Hace unos días puse un artículo a la venta en Wallapop y, lo que parecía una venta rápida y sencilla, estuvo a punto de convertirse en un desastre financiero. Me gustaría contar mi experiencia para que nadie más caiga en esta trampa, porque los estafadores están usando técnicas de ingeniería social cada vez más elaboradas.
El anzuelo: «Estoy en el ordenador del trabajo»
Todo empezó de forma normal. Un comprador se interesó por mi producto casi de inmediato. Sin embargo, lanzó la primera señal de alerta: me dijo que estaba usando el ordenador del trabajo, que no tenía la app a mano y que, por favor, habláramos por WhatsApp para cerrar el trato.
Cometí el error de salir de la plataforma segura de Wallapop. Al hacerlo, les di el control total de la comunicación, lejos de los filtros de seguridad de la app oficial.
La trampa: el SMS y la web «espejo»
Una vez en WhatsApp, el comprador me aseguró que ya había realizado el pago a través de la plataforma. Acto seguido, recibí un SMS en mi móvil con un enlace sospechoso.
Al pulsar —algo que nunca debéis hacer— se abrió una web que era clavadita a Wallapop. Los mismos colores, logos y tipografía. En ella se me indicaba que, para recibir el dinero de mi venta, debía introducir los datos de mi tarjeta bancaria: número, caducidad y el código CVV.
La alerta definitiva: «¿Tener 200 € de saldo para cobrar?»
Aquí es donde la historia se volvió surrealista. La web me indicaba que, por «seguridad», para completar la transacción debía confirmar que tenía un saldo mínimo de 200 € en mi cuenta.
Fue el momento de decir basta. ¿Desde cuándo alguien necesita saber cuánto dinero tienes para ingresarte un pago? Ante la duda, consulté con mi compañero de AppleX4 y su respuesta fue clara: era una estafa de manual.
Y no es un caso aislado. En un mundo donde las amenazas digitales no dejan de crecer, vale la pena recordar que 2026 es el año en el que la ciberseguridad deja de ser opcional. Lo que me pasó a mí es un ejemplo perfecto de por qué.
lecciones que he aprendido (y que deberías grabar a fuego)
- La tarjeta es para pagar, no para cobrar. Para que te ingresen dinero en Wallapop, solo necesitas configurar tu IBAN en el monedero de la app. Nunca des el número de tu tarjeta, su caducidad ni el CVV para recibir un pago.
- No salgas nunca del chat oficial. Si alguien pone excusas para llevarte a WhatsApp, bloquéalo directamente. Es la forma que tienen de enviarte enlaces maliciosos sin que la plataforma los filtre.
- Desconfía de los SMS con enlaces. Wallapop te avisa mediante notificaciones dentro de su propia app, nunca por mensajes de texto externos. Un SMS con un link es, casi siempre, una señal de alarma.
- El saldo mínimo es una trampa. Ninguna plataforma legítima te pedirá tener dinero ahorrado para recibir un ingreso. Lo hacen para asegurarse de que tu cuenta tiene fondos antes de intentar robártelos.
Por cierto, si quieres saber más sobre cómo proteger tus dispositivos ante accesos no autorizados, te recomiendo este artículo: los mejores trucos para saber si alguien ha accedido a tu iPhone o Mac.
¿Qué hacer si ya has caído?
Afortunadamente, mi desconfianza y el consejo a tiempo me salvaron. Si tú llegas a introducir tus datos en una de estas webs, no esperes ni un segundo: llama a tu banco y anula la tarjeta de inmediato. Después, bloquea al usuario en Wallapop y repórtalo desde la propia app.
Que mi susto sirva de aviso: en internet, si algo parece raro o te pide datos que no tienen sentido, probablemente sea una estafa. ¿A vosotros os ha pasado algo parecido vendiendo online? Contadlo en los comentarios.
Preguntas frecuentes sobre estafas en Wallapop
¿Wallapop me pedirá alguna vez los datos de mi tarjeta para cobrar una venta?
No. Wallapop nunca te pedirá el número de tarjeta, la fecha de caducidad ni el CVV para recibir un pago. Para cobrar solo necesitas tener configurado tu IBAN en el monedero de la app. Si alguna web o mensaje te pide esos datos, es una estafa.
¿Qué es el smishing y cómo se usa en estas estafas?
El smishing es una variante del phishing que llega por SMS. Los estafadores te envían un mensaje de texto con un enlace a una web falsa que imita a la plataforma original. El objetivo es que introduzcas tus datos bancarios sin sospechar nada. La clave para evitarlo: nunca pulses enlaces que lleguen por SMS relacionados con ventas online.
¿Por qué los estafadores quieren llevarme a WhatsApp?
Porque fuera del chat oficial de Wallapop pueden enviarte cualquier enlace sin que la plataforma lo filtre o lo detecte. Además, ganan control total de la conversación y pueden presionarte con más facilidad. La regla de oro: todas las gestiones, dentro de la app.
¿Qué hago si ya he dado mis datos bancarios en una web falsa?
Actúa rápido: llama a tu banco de inmediato y solicita el bloqueo o cancelación de la tarjeta. Cuanto menos tiempo pase, menos margen tienen los estafadores para operar. Después, denuncia el perfil en Wallapop y, si quieres, presenta una denuncia ante la Policía Nacional o la Guardia Civil.
¿Cómo reconocer una web falsa que imita a Wallapop?
Fíjate siempre en la URL: una web legítima de Wallapop siempre tiene el dominio oficial wallapop.com. Si ves dominios raros, acortadores de enlaces o combinaciones extrañas de letras y números, cierra la página sin tocar nada. El diseño puede ser idéntico al original, pero la dirección web siempre delata al impostor.
