El FBI advierte de una estafa con códigos QR en paquetes
Si tienes un smartphone, estás en el punto de mira. Esa es la premisa detrás de una nueva estafa que se ha viralizado y combina mensajes de texto maliciosos con paquetes que no has pedido para robar datos personales y vaciar cuentas financieras.
El FBI ha emitido una advertencia sobre una variante del conocido “brushing”, una práctica en la que vendedores envían productos a destinatarios no solicitados para luego publicar reseñas falsas usando sus datos.
👙 ¡Productos TOP! Ofertas en tecnología para este verano: smartwatches, móviles, auriculares y más [ Saber más ]
Ahora, los actores maliciosos han dado un paso más con un truco especialmente insidioso: incorporar códigos QR dentro de esos envíos.
Qué es la variante de “brushing” con códigos QR
En el “brushing” tradicional, el objetivo es inflar reseñas y reputación de productos, pero en esta nueva modalidad los paquetes incluyen un código QR que invita a la víctima a “saber más”, reclamar un premio o completar información.
Para aumentar la curiosidad, los estafadores suelen omitir la dirección de retorno o cualquier pista sobre el remitente. Al escanear el código, la persona es redirigida a páginas que recopilan datos personales y financieros y, además, empujan la descarga silenciosa de software malicioso en el teléfono.
Ever heard of a «brushing scam?» There’s a new version of it happening, and the FBI is warning the public. Criminals are sending unsolicited packages containing a QR code, and once scanned, victims provide personal and financial information while unknowingly downloading malicious… pic.twitter.com/3A1tQNIuW3
— FBI Pittsburgh (@FBIPittsburgh) August 11, 2025
Cómo operan los atacantes y qué información buscan
La mecánica es sencilla: llega un paquete inesperado, escaneas el QR y con un par de toques concedes permisos al navegador o a una app. A partir de ahí, el código exfiltra información sensible y el malware puede permanecer en segundo plano.
Según las alertas del FBI, los delincuentes ya han utilizado este método para sustraer números de tarjetas y credenciales de acceso a cuentas bancarias, plataformas de trading de valores y monederos o cuentas de criptomonedas. Todo ello puede combinarse con SMS de suplantación (smishing) que refuerzan la trampa con enlaces y falsas notificaciones de envío.
Señales de alerta que no debes ignorar
- Recibir paquetes no solicitados con mercancía que no pediste.
- Envíos que no incluyen información del remitente o exhiben datos vagos.
- Instrucciones para escanear un código QR y “verificar” o “activar” algo.
- Solicitudes para otorgar permisos de teléfono, acceso a apps o a sitios desconocidos.
- Mensajes de texto o emails que presionan para actuar rápido o piden datos financieros.
