Los correos electrónicos, los SMS y las llamadas telefónicas forman parte de la comunicación diaria con bancos, empresas de mensajería, administraciones públicas, plataformas digitales y proveedores de servicios. Esa familiaridad, según INCIBE, también los ha convertido en una vía habitual para el fraude mediante phishing, smishing y vishing. Los ciberdelincuentes aprovechan la confianza que generan determinadas marcas o instituciones para suplantarlas y conseguir que la víctima actúe sin comprobar el origen real del mensaje.
Esta técnica se conoce como spoofing. Consiste en falsificar datos visibles para el usuario, como el nombre del remitente, la dirección de correo, el número de teléfono o el identificador que aparece en pantalla. El objetivo es que una comunicación fraudulenta parezca legítima y que la persona facilite contraseñas, datos bancarios, códigos de verificación o información personal.
El riesgo no está solo en que el mensaje parezca real. También influye la presión psicológica. Muchos fraudes utilizan avisos urgentes, supuestos bloqueos de cuentas, entregas pendientes, premios falsos o alertas de seguridad para provocar una reacción rápida. La víctima no cae necesariamente por falta de atención, sino porque el mensaje está diseñado para reducir su margen de duda.
Phishing, smishing y vishing: tres vías para el mismo engaño
El spoofing puede aparecer en distintos canales. En el correo electrónico se relaciona habitualmente con el phishing. Los atacantes envían mensajes que simulan proceder de un banco, una empresa de mensajería, una plataforma de pago o un servicio conocido. Para hacerlo más creíble, pueden copiar logotipos, colores corporativos, firmas y formatos de la entidad suplantada.
En estos correos, el remitente visible puede resultar convincente, aunque la dirección real sea diferente. También es frecuente el uso de dominios casi idénticos a los oficiales, con letras cambiadas, caracteres añadidos o sustituciones difíciles de detectar a simple vista. Un ejemplo habitual sería sustituir una letra por un número o usar una dirección que recuerda a la original, pero no pertenece a la entidad real.
En los SMS, el fraude se conoce como smishing. Los mensajes suelen usar nombres de remitente aparentemente oficiales, enlaces abreviados o textos vinculados a situaciones cotidianas: un paquete no entregado, una cuenta bloqueada, una operación bancaria pendiente o un premio que debe reclamarse de inmediato. En algunos casos, el SMS puede aparecer agrupado junto a conversaciones reales, lo que aumenta la sensación de confianza.
En las llamadas telefónicas, el vishing utiliza la voz y la presión directa. Los estafadores pueden manipular el identificador de llamada para que parezca un número oficial. Después, intentan convencer a la víctima de que facilite datos, instale una aplicación, autorice una operación o transfiera dinero. El tono suele ser urgente: se habla de cargos sospechosos, bloqueos de cuenta, problemas técnicos o supuestas verificaciones de seguridad.
Cómo suplantan a entidades de confianza
La suplantación de identidad combina elementos técnicos y psicológicos. Por un lado, los atacantes falsifican remitentes, números de teléfono o dominios. Por otro, construyen mensajes asociados a situaciones creíbles: una entrega pendiente, una factura no pagada, una incidencia bancaria o una alerta de seguridad. Son excusas habituales porque forman parte de la vida cotidiana de cualquier usuario.
También se apoyan en la apariencia visual. Un correo puede incluir el logotipo de una entidad real, colores corporativos y una estructura profesional. Un SMS puede mostrar el nombre de una marca conocida. Una llamada puede aparentar proceder del número de atención al cliente de un banco o de una compañía telefónica. Todo está diseñado para reducir la sospecha inicial.
El lenguaje es otro elemento clave. Las frases de urgencia, como “actúe ahora”, “su cuenta será bloqueada” o “hemos detectado actividad sospechosa”, buscan que la víctima tome decisiones sin revisar con calma. En otros casos, el fraude utiliza incentivos como premios, descuentos, reembolsos o ventajas inmediatas para provocar una respuesta rápida.
Señales de alerta en correos electrónicos
En los correos electrónicos, la primera comprobación debe ser el remitente. No basta con mirar el nombre que aparece en pantalla. Es necesario revisar la dirección completa y comprobar si corresponde realmente al dominio oficial de la entidad. Pequeñas variaciones, caracteres extraños o direcciones genéricas pueden ser una señal de fraude.
También conviene desconfiar de los mensajes que generan urgencia innecesaria. Un aviso que amenaza con bloquear una cuenta en pocas horas, cancelar un servicio o suspender un acceso busca presionar al usuario. Las entidades legítimas pueden enviar comunicaciones importantes, pero no suelen exigir contraseñas, códigos o datos bancarios mediante enlaces incluidos en un correo.
Los errores gramaticales, las expresiones poco naturales o las traducciones deficientes siguen siendo señales relevantes, aunque no definitivas. Muchos fraudes actuales están mejor redactados y pueden no contener fallos evidentes. Por eso, la ausencia de errores no debe interpretarse como garantía de autenticidad.
Los enlaces también deben revisarse con cuidado. Antes de hacer clic, es recomendable comprobar si la dirección coincide con la web oficial. Los atacantes suelen usar páginas falsas con nombres parecidos o enlaces acortados que ocultan el destino real. Si hay dudas, lo más seguro es no utilizar el enlace recibido y acceder manualmente a la página oficial desde el navegador o la aplicación.
Señales de alerta en SMS
En los SMS fraudulentos, una de las señales más comunes es la presencia de enlaces abreviados o dominios desconocidos. Mensajes como “su paquete no ha podido ser entregado”, “confirme sus datos” o “se ha detectado actividad sospechosa” suelen dirigir a páginas falsas creadas para robar información.
El hecho de que el remitente parezca una empresa conocida no es suficiente. Mediante técnicas de suplantación, un mensaje puede mostrar un nombre aparentemente legítimo. Por eso, no conviene introducir datos personales, credenciales o información bancaria desde enlaces recibidos por SMS.
También debe desconfiarse de cualquier mensaje que solicite códigos de verificación. Estos códigos son una barrera de seguridad y no deben compartirse. Si un atacante consigue que la víctima le entregue un código de doble factor, puede completar operaciones o acceder a cuentas sin autorización.
Señales de alerta en llamadas telefónicas
En una llamada, el número que aparece en pantalla tampoco garantiza que la comunicación sea legítima. Los ciberdelincuentes pueden falsificar el identificador de llamada para simular que contactan desde una entidad conocida. Por eso, una llamada aparentemente oficial debe tratarse con cautela si solicita datos sensibles o acciones inmediatas.
Ningún banco, administración o empresa de confianza debería pedir por teléfono contraseñas completas, códigos de verificación, datos completos de tarjeta o transferencias urgentes. Tampoco es recomendable instalar aplicaciones, permitir accesos remotos o seguir instrucciones técnicas bajo presión.
Si la llamada genera dudas, la respuesta más segura es colgar y contactar directamente con la entidad a través de sus canales oficiales. No se debe devolver la llamada al número recibido ni usar enlaces enviados durante la conversación. Lo correcto es buscar el teléfono oficial en la web de la entidad, en la aplicación o en documentación fiable.
Un ejemplo habitual: el falso aviso del banco
Un caso frecuente es el correo que aparenta proceder de un banco y alerta de una supuesta actividad inusual en la cuenta. El mensaje puede incluir el logotipo de la entidad, una firma formal y un enlace para “verificar la identidad”. También puede advertir de que la cuenta será suspendida si no se actúa en las próximas 24 horas.
En este tipo de fraude aparecen varias señales de alerta. El remitente puede no coincidir con el dominio oficial, el mensaje utiliza presión temporal, el enlace dirige a una página que imita la del banco y se solicita información confidencial. Aunque el aspecto visual sea convincente, la combinación de urgencia y petición de datos debe activar la sospecha.
La respuesta segura es no hacer clic, no descargar archivos y no introducir información. Si el usuario cree que puede existir un problema real, debe acceder a la banca online escribiendo manualmente la dirección oficial o utilizando la aplicación del banco. También puede contactar con atención al cliente a través de un número verificado.
Otro caso común: el falso paquete pendiente
El smishing relacionado con empresas de paquetería es otro de los fraudes más habituales. La víctima recibe un SMS que indica que un paquete no ha podido ser entregado y que debe acceder a un enlace para reprogramar la entrega. En algunos casos se pide un pequeño pago, supuestamente asociado a gastos de gestión o aduanas.
El importe suele ser bajo para reducir la desconfianza. Sin embargo, el objetivo real puede ser robar los datos de la tarjeta, capturar información personal o instalar software malicioso en el dispositivo. La comprobación debe hacerse siempre desde la web oficial de la empresa de mensajería o desde el comercio donde se realizó la compra, nunca desde el enlace incluido en el SMS.
La regla principal: detenerse y verificar
La mejor defensa frente a estos fraudes es no actuar bajo presión. Si un correo, SMS o llamada exige una respuesta inmediata, solicita datos confidenciales o incluye enlaces sospechosos, conviene detenerse y comprobar la información por otra vía.
La entidad puede ser real, pero la comunicación puede no serlo. Por eso no basta con reconocer un logotipo, un nombre comercial o un número de teléfono. La verificación debe hacerse desde canales oficiales, accediendo directamente a la web, la aplicación o el teléfono publicado por la entidad.
En caso de duda, también se puede recurrir a la Línea de Ayuda en Ciberseguridad de INCIBE, disponible en el 017. El servicio permite consultar posibles fraudes y recibir orientación sobre cómo actuar ante correos, SMS o llamadas sospechosas.
La clave es asumir que cualquier canal puede ser manipulado. Desconfiar no significa dejar de usar la tecnología, sino utilizarla con más criterio. En ciberseguridad, unos segundos de comprobación pueden evitar la pérdida de dinero, datos personales o acceso a cuentas importantes.
Síguenos en araintel.com
