Un código QR en un paquete no solicitado no es una invitación, es una advertencia
Cada temporada navideña, los estafadores perfeccionan sus métodos aprovechando los hábitos más cotidianos de las personas. Este diciembre, expertos en ciberseguridad advierten sobre el 'Quishing', una evolución del fraude postal que inserta códigos QR en paquetes no solicitados para redirigir a las víctimas hacia sitios fraudulentos capaces de robar identidades y datos bancarios. La amenaza no reside solo en la tecnología, sino en la confianza casi instintiva que hemos depositado en los códigos QR como herramientas inocuas, una confianza que los delincuentes han aprendido a explotar con precisión quirúrgica.
- El 'Quishing' combina el engaño postal del 'Brushing' con la trampa digital del phishing, convirtiendo un simple gesto —escanear un código QR— en la puerta de entrada al robo de identidad y datos bancarios.
- La temporada navideña amplifica el peligro: con buzones desbordados de paquetes legítimos, un envío no solicitado con un código QR puede pasar fácilmente desapercibido entre la emoción de los regalos.
- Las personas mayores y los usuarios menos familiarizados con la tecnología son los más expuestos, ya que el desconocimiento sobre los riesgos de los códigos QR es aún generalizado.
- Los expertos recomiendan no escanear ningún código QR de paquetes no solicitados, verificar directamente con la empresa remitente y mantener los dispositivos actualizados con software de detección de malware activo.
La Navidad multiplica el flujo de paquetes en los hogares españoles, y con él, las oportunidades para los estafadores. El periodista Paco Jiménez alertó en el programa 'Zapeando' de La Sexta sobre una modalidad de fraude que regresa cada diciembre: el 'Brushing', envíos no solicitados de artículos de escaso valor que históricamente servían para generar reseñas falsas en plataformas de comercio electrónico. Pero la técnica ha mutado. Ahora los paquetes incluyen códigos QR, y con ellos nace el 'Quishing'.
El peligro de esta nueva variante radica en lo automático de nuestra respuesta. Escanear un código QR se ha convertido en un gesto tan habitual que apenas requiere reflexión. Los estafadores cuentan exactamente con eso: el código no lleva a información legítima, sino a un sitio web fraudulento que solicita nombre, número de identidad o datos bancarios. En algunos casos, el simple escaneo puede instalar malware en el teléfono sin que el usuario lo advierta.
El término 'Quishing' fusiona 'QR' y 'Phishing', y describe precisamente esa actualización del engaño clásico por correo electrónico hacia un soporte que muchos consideran seguro y conveniente. Los expertos señalan que la mayoría de las víctimas caen por desconocimiento, sin ser conscientes de que un código QR puede ser tan peligroso como un enlace malicioso.
La defensa más eficaz es también la más sencilla: no escanear códigos QR de paquetes no solicitados y contactar directamente con la empresa supuestamente remitente antes de interactuar con el envío. Para los más vulnerables —personas mayores o usuarios con menos experiencia digital— se recomienda además usar aplicaciones de lectura QR con protecciones integradas, mantener el teléfono actualizado y activar software de detección de malware. Ninguna medida es infalible, pero cada capa de protección reduce significativamente el riesgo en una época del año en que la guardia, inevitablemente, baja.
La Navidad trae consigo un aluvión de paquetes a los hogares españoles, y con ellos, nuevas oportunidades para los estafadores. El periodista Paco Jiménez alertó recientemente en el programa 'Zapeando' de La Sexta sobre una modalidad de fraude que resurge cada diciembre: el 'Brushing', una práctica en la que se envían paquetes no solicitados con artículos de poco valor a direcciones aleatorias. Históricamente, estos envíos servían para que los estafadores generaran reseñas falsas positivas en plataformas de comercio electrónico, robando datos de clientes en el proceso. Pero la técnica ha evolucionado, y ahora los delincuentes han encontrado una herramienta más sofisticada: los códigos QR.
Lo que hace peligrosa esta nueva variante es la naturaleza casi automática de nuestro comportamiento. Cuando un paquete llega a casa con un código QR impreso, la mayoría de las personas siente el impulso reflejo de escanearlo. Es un gesto tan cotidiano que casi no requiere pensamiento. Los estafadores cuentan precisamente con eso. El código QR, en lugar de llevar a información legítima sobre el paquete o su remitente, redirige al usuario a un sitio web fraudulento diseñado para parecer oficial. Una vez allí, la página solicita datos personales: nombre, apellido, número de identidad, información bancaria. En algunos casos, el escaneo puede descargar directamente malware en el teléfono móvil sin que el usuario lo note.
Esta técnica tiene un nombre: 'Quishing', un término que combina 'QR' y 'Phishing'. El phishing tradicional utiliza correos electrónicos o mensajes de texto sospechosos para engañar a las personas y que revelen información sensible. El 'Quishing' es su versión moderna, que aprovecha la confianza que muchos depositamos en los códigos QR como herramientas seguras y convenientes. Los expertos en ciberseguridad reconocen que mucha gente cae en la trampa simplemente por desconocimiento, sin ser consciente de que un código QR puede ser tan peligroso como un enlace malicioso en un email.
La defensa más obvia es también la más efectiva: desconfiar de cualquier paquete que llegue sin haberlo solicitado. Aunque el envío llegue bajo el nombre de una empresa conocida, lo correcto es verificar su autenticidad antes de interactuar con él. La recomendación de los expertos es contactar directamente con el servicio de atención al cliente de la empresa supuestamente remitente para confirmar que el paquete es legítimo. En muchos casos, el origen del envío no aparece claramente en la caja, y el único identificador es el código QR. Precisamente por eso, ese código no debería escanearse.
Para quienes son especialmente vulnerables a este tipo de fraudes —personas mayores, usuarios menos familiarizados con la tecnología— existen medidas de protección adicionales. La aplicación que se use para leer códigos QR debería contar con protecciones de seguridad integradas. El teléfono móvil debe mantenerse completamente actualizado, con todos los parches de seguridad instalados y con software de detección de malware activo. Estas capas de protección no son infalibles, pero reducen significativamente el riesgo.
Lo que hace particularmente preocupante esta estafa es su timing. La temporada navideña es cuando más paquetes circulan por el sistema postal, cuando los buzones están llenos de envíos legítimos y cuando la guardia de los consumidores está naturalmente más baja. En medio de la emoción de recibir regalos, un paquete inesperado con un código QR puede pasar desapercibido como sospechoso. Los estafadores saben esto. Mientras la tecnología de códigos QR sigue siendo útil y conveniente para usos legítimos, la lección es clara: un código QR en un paquete no solicitado no es una invitación, es una advertencia.
Notable Quotes
Te envían un paquete a casa sin que tú lo hayas solicitado con algo de poco valor, y luego te redirige a una web en la que te piden datos personales— Paco Jiménez, periodista en 'Zapeando'
The Hearth Conversation Another angle on the story
¿Por qué los estafadores eligieron los códigos QR como herramienta? ¿Qué tienen de especial comparado con otros métodos?
Los códigos QR tienen una ventaja psicológica enorme. La gente los ve como seguros, como parte de la infraestructura normal. Nadie desconfía de un código QR como desconfiaría de un enlace extraño en un email. Es ese reflejo automático lo que los hace perfectos para el fraude.
¿Cuál es el riesgo real si alguien escanea uno de estos códigos maliciosos?
Depende de lo que haya detrás. En el mejor de los casos, te redirige a una página que te pide datos personales o bancarios. En el peor, descarga malware silenciosamente en tu teléfono. El daño puede ir desde robo de identidad hasta acceso directo a tus cuentas bancarias.
¿Por qué es tan difícil detectar que un paquete es fraudulento si no tiene información clara de quién lo envía?
Porque los estafadores lo hacen a propósito. Dejan el paquete sin identificación clara para obligarte a escanear el código QR. Es la única forma de saber quién lo envía, según ellos. Pero eso es exactamente lo que no deberías hacer.
¿Hay algo que distinga visualmente a un código QR malicioso de uno legítimo?
No, lamentablemente no. Un código QR es solo datos codificados. No puedes saber a dónde te llevará hasta que lo escanees. Por eso la única defensa real es no escanear códigos en paquetes que no esperabas.
¿Qué pasa si ya escaneaste uno y fuiste redirigido a una página sospechosa?
Lo importante es no ingresar datos. Si ya lo hiciste, contacta inmediatamente a tu banco y a las autoridades. Cambia tus contraseñas, activa alertas en tus cuentas. Y asegúrate de que tu teléfono esté protegido contra malware.
¿Por qué la Navidad es el momento más peligroso para esto?
Porque hay caos. Miles de paquetes circulan, la gente está distraída, emocionada, menos atenta. Los estafadores saben que en medio de esa confusión, un paquete sospechoso pasa desapercibido. Es la temporada perfecta para operar.