Los delincuentes no descansan y su nueva modalidad de fraude consiste en entregar paquetes en domicilio, acompañados de códigos QR maliciosos para obtener información personal y financiera de las víctimas.
La Unidad de Policía Cibernética de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México alerta a la ciudadanía por estafadores que envían a domicilios paquetes que no fueron solicitados y que no guardan relación con el destinatario.
Señala que en el interior o adherido al envío se incluye un código QR con instrucciones que invita a escanearlo para conocer detalles del contenido, el estado del envío o para “reclamar” el paquete.
Indica que la persona que escanea el QR es redirigida a un sitio web fraudulento que simula ser una página oficial o confiable, con espacios donde solicitan ingresar datos personales, información bancaria o credenciales de acceso.
En otros casos, abunda, se descarga de manera inadvertida un software malicioso que compromete la seguridad del dispositivo móvil o equipo de cómputo.
Robos de identidad, cargos no autorizados, acceso a cuentas bancarias o suplantación digital
De acuerdo con la dependencia, cuando los ciberdelincuentes obtienen la información pueden realizar robos de identidad, cargos no autorizados, acceso a cuentas bancarias o suplantación digital, lo que deriva en afectaciones económicas y vulneración de datos personales.
Con este fraude los criminales aprovechan la confianza y el uso cotidiano de los códigos QR, herramienta cada vez más presente en trámites, comercios y servicios.
Las recomendaciones de la Policía Cibernética
- No escanear códigos QR de paquetes o mensajes que no se hayan solicitado o que provengan de remitentes desconocidos
- No proporcionar información personal, financiera o de contacto en páginas web a las que se acceda mediante códigos sospechosos
- Verificar la autenticidad del remitente antes de realizar cualquier acción
- Actualizar el sistema operativo, antivirus y software de seguridad de los dispositivos electrónicos
- Desconfiar de sitios que soliciten datos personales o pagos urgentes sin ofrecer garantías claras
- Revisar cuidadosamente la dirección web antes de ingresar información sensible
- Documentar cualquier paquete o mensaje sospechoso mediante fotografías o capturas de pantalla
- Reportar de inmediato cualquier intento de fraude
- Ante cualquier duda de un posible ilícito cibernético o estafa en línea, la Unidad de Policía Cibernética pone a disposición el teléfono 55 5242 5100, extensión 5086, o al correo electrónico policia.cibernetica@ssc.cdmx.gob.mx.
Asimismo, la SSC invita a la ciudadanía mantenerse informada a través de las redes sociales @SSC_CDMX y @UCS_GCDMX.
La curiosidad y la confianza
En México se registra un aumento en el comercio electrónico y las entregas a domicilio, pero los ciberdelincuentes aprovechan la familiaridad de los usuarios con plataformas como Mercado Libre o servicios postales para distribuir paquetes falsos que parecen legítimos.
A la par, hay una mayor sofisticación en el embalaje y el etiquetado para imitar entregas auténticas de e-commerce, el uso expandido en ciudades metropolitanas por la facilidad de generar códigos QR personalizados.
¿Qué es el quishing?
Los ataques cibernéticos de quishing, también conocidos como QRishing o phishing con códigos QR, son una variante moderna del phishing tradicional, pero en lugar de usar enlaces de texto sospechosos en correos o mensajes, los ciberdelincuentes emplean códigos QR maliciosos para engañar a las víctimas.
Los ciberdelincuentes crean un código QR que, al escanearlo con el celular, dirige automáticamente a la víctima a un sitio web falso que imita uno legítimo; banco, empresa de paquetería, gobierno, etc., para robar credenciales, datos de tarjetas o información personal.
Crean una descarga automática de malware en el dispositivo y formularios fraudulentos que piden datos sensibles.
Estos códigos QR falsos suelen aparecer en:
- Correos electrónicos fraudulentos (el QR reemplaza al típico enlace clickable)
- En mensajes de WhatsApp, SMS o redes sociales
- En el mundo físico: pegatinas QR falsas colocadas sobre códigos QR legítimos en
- Parquímetros públicos
- Carteles publicitarios
- Menús de restaurantes
- Facturas impresas
- Ascensores o zonas comunes de edificios
¿Y el brushing?
El brushing parece inofensivo, pero en realidad es una bandera roja de que tus datos personales ya están comprometidos y pueden usarse para fraudes más graves.
Un ataque cibernético brushing no es un ciberataque técnico tradicional como un ransomware o phishing directo. Se trata de una estafa o fraude en el comercio electrónico que se considera dentro del ámbito de la ciberseguridad, ya que es el uso indebido de datos personales filtrados o robados.
Vendedores en plataformas como Amazon, AliExpress, Temu, Shein o eBay envían paquetes no solicitados a personas al azar que suelen contener artículos baratos, como pendientes, cables USB, calcetines, juguetes pequeños, que llegan con tu nombre y dirección real.
Esto, para hacer que parezca que hubo una compra real («verified purchase»), mejorar artificialmente la reputación, el posicionamiento y las ventas del producto en la plataforma.
Literalmente «brushing» viene de «brush up»; mejorar, maquillar, inflar. Para enviarte el paquete los estafadores necesitan tu nombre y dirección; a veces teléfono.
Eso significa que los datos personales los obtuvieron en una fuga de datos (data breach) anterior, compra en la dark web, recolectados de bases de datos públicas o robados de tiendas online o de un brushing.
¿Qué hacer si llega un regalo gratis?
- No abrir el paquete ni usar el producto (evita participar involuntariamente en la reseña falsa)
- No escanear ningún código QR que venga dentro
- Revisar las cuentas en Amazon, AliExpress, Shein, bancos, y buscar pedidos que no reconocidos
- Cambiar contraseñas importantes y activar la autenticación en dos pasos (2FA).
- Reportar el hecho a la plataforma. Amazon suele tener opción para reportar brushing o la policía cibernética
- Legalmente no se está obligado a devolverlo, pero devolverlo ayuda a que la plataforma detecte el fraude
Lee: Advierten de fraudes digitales con paquetes de experiencias mundialistas
