Alerta en Hot Sale: la estafa de los paquetes falsos con códigos QR que vacían cuentas bancarias

Durante las temporadas de grandes ofertas comerciales como el Hot Sale, el flujo de entregas a domicilio incrementa de forma notable. Sin embargo, recibir un paquete inesperado en el hogar no siempre es motivo de alegría. Los investigadores de la firma de ciberseguridad Kaspersky advierten sobre una modalidad de fraude que envía paquetes falsos para robar información de los consumidores.

Los ciberdelincuentes adquieren bases de datos filtradas en internet para conocer los nombres y las direcciones físicas de sus víctimas. Con esta información, crean cuentas en plataformas de comercio electrónico y realizan pedidos utilizando sus propios métodos de pago para evitar sospechas. El peligro real comienza cuando el paquete llega al domicilio, ya que incluye tarjetas o etiquetas con códigos QR maliciosos diseñados para comprometer los teléfonos móviles e instalar virus informáticos.

¿Qué es el ‘quishing’ y cómo opera en las entregas a domicilio?

Esta técnica de engaño se conoce en el entorno tecnológico como quishing, un término que define al phishing o suplantación de identidad ejecutado a través de códigos QR. Los estafadores colocan mensajes engañosos muy atractivos en los paquetes para despertar la curiosidad del receptor. Los ganchos más comunes que utiliza la delincuencia organizada incluyen las siguientes promesas:

• Regalos sorpresa: Mensajes con la frase “¡Recibiste un regalo! Escanea para saber quién lo envió”.
• Tarjetas de obsequio: Promesas de dinero digital como “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.
• Confirmación de entrega: Instrucciones para instalar una aplicación móvil externa con el fin de validar la recepción del paquete.

Si el usuario escanea el código con su teléfono, el sistema lo redirige a un sitio web fraudulento. En esa plataforma, los delincuentes persuaden a la víctima para que ingrese sus datos de pago o los códigos de verificación de sus aplicaciones financieras. En los casos donde se solicita instalar una aplicación, se trata en realidad de un malware oculto que toma el control total del dispositivo móvil.

El desconocimiento de los usuarios incrementa el peligro

El nivel de riesgo en el país es alarmante debido al desconocimiento generalizado sobre las amenazas móviles. De acuerdo con un estudio estadístico desarrollado por la empresa de seguridad, el 47% de los mexicanos ignora que los códigos QR falsos pueden comprometer sus herramientas bancarias en línea. Además, la recepción de estos envíos confirma que los datos de contacto del usuario se filtraron previamente en la red.

“Recibir algo que no pediste no es suerte, sino una alerta de privacidad, pues confirma que tu dirección y datos de contacto ya se filtraron y circulan en manos equivocadas”, advirtió María Isabel Manjarrez, investigadora de seguridad para América Latina en Kaspersky. “El peligro de esta estafa radica en que explota la curiosidad y se apoya en una tecnología que muchos consideran inofensiva. En esta temporada de ofertas, recuerda que la compra más cara podría ser la que te llega gratis por sorpresa”.

Guía práctica para protegerse de los fraudes de mensajería

Para evitar afectaciones financieras durante las jornadas de Hot Sale y el resto del año, los especialistas en ciberseguridad recomiendan seguir un protocolo estricto de verificación:

1. Desconfiar de paquetes no solicitados: Si nadie en el hogar realizó una compra, no abras el paquete. Revisa las etiquetas y la empresa de mensajería con moderación.
2. Validar el número de guía: Ingresa manualmente el número de rastreo directamente en el sitio web oficial de la paquetería. Utiliza los canales de contacto legítimos de la empresa para confirmar el remitente.
3. Evitar el escaneo de códigos QR dudosos: Los códigos impresos en tarjetas de regalo o avisos de entrega fallida que vienen dentro de paquetes sospechosos suelen ser trampas. Nunca compartas información sensible ni pagues supuestas tarifas de aduana.
4. Denunciar y recolectar evidencia: Reporta el incidente ante las autoridades y la empresa de entrega a domicilio. Toma fotografías del empaque y conserva la guía física como evidencia de la investigación.

Por último, los expertos aconsejan utilizar una solución de seguridad informática robusta en los dispositivos móviles, como la herramienta Kaspersky Premium. Estas aplicaciones tecnológicas analizan los enlaces digitales en tiempo real, bloqueando cualquier intento de phishing antes de que consiga vulnerar la información financiera y personal del consumidor.