CDMX. 20 de mayo de 2026. Durante las temporadas de ofertas como Hot Sale, el flujo de entregas a domicilio aumenta, pero cuidado si te llega algo que no pediste. Los investigadores de Kaspersky advierten sobre una modalidad de fraude que envía paquetes falsos para robar información de los consumidores. Los ciberdelincuentes están comprando bases de datos filtradas en internet para enviar paquetes falsos a domicilio que incluyen códigos QR maliciosos, cuyo objetivo es comprometer los teléfonos de las víctimas, instalar malware y robar sus datos bancarios.
Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o sticker con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.
Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de "activar" la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.
El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 47% de los mexicanos no sabe que los códigos QR falsos pueden ser la llave a sus dispositivos móviles y tomar el control de sus aplicaciones de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en Internet.
“Los cibercriminales saben que durante el Hot Sale los consumidores esperan múltiples entregas, pero recibir algo que no pediste no es suerte, sino una alerta de privacidad, pues confirma que tu dirección y datos de contacto ya se filtraron y circulan en manos equivocadas. El peligro de esta estafa radica en que explota la curiosidad y se apoya en una tecnología que muchos consideran inofensiva, como los códigos QR, logrando que los estafadores terminen accediendo a tu información, dispositivo y aplicaciones financieras. En esta temporada de ofertas, recuerda que la compra más cara podría ser la que te llega 'gratis' por sorpresa”, advirtió María Isabel Manjarrez, investigadora de seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.
Para evitar ser víctima de este tipo de fraude durante Hot Sale y el resto del año, los expertos de Kaspersky recomiendan:
Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos "impuestos de aduana" o "tarifas de envío".
Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.