Estafa “brushing”: cuidado con códigos QR en paquetes

La estafa “brushing” evoluciona: códigos QR en paquetes no solicitados exponen tus datos.

Usuarios de plataformas de comercio electrónico como Amazon y Temu están reportando una nueva variante de la estafa “brushing”, donde reciben paquetes que no ordenaron. Esta práctica, que inicialmente parecía inofensiva, ahora incorpora códigos QR maliciosos, alertando a las autoridades sobre un riesgo mayor para la seguridad de la información personal de los consumidores.

La Comisión Federal de Comercio (FTC), el Better Business Bureau (BBB) y el Servicio de Inspección Postal de Estados Unidos (USPIS) han emitido advertencias, destacando que la recepción de estos paquetes es una señal clara de que los datos personales del destinatario han sido comprometidos.

Así opera la estafa “brushing” con códigos QR

El “brushing” es una técnica fraudulenta utilizada por vendedores externos para inflar artificialmente las calificaciones de sus productos y mejorar su visibilidad en línea. Los estafadores obtienen nombres y direcciones, a menudo a través de filtraciones de datos, y los usan para crear perfiles falsos. Posteriormente, realizan compras de sus propios productos y los envían a estas direcciones. Una vez que el sistema de la plataforma registra la entrega, el vendedor, suplantando al destinatario, publica una reseña positiva de cinco estrellas, lo que les otorga el estatus de “comprador verificado” y eleva la credibilidad de sus reseñas falsas.

Los artículos enviados suelen ser de bajo costo, como máscaras faciales, semillas o pequeños electrónicos, para minimizar gastos. La evolución de esta estafa, reportada a principios de 2025, incluye códigos QR maliciosos dentro de los paquetes. Al escanearlos, con la promesa de descuentos o información del “regalo”, las víctimas son redirigidas a sitios de phishing diseñados para robar credenciales o descargar malware en sus dispositivos.

¿Qué hacer si recibes un paquete no solicitado?

Recibir un paquete que no ordenaste es un indicio de que tu información personal, como nombre completo y dirección, ha sido expuesta, lo que podría derivar en robos de identidad. Amazon y Temu han declarado que esta práctica va en contra de sus políticas y solicitan a los clientes contactar a su servicio de atención para iniciar una investigación.

Las autoridades recomiendan las siguientes acciones si eres víctima de la estafa del “brushing”:

• Notificar al minorista: Informa a la plataforma de comercio electrónico sobre el paquete no solicitado.
• No pagar ni devolver: Por ley, puedes quedarte con la mercancía. No se recomienda devolver el paquete si implica escanear un código QR.
• Cambiar contraseñas: Modifica las contraseñas de tus cuentas de compras en línea y otras importantes.
• Monitorear cuentas: Revisa tus estados de cuenta bancarios y de crédito en busca de actividad sospechosa.

Aunque quedarse con un producto gratis puede parecer insignificante, el verdadero peligro de la estafa “brushing” radica en la vulneración de la privacidad y el riesgo de futuros fraudes.

Fuente: Proceso