Cada vez es más común que los ciberdelincuentes aprovechen plataformas como Idealista, Wallapop o Fotocasa para engañar a usuarios que publican anuncios. Da igual si vendes un coche, un sofá o, como en este caso, alquilas una plaza de garaje: el primer interesado suele ser un estafador.
Hace unos días, un compañero estuvo a punto de perder varios cientos de euros en una estafa muy bien diseñada. La historia mezcla vishing, presión psicológica, BBVA y un servicio llamado Efectivo Móvil, que —hasta ese momento— ninguno de los dos conocíamos.
Todo empieza con un anuncio normal, pero pronto se convierte en una lección de ingeniería social.
El gancho: el anuncio
Mi compañero publica un anuncio corriente en Idealista: fotos claras, precio razonable, ubicación correcta. Nada raro.
Al día siguiente recibe una llamada. El supuesto interesado muestra urgencia y cuenta una historia poco creíble sobre estar fuera del país.
Objetivo del estafador: que todo vaya rápido. Cuanto menos pienses, mejor para él.
Cómo se desarrolla la estafa
El supuesto interesado indica desde el primer momento que no podrá estar en España hasta dentro de 20 días, pero que necesita reservar ya la plaza de garaje. Esta urgencia inicial funciona como detonante psicológico para acelerar cualquier decisión.
Mi compañero no ve inconveniente en reservarla y le propone algo razonable:
“Hazme un Bizum de la fianza y queda reservado.”
Es entonces cuando el tono cambia. El interlocutor comienza a mostrarse nervioso, con excusas constantes y un ritmo acelerado. Afirma que no puede hacerlo por Bizum, que “le da problemas”, y que solo puede enviar el dinero mediante Efectivo Móvil.
Mi compañero desconocía completamente ese servicio —y yo también— y el estafador aprovecha ese desconocimiento para incrementar la presión.
En mitad de este intercambio aparece un SMS enviado desde el número de teléfono del supuesto inquilino, donde parece que se han ingresado 300€. La fianza era 100€, así que el estafador improvisa rápidamente una explicación:
“Tenía ya 30€ marcados, me he liado, en vez de borrar le puse un 0… he mandado 300€ sin querer.”
Mi compañero insiste en lo fundamental:
→ solo ha recibido un SMS, no existe ningún ingreso real en la cuenta bancaria.
A pesar de ello, el estafador continúa presionando para que le devuelva los 200€ sobrantes, alegando que “necesita corregirlo” para no tener problemas con el banco.
Al ver que Bizum no funcionaba, el estafador no discute, sino que pasa al siguiente plan, manteniendo siempre la urgencia como herramienta de control.
Tras confirmar que mi compañero es cliente de BBVA, propone “ayudarlo” a devolver la diferencia, guiándolo paso a paso para activar Efectivo Móvil a través de la app del banco.
En apariencia, es una conversación colaborativa.
Pero aquí está el corazón del engaño:
Explicación técnica: Efectivo Móvil permite enviar dinero a un número de teléfono. Ese número recibe un SMS con un código y un PIN para retirar efectivo sin tarjeta. El código es el dinero.
El estafador quiere que mi compañero introduzca su propio número de teléfono en el envío del efectivo móvil (porque el atacante ya lo tiene) y que luego le proporcione el PIN.
En el momento en que pide ese PIN, mi compañero comprende claramente que está ante una estafa y corta toda interacción.
La secuencia se había desarrollado con la velocidad justa para no dejarle pensar: urgencia, excusa, solución alternativa y una supuesta «ayuda» que escondía la trampa. Todo encajaba. Aquí termina el engaño y empieza el análisis.
Por qué funciona
Este ataque no explota fallos técnicos, sino humanos.
El delincuente juega con:
- Empatía
- Urgencia
- Confianza en los SMS
La tecnología es solo el envoltorio. El ataque ocurre en tu cabeza.
Fraude inmobiliario en general
Este caso es pequeño comparado con los fraudes de miles de euros en alquileres falsos.
Los guiones habituales incluyen:
- Pisos irreales
- Propietarios en el extranjero
- Fianzas anticipadas
Cada vez más personas detectan patrones idénticos en Idealista y Fotocasa.
Cómo protegerte
- Verifica siempre el saldo en la app del banco. Si no está, no existe.
- Nunca uses códigos de retirada que no has solicitado tú.
- Desconfía de las urgencias.
- No devuelvas dinero sin comprobar tu saldo.
- Evita Bizum con desconocidos.
Si casi caes o caíste
- Llama al banco de inmediato.
- Guarda capturas de todo.
- Presenta denuncia con toda la información posible.
Reflexión final
La ciberseguridad no va solo de contraseñas largas o firewalls. También consiste en saber cuándo alguien intenta manipularte.
La mejor defensa es información y calma.
Si este artículo te ha sido útil, compártelo.
