La logística de la impaciencia abre la puerta a la ciberdelincuencia

El volumen récord de paquetería inmediata multiplica avisos e incidencias: en este contexto, el mensaje falso se camufla como un más

El sector postal español vive una etapa de expansión sostenida de la paquetería. La Comisión Nacional de los Mercados y la Competencia (CNMC) constata un récord de 1216,6 millones de envíos de paquetería en el 2024 (+20% interanual), con un peso creciente del segmento de mensajería y paquetería en los ingresos del sector. En paralelo, la delincuencia digital aprovecha este nuevo paisaje: INCIBE gestionó 122 223 incidentes de ciberseguridad en el 2025 (+26%), de los cuales un 14% correspondía a "transporte". Y dentro del "fraude en línea" (45 445 casos), el phishing (suplantación para robar datos) concentra una parte destacada (25 133).

Según expertos de la Universitat Oberta de Catalunya (UOC), la tesis es incómoda pero simple: cuanto más normalizamos la inmediatez logística, más ruido generamos (avisos, incidencias, reprogramaciones) y más fácil es que un mensaje fraudulento se integre dentro del flujo como si fuera legítimo.

En Cataluña, tanto los Mossos d'Esquadra como la Agencia de Ciberseguridad de Cataluña han alertado de campañas de SMS que suplantan empresas de mensajería y juegan con el guion del "problema con la entrega". Las incidencias, según GenCat, se han triplicado.

Los profesores de la UOC Cristian Castillo i Jordi Serra explican desde el punto de vista de la logística y de la ciberseguridad, respectivamente, cómo funcionan estas estafas y cómo se pueden reducir los riesgos.

La logística de la impaciencia

El profesor e investigador de los Estudios de Economía y Empresa de la UOC Cristian Castillo describe un patrón cotidiano que multiplica notificaciones: compra frecuente, múltiples vendedores y domicilio como destino por defecto. Cuando esto se encadena, el consumidor no espera "un paquete", sino paquetes. Y, con ellos, una retahíla de avisos. El punto crítico llega cuando el usuario recibe un mensaje de incidencia el mismo día previsto de entrega. "La parte más confusa sucede cuando el cliente recibe un mensaje que su paquete se ha intentado librar y no estaba en casa, o que se tiene que librar otro día sin previo aviso. Sobre todo la primera: "cuando te dicen que han intentado librarte el paquete y no hay nadie a casa", explica el experto.

Esta dinámica multiplica puntos de fricción: ausencias, reprogramaciones, cambios de franja horaria, devoluciones y, sobre todo, mensajes. Castillo diferencia entre los avisos "normales" de seguimiento y los que realmente generan confusión: los de intento de entrega fallida o reprogramación inesperada. Es el momento en que el usuario, que ya ha organizado el día, percibe una contradicción y busca resolverla rápidamente. Este es el terreno ideal para la ingeniería social: un SMS que llega en el mismo momento de tensión y ofrece una salida rápida ("confirma datos", "paga una tasa", "reprograma"). La clave no es que el ciudadano sea ingenuo, sino que el relato es compatible con el que ya le pasa a mucha gente.

Tensión de rutas, mensajes genéricos y subcontratación

Castillo enumera factores de sistema que generan avisos genéricos o erróneos: rutas apuradas, decisiones de final de jornada y, sobre todo, la subcontratación. A menudo el consumidor identifica la plataforma con el transportista, pero no son el mismo actor. Como que el transportista cobra por paquetes librados, el incentivo tiende a intentar librar antes de "pasar de largo". El vendedor en línea no controla directamente rutas y decisiones del repartidor porque el servicio es subcontratado.

Dejar paquetes en la calle: precariedad del sistema

Cuando se ven paquetes organizados "a pie de calle" es porque el conductor, con conocimiento local, reorganiza la orden de entrega allá donde encuentra espacio. Esto es consecuencia de márgenes de tiempo muy ajustados a los almacenes ("slots", franjas de entrega), que dejan poco espacio para reordenar dentro; la calle se convierte en "zona de organización", cosa que no es ideal.

Cómo reducir el "ruido": cambiar destino y mejorar transparencia

Castillo aporta dos ideas concretas para reducir el ruido de fondo donde se camufla la estafa:

1. Reducir el domicilio como destino automático cuando sabemos que no estaremos (lockers, taquillas inteligentes). "Si nos vamos acostumbrando a que ciertos pedidos no tengan siempre como destino la entrega a domicilio y escogemos un locker, seguro que este tipo de situaciones se pueden reducir. No es el mismo ir entregando un paquete a cada domicilio que llegar a estos lockers y descargar 20 o 30".

2. Máxima transparencia en plazos. Cuando un reparto puede quedar para el final de la jornada, hay más riesgo de atraso. "Quizás vale más la pena decir que tendremos una entrega de 48 horas en vez de 24. Y si después el usuario lo recibe antes, pues mejor. Este tipo de transparencia puede ayudar a reducir la sensación de descontrol".

Estas medidas no eliminan el fraude, pero reducen la cantidad de mensajes "creíbles" que el usuario recibe por incidencias evitables.

La vulnerabilidad de la impaciencia: cómo detectar el smishing

Al otro lado, Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, describe el guion típico de la estafa: el paquete "retenido" por carencia de dirección, o un falso problema de aduana. "Últimamente, se están produciendo muchos avisos de que el paquete está retenido por falta de dirección, de número de calle o de algún dato. O incluso mensajes que nos dicen que está retenido en la aduana".

Y pone una regla previa que corta muchas infecciones: "Lo primero es tener claro si esperamos algún paquete. Si no es así, sobre todo no caer en la curiosidad y entrar a mirar, porque ya habremos picado en la trampa. Si recibimos un mensaje de este y nos dicen que entramos en una dirección de internet, tenemos que mirarla antes de entrar: no tenemos que dar nunca el número de tarjeta de crédito ni un código que nos envíen al móvil por WhatsApp".

Estos consejos coinciden con la alerta institucional de Cataluña sobre SMS que suplantan mensajerías, y con la alerta de los Mossos que clicar puede instalar malware (software malicioso) en dispositivos Android.

Qué hacer si ya has clicado o has introducido datos

Serra fija una prioridad clara: "Si hemos puesto el número de tarjeta o la cuenta corriente o hemos enviado el código, se tiene que avisar en el banco para anular la tarjeta. Si hemos dado el número de una app (aplicación), tendremos que regenerar este y cambiar rápidamente las contraseñas".

Guía de supervivencia en cuatro pasos

1. Si no se espera ningún paquete: no clicar y eliminar el mensaje.

2. Sí se espera: mirar la dirección web antes de entrar y no resolver incidencias por SMS; dirigirse a canales oficiales.

3. No introducir tarjeta ni códigos (SMS/WhatsApp).

4. Si ya se ha caído: contactar con el banco inmediatamente e iniciar un cambio o una regeneración de los accesos (el correo y las apps clave, primero).

La logística de la impaciencia no crea el smishing, pero le crea el contexto: muchos paquetes, muchas notificaciones, rutas apuradas e incidencias creíbles. Castillo apunta dos palancas para reducir el ruido (destinos alternativos y transparencia). Serra pone la disciplina mínima por no convertir un aviso en una intrusión. Cuando el sistema te entrena para reaccionar deprisa, la estafa gana por probabilidad.