Alerta, si recibes un SMS con estas dos palabras, podrías estar frente a una estafa millonaria

Mensajes que imitan multas de tráfico o paquetes perdidos están vaciando cuentas bancarias. Así es como puedes detectar en un momento si están tratando de estafarte.

Seguro que alguna que otra vez has recibido el típico mensaje que te ha puesto el corazón a mil de "multa impagada" o "acaban de extraer en tu cuenta 500 euros". Este tipo de SMS suelen provocar la acción inmediata de los usuarios, haciendo clic en el primer enlace que vean, pero que sepas que ese clic lo que va a provocar es que de verdad vacíen tu cuenta. 

 En 2025, los ciberdelincuentes están usando “com-track” y “com-toll” en los enlaces para camuflar fraudes millonarios, según SpamHaus.

Estas palabras son la firma invisible de las estafas por SMS. Los mensajes simulan ser de Correos, Hacienda o tu banco, pero el enlace contiene trampas como “entregas-com-track.top” o “peajes-com-toll.cyou”.

Si pinchas, te llevan a páginas clonadas donde roban tus claves bancarias. En abril de 2025, el FBI alertó sobre 60.000 dominios falsos usados en estas campañas.

Así cazan a sus víctimas: la receta del engaño perfecto

  • Urgencia falsa. Frases como "pago pendiente" o "bloqueo inminente" buscan asustarte para que actúes sin pensar.
  • Enlaces disfrazados. Usan dominios que imitan a los reales añadiendo "-track" o "-toll" al final (ejemplo: "correos-com-track.xyz").
  • Páginas espejo. Copian el diseño de bancos o instituciones públicas para que introduzcas tus datos.
  • Blanco móvil. Los jóvenes entre 18-24 años son los más vulnerables: envían 67 SMS diarios de media y confían más en enlaces.

Ya se han reportado casos en diferentes partes del mundo y sí, también en España. Clientes de Bancolombia están recibiendo mensajes como: "Se activó su seguro por 198.470 dólares. ¿No fuiste tú? Cancélalo aquí: [enlace-com-track]". Al pinchar, los estafadores clonan la web del banco y roban credenciales.

La Guardia Civil española ya desarticuló una red que usaba esta técnica. Los detenidos enviaban SMS falsos de bancos avisando de "inicios de sesión sospechosos" y redirigían a páginas fraudulentas. 

Cómo protegerte (y no caer en la trampa)

  • Revisa el enlace con lupa. Palabras como "com-track", "com-toll" o dominios ".top" y ".cyou" son señales de alarma.
  • Verifica el remitente. Los bancos nunca te contactan desde números genéricos o con errores ortográficos.
  • Ignora la prisa. Las instituciones reales dan plazos razonables, no exigen pagos “en los próximos 10 minutos”.
  • Usa apps oficiales. Si te avisan de una multa o paquete, revisa directamente en la aplicación de Correos, tu banco o Tráfico.

Si tristemente has caído en la trampa, desconecta el móvil de internet, llama a tu banco para bloquear cuentas, y denuncia en la Policía. La rapidez es vital para ti porque los estafadores vacían cuentas en menos de una hora.

Mientras las autoridades persiguen a los ciberdelincuentes, tu mejor arma es, como siempre decimos, desconfiar de cualquier SMS que te pida datos o pagos urgentes. Como dice el FBI: "Ninguna institución legítima te pedirá contraseñas por mensaje".

Otros artículos interesantes:

Ver sus artículos

Carolina González

Redactora

Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.