Estafa de Citas Falsas de SRE apunta a Clientes de Bancos en México

Miles de personas intentan cada día agendar una cita para tramitar su pasaporte, sin imaginar que podrían estar cayendo en una trampa diseñada para robar sus datos bancarios. Lo que debería ser un proceso simple y seguro se ha convertido en el señuelo perfecto para una nueva modalidad de fraude digital que ya ha afectado a usuarios de los principales bancos en México.

Un nuevo sitio web que suplanta a la Secretaría de Relaciones Exteriores (SRE) está aprovechando la urgencia y la alta demanda de este trámite para ejecutar un engaño bien estructurado. Todo comienza cuando la víctima, creyendo estar en una página oficial, intenta agendar su cita y realizar el supuesto pago. Primero se le pide subir un comprobante de pago en OXXO (aunque sea falso) y, tras un mensaje de “pago declinado”, la página redirige a opciones con tarjeta bancaria o transferencia electrónica. Es justo ahí donde el fraude se activa.

Ciberdelincuentes han perfeccionado estos sitios falsos para que luzcan auténticos, imitando logos, colores y hasta el lenguaje institucional. Su objetivo es claro: obtener información financiera de tarjetahabientes desprevenidos.

¿Por qué el sitio falso de la SRE parece tan real?

Una de las cosas que hace tan creíble este fraude es que el sitio falso no se molesta en copiar o modificar las imágenes de la SRE, simplemente las toma directamente del sitio oficial. O sea, los logos, íconos y demás elementos visuales se cargan desde el dominio real de citas.sre.gob.mx, lo que hace que el sitio se vea casi idéntico al original.

Esto genera una sensación de seguridad para cualquiera que no se fije bien en la dirección web. A simple vista, todo parece estar en orden: los colores, el diseño, los textos… todo está hecho para que confíes sin sospechar nada.

La página que está usando esta táctica es https://citaenlinea-gbmx[.]site, aunque es probable que la bajen pronto. Aun así, es un ejemplo claro de lo fácil que es caer si no se revisan bien los detalles.

Un fraude que analiza tu tarjeta en segundos

Lo más preocupante de este fraude es que no solo roba tus datos, también los analiza en tiempo real. En cuanto escribes los primeros seis números de tu tarjeta (lo que se conoce como BIN), el sistema ya sabe de qué banco es, si es de crédito o débito, y hasta si es una tarjeta clásica o de nivel más alto como Gold o Platinum.

¿Y qué hace con esa info? Si detecta que la tarjeta es de bancos como BBVA, Santander, Banorte, HSBC, Scotiabank o Banamex, cambia su comportamiento por completo. En vez de enviar los datos por la ruta “normal”, los manda a un archivo especial llamado “procesando1d.php”. Esto le permite al estafador clasificar las tarjetas más valiosas y usarlas para fraudes más específicos.

Así funciona el sitio falso paso a paso:

1. Te hace creer que estás en un sistema de pagos oficial de la SRE.

2. Te deja subir un supuesto comprobante de pago de OXXO (aunque sea falso).

3. Luego te lanza un error de “pago rechazado” y te pide pagar con tarjeta o transferencia.

4. Cuando metes tu tarjeta, analiza los primeros números para ver si “vale la pena”.

5. Si detecta un banco prioritario, redirige los datos a una ruta distinta, diseñada para tarjetas “premium”.

6. Y sí, todo lo que ingresas va directo a manos del atacante: número de tarjeta, nombre, fecha de vencimiento y código de seguridad.

El nivel de detalle con el que operan demuestra que no se trata de un fraude improvisado, sino de un sistema bien pensado para exprimir al máximo cada dato robado.

Podría interesarte leer: Argentina, México y Perú Víctimas de Robo Masivo de Información

La SRE ya lo había advertido… pero el fraude se volvió más astuto

Desde hace tiempo, la Secretaría de Relaciones Exteriores ha estado lanzando alertas sobre sitios falsos que prometen citas para el pasaporte a cambio de un pago. Pero lo que está pasando ahora va mucho más allá: ya no se trata solo de cobrar por algo que no existe, ahora también buscan vaciar tus tarjetas bancarias.

El sitio fraudulento que está en circulación fue creado hace poco y sigue activo. Y no es cualquier página mal hecha: al revisar su código se nota que tiene una lógica programada para adaptarse según el tipo de tarjeta que ingreses, cambiando la forma en que se roba la información dependiendo del banco o el nivel de la tarjeta.

¿Cómo evitar caer en el fraude?

1. La SRE no te va a pedir pagos con tarjeta en su sitio web.

2. Nunca ingreses datos personales o bancarios en páginas que no terminen en “.gob.mx”.

3. Verifica siempre que la dirección sea https://citas.sre.gob.mx, sin letras de más ni variantes raras.

4. Si tienes dudas, no te arriesgues: consulta directamente en los canales oficiales.

Un par de minutos verificando la página puede ahorrarte muchos dolores de cabeza.