- Ciberdelincuentes envían paquetes no solicitados con códigos QR para robar datos personales y bancarios.
- Al escanear el QR se accede a webs falsas o se descarga software malicioso en el dispositivo.
- El fraude se apoya en el auge del comercio electrónico, el brushing y la confianza en los códigos QR.
- Policías cibernéticas recomiendan no escanear QR de envíos inesperados y reportar cualquier intento de estafa.
Recibir un paquete en casa suele asociarse a buenas noticias, pero cada vez con más frecuencia puede esconder una trampa digital preparada para robar datos personales y bancarios. Distintas unidades de policía cibernética han encendido las alarmas ante una modalidad de estafa basada en códigos QR incluidos en envíos que la víctima nunca ha pedido.
Esta técnica, conocida en el argot de la ciberseguridad como quishing o phishing mediante códigos QR, aprovecha la normalidad con la que hoy escaneamos estos códigos en restaurantes, comercios, trámites y servicios de mensajería. Los estafadores se apoyan también en el auge del comercio electrónico y de los envíos a domicilio para colar paquetes falsos que parecen completamente legítimos.
Así funciona el fraude con códigos QR en paquetes inesperados
El esquema suele arrancar siempre del mismo modo: los delincuentes envían un paquete a una dirección real con el nombre y apellidos correctos, pero sin que la persona haya realizado ninguna compra. Dentro de la caja, o pegado en el exterior, aparece un código QR acompañado de un mensaje llamativo que invita a escanearlo.
Las instrucciones suelen prometer más información sobre el contenido del envío, seguimiento del supuesto pedido, confirmación de la entrega o incluso la opción de “reclamar” un regalo o incidencia. El gancho juega con la curiosidad y con la sensación de que puede tratarse de un error logístico o de un obsequio promocional.
En el momento en que la víctima apunta la cámara del móvil al código, el dispositivo es dirigido a una página web fraudulenta que imita la interfaz de una empresa de mensajería, un comercio electrónico o una entidad conocida. El diseño, el logo y los textos están preparados para parecer oficiales y reducir las sospechas.
En ese portal se pide al usuario que complete formularios con datos personales, información bancaria o credenciales de acceso a servicios en línea. En algunos casos se solicita introducir el número de tarjeta y el CVV para pagar supuestas tasas de envío, recargos aduaneros o verificar la identidad.
En otras variantes del ataque, el simple acceso a la web desencadena la descarga silenciosa de software malicioso (malware) que se instala en el móvil u ordenador. Este tipo de programas puede registrar pulsaciones de teclado, robar contraseñas almacenadas o abrir la puerta a accesos remotos no autorizados.
Qué persiguen los ciberdelincuentes con estos códigos QR
Una vez recopilados los datos, los atacantes cuentan con material suficiente para cometer diferentes tipos de fraude económico y suplantación digital. Entre los principales riesgos que señalan las unidades de policía cibernética se encuentran los siguientes.
- Robo de identidad: con nombre completo, dirección, teléfono y documentos, los delincuentes pueden abrir cuentas, pedir créditos o formalizar contratos a nombre de la víctima.
- Cargos no autorizados: si se han facilitado datos de tarjeta o acceso a la banca en línea, es posible que se apliquen pagos fraudulentos, transferencias indebidas o compras en comercios digitales.
- Acceso a cuentas bancarias: combinando contraseñas, SMS y otros datos, los estafadores pueden intentar entrar en las cuentas financieras y mover fondos sin permiso.
- Suplantación en servicios digitales: con las credenciales de plataformas de comercio electrónico o redes sociales, los atacantes pueden apropiarse de perfiles y utilizarlos para nuevas estafas.
Las autoridades especializadas en delitos informáticos recuerdan que el daño no es solo económico. La exposición de datos sensibles puede tener consecuencias a largo plazo, desde problemas para acceder a servicios financieros hasta el uso indebido de información médica, laboral o de contacto.
Quishing: el phishing que viaja escondido en códigos QR
La modalidad que se está viendo con los paquetes sorpresa forma parte de una tendencia más amplia conocida como quishing, QRishing o phishing con códigos QR. El mecanismo es similar al phishing clásico, pero en vez de un enlace en un correo o SMS, el anzuelo es un código cuadrado que se escanea con el móvil.
Los especialistas en ciberseguridad advierten de que estos códigos QR maliciosos no solo aparecen en paquetes. También pueden encontrarse en correos electrónicos, mensajes de WhatsApp o SMS, carteles en la calle, parquímetros, menús digitales, folletos o incluso pegatinas colocadas encima de códigos legítimos.
Al escanearlos, el usuario es redirigido a una web que copia la apariencia de un banco, de un servicio de logística o de una administración pública. El objetivo es el mismo: conseguir que la víctima introduzca por voluntad propia sus datos privados, confiando en que está en un sitio auténtico.
En entornos urbanos y muy digitalizados se observa un uso masivo de estos códigos, lo que facilita que el quishing pase desapercibido. La costumbre de escanear sin pararse a mirar la dirección web o la legitimidad del soporte físico juega claramente a favor de los estafadores.
Brushing y paquetes sorpresa: cuando tus datos ya circulan por la red
Ligado a este fenómeno aparece el llamado brushing, una práctica engañosa en el comercio electrónico que se ha popularizado en plataformas globales. En este caso, vendedores envían productos muy baratos a personas que no los han pedido, únicamente para poder registrar compras falsas y reseñas positivas asociadas a cuentas reales.
Este tipo de envíos suele incluir artículos de poco valor —como cables, accesorios, pequeños gadgets o ropa barata— y a veces códigos QR o enlaces que animan a valorar el producto, consultar un supuesto sorteo o acceder a más promociones. Aunque pueda parecer un simple detalle sin importancia, los expertos lo consideran una señal de alarma.
Para mandar esos paquetes, el vendedor debe disponer al menos del nombre, la dirección e incluso el teléfono del destinatario. Eso indica que esos datos ya se han filtrado o comercializado previamente, bien a través de una brecha de seguridad, de bases de datos vendidas en la dark web o de registros en tiendas en línea con poca protección.
Si a esa práctica de brushing se le añade un código QR malicioso, el riesgo se multiplica: la víctima no solo participa sin querer en la inflación de valoraciones y reputación de un producto, sino que puede terminar entregando información mucho más delicada al escanear el código.
Cómo reconocer un paquete sospechoso antes de escanear nada
Las unidades de policía cibernética recomiendan analizar con calma cualquier envío inesperado. Hay una serie de pistas habituales que pueden ayudar a detectar un posible fraude antes de caer en la trampa del QR.
- El paquete no ha sido solicitado y no corresponde con ninguna compra reciente.
- No aparece un remitente claro o verificable, o figura una empresa genérica que no aporta datos de contacto fiables.
- La etiqueta o el folleto interior incluye mensajes muy insistentes para escanear el código QR con urgencia.
- Se mencionan supuestos pagos pendientes, tasas aduaneras o premios que solo se pueden gestionar a través del código.
- El embalaje puede parecer de baja calidad o, por el contrario, estar cuidadosamente diseñado para imitar a grandes plataformas de e‑commerce.
Si se detecta cualquiera de estas señales, la recomendación de las autoridades es no escanear el código bajo ningún concepto, guardar el paquete como posible prueba y revisar con detalle si existen pedidos en curso que pudieran justificar el envío.
Medidas para no caer en fraudes con códigos QR
Junto con la identificación de paquetes sospechosos, los organismos especializados en ciberseguridad plantean una serie de pautas generales para minimizar el riesgo cuando se interactúa con códigos QR, tanto en envíos físicos como en correos o carteles.
- No escanear códigos QR de remitentes desconocidos ni de paquetes que no se hayan pedido.
- Evitar introducir datos personales, financieros o de acceso en páginas a las que se llega desde un QR cuya procedencia no esté clara.
- Revisar la URL completa que aparece en el navegador antes de escribir cualquier información sensible, comprobando que el dominio sea el oficial.
- Mantener siempre actualizados el sistema operativo, el antivirus y las aplicaciones de seguridad en móviles, tabletas y ordenadores.
- Desconfiar de sitios que presionan con mensajes de urgencia para realizar pagos o validar datos sin ofrecer garantías.
- Documentar mediante fotos o capturas de pantalla cualquier intento de estafa para poder denunciarlo posteriormente.
En caso de haber escaneado ya un código sospechoso, los especialistas aconsejan actuar con rapidez: cambiar de inmediato contraseñas importantes y configurar Google Authenticator, avisar al banco si se han facilitado datos financieros, ejecutar un análisis de malware en el dispositivo y reportar el incidente a las autoridades competentes.
La expansión del uso de los códigos QR en el día a día ha traído comodidad, pero también nuevas vías para el delito. Ante este escenario, la vigilancia, la desconfianza razonable y la educación digital se convierten en las mejores herramientas para frenar los fraudes que se esconden detrás de un simple paquete sorpresa.
