuncia la suspensión inminente de su cuenta. Un SMS de la Seguridad Social (ES) o del Instituto Mexicano del Seguro Social (IMSS) (MX) le promete un reembolso inesperado. Estas comunicaciones, de apariencia oficial, son a menudo intentos de fraude sofisticados que buscan robarle información personal o dinero. Conocida como phishing por e-mail o smishing por SMS, esta técnica es una de las más extendidas en Internet. Se trata de una amenaza que explota la confianza que depositamos en las instituciones para crear una sensación de urgencia o de cebo de una ganancia, empujándonos a actuar sin reflexionar. Comprender sus mecanismos y saber identificar las señales de alerta es esencial para proteger sus datos y sus finanzas.

¿Qué son el phishing y el smishing?

El phishing, o suplantación de identidad, es una técnica fraudulenta que consiste en hacerse pasar por un tercero de confianza para obtener información personal. Los ciberdelincuentes envían correos electrónicos que imitan a la perfección los de organismos conocidos: bancos, administraciones tributarias como la Agencia Tributaria (ES) o el SAT (MX), servicios de la seguridad social como la Seguridad Social (ES) o el IMSS (MX), proveedores de energía o incluso sitios de comercio electrónico. El smishing es simplemente la variante de esta estafa que utiliza los SMS como canal de comunicación. En ambos casos, el objetivo final sigue siendo el mismo: incitarle a hacer clic en un enlace malicioso o a abrir un archivo adjunto trampa.

Estos mensajes juegan con potentes resortes psicológicos para cortocircuitar su vigilancia. A menudo utilizan pretextos alarmistas o atractivos para impulsarle a la acción inmediata.

• La seguridad de su cuenta: «Se ha detectado una conexión sospechosa», «Su cuenta va a ser bloqueada», «Por favor, confirme sus datos por razones de seguridad».
• Un problema administrativo: «Su última factura está impagada», «Se requiere la actualización de su tarjeta sanitaria», «Su paquete no ha podido ser entregado».
• El cebo de una ganancia: «Tiene derecho a una devolución de impuestos», «Hay una transferencia a su favor», «Ha ganado un sorteo».
• La adaptación a una normativa: «Nueva regulación: actualice su expediente de cliente», «Su software de seguridad está obsoleto».

Una vez que hace clic en el enlace, es redirigido a un sitio web falso, una copia casi idéntica del sitio oficial, donde se le pedirá que introduzca sus nombres de usuario, contraseñas, números de tarjeta bancaria u otros datos confidenciales.

¿Cómo reconocer un mensaje fraudulento?

Aunque los estafadores perfeccionan sus métodos, varios indicios permiten desenmascarar el engaño. La clave es mantener la calma y analizar metódicamente el mensaje recibido antes de emprender la más mínima acción. Una inspección atenta revela casi siempre anomalías.

La dirección del remitente: el primer indicio

Este es el reflejo más importante que debe tener. En un correo electrónico, no se fíe del nombre que se muestra, ya que puede ser fácilmente falsificado. Fíjese en la dirección de correo electrónico completa. Los estafadores utilizan direcciones que se parecen a las reales, pero que contienen sutiles variaciones. Por ejemplo, `servicio-cliente@info-banco-seguridad.com` en lugar de `…@nombre-real-del-banco.es`. En el caso de los SMS, desconfíe de los números desconocidos o de los nombres de remitente que puedan estar falsificados. Las administraciones rara vez utilizan números de teléfono móvil convencionales para sus comunicaciones oficiales.

El sentido de urgencia y las amenazas

Los mensajes fraudulentos buscan que entre en pánico. Contienen fórmulas como «acción inmediata requerida», «sin respuesta de su parte en 24h» o «su cuenta será cerrada definitivamente». Una institución legítima nunca le presionará de esa manera por e-mail o SMS para obtener información sensible. Los procedimientos oficiales siguen canales de comunicación seguros y siempre dejan un plazo de respuesta razonable.

Las faltas de ortografía y de sintaxis

Aunque cada vez es menos frecuente, este criterio sigue siendo un buen indicador. Muchos mensajes de phishing se traducen automáticamente o se redactan con prisa. Los errores de gramática, de conjugación o las frases mal construidas deben despertar inmediatamente sus sospechas. Una comunicación oficial de un gran banco o de una administración suele ser revisada y validada, y por lo tanto está exenta de este tipo de faltas.

Los enlaces sospechosos y los archivos adjuntos

Nunca haga clic a ciegas en un enlace. En un ordenador, pase el ratón por encima (sin hacer clic) para ver la URL de destino real en la esquina inferior de su navegador. Si la dirección que aparece es extraña, llena de números o no corresponde al sitio web oficial del organismo, es una estafa. Desconfíe también de los archivos adjuntos, sobre todo si no espera ninguno. Pueden contener software malicioso (virus, ransomware) diseñado para infectar su dispositivo. Los formatos `.zip`, `.exe` o incluso documentos de Word con macros son especialmente peligrosos.

La falta de personalización

Un mensaje auténtico de su banco o de una administración se dirigirá generalmente a usted utilizando su nombre y apellidos completos. Un correo electrónico que comienza con una fórmula vaga como «Estimado cliente», «Hola» o «Estimado usuario» es sospechoso. Sin embargo, tenga cuidado, ya que algunos ataques más dirigidos (spear phishing) pueden contener su información personal, obtenida en fugas de datos anteriores. La presencia de su nombre no es, por tanto, una garantía absoluta de autenticidad.

¿Qué hacer si ha recibido un mensaje sospechoso?

La reacción correcta es la prudencia y la inacción. No ceda al pánico y siga un procedimiento sencillo para protegerse y ayudar a luchar contra estos fraudes.

• No haga clic en ningún enlace y no abra ningún archivo adjunto.
• No responda nunca al mensaje. Esto confirmaría a los estafadores que su dirección de correo electrónico o su número de teléfono está activo.
• Elimine el mensaje de su bandeja de entrada y de su papelera para evitar cualquier manipulación accidental posterior.
• Denuncie el intento de fraude. Para los correos electrónicos, puede denunciarlos en la Oficina de Seguridad del Internauta (OSI) (ES) o en el portal de la Guardia Nacional (MX). Para los SMS fraudulentos, denúncielos a través de los canales habilitados por la Agencia Española de Protección de Datos (AEPD) (ES) o repórtelos a la Guardia Nacional (MX).
• Contacte con el organismo en cuestión a través de un canal oficial si tiene alguna duda. No utilice los datos de contacto presentes en el mensaje sospechoso. Vaya al sitio web oficial a través de su motor de búsqueda, utilice la aplicación móvil o llame al número de teléfono que figura en sus documentos oficiales (extracto de cuenta, etc.).

¿Y si ha caído en la trampa?

Si ha hecho clic en un enlace y ha proporcionado información, es crucial actuar rápido para limitar los daños. La rapidez de su reacción puede marcar la diferencia.

Siga estos pasos sin demora:

• Cambie inmediatamente la contraseña de la cuenta afectada (banco, e-mail, etc.) y de todos los demás sitios en los que utilice la misma contraseña.
• Anule su tarjeta bancaria. Contacte con su banco sin demora para bloquear su tarjeta y notificar la operación fraudulenta. La mayoría de los bancos ofrecen un servicio de anulación 24 horas al día, 7 días a la semana.
• Vigile sus cuentas muy de cerca en los días y semanas siguientes para detectar cualquier transacción sospechosa.
• Presente una denuncia en la comisaría de la Policía Nacional o el cuartel de la Guardia Civil (ES) más cercano, o ante la Policía o la Guardia Nacional (MX). Este es un paso indispensable para cualquier posible procedimiento de reembolso.
• Informe del incidente en la plataforma gubernamental correspondiente, como el Instituto Nacional de Ciberseguridad (INCIBE) (ES) o el CERT-MX de la Guardia Nacional (MX). Allí encontrará ayuda y consejos adaptados a su situación. Para contenidos ilícitos, también puede utilizar portales como el de colaboración ciudadana de la Policía Nacional (ES) o el de reporte de la Guardia Nacional (MX).

Conclusión

Los intentos de phishing y smishing se multiplican y se vuelven más complejos, explotando nuestra creciente dependencia de los servicios en línea. La mejor defensa sigue siendo una vigilancia constante y una buena dosis de escepticismo ante cualquier comunicación inesperada o alarmista. Recuerde que ningún banco o administración seria le pedirá nunca que proporcione información confidencial como su contraseña, sus datos bancarios completos o un código de seguridad por correo electrónico o SMS. Adoptando los reflejos adecuados y sabiendo cómo reaccionar, reducirá considerablemente el riesgo de convertirse en una víctima.

Para ir más lejos, le invitamos a consultar nuestras guías completas sobre la protección en línea. Descubra cómo protegerse de todas las formas de estafa y los puntos clave que debe respetar para navegar con total seguridad.

• Fraudes, Estafas y Engaños: ¡Cómo Protegerse y Reaccionar!
• ¡Los puntos clave a respetar para evitar la mayoría de las estafas en línea!

Artículo de : René Ronse | Directrices de revisión | Consultores de auditoría
Acerca del autor: René Ronse, responsable de ArnaqueOuFiable.com. Experto en ciberseguridad del consumidor, especialista en la detección de fraudes en línea, en la transparencia de los productos y en la conformidad digital. Cuenta con más de 20 años de experiencia analizando mecanismos de suscripción ocultos, condiciones generales ilegibles, tácticas de venta agresivas y prácticas comerciales engañosas en la web.
Última actualización el 18 diciembre 2025.
Este artículo también está disponible en : Français - English - Deutsch - Italiano - Nederlands - Português