El sector postal español vive una etapa de expansión sostenida de la paquetería. La Comisión Nacional de los Mercados y la Competencia (CNMC) constata de 1.216,6 millones de envíos de paquetería en 2024 (+20% interanual), con un peso creciente del segmento de mensajería y paquetería en los ingresos del sector. En paralelo, la delincuencia digital aprovecha este nuevo paisaje: INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025 (+26%), de los que un 14 % correspondía a "transporte". Y dentro del "fraude en línea" (45.445 casos), el phishing (suplantación para robar datos) concentra una parte destacada (25.133).
Según expertos de la Universitat Oberta de Catalunya (UOC), la tesis es incómoda pero simple: cuanto más normalizamos la inmediatez logística, más ruido generamos (avisos, incidencias, reprogramaciones) y más fácil es que un mensaje fraudulento se integre dentro del flujo como si fuera legítimo.
En Cataluña, tanto los Mossos d'Esquadra como la Agencia de Ciberseguridad de Cataluña han alertado de campañas de SMS que suplantan empresas de mensajería y juegan con el guion del "problema con la entrega". Las incidencias, según GenCat, se han triplicado.
Los profesores de la UOC Cristian Castillo y Jordi Serra explican desde el punto de vista de la logística y de la ciberseguridad, respectivamente, cómo funcionan estas estafas y cómo pueden reducirse los riesgos.
La logística de la impaciencia
El profesor de los Estudios de Economía y Empresa de la UOC e investigador del grupo URBANLOG Cristian Castillo describe un patrón cotidiano que multiplica las notificaciones: compra frecuente, múltiples vendedores y el domicilio como destino por defecto. Cuando esto se encadena, el consumidor no espera "un paquete", sino varios. Y, con ellos, una retahíla de avisos. El punto crítico llega cuando el usuario recibe un mensaje de incidencia el mismo día previsto de la entrega. "La parte más confusa sucede cuando el cliente recibe un mensaje que dice que se ha intentado entregar su paquete y no estaba en casa, o que se tiene que entregar otro día sin previo aviso. Sobre todo, la primera: cuando te dicen que han intentado entregarte el paquete y no hay nadie en casa", explica el experto.
Esta dinámica multiplica puntos de fricción: ausencias, reprogramaciones, cambios de franja horaria, devoluciones y, sobre todo, mensajes. Castillo diferencia entre los avisos "normales" de seguimiento y los que realmente generan confusión: los de intento de entrega fallida o reprogramación inesperada. Es el momento en que el usuario, que ya ha organizado el día, percibe una contradicción y busca resolverla rápidamente. Este es el terreno ideal para la ingeniería social: un SMS que llega en el mismo momento de tensión y ofrece una salida rápida ("confirma los datos", "paga una tasa", "reprograma"). La clave no es que el ciudadano sea ingenuo, sino que el relato es compatible con lo que ya le pasa a mucha gente.
Tensión de rutas, mensajes genéricos y subcontratación
Castillo enumera factores de sistema que generan avisos genéricos o erróneos: rutas apuradas, decisiones de final de jornada y, sobre todo, la subcontratación. A menudo el consumidor identifica la plataforma con el transportista, pero no son el mismo actor. Como el transportista cobra por paquetes entregados, el incentivo tiende a ser intentar entregarlos y no "pasar de largo". El vendedor en línea no controla directamente las rutas y las decisiones del repartidor, porque el servicio se subcontrata.
Dejar paquetes en la calle: precariedad del sistema
Cuando se ven paquetes organizados "a pie de calle" es porque el conductor, con conocimiento local, reorganiza el orden de entrega allí donde encuentra espacio. Esto es consecuencia de márgenes de tiempo muy ajustados en los almacenes (slots, franjas de entrega), que dejan poco espacio para reordenar dentro; la calle se convierte en "zona de organización", lo que no es ideal.
Cómo reducir el 'ruido': cambiar el destino y mejorar la transparencia
Castillo aporta dos ideas concretas para reducir el ruido de fondo donde se camufla la estafa:
1.- Reducir el domicilio como destino automático cuando sabemos que no estaremos en casa (lockers, taquillas inteligentes). "Si nos vamos acostumbrando a que ciertos pedidos no tengan siempre como destino la entrega en el domicilio y escogemos un locker, seguro que este tipo de situaciones pueden reducirse. No es lo mismo ir entregando un paquete en cada domicilio que llegar a estos lockers y descargar 20 o 30".
2.- Máxima transparencia en los plazos. Cuando un reparto puede quedar para el final de la jornada, hay más riesgo de atraso. "Quizás vale más la pena decir que tendremos una entrega de 48 horas en vez de 24. Y si luego el usuario lo recibe antes, pues mejor. Este tipo de transparencia puede ayudar a reducir la sensación de descontrol".
Estas medidas no eliminan el fraude, pero reducen la cantidad de mensajes "creíbles" que el usuario recibe por incidencias evitables.
La vulnerabilidad de la impaciencia: cómo detectar el SMiShing
Al otro lado, Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, describe el guion típico de la estafa: el paquete "retenido" por falta de dirección o un falso problema de aduana. "Últimamente, se están produciendo muchos avisos que dicen que el paquete está retenido por falta de dirección, de número de calle o de algún dato. O incluso mensajes que nos dicen que está retenido en la aduana".
Y pone una regla previa que corta muchas infecciones: "Lo primero es tener claro si esperamos algún paquete. Si no es así, sobre todo no tenemos que caer en la curiosidad y entrar a mirar, porque ya habremos caído en la trampa. Si recibimos un mensaje de estos que nos dice que entremos en una dirección de internet, debemos mirarla antes de entrar: nunca tenemos que dar el número de tarjeta de crédito ni un código que nos envíen al móvil por WhatsApp".
Estos consejos coinciden con la alerta institucional de Cataluña sobre SMS que suplantan mensajerías, y con la alerta de los Mossos que hacer clic puede instalar malware (software malicioso) en dispositivos Android.
Qué debes hacer si ya has hecho clic o has introducido datos
Serra fija una prioridad clara: "Si hemos introducido nuestro número de tarjeta o cuenta corriente o hemos enviado el código, debemos avisar al banco para anular la tarjeta. Si hemos dado el número de una app (aplicación), deberemos regenerarlo y cambiar rápidamente las contraseñas".
Guía de supervivencia en cuatro pasos
1.- Si no se espera ningún paquete: no hacer clic en ningún enlace y eliminar el mensaje.
2.- Si se esperas algún paquete: mirar la dirección web antes de entrar y no resolver incidencias por SMS; hacerlo por canales oficiales.
3.- No introducir los datos de la tarjeta ni compartir códigos (SMS/WhatsApp).
4.- Si ya se ha caído en la trampa: contactar con el banco inmediatamente e iniciar un cambio o una regeneración de tus accesos (el correo y las apps clave, primero).
La logística de la impaciencia no crea el SMiShing, pero le crea el contexto: muchos paquetes, muchas notificaciones, rutas apuradas e incidencias creíbles. Castillo apunta dos palancas para reducir el ruido (destinos alternativos y transparencia). Serra pone la disciplina mínima para no convertir un aviso en una intrusión.