ES
Un paquete al azar en tu puerta puede parecer un regalo sorpresa - pero en realidad podría ser una señal de advertencia de que tus datos personales ya están expuestos.
Lo que parece un "roce" inofensivo se está convirtiendo en una ciberamenaza en toda regla, en la que se utilizan códigos QR y entregas falsas para robar su dinero e identidad.
En pocas palabras
Un repartidor deja una caja en su puerta. La abre y encuentra un nuevo teléfono inteligente o un reloj inteligente que nunca compró. Su primer instinto puede ser de alegría, pero debería ser de alarma. El paquete que no ha pedido es una señal de advertencia de una amenaza activa. Los estafadores tienen su dirección real, su nombre figura en bases de datos de delincuentes y el propio paquete puede ser un arma para robar sus credenciales bancarias.
Una estafa de cepillado es una forma de fraude en el comercio electrónico en la que los estafadores envían paquetes no solicitados a direcciones reales para fabricar falsos registros de ventas verificadas. Necesitan un número de seguimiento que muestre un paquete entregado para publicar una reseña de "compra verificada" en plataformas como Amazon o Temu.
Amazon eliminó más de 275 millones de reseñas falsas solo en 2024, lo que obliga a los estafadores a generar constantemente nuevos envíos verificados para mantener sus tiendas visibles en los rankings de búsqueda. La mecánica es sencilla: compran su propio producto barato, lo envían a tu dirección real y escriben una reseña elogiosa bajo una cuenta falsa vinculada a tu entrega. Tú recibes un artículo sin valor; ellos se aseguran un ranking mejorado que engaña a miles de compradores auténticos.
Las estafas por cepillado han evolucionado mucho más allá de las reseñas falsas. Los estafadores ahora incluyen inserciones impresas dentro del paquete: tarjetas que parecen producidas profesionalmente y que te empujan a "registrar tu dispositivo", "escanear para la garantía" o "activar tu producto".
Fuente: Trendmicro
Advertencia del FBI: El FBI ha emitido una advertencia activa de que escanear códigos QR encontrados en paquetes no solicitados dirige su dispositivo a sitios web de phishing o instala malware diseñado para robar credenciales bancarias. No escanee ningún código QR de una entrega inesperada.
Esto transforma una entrega extraña en un ciberataque dirigido. Los delincuentes ya no sólo quieren una revisión aumentada: quieren acceso directo a su cartera digital y a sus cuentas financieras.
Conectar un dispositivo electrónico misterioso puede comprometer toda su red doméstica. Los teléfonos y tabletas no solicitados conllevan un grave riesgo de malware preinstalado: software que registra sus pulsaciones de teclado o intercepta los textos de verificación que le envía su banco. Encender el dispositivo y conectarlo a la red Wi-Fi permite al remitente acceder a todos los dispositivos de la red local.
Los ataques a nivel de hardware eluden por completo el software antivirus estándar porque la amenaza vive dentro de los circuitos físicos del dispositivo. Si recibe aparatos electrónicos no solicitados, trátelos como algo hostil y no como un golpe de suerte.
"No le están enviando un regalo: le están enviando una trampa a la puerta de su casa".
Recibir un paquete cepillado confirma que tu nombre y dirección física circulan en bases de datos criminales. Sólo en 2025, 3.322 importantes filtraciones de datos dejaron al descubierto los nombres y direcciones particulares utilizados para alimentar estas operaciones. Los estafadores cruzan tu dirección con historiales de compras filtrados para que las entregas parezcan verosímiles.
Puedes comprobar si tu dirección de correo electrónico ha quedado expuesta en una filtración conocida utilizando Have I Been Pwned, una base de datos gratuita que rastrea las credenciales de inicio de sesión comprometidas. Si aparece su dirección de correo electrónico, actualice inmediatamente sus contraseñas, especialmente las de las cuentas bancarias y de comercio electrónico.
~ REINO UNIDO: Action Fraud
~ UE: Europol Cybercrime Reporting
Usted no tiene ninguna obligación legal de devolver o pagar un envío no solicitado. Según la legislación federal estadounidense, tiene derecho a quedarse con cualquier mercancía no solicitada como regalo. No le debe dinero al remitente y nunca tendrá que pagar los gastos de envío de la devolución. El mismo principio se aplica en el Reino Unido en virtud de la Ley de Derechos del Consumidor de 2015.
Confirma si el sitio web del remitente es una estafa conocida antes de seguir adelante.
Conserve el embalaje exterior y cualquier prospecto si tiene intención de presentar una denuncia formal: pueden ayudar a los investigadores a rastrear el origen del envío.
Confirme si el sitio web del remitente es una operación fraudulenta conocida antes de seguir adelante.
Preguntas frecuentes
¿Tengo que pagar por un paquete inesperado?
No. Según la legislación federal de EE.UU. y la ley del consumidor del Reino Unido, tiene derecho a quedarse con mercancía no solicitada como regalo gratuito sin obligación de pago al remitente.
¿Puedo utilizar con seguridad un teléfono gratuito enviado en una estafa de cepillado?
No. Nunca debe encender ni conectar un dispositivo no solicitado a su red Wi-Fi. Los aparatos electrónicos no solicitados suelen contener malware preinstalado que puede comprometer toda su red doméstica e interceptar sus códigos de verificación bancaria.
¿Cómo han conseguido los estafadores la dirección de mi casa?
Los estafadores compran listas de nombres y direcciones particulares filtradas en filtraciones de datos de empresas y vendidas en mercados de la Web oscura. Compruebe su correo electrónico en Have I Been Pwned para ver si sus datos se encuentran entre los registros expuestos.
¿Qué ocurre si escaneo el código QR del paquete?
El código QR dirige tu dispositivo a un sitio web de phishing o descarga silenciosamente malware diseñado para robar tus contraseñas e interceptar tus credenciales bancarias. El FBI ha advertido específicamente a los consumidores que no escaneen los códigos QR encontrados en paquetes no solicitados.
Adam Collins es un investigador de ciberseguridad de ScamAdviser que opera bajo seudónimo por motivos de privacidad y seguridad. Con más de cuatro años en la primera línea digital, está especializado en traducir amenazas complejas en consejos prácticos. Su misión: sacar a la luz las señales de alarma para que puedas navegar por Internet con confianza.
