☀️ ¡Chollazos! La tecnología más rebajada del verano: smartwatches, móviles y accesorios [ Saber más ]

Si tienes un smartphone, estás en el punto de mira. Esa es la premisa detrás de una nueva estafa que se ha viralizado y combina mensajes de texto maliciosos con paquetes que no has pedido para robar datos personales y vaciar cuentas financieras.

El FBI ha emitido una advertencia sobre una variante del conocido “brushing”, una práctica en la que vendedores envían productos a destinatarios no solicitados para luego publicar reseñas falsas usando sus datos.

👙 ¡Productos TOP! Ofertas en tecnología para este verano: smartwatches, móviles, auriculares y más [ Saber más ]

Ahora, los actores maliciosos han dado un paso más con un truco especialmente insidioso: incorporar códigos QR dentro de esos envíos.

Qué es la variante de “brushing” con códigos QR

En el “brushing” tradicional, el objetivo es inflar reseñas y reputación de productos, pero en esta nueva modalidad los paquetes incluyen un código QR que invita a la víctima a “saber más”, reclamar un premio o completar información.

Para aumentar la curiosidad, los estafadores suelen omitir la dirección de retorno o cualquier pista sobre el remitente. Al escanear el código, la persona es redirigida a páginas que recopilan datos personales y financieros y, además, empujan la descarga silenciosa de software malicioso en el teléfono.

Ever heard of a «brushing scam?» There’s a new version of it happening, and the FBI is warning the public. Criminals are sending unsolicited packages containing a QR code, and once scanned, victims provide personal and financial information while unknowingly downloading malicious… pic.twitter.com/3A1tQNIuW3 — FBI Pittsburgh (@FBIPittsburgh) August 11, 2025

Cómo operan los atacantes y qué información buscan

La mecánica es sencilla: llega un paquete inesperado, escaneas el QR y con un par de toques concedes permisos al navegador o a una app. A partir de ahí, el código exfiltra información sensible y el malware puede permanecer en segundo plano.

Según las alertas del FBI, los delincuentes ya han utilizado este método para sustraer números de tarjetas y credenciales de acceso a cuentas bancarias, plataformas de trading de valores y monederos o cuentas de criptomonedas. Todo ello puede combinarse con SMS de suplantación (smishing) que refuerzan la trampa con enlaces y falsas notificaciones de envío.

Señales de alerta que no debes ignorar