Saltar al contenido

SMS phishing SEUR (smishing): cómo identificar el fraude y qué hacer paso a paso

Si has llegado hasta aquí, seguramente te ronda la duda con un mensaje que dice ser de SEUR y te pide pagar algo, confirmar datos o pinchar un enlace “para no perder el paquete”. Te entiendo. En mi radar de estafas, el sms phishing SEUR (también llamado smishing) es de los cebos más comunes porque explota algo muy humano: la prisa por recibir un envío. Y sí, “el sms del falso pago en aduanas” es ahora el anzuelo estrella. No exagero cuando digo que “puede que en las últimas semanas algunos de ustedes tu mamá el papá el primo o el infeliz de tu ex haya recibido este falso sms”.

Queremos que reconozcas en segundos si un SMS de SEUR es legítimo o no; y que sepas actuar con eficacia si ya hiciste clic o diste tus datos. Siempre me repito una y otra vez: “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”. Suena básico, pero cuando estás esperando un paquete y te llega un aviso con urgencia, es fácil morder el anzuelo.

ejemplo SMS phishing SEUR

Qué es el smishing y por qué se usa para suplantar a SEUR

Para situarnos: el smishing es phishing por SMS. Los delincuentes suplantan a marcas conocidas para llevarte a una página falsa donde metes tu tarjeta o tus credenciales. A veces la estafa es burda, y otras está muy bien pulida. He visto desde plantillas cutres hasta clones casi perfectos. En un extremo, páginas con dominios estrafalarios; en el otro, mensajes que encajan con tu contexto (“tu pedido”, “reprogramar entrega”, “aduanas”). Y ojo: “estos fraudes pueden evolucionar… si acaban mejorando el diseño… puede ser más efectivo”. Por eso no basta con “yo distingo los feos”: hay campañas cada vez más convincentes.

Algo que repito cuando alguien me enseña el pantallazo de turno es esto: las aduanas no se pagan por un enlace recibido por sorpresa en un SMS. En la vida real, “las aduanas siempre puedes pagarlas cuando el cartero o la cartera pase por tu casa con el paquete y además también puedes pagarles directamente desde la oficina de correos”.

Si el mensaje te exige un pago exprés de 1,99–2,99 € para liberar un envío, sospecha. Ese importe simbólico está calculado para que aceptes sin pensar.

Cómo funciona en 3 pasos – SMS phishing SEUR

  1. SMS: salto de urgencia + CTA (“paga tasas”, “reprograma entrega”, “actualiza datos”).
  2. Enlace: dominio que no es de la marca (a veces “una url de extensión rusa” u otros TLD raros).
  3. Web trampa: formulario de tarjeta y importe simbólico (1,99–2,99 €) para bajar tus defensas. Luego clonan la tarjeta o prueban cargos mayores.

Y ojo con la sensación de “esto es cutre, nadie pica”: “aparentemente este parece un fraude bastante tonto… pero estos fraudes pueden evolucionar… y si acaban mejorando el diseño… puede ser más efectivo”. Es decir, hoy puede verse burdo; mañana, convincente.

Diferencias entre smishing, phishing y vishing – SMS phishing SEUR

  • Smishing (SMS/WhatsApp): llega al móvil con un enlace. Señal típica: prisa por pagar tasas o gastos. Me repito siempre: “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”.
  • Phishing (email): correos con logotipos y plantillas; enlaces a páginas clonadas.
  • Vishing (llamada): teléfono; el “agente” te guía para que digas o introduzcas datos.

En todos los casos, un detalle operativo marca la diferencia: “si el sms no tiene este número de referencia… este sms es falso”. Las comunicaciones legítimas de un envío siempre se pueden verificar por canales oficiales y con localizador.

Por qué el gancho “reprogramar entrega” (o “aduanas”) funciona

  • Contexto perfecto: medio país espera paquetes a diario. Si justo aguardas uno, el cebo suena plausible.
  • Importe despreciable: 2,99 € “para liberar el paquete” parece inocuo; baja tu guardia.
  • Urgencia y miedo a perderlo: ventanas de tiempo (“48 h”), amenazas sutiles (“devolver a origen”).
  • Dominio trampa: incluso cuando no clonan el look, te llevan a “una url de extensión rusa” u otras variantes.
  • Confusión de marcas: hoy te citan SEUR; ayer fue Correos o “la del falso sms de m&r w”. La mecánica es idéntica.

Y aquí lo clave que aplico como regla práctica: “las aduanas siempre puedes pagarlas cuando el cartero o la cartera pase por tu casa con el paquete y además también puedes pagarles directamente desde la oficina de correos”. Si te fuerzan a pagar por un enlace del SMS, desconfía por defecto.

Señales infalibles para detectar un SMS falso de SEUR

Que no te líen: la mayoría de cebos de SMS phishing SEUR caen por su propio peso si observas tres cosas con lupa: la URL, el tono/importe y el localizador. Aquí va mi checklist operativo para decidir en segundos.

URLs raras (incluida extensión .ru) y acortadores

La regla número uno es simple y la aplico siempre: no entres desde el enlace del SMS. Si aun así miras la URL, busca estos fallos:

  • Dominio que no es de SEUR: nada de seur.com → ojo con imitaciones tipo seur-entregas.com, subdominios engañosos (seur.com.entregas-xyz.net) o TLD extraños. Más de una vez me he topado con “una url de extensión rusa”: bandera roja inmediata.
  • Acortadores (bit.ly, tinyurl, etc.) que ocultan el destino real.
  • HTTP sin candado o certificados que no coinciden con el dominio.
  • Web chapucera: políticas de privacidad vacías, avisos legales reciclados, logos borrosos… A veces “esta web ni siquiera la han intentado imitar para web oficial”, lo cual delata el montaje.

Si el enlace no acaba en un dominio corporativo legítimo, cancelo, bloqueo y voy por mi cuenta a seur.com.

Urgencia, faltas de ortografía e importes simbólicos (1,99–2,99 €)

El discurso del smishing es muy predecible:

  • Urgencia artificial (“último aviso”, “48 h”, “se devolverá a origen”).
  • Errores gramaticales o mayúsculas raras.
  • Pagos minúsculos para desactivar tu sospecha: 1,99–2,99 € por “gestión”, “gastos de envío” o “el sms del falso pago en aduanas”.
  • Petición de datos de tarjeta en una página enlazada.

Aquí me repito lo mismo que tú y yo ya sabemos: “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”. Y no te confíes por cutre que parezca: “aparentemente este parece un fraude bastante tonto… pero estos fraudes pueden evolucionar… y si acaban mejorando el diseño… puede ser más efectivo”. Ayer fue MRW (“la del falso sms de m&r w”), hoy SEUR; mañana, el que toque.

Localizador y referencia de envío: cuándo existe y cómo verificarlo

Las comunicaciones legítimas de paquetería se verifican con un localizador. Si el mensaje:

  • No incluye un número de referencia válido/verificable.
  • O te lleva a introducir el localizador en una web que no es oficial.

Entonces actúa como si fuera fraude.

“Si el sms no tiene este número de referencia… este sms es falso”. Y aunque lo tenga, nunca lo compruebo desde el enlace del SMS: entro yo mismo en seur.com o en la app y lo introduzco allí.

El cebo de las “aduanas” y el “paquete retenido”

El anzuelo más rentable ahora mismo es el del paquete retenido en aduanas. Funciona porque mezcla urgencia, cantidades pequeñas y un contexto creíble (todos recibimos paquetes). El libreto suele empezar así: “vas a recibir un sms en el que se te dice que te escriben de correos y se te informa de que hay un paquete que no te han podido entregar correctamente”. En el mensaje aparece un enlace para “pagar las tasas de aduanas” y “liberar” el envío. A veces, cuando haces clic, aterrizas en “una url de extensión rusa” u otro dominio extraño donde te piden datos de tarjeta; otras veces la página imita la marca con más o menos acierto (he visto casos en los que “esta web ni siquiera la han intentado imitar para web oficial”). Y conviene no confiarse, porque “esto siempre puede ir cambiando en el futuro”: cada campaña pule un poco más el disfraz.

¿SEUR cobra aduanas por SMS? Cómo se paga realmente

La respuesta es simple y la repito tal cual porque evita muchísimos sustos: “las aduanas siempre puedes pagarlas cuando el cartero o la cartera pase por tu casa con el paquete y además también puedes pagarles directamente desde la oficina de correos”. Esto descarta de un plumazo el pago exprés por enlace. Si un SMS te exige abonar 1,99–2,99 € “para gastos de gestión” o similares, yo lo trato como fraude y punto.

Además, “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”. En caso de incidencia real con un envío, lo normal es que exista un localizador verificable en los canales oficiales; si el mensaje no lo trae o te obliga a usarlo en una web rara, recuerda la regla de oro: “si el sms no tiene este número de referencia… este sms es falso”.

Cómo maquillan el anzuelo: textos tipo y señales que delatan

Las campañas recientes repiten fórmulas muy parecidas. He visto textos tal cual:

“Apreciado cliente tu paquete no se ha podido entregar en la fecha estimada porque no se han pagado los gastos de envío”.

Para parecer legítimos, algunos añaden detalles como localizador, terminal desde el que se realiza el cargo o fecha de la operación; pero “se olvidan de añadir algo tan sencillo como un saludo personalizado”, lo que debería levantar sospechas. Acto seguido viene el enlace:

“Pulsar sobre este enlace… te redirigirá a una página similar al oficial desde la que tratarán de hacerse con tus datos tanto personales como bancarios”.

Ese es el momento de parar: no completes formularios, no metas tarjetas y no subas fotos de documentos.

Por qué nos engancha el “paquete retenido”

  • Contexto: si esperas algo de fuera de la UE, el argumento parece natural.
  • Importe bajo: pagar 2–3 euros no “duele”. Ese es precisamente el truco.
  • Temor a perder el envío: ventanas de tiempo, amenazas de devolución o tasas acumuladas.
  • Dominio trampa: a veces descarado (“.ru”), a veces disimulado con subdominios largos.
  • Variantes de marca: hoy es SEUR, ayer fue Correos o MRW; el guion es el mismo.

Si recibo un aviso así, no abro el enlace, entro yo a la web/app oficial y busco mi envío por localizador. Si no hay rastro, bloqueo y olvido.

Qué hacer si pinchaste el enlace o diste datos

Respira. No eres la primera persona ni serás la última. La clave es reaccionar en minutos y dejar rastro de todo para recuperar el control (y el dinero si procede). Yo sigo este protocolo práctico, apoyado en lo que ya sé por experiencia y repitiéndome algunas frases tal cual para no perder el foco.

Corta el riesgo financiero – SMS phishing SEUR

  • Llama a tu banco y bloquea la tarjeta. Pide revisión de cargos y, si hay alguno, tramita devolución. “si hemos facilitado los datos bancarios debemos contactar con nuestro banco para tomar las medidas de seguridad que corresponden evitando que se realicen cargos adicionales”.
  • Si introdujiste credenciales bancarias, cambia inmediatamente usuario/contraseña desde otro dispositivo y activa 2FA.

Cambia contraseñas y activa 2FA

  • Prioriza: email principal, banca, tiendas, redes y cualquier servicio donde recicles contraseña.
  • Activa doble factor (app autenticadora mejor que SMS).
  • Revoca sesiones activas y cierra dispositivos confiables que no reconozcas.

Aísla y revisa tu dispositivo – SMS phishing SEUR

  • Si solo visitaste una web y no instalaste nada, borra la pestaña y limpia caché.
  • Si descargaste algún archivo o app (Android/iOS):
    • Desinstala lo sospechoso.
    • Pasa un antivirus/antimalware reputado.
    • En iOS, revisa Perfiles y gestión de dispositivos; elimina perfiles desconocidos.
  • No introduzcas más datos personales hoy en ese dispositivo hasta terminar la revisión.

Guarda pruebas y crea tu “dossier”

  • Haz capturas del SMS, la URL (sin volver a abrirla), hora/fecha y cualquier cargo.
  • Anota lo que introdujiste: tarjeta, DNI, clave, etc.
  • Comienza a monitorizar: “vigilar regularmente qué información hay publicadas sobre nosotros en internet para detectar si nuestros datos están siendo utilizados sin consentimiento”.

Denuncia y notifica – SMS phishing SEUR

  • Presenta denuncia (Policía/Guardia Civil) con todas las pruebas. “denunciar la situación ante las fuerzas y cuerpos de seguridad del estado”.
  • Informa al servicio afectado (banco, plataforma, paquetería).
  • Reporta el SMS a tu operadora si ofrece canal de reporte de spam/smishing.

Privacidad: si cediste datos personales

  • Si entregaste DNI, dirección, teléfono, etc., valora ejercer tus derechos ante la autoridad competente: “la agencia española de protección de datos explica cómo hacerlo”.
  • Considera alertas de equivalencias de identidad (si recibes comunicaciones de altas no solicitadas, microcréditos, etc.).

Comprueba tu envío por la vía segura

  • Nunca uses el enlace del SMS. Entra tú mismo en seur.com o la app oficial y busca por localizador.
  • Si no hay registro, da el SMS por fraude y bloquea al remitente. Aquí mi regla de oro: “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”.

Cómo comprobar un envío de SEUR con seguridad

Lo primero es verificar un envío de SEUR sin caer en smishing significa tomar tú el control del proceso. Nada de enlaces del SMS; vas por canales oficiales y con datos verificables. Yo lo hago así, siempre.

Entra tú mismo en los canales oficiales (no desde el SMS)

  • Abre el navegador y escribe seur.com a mano o usa la app oficial.
  • Nunca clicks en el enlace del mensaje: “desconfía siempre de cualquier sms que te pide entrar a un enlace para hacer cualquier tipo de gestión”.
  • Si quieres curiosear el enlace sin entrar, examina el dominio: si no es de SEUR, ignóralo; y si ves “una url de extensión rusa”, ya sabes lo que es.

Usa un localizador que puedas contrastar

En una incidencia real, SEUR te da un identificador verificable. Tal cual:

“En caso de cualquier incidencia… se te dirá un número de paquetes que te permitirá entrar a la web del servicio postal e informarte sobre él”.

  • Consigue el localizador por vías legítimas: correo de la tienda, área de cliente de la web donde compraste, o comunicaciones oficiales de SEUR (no el SMS sospechoso).
  • Introduce ese localizador solo en seur.com o la app. Si el mensaje “mágicamente” no trae referencia, me repito mi regla de oro: “si el sms no tiene este número de referencia… este sms es falso”.

Sólo con estas dos cosas, puedes evitarte muchos quebraderos de cabeza y estafas.

Preguntas frecuentes sobre el SMS phishing SEUR

¿Es este mensaje de SEUR falso?

Haz la triada rápida: enlace + dominio + localizador. Si te pide pagar por un enlace, el dominio no es seur.com (o ves cosas raras como subdominios interminables) o no incluye un localizador verificable en la web/app oficial, trátalo como fraude. Ante la duda, no discuto con el SMS: entro yo mismo en seur.com y lo compruebo ahí.

¿Qué hacer si recibo SMS de phishing?

1. No pulses el enlace ni respondas.
2. Bloquea al remitente y elimina el mensaje.
3. Verifica tu envío entrando tú en seur.com o en la app; nunca desde el enlace.
4. Si el SMS pretende cobrarte “tasas” o “gastos”, recuerda la operativa real: las aduanas se pagan en la entrega o en oficina, no por un enlace sorpresa.
5. Reporta a tu operadora si tiene canal anti-spam y guarda captura si quieres denunciar

¿Cómo saber si un SMS es falso?

Check rápido:
Dominio que no sea corporativo (seur.com) o uso de acortadores.
Urgencia artificial (“último aviso”, “48 h”) y importe simbólico (1,99–2,99 €).
Faltas de ortografía o saludo genérico (“Estimado cliente”).
Localizador ausente o imposible de validar en la web/app oficial.
Con una sola de estas señales, no continúo y verifico por mi cuenta.

¿Qué diferencia hay entre phishing y smishing?

Phishing: estafa por email que te lleva a una web clonada.
Smishing: lo mismo pero por SMS (a veces se extiende a WhatsApp/Telegram).
Vishing: llamadas con ingeniería social.
El objetivo es idéntico: robar datos y dinero.

¿SEUR pide pagar aduanas por SMS?

No. Los pagos legítimos de aduanas se realizan en la entrega (al repartidor) o en la oficina correspondiente. Si un SMS te exige pagar por un enlace para “liberar el paquete”, márcalo como fraude y verifica tu envío desde seur.com.

He hecho clic y metí mi tarjeta, ¿qué hago?

Actúa ya:
Llama a tu banco, bloquea la tarjeta y revisa movimientos.
Cambia contraseñas y habilita 2FA.
Guarda pruebas (capturas, URL, horas) y presenta denuncia.
Si diste datos personales, valora ejercer derechos de privacidad ante la autoridad competente.

Yo ya no me preocupo: cada vez que dejo una empresa, genero mi carta, la envío… y me quito problemas

Hubo un tiempo en el que cada semana me caía un SMS raro: “paga 1,99 € de aduanas”, “actualiza tus datos bancarios”, “tu paquete no se ha podido entregar…”. Alguno venía con un dominio sospechoso, incluso de esos con extensión rara, sin saludo y con prisas por que pinchara el enlace. No llegué a perder dinero, pero vivía alerta y, sinceramente, cansado.

Un día me harté. Decidí hacer algo muy simple que me ha cambiado la vida digital:
cada vez que dejo de usar una empresa (tienda, mensajería, operador, lo que sea), genero una carta de supresión y oposición y la envío. Fin. Desde entonces no me preocupo: hay menos ruido, menos SMS comerciales y, sobre todo, menos superficie para que me suplanten.

Por si quieres saber más: