Cultura Digital 5 minutos de lectura

WHATSAPP, SMS Y LLAMADAS FALSAS: CÓMO RECONOCER LAS ESTAFAS MODERNAS

Introducción

Las estafas por WhatsApp, SMS y llamadas falsas no van de “tecnología”. Van de manipulación. Los atacantes se hacen pasar por bancos, empresas de mensajería, familiares u organismos públicos, y lo hacen cada vez mejor: números nacionales, logos, lenguaje convincente y urgencia calculada.

Este post te da algo más útil que “ten cuidado”: un protocolo para no caer, señales claras por canal, trucos para verificar sin exponerte y un plan de respuesta si ya has hecho clic o has dado datos.

Mini protocolo en 30 segundos

Si te llega un mensaje o llamada sospechosa, aplica esto siempre:

  1. No hagas clic en enlaces ni abras archivos adjuntos.
  2. No respondas ni “negocies”: solo validas que tu número funciona.
  3. Verifica por tu cuenta (tú inicias el contacto): app oficial, web escrita a mano o teléfono oficial.
  4. Nunca compartas códigos SMS, claves, PIN o “códigos de verificación”.

En el 90% de casos, con esto ya ganas.

Cómo funcionan estas estafas (modelo real)

  1. Entrada: WhatsApp/SMS/llamada con un gancho (paquete, banco, multa, familiar).
  2. Emoción: prisa, miedo, amenaza o “pena” (“me han robado el móvil”).
  3. Salida del canal seguro: enlace, llamada “al número del SMS”, instalar una app, dictar un código.
  4. Captura: credenciales, datos bancarios, códigos de verificación, acceso remoto.
  5. Monetización: Bizum, transferencias, compras, secuestro de cuentas, estafa a contactos.

Trampa avanzada: “está en el mismo hilo” o “parece el número real”

Dos realidades incómodas:

  • SMS: el remitente puede aparecer como “BancoX” y colarse en el mismo hilo que mensajes legítimos.
  • Llamadas: el número mostrado puede ser suplantado (caller ID spoofing).

Por eso la validación no es “me suena el hilo”. La validación es yo entro en la app / yo llamo al número oficial.

Señales rojas universales (si ves 2, es fraude casi seguro)

  • Urgencia o amenaza: “último aviso”, “bloqueo”, “multa”, “caduca hoy”.
  • Te sacan del canal oficial: enlace, WhatsApp, llamada “a este número”.
  • Piden datos o códigos: claves, PIN, CVV, códigos SMS, “código de verificación”.
  • Te piden dinero (Bizum/transferencia) con prisa o drama.
  • Lenguaje raro o demasiada insistencia en que “no cuelgues”.

Señales específicas por canal

1) SMS (Smishing)

  • Enlaces acortados (bit.ly, tinyurl) o dominios parecidos al real (typosquatting).
  • Importes pequeños “para desbloquear” (1,99€, 2,15€) típicos de paquetería falsa.
  • “Accede para verificar” o “confirma aquí” con tono bancario.

2) WhatsApp

  • “Hola mamá/papá, me he cambiado de número” + petición de Bizum urgente.
  • “Te he enviado un código por error, pásamelo” (robo directo de cuenta).
  • Perfiles con foto “robada” o cuenta nueva con historia emocional.

3) Llamadas (Vishing)

  • Se presentan como “antifraude” y te piden que confirmes una operación.
  • Te piden que dictes un código SMS “para cancelar” (en realidad autoriza).
  • Te piden instalar una app de soporte o compartir pantalla.

Ejemplos típicos (ficticios, pero 100% reales como patrón)

⚠️ “Tu paquete no ha podido ser entregado. Paga 1,99 € aquí para reprogramar: …”
⚠️ “BancoX: detectamos un acceso. Verifica tu cuenta aquí: …”
⚠️ “Mamá, me he cambiado de número. Hazme un Bizum urgente.”
⚠️ “Soy del departamento antifraude. Te llega un SMS: dime el código para bloquear.”
⚠️ “Instala esta app para que podamos ayudarte a cancelar la operación.”

La constante es siempre la misma: prisa + salida del canal seguro + extracción de control.

Mini guía: cómo verificar sin exponerte

Verificar no es “responder”. Verificar es tú inicias el contacto por un canal que tú controlas.

  1. Banco: abre tú la app oficial. Si hay un problema real, estará ahí.
  2. Paquetería: entra tú a la web oficial (tecleando) o revisa el tracking de tu pedido real.
  3. Familiar: llama al número de siempre o pregunta algo que solo esa persona sepa.
  4. Organismo público: busca tú el canal oficial. No uses enlaces del SMS.

Herramientas útiles (para comprobar enlaces sin hacer clic “a lo loco”)

  • Google Safe Browsing (Transparency Report): para ver si una URL está marcada como peligrosa.
  • VirusTotal: pega la URL para que múltiples motores la analicen.
  • WHOIS: mira si el dominio es recién creado (señal típica en estafas).

Ojo: si la estafa es nueva, puede no aparecer aún. Las herramientas ayudan, pero el protocolo manda.

Trucos prácticos que funcionan en la vida real

Truco 1: la “regla del freno”

Si el mensaje te mete prisa o miedo, es exactamente cuando debes parar. Los ataques viven de que no pienses.

Truco 2: el “código familiar”

En familias con personas mayores, acordad una palabra clave. Si alguien pide dinero por WhatsApp y no sabe la palabra, no hay debate: no se paga.

Truco 3: “yo te llamo”

Si te llama un supuesto banco/operadora/soporte: cuelga y llama tú al número oficial (tarjeta o web oficial). Esto corta el 95% del vishing.

Truco 4: no uses SMS como segundo factor cuando puedas evitarlo

SMS es mejor que nada, pero es vulnerable a secuestro de línea/SIM swapping. Si un servicio permite app autenticadora o passkeys, cambia.

Mini guía: configuración mínima para protegerte (5 minutos)

  • WhatsApp: activa “Verificación en dos pasos” (PIN) y añade email de recuperación.
  • Móvil: silencia llamadas de desconocidos si recibes mucho spam (ajuste disponible en iOS/Android).
  • Correo: activa MFA (porque muchas estafas escalan por recuperación de cuentas).
  • Banco: activa notificaciones de operaciones y límites de seguridad.

Qué hacer si recibes uno (respuesta estándar)

  1. No hagas clic ni abras adjuntos.
  2. No respondas.
  3. Bloquea el número y reporta en la app si existe opción.
  4. Verifica por tu cuenta (canal oficial).
  5. Avisa a personas vulnerables cercanas si el patrón está circulando.

Qué hacer si ya has caído (plan de contención por prioridad)

0–10 minutos

  • Banco: llama al canal oficial y bloquea operaciones/tarjetas si hay riesgo.
  • Cuentas: cambia contraseñas de correo y servicios críticos desde un dispositivo seguro.
  • Sesiones: cierra sesiones abiertas en Google/Apple/Meta si sospechas acceso.

En la primera hora

  • Activa MFA donde falte (correo, redes, banca).
  • Revoca apps conectadas sospechosas.
  • Revisa métodos de recuperación (que no hayan añadido otro número/email).

En 24 horas

  • Recopila pruebas (capturas, números, enlaces, horas).
  • Denuncia si hay perjuicio económico o suplantación.
  • Si hubo instalación de apps “de soporte”: desinstala, revisa permisos y considera revisión técnica del dispositivo.

Checklist imprimible (para tenerlo a mano)

  1. ¿Me mete prisa o miedo? → sospecha.
  2. ¿Me pide un enlace/llamada/instalar algo? → sospecha.
  3. ¿Me pide códigos o datos? → estafa casi segura.
  4. ¿He verificado desde canal oficial iniciado por mí? → único “verde”.

Conclusión

Las estafas modernas no se basan en hacking sofisticado, sino en procesos humanos rotos. La defensa real no es “ser desconfiado”: es tener un protocolo que siempre funcione.

En Gondor creemos que la verdadera ciberseguridad empieza con personas informadas, con hábitos sencillos y con decisiones que aguantan un día real con prisa.

¿Quieres aprender a proteger tu vida digital sin complicarte?

En Gondor Solutions publicamos guías prácticas y acompañamos a personas y negocios en el uso de la tecnología.

Hablemos