Si te llega a casa un paquete con un QR y no lo has comprado, la estafa ya ha comenzado

Las autoridades advierten sobre un método de fraude que utiliza envíos de paquetes no solicitados y códigos QR maliciosos para acceder a la información personal de los usuarios

QR paquete
Sin comentarios Facebook Twitter Flipboard E-mail

En los últimos meses, varios departamentos de policía en Estados Unidos han comenzado a emitir advertencias sobre una nueva estafa en auge conocida como 'brushing', basada en el envío de paquetes a personas que no los han solicitado.

No es la primera vez que hablamos de ello, pero es que, en esta última oleada de casos, el 'brushing' viene haciendo tándem con otra técnica de estafa: el 'quishing'.

¿En qué se traduce eso? En que lo más peligroso de los paquetes recibidos no está en su interior, sino en el QR que los acompaña: por su culpa, podemos terminar facilitando a terceros el acceso a nuestra información personal y financiera, e incluso que vacías nuestras cuentas bancarias.

Un vistazo a…
¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

¿En qué consiste la estafa?

El brushing es un método que combina la ingeniería social con tácticas de suplantación de identidad: los estafadores envían un paquete con un artículo 'de regalo', generalmente de poco valor como bisutería o pequeños gadgets. Normalmente, los motivos para esto pueden ser varaidos, desde cosechar reseñas falsas (que los estafadores escribirán en nombre del destinatario) hasta utilizar gadgets infectados para difundir malware.

Sin embargo, estamos ante una vuelta de tuerca de ese tipo de estafa, porque en este caso, el código QR que teóricamente debería permitir al confundido destinatario descubrir el origen del envío, en realidad está diseñado para engañar a la víctima y redirigirla a un sitio web fraudulento, que puede infectar su dispositivo con malware o robar información privada.

Según los departamentos de policía en ciudades como Denver (Colorado), Morrow (Georgia) y Palm Beach (Florida), este tipo de estafa ha comenzado a extenderse rápidamente. En Palm Beach, las autoridades señalan que los paquetes contienen la dirección del destinatario, pero no incluyen información sobre el remitente.

Akron "El regalo puede guardarse o tirarse, pero el código QR NO debe escanearse por ningún motivo. Las estafas con códigos QR no son nada nuevo. Estas estafas aparecen en todos los sitios, incluidos los parquímetros". (Del Facebook de la Policía de Akron, Ohio, EE.UU.)

El código QR dentro del paquete sugiere que, al escanearlo, se podría descubrir quién envió el paquete, pero esto solo fácilita que los estafadores sepan más sobre nosotros. En ocasiones, eso ocurre gracias a que el enlace conduce a la descarga de un fichero .apk, un instalador de aplicaciones Android.

  • ¿Cómo consiguen los estafadores los datos de las víctimas? Una de las preguntas clave es cómo los estafadores obtienen los nombres y direcciones de sus víctimas. Como de costumbre en estos casos, la explicación suele estar en fugas masivas de datos personales de plataformas online o de grandes compañías. En otros casos, puede deberse a errores del usuario, que desvela sin querer cierta información en sus redes sociales.
  • La situación en España. Aunque este tipo de estafa ha sido más común en Estados Unidos, es probable que llegue a España más pronto que tarde. Por el momento, el INCIBE afirma que no se han recibido consultas relacionadas con el brushing a través de su línea de ayuda en ciberseguridad.

¿Cómo protegerse del quishing?

El INCIBE ha emitido una serie de recomendaciones para evitar caer en fraudes relacionados con códigos QR. Entre los consejos más destacados se encuentran:

  1. No escanear códigos QR desconocidos: Si no sabes quién ha generado el código ni con qué propósito, es mejor no interactuar con él.
  2. Comprobar la URL: Si al escanear el código te dirige a una web, revisa que la dirección URL coincida con el nombre de la empresa que debería haber enviado el paquete.
  3. Sospechar de URLs acortadas: Estas suelen esconder sitios web maliciosos. Evita interactuar con ellas a menos que confíes plenamente en la fuente.
  4. Utilizar analizadores de enlaces: Herramientas como VirusTotal pueden ayudar a verificar la autenticidad de los enlaces a los que redirige el código QR antes de abrir la página.
  5. No descargar archivos sin verificar: Si te solicitan descargar archivos con extensiones como .apk, puede tratarse de una aplicación maliciosa diseñada para infectar tu dispositivo.
  6. Evitar proporcionar información personal o bancaria: Nunca compartas datos sensibles si no estás absolutamente seguro de la autenticidad del sitio.

Vía | Maldito Timo

Imagen | Marcos Merino mediante IA

En Genbeta | Le llegó una carta de Amazon ofreciendo dinero por probar artículos. Pero era experto en fraudes y vio que había gato encerrado

Inicio