Mucho ojo si recibes un paquete inesperado junto a un código QR. En Estados Unidos, varios departamentos de policía están alertando de un método de estafa en el que los ciberdelincuentes, suplantando la identidad de compañías como Amazon, te mandan un paquete a casa con un artículo de “regalo” y un código QR para escanear. Al escanearlo, podrías darle el acceso a tú teléfono a los estafadores.
Lo que están haciendo ahora los estafadores, es enviar paquetes que no solicitaste ni compraste junto con un código QR.
La Oficina Federal de Investigación (FBI, por sus siglas en inglés) señala que escanear un QR malicioso, podría darle a los ciberdelincuentes el acceso a tu teléfono o contactos, descargar una aplicación maliciosa o enviarte a un portal falso de pago.
El Instituto Nacional de Ciberseguridad (INCIBE) de España, consultado por Maldita.es, medio cofundador de Factchequeado, recomienda no escanear códigos QR que no sabemos de dónde provienen y desconfiar si al escanearlo te solicitan que te descargues una aplicación.
Los estafadores te envían un paquete misterioso a casa con el objetivo de que escanees un código QR fraudulento
En varias ciudades de EE. UU. se está alertando de este nuevo método de timo a través de códigos QR en paquetes inesperados, como en Denver (Colorado), Morrow (Georgia), Palm Beach (Florida) o Akron (Ohio). El Departamento de Policía de Palm Beach explica en su web que el paquete contiene la dirección del destinatario, pero no información del remitente.
“Cuando se abre el paquete, habrá un código QR que se recomienda escanear para averiguar quién envió el regalo”, explican. Además, advierten: “Si se escanea el código QR, el destinatario puede enviar información sin saberlo a un estafador, comprometer su teléfono o ser dirigido a un sitio web malicioso”.
A través de su perfil en Facebook, el Departamento de Policía de Akron afirma que el paquete puede contener artículos pequeños de “regalo”, como bisutería o altavoces, junto al código QR malicioso. “Una vez se ha escaneado el código, toda la información de ese teléfono se envía a los estafadores, quienes reciben acceso total al teléfono”, aseguran. De esta manera, según la policía, los delincuentes obtienen “la información personal y financiera y, habitualmente, las cuentas bancarias de las víctimas son vaciadas”.
Según indican los departamentos de policía, esta estafa consiste en que los ciberdelincuentes utilizan tus datos personales para enviarte un paquete que no has solicitado a tu casa. Para ello, los estafadores podrían suplantar la identidad de empresas como Amazon. El objetivo del scam puede variar. Además de enviarte códigos QR maliciosos, la intención también podría ser escribir falsas reseñas positivas a tu nombre y, de este modo, aumentar las ventas de un determinado vendedor, según indica la Better Business Bureau (BBB), organización de consumo estadounidense.
Esta estafa es una variante del brushing, una actividad fraudulenta en la que recibes un paquete que no ordenaste con la finalidad de que el remitente escriba reseñas positivas del producto en tu nombre, según el Servicio de Inspección Postal de Estados Unidos. Los paquetes no incluyen la dirección del remitente o esta puede ser la de un distribuidor o minorista quienes utilizarán tu información personal para escribir reseñas sobre el producto y aumentar sus ventas a largo plazo.
Cómo es posible que los estafadores tengan nuestro nombre y nuestra dirección
Para enviarnos un paquete inesperado, los estafadores deben tener algunos de nuestros datos personales de antemano. Pero, ¿cómo lo consiguen? El INCIBE explica que esto puede deberse a diferentes motivos, como el uso de contraseñas débiles que den acceso a algún servicio online donde, entre otros datos, esté nuestra dirección postal. También puede ser por una “mala configuración de privacidad de algún servicio que permita el acceso a esta información” o una fuga de datos de algún servicio en la que se hayan filtrado datos personales de los usuarios. En este artículo encontrarás más pistas.
Cómo evitar que te la cuelen con códigos QR
Los ciberdelincuentes pueden utilizar códigos QR para intentar ejecutar malware: programas malicioso con virus que se instalan secretamente en tu dispositivo y pueden ser usados para robar información delicada, enviar anuncios indeseados o exigir pago para decodificar datos encriptados. Para evitar estos riesgos, el INCIBE recomiendan lo siguiente:
No escanees códigos QR si no sabes quién lo ha generado y para qué fin.
Antes de abrir la web, utiliza un analizador de enlaces como URLVoid o VirusTotal.
Sospecha si la URL de la página a la que te redirige el QR no se corresponde con el nombre de la empresa a la que se supone que estás accediendo.
Mucho cuidado si el enlace que esconde el QR es una URL acortada.
Desconfía si al escanear el código QR te solicitan que descargues un archivo con extensiones como .apk. Podría ser una aplicación maliciosa.
No proporciones información personal o bancaria si no estás seguro de la autenticidad del sitio que visitas.
El FBI recomienda reportar si eres víctima de fraude en línea al Centro de Quejas de Delitos en Internet del FBI en www.ic3.gov, o llamar a la Oficina de Campo del FBI en El Paso al (915) 832-5000. También puedes denunciarlo en español ante la Comisión Federal de Comercio (FTC) haciendo clic aquí.
Factchequeado es un medio de verificación que construye una comunidad hispanohablante para contrarrestar la desinformación en Estados Unidos. ¿Quieres ser parte? Súmate y verifica los contenidos que recibes enviándolos a nuestro WhatsApp +16468736087 o a factchequeado.com/whatsapp.
Lee también:
Cómo prevenir a los niños y adolescentes sobre el ‘phishing’ y otros fraudes online