- Envío de paquetes no solicitados que incluyen un código QR para "reclamar" o seguir el supuesto envío
- El QR dirige a webs falsas o instala malware para robar datos personales y bancarios
- Los delincuentes pueden cometer robos de identidad, cargos no autorizados y suplantación digital
- La Policía Cibernética recomienda no escanear QRs de envíos inesperados y reportar cualquier intento de fraude
Recibir un paquete en casa suele generar cierta ilusión, pero esa misma expectativa está siendo aprovechada por ciberdelincuentes que colocan códigos QR en envíos que la persona nunca ha pedido. Detrás de estos paquetes aparentemente inofensivos se esconde una táctica diseñada para robar datos personales y financieros.
Este fraude basado en códigos QR dentro de paquetes sorpresa ya ha sido detectado y detallado por unidades de Policía Cibernética en Latinoamérica, y supone un aviso muy serio también para usuarios de España y del resto de Europa, donde el comercio electrónico y las entregas a domicilio se han disparado y los códigos QR se utilizan a diario para todo tipo de gestiones.
Cómo funciona el fraude del código QR en paquetes no solicitados
El patrón se repite con matices, pero la base es la misma: a la víctima le llega a casa un paquete que no ha pedido y que no guarda relación con ninguna compra reciente. En el exterior o en el interior del envío aparece un código QR acompañado de mensajes llamativos para que se escanee.
Ese código suele ir acompañado de textos como «escanea para conocer el contenido», «verifica el estado del envío» o «reclama tu paquete». La idea es explotar la curiosidad y la confianza en los sistemas de mensajería y plataformas de comercio electrónico, que ya usan códigos QR de forma habitual.
En cuanto la persona escanea el QR con el móvil, es redirigida a una página web fraudulenta que imita ser un sitio oficial, por ejemplo, de una empresa de paquetería, un banco, una tienda online conocida o incluso un organismo público. La apariencia es cuidada para que parezca legítima a simple vista.
En esa web falsa se piden datos personales (nombre, dirección, DNI), información bancaria (número de tarjeta, CVV, fecha de caducidad) o credenciales de acceso a distintas cuentas. En ocasiones, ni siquiera es necesario rellenar formularios: el mero acceso al enlace puede activar la descarga silenciosa de software malicioso en el dispositivo.
Qué buscan los delincuentes con estos códigos QR
Una vez que los atacantes obtienen la información, el abanico de posibles delitos es amplio. Con los datos de acceso a la banca online o a pasarelas de pago pueden realizar transferencias, compras no autorizadas o suscribir servicios a nombre de la víctima.
Si logran reunir suficiente información personal, el siguiente paso puede ser el robo de identidad, utilizando los datos para contratar productos financieros, solicitar créditos rápidos o abrir cuentas en plataformas digitales. Todo ello deja a la víctima con deudas, movimientos bancarios extraños y un largo proceso de reclamaciones.
En otros casos, el objetivo es comprometer el móvil u ordenador desde el que se escaneó el QR. A través del malware descargado de forma inadvertida, los delincuentes pueden registrar pulsaciones del teclado, robar contraseñas guardadas, espiar comunicaciones o añadir el dispositivo a una red de equipos infectados.
La consecuencia más inmediata son cargos no autorizados y acceso a cuentas bancarias, pero el impacto a medio plazo puede traducirse en suplantaciones digitales, uso fraudulento de perfiles en redes sociales o intentos de extorsión aprovechando la información obtenida.
Por qué este fraude es tan fácil de creer
Las autoridades especializadas en delitos informáticos destacan que esta modalidad se aprovecha de la normalización de los códigos QR en la vida diaria. Desde pagar en un restaurante hasta acceder al menú, registrar una visita médica o validar una entrada, escanear un QR se ha vuelto un gesto automático.
A esto se suma el auge del comercio electrónico: cada vez es más habitual recibir paquetes en casa, y no siempre recordamos al detalle todas las compras, sobre todo si se utilizan varias plataformas o se realizan pedidos pequeños. Esa confusión favorece que la persona piense que el envío puede ser real.
Los delincuentes, además, cuidan el embalaje y el etiquetado para imitar la apariencia de grandes plataformas de e-commerce o servicios de mensajería. Logotipos parecidos, tipografías similares y etiquetas de supuesto seguimiento del envío hacen que el paquete gane credibilidad con un simple vistazo.
En este contexto, el usuario ve un paquete, encuentra un QR y, sin plantearse demasiado la situación, lo escanea. Ese gesto de apenas unos segundos es el que abre la puerta al fraude, ya sea a través de una web falsa o mediante la instalación de un programa malicioso.
Relación con el quishing: el phishing que se esconde en un QR
Este tipo de estafa se enmarca dentro de lo que los expertos denominan quishing, QRishing o phishing con códigos QR. Es una evolución del phishing tradicional: en lugar de enlaces sospechosos en correos o mensajes, el enlace viaja camuflado dentro de un código QR.
En el caso de los paquetes, el QR se presenta como un paso necesario para gestionar una supuesta entrega, confirmar datos o resolver una incidencia. Pero la mecánica es la misma que en cualquier campaña de phishing: llevar a la víctima a un sitio falso convincente y obtener sus datos.
El quishing no solo aparece en envíos físicos. Los códigos QR maliciosos también circulan en correos electrónicos, mensajes de WhatsApp, SMS o publicaciones en redes sociales, donde se invita a escanear para acceder a descuentos, promociones o premios.
Además, se han detectado pegatinas con QR falsos colocadas encima de códigos legítimos en parquímetros, carteles publicitarios, menús de restaurantes o facturas impresas. La técnica del paquete sorpresa con QR es, por tanto, una pieza más dentro de un conjunto de tácticas basadas en el mismo engaño.
Brushing y paquetes sorpresa: cuando el envío ya es una señal de alerta
Otra práctica relacionada es el brushing, una estafa en comercio electrónico en la que vendedores de distintas plataformas envían paquetes no solicitados con artículos baratos a personas que no han comprado nada: cables, accesorios pequeños, juguetes o productos de poco valor.
El objetivo del brushing es inflar de forma artificial la reputación de un producto, generando compras y reseñas «verificadas» que en realidad son falsas. Para eso, los estafadores necesitan tu nombre, tu dirección y, en ocasiones, tu teléfono, datos que suelen proceder de filtraciones, bases de datos robadas o ventas en la dark web.
Cuando se combina el envío inesperado con un código QR dentro del paquete, el riesgo se multiplica: esos datos personales ya comprometidos se utilizan ahora como punto de partida para un fraude más directo, orientado al robo de credenciales o de dinero.
Si llega un regalo que nunca pediste, los especialistas recomiendan no escanear ningún QR que lo acompañe, no usar el producto, revisar las cuentas en plataformas de compra online y cambiar las contraseñas más importantes, activando siempre que sea posible la autenticación en dos pasos.
Cómo identificar un paquete sospechoso con código QR
Aunque los delincuentes cuidan los detalles, hay varias señales que pueden levantar la liebre. La primera es obvia: no recuerdas haber hecho ese pedido ni autorizado ningún envío similar. Si el contenido es desconocido y el paquete llega sin previo aviso, conviene extremar la precaución.
Otro indicio es que el remitente no sea claro ni fácilmente verificable. Etiquetas con nombres genéricos, direcciones incompletas o referencias poco concretas a un «centro logístico» o a una supuesta agencia son pistas de que algo no cuadra.
También hay que sospechar si en el embalaje o en la nota interior aparecen mensajes muy insistentes o urgentes para que escanees el código, por ejemplo, avisos de que el envío caducará en pocas horas, de que hay que confirmar datos de inmediato o de que se perderá una oferta exclusiva si no se actúa al momento.
Por último, es una mala señal que el QR lleve directamente a formularios donde se piden datos sensibles sin explicar de forma transparente para qué se van a usar ni ofrecer canales alternativos de contacto. En esos casos, lo más prudente es cerrar la página y no facilitar ninguna información.
Recomendaciones clave para evitar caer en el fraude del QR en paquetes
Las unidades de Policía Cibernética que han analizado esta modalidad insisten en una serie de pautas que pueden marcar la diferencia. La norma básica es clara: si el paquete no lo esperabas, no escanees el código QR, por muy atractivo o urgente que parezca el mensaje.
Además, se aconseja no introducir datos personales, bancarios ni de acceso en páginas a las que se llegue mediante un QR sospechoso. Antes de dar cualquier información, conviene comprobar la dirección web, asegurarse de que el dominio corresponde realmente a la empresa o entidad y, en caso de duda, entrar manualmente escribiendo la URL en el navegador.
También es importante mantener actualizados el sistema operativo, el antivirus y las aplicaciones de seguridad en móviles y ordenadores. Muchos ataques se apoyan en vulnerabilidades ya conocidas que pueden mitigarse con parches y versiones recientes del software.
Otra recomendación recurrente es documentar cualquier envío extraño mediante fotografías del paquete, la etiqueta, el QR y los mensajes que aparezcan. Esa información puede resultar útil si más adelante es necesario presentar una denuncia o alertar a otras personas.
Si se detecta un intento de estafa, los expertos sugieren contactar con las unidades de ciberseguridad de la policía o con los canales oficiales habilitados en cada país, así como informar a la plataforma de comercio electrónico o empresa de mensajería que supuestamente aparece en el envío.
Qué hacer si ya has escaneado un QR sospechoso
En caso de haber caído en la trampa y escaneado el código, todavía se pueden tomar medidas para limitar el daño. Lo primero es cambiar de inmediato las contraseñas de las cuentas más sensibles, empezando por la banca online, el correo electrónico principal y las plataformas de compra.
Si se han introducido datos de tarjeta o información financiera, se recomienda contactar cuanto antes con el banco para bloquear el plástico, revisar movimientos recientes y, si fuera necesario, solicitar nuevas credenciales de acceso.
Es igualmente recomendable realizar un análisis completo del dispositivo con un antivirus actualizado para detectar posibles malware instalados durante la visita a la web fraudulenta. Si el programa detecta amenazas, habrá que seguir las instrucciones para eliminarlas y, en algunos casos, plantearse restaurar el dispositivo.
Por último, conviene poner el caso en conocimiento de las autoridades competentes en delitos informáticos, aportando capturas de la página, del código QR, del paquete y de cualquier comunicación asociada. Aunque no siempre se pueda identificar a los responsables, estas denuncias ayudan a trazar patrones y a lanzar nuevas alertas públicas.
La combinación de paquetes inesperados, códigos QR y falsas páginas oficiales muestra hasta qué punto los ciberdelincuentes se adaptan a nuestros hábitos diarios. En un entorno donde las compras online, los envíos a domicilio y el uso de QR son parte de la rutina, detenerse unos segundos antes de escanear un código y desconfiar de lo que no se ha pedido puede evitar mucho más que un simple susto.