estafa

La estafa en la puerta de tu casa

Brushing, quishing y otros esquemas de fraude que comienzan con la entrega a domicilio de un producto que nunca solicitaste.

Stan Kaminsky
24 Ago 2025

Recibes una notificación de entrega, o simplemente encuentras un paquete junto a la puerta de tu casa. ¡Pero no pediste nada! Por supuesto, a todos les encanta recibir un regalo gratis, pero en este caso debes tener cuidado. Existen varias estafas que comienzan con la entrega de un paquete a tu casa.

Por supuesto, consulta primero con tus amigos y familiares: es posible que alguien te haya enviado algo sin mencionarlo. Pero si nadie da un paso al frente, es muy probable que te enfrentes a uno de los esquemas que se describen a continuación.

Alerta de spoiler: en ningún caso realices un análisis de códigos QR o llames a números de teléfono impresos en el paquete.

Pedidos pulidos

El término estafa de brushing proviene de la jerga del comercio electrónico chino. 刷单 significa literalmente “pulir pedidos”, que se refiere, en esencia, a una especie de estafa diseñada para inflar artificialmente las ventas. Originalmente, este “brushing” era relativamente inofensivo: recibías un producto que no habías pedido, y el vendedor publicaba una reseña entusiasta en tu nombre para mejorar su clasificación de ventas. Para llevar a cabo esta estafa, los vendedores sin escrúpulos compran bases de datos filtradas con información personal, luego registran nuevas cuentas en marketplace usando los nombres y las direcciones postales de las víctimas, pero con su propia dirección de correo electrónico y método de pago. Como tal, las víctimas no sufren pérdidas económicas directas.

Que suerte; pero primero, tu reseña

Con el tiempo, ese “brushing” relativamente inofensivo evolucionó hacia una forma de fraude mucho más agresiva. En estos días, los estafadores intentan engañar a los destinatarios de los paquetes atrayéndolos a un sitio web malicioso. Para lograrlo, incluyen una tarjeta o pegatina con un código QR junto con la entrega. La historia que acompaña al código varía, con ejemplos comunes que incluyen lo siguiente:

“¡Recibiste un regalo! Escanea el código para averiguar quién lo envió”
“¡Deja una reseña de nuestro producto y obtén una tarjeta de regalo de $100!”
“¡Confirma la recepción de tu artículo entregado gratis!”

Si la víctima escanea el código QR para averiguar quién es el remitente o reclamar otro regalo, el resto sigue el patrón clásico de quishing (phishing de QR): persuadir a la víctima para que ingrese sus datos de pago (por ejemplo, para “activar” la tarjeta de regalo) o códigos de aplicaciones bancarias/gubernamentales, o instándolas a instalar una aplicación para “confirmación” o “activación”, que, por supuesto, es malware.

¿Qué pasa si no hay ningún producto?

Los esquemas anteriores solo funcionan cuando una tienda en línea puede permitirse “regalar” productos como táctica de promoción. Pero ¿pueden los estafadores obtener tus datos sin enviar ningún producto? Pueden, y lo hacen.

En lugar de un paquete, la víctima encuentra una postal impresa profesionalmente en su puerta: “Desafortunadamente, nuestro servicio de entrega a domicilio no pudo entregar tu paquete porque no estabas en casa. Un regalo valorado en $200 solo se puede entregar en persona. Comunícate con nosotros para organizar el reenvío”. La postal incluye un código QR, una dirección de sitio web y, a veces, incluso un número de teléfono para “reprogramar” la entrega.

Ejemplo de una postal de phishing con una dirección de sitio web y un código QR

Una postal de phishing supuestamente de Royal Mail, completa con una dirección de sitio web y un código QR, parece muy convincente: los estafadores prestaron gran atención a los detalles. Fuente

Si llamas al número o visitas el sitio malicioso vinculado al código QR, te engañarán para que proporciones detalles de pago, contraseñas o códigos de un solo uso a través de uno de los escenarios comunes de estafa relacionados con “entregas”:

“Elige un horario de entrega de inmediato para que el paquete no se devuelva al remitente”.
“Paga una tarifa de $2 por el reenvío”. El objetivo aquí es obtener tus datos de pago y luego cobrar cantidades mucho mayores.
“Paga los derechos de aduana”. Te informan que te enviaron un paquete valioso, pero debes pagar el impuesto aduanero tú mismo. Y estas cantidades pueden ser bastante significativas (dependiendo del valor del supuesto artículo). En algunos países, un “repartidor” puede incluso venir en persona para cobrar la tarifa en efectivo.

Todos estos esquemas pueden provocar la pérdida de información personal y financiera, pero a veces se convierten en fraudes telefónicos con pérdidas mucho mayores. Por ejemplo, después de pagar una tarifa de envío falsa, los estafadores pueden llamarte y reclamar que el paquete no se puede entregar porque contiene medicamentos. A esto le sigue la presión psicológica de las llamadas de un “oficial de policía” y los intentos de extorsionarte para obtener una gran suma de dinero con el fin de “protegerte” de cargos penales.

Pago contra entrega

Otra estafa popular involucra productos con pago al momento de la entrega. A veces, los estafadores anuncian un producto con anticipación y se lo envían a la víctima con su consentimiento; pero también existe una versión en la que un paquete llega de la nada. Un día, un repartidor llega a tu puerta con un paquete a tu nombre. Por lo general, el nombre de un producto atractivo se muestra de manera prominente en la caja, por ejemplo, un smartphone de alta gama. Pero… tienes que pagarlo. El precio es de 2 a 3 veces más bajo que la tasa de mercado. Los estafadores cuentan con la codicia y la urgencia (“el repartidor tiene prisa, ¡hagamos esto rápido!”) para hacer que la víctima pague sin verificar el artículo correctamente. El repartidor se apresura, y la víctima abre la caja para encontrar una imitación barata del producto reclamado, o simplemente basura.

Si el objetivo se niega a pagar por el artículo misterioso, los estafadores pueden tener listo un “Plan B”, engañándolos para que proporcionen un código de verificación único para un marketplace o banco, con el pretexto de “confirmar la cancelación del pedido”.

Ataques selectivos

A veces, las estafas de entrega física se dirigen a víctimas específicas. Por ejemplo, algunos delincuentes intentaron robar criptomonedas enviando a los propietarios de monederos de hardware Ledger paquetes que supuestamente eran un reemplazo gratuito bajo garantía por dispositivos defectuosos. Dentro del paquete había un “nuevo” monedero de criptomonedas; en realidad, una memoria USB con malware diseñado para robar la frase semilla del monedero. La pandilla de ransomware FIN7 también utiliza memorias USB por correo como parte de ataques de ransomware dirigidos a organizaciones seleccionadas.

La amenaza oculta

Las estafas de brushing y quishing tienen una causa raíz desagradable. Si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos. Estos conjuntos de datos se venden repetidamente, por lo que es posible que también seas objeto de otros tipos de estafa. Prepárate: habilita la autenticación de dos factores en todos tus servicios, espera llamadas de estafas, instala Kaspersky Who Calls para protegerte de este tipo de llamadas de spam, revisa tus extractos bancarios con frecuencia y asegúrate de instalar una protección confiable en todos tus dispositivos.

¿Qué hacer si recibes un paquete inesperado?

- Revisa detenidamente el paquete, las etiquetas y cualquier documento adjunto.
- Toma una foto del paquete por si acaso, pero nunca sigas ningún vínculo de códigos QR o texto impreso. Guarda el paquete por si hay una investigación más adelante.
- Nunca llames a los números de teléfono ni, nuevamente, visites los vínculos impresos en el paquete.
- Nunca pagues ninguna “tarifa de envío” o “derecho de aduana”, y nunca proporciones tus datos de pago.
- Nunca vincules dispositivos de almacenamiento digital recibidos inesperadamente a tu computadora o smartphone.
- Si el paquete se entregó mediante un servicio de entrega a domicilio importante y conocido (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, servicios postales nacionales, etc.), visita el sitio web oficial de la empresa, busca sus números de contacto, el servicio de seguimiento en línea o el chat en vivo, y verifica el estado del envío y la información del remitente. Si el paquete tiene un número de seguimiento, ingrésalo manualmente; no escanees ningún código QR en la etiqueta.
- Reporta el paquete sospechoso al servicio de entrega a domicilio y a la policía, incluso si no te robaron dinero.

Lee más sobre estafas que involucran códigos QR, marketplaces y servicios de entrega:

“Hay un paquete para usted. Por favor, escanee el código QR”

Códigos QR (no) seguros

QR: ¿qué rápido o qué peligroso?

Foros afectados por una nueva estafa mediante videollamadas

Estafas de Telegram con bots, regalos y criptomonedas

Todo lo que necesitas saber sobre las últimas estafas y phishing de Telegram y cómo protegerte.

Privacidad y niños

La estafa en la puerta de tu casa

Pedidos pulidos

Que suerte; pero primero, tu reseña

¿Qué pasa si no hay ningún producto?

Pago contra entrega

Ataques selectivos

La amenaza oculta

¿Qué hacer si recibes un paquete inesperado?

Cómo las redes sociales de Meta se convirtieron en una plataforma para estafas de inversión

Cuidado con los Formularios de Google que ofrecen regalos en criptomonedas

Estafas de Telegram con bots, regalos y criptomonedas

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog