{"id":31332,"date":"2025-08-31T13:00:15","date_gmt":"2025-08-31T11:00:15","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31332"},"modified":"2025-08-29T14:07:54","modified_gmt":"2025-08-29T12:07:54","slug":"brushing-quishing-and-other-threats-of-unexpected-parcels","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/31332\/","title":{"rendered":"La estafa en la puerta de tu casa"},"content":{"rendered":"<p>Recibes una notificaci\u00f3n de entrega, o simplemente encuentras un paquete junto a la puerta de tu casa. \u00a1Pero no has pedido nada! Por supuesto, a todos les encanta recibir un regalo gratis, pero en este caso debes tener cuidado. Existen varias estafas que comienzan con la entrega de un paquete a tu casa.<\/p>\n<p>Por supuesto, consulta primero con tus amigos y familiares: es posible que alguien te haya enviado algo sin mencionarlo. Pero si no es el caso, es muy probable que te enfrentes a uno de los esquemas que se describen a continuaci\u00f3n.<\/p>\n<p><em>Alerta de spoiler: en ning\u00fan caso escanees c\u00f3digos QR o llames a n\u00fameros de tel\u00e9fono impresos en el paquete.<\/em><\/p>\n<h2>Pedidos pulidos<\/h2>\n<p>El t\u00e9rmino <a href=\"https:\/\/www.uspis.gov\/news\/scam-article\/brushing-scam\" target=\"_blank\" rel=\"nofollow noopener\">estafa de brushing<\/a> proviene de <a href=\"https:\/\/special.cpd.com.cn\/2023\/qmfz\/yjjm\/923\/t_1104790.html\" target=\"_blank\" rel=\"nofollow noopener\">jerga del comercio electr\u00f3nico chino<\/a>. \u5237\u5355 significa literalmente \u201cpulir pedidos\u201d, que se refiere, en esencia, a una especie de estafa dise\u00f1ada para inflar artificialmente las ventas. Originalmente, este \u201cbrushing\u201d era relativamente inofensivo: recib\u00edas un producto que no hab\u00edas pedido y el vendedor publicaba una rese\u00f1a entusiasta en tu nombre para mejorar su clasificaci\u00f3n de ventas. Para llevar a cabo esta estafa, los vendedores sin escr\u00fapulos compran bases de datos filtradas con informaci\u00f3n personal, despu\u00e9s registran nuevas cuentas en marketplace usando los nombres y las direcciones postales de las v\u00edctimas, pero con su propia direcci\u00f3n de correo electr\u00f3nico y m\u00e9todo de pago. Como tal, las v\u00edctimas no sufren p\u00e9rdidas econ\u00f3micas directas.<\/p>\n<h2>Que suerte; pero primero, tu rese\u00f1a<\/h2>\n<p>Con el tiempo, ese \u201cbrushing\u201d relativamente inofensivo ha evolucionado a una forma de fraude mucho m\u00e1s agresiva. En estos d\u00edas, los estafadores intentan enga\u00f1ar a los destinatarios de los paquetes <a href=\"https:\/\/6abc.com\/post\/what-is-brushing-scam-know-how-protect\/15683111\/\" target=\"_blank\" rel=\"nofollow noopener\">atray\u00e9ndolos a un sitio web malicioso<\/a>. Para lograrlo, incluyen una tarjeta o pegatina con un c\u00f3digo QR junto con la entrega. La historia que acompa\u00f1a al c\u00f3digo var\u00eda, con ejemplos comunes que incluyen lo siguiente:<\/p>\n<ul>\n<li>\u201c\u00a1Has recibido un regalo! Escanea el c\u00f3digo para averiguar qui\u00e9n lo envi\u00f3\u201d<\/li>\n<li>\u201c\u00a1Deja una rese\u00f1a de nuestro producto y obt\u00e9n una tarjeta de regalo de 100 USD!\u201d<\/li>\n<li>\u201c\u00a1Confirma la recepci\u00f3n de tu art\u00edculo entregado gratis!\u201d<\/li>\n<\/ul>\n<p>Si la v\u00edctima escanea el c\u00f3digo QR para averiguar qui\u00e9n es el remitente o reclamar otro regalo, el resto sigue el patr\u00f3n cl\u00e1sico de <a href=\"https:\/\/www.kaspersky.es\/blog\/messengers-101-safety-and-privacy-advice\/30882\/\" target=\"_blank\" rel=\"nofollow noopener\">quishing<\/a> (phishing de QR): persuadir a la v\u00edctima para que introduzca sus datos de pago (por ejemplo, para \u201cactivar\u201d la tarjeta de regalo) o c\u00f3digos de aplicaciones bancarias\/gubernamentales, o inst\u00e1ndolas a instalar una aplicaci\u00f3n para \u201cconfirmaci\u00f3n\u201d o \u201cactivaci\u00f3n\u201d, que, por supuesto, es malware.<\/p>\n<h2>\u00bfQu\u00e9 pasa si no hay ning\u00fan producto?<\/h2>\n<p>Los esquemas anteriores solo funcionan cuando una tienda en l\u00ednea puede permitirse \u201cregalar\u201d productos como t\u00e1ctica de promoci\u00f3n. Pero \u00bfpueden los estafadores obtener tus datos sin enviar ning\u00fan producto? Pueden, <a href=\"https:\/\/www.corriere.it\/tecnologia\/24_novembre_29\/in-svizzera-allarme-quishing-la-truffa-del-postino-tramite-qr-code-segnalata-anche-in-italia-cos-e-e-come-difendersi-122fec17-a29c-4baa-b90d-845b19956xlk.shtml\" target=\"_blank\" rel=\"nofollow noopener\">y lo hacen<\/a>.<\/p>\n<p>En lugar de un paquete, la v\u00edctima encuentra una <a href=\"https:\/\/www.royalmail.com\/help\/scam-examples\" target=\"_blank\" rel=\"nofollow noopener\">postal impresa profesionalmente<\/a> en su puerta: \u201cDesafortunadamente, nuestro servicio de entrega a domicilio no ha podido entregar tu paquete porque no estabas en casa. Un regalo valorado en 200 USD solo se puede entregar en persona. Ponte en contacto con nosotros para organizar el reenv\u00edo\u201d. La postal incluye un c\u00f3digo QR, una direcci\u00f3n de sitio web y, a veces, incluso un n\u00famero de tel\u00e9fono para \u201creprogramar\u201d la entrega.<\/p>\n<div id=\"attachment_31335\" style=\"width: 902px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2025\/08\/29135525\/brushing-quishing-and-other-threats-of-unexpected-parcels-01-1.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31335\" class=\"size-full wp-image-31335\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2025\/08\/29135525\/brushing-quishing-and-other-threats-of-unexpected-parcels-01-1.jpg\" alt=\"Ejemplo de una postal de phishing con una direcci\u00f3n de sitio web y un c\u00f3digo QR \" width=\"892\" height=\"673\"><\/a><p id=\"caption-attachment-31335\" class=\"wp-caption-text\">Una postal de phishing supuestamente de Royal Mail, completa con una direcci\u00f3n de sitio web y un c\u00f3digo QR, parece muy convincente: los estafadores prestaron gran atenci\u00f3n a los detalles. <a href=\"https:\/\/www.cnet.com\/home\/security\/common-package-scams-to-watch-for-over-the-holidays\/\" target=\"_blank\" rel=\"nofollow noopener\">Fuente.<\/a><\/p><\/div>\n<p>Si llamas al n\u00famero o visitas el sitio malicioso vinculado al c\u00f3digo QR, te enga\u00f1ar\u00e1n para que proporciones detalles de pago, contrase\u00f1as o c\u00f3digos de un solo uso a trav\u00e9s de uno de los escenarios comunes de estafa relacionados con \u201centregas\u201d:<\/p>\n<ul>\n<li>\u201cEscoge un horario de entrega de inmediato para que el paquete no se devuelva al remitente\u201d.<\/li>\n<li>\u201c<a href=\"https:\/\/www.kaspersky.es\/blog\/delivery-payment-scam\/24518\/\" target=\"_blank\" rel=\"nofollow noopener\">Paga una tarifa de 2 USD<\/a> por el reenv\u00edo\u201d. El objetivo aqu\u00ed es obtener tus datos de pago y luego cobrar cantidades mucho mayores.<\/li>\n<li>\u201cPaga los derechos de aduana\u201d. Te informan que te han enviado un paquete valioso, pero debes pagar el impuesto aduanero t\u00fa mismo. Y estas cantidades pueden ser bastante significativas (dependiendo del valor del supuesto art\u00edculo). En algunos pa\u00edses, un \u201crepartidor\u201d puede incluso venir en persona para cobrar la tarifa en efectivo.<\/li>\n<\/ul>\n<p>Todos estos esquemas pueden provocar la p\u00e9rdida de informaci\u00f3n personal y financiera, pero a veces se convierten en fraudes telef\u00f3nicos con p\u00e9rdidas mucho mayores. Por ejemplo, despu\u00e9s de pagar una tarifa de env\u00edo falsa, los estafadores pueden llamarte y reclamar que el <a href=\"https:\/\/economictimes.indiatimes.com\/wealth\/save\/customs-department-warns-against-new-parcel-fraud-drug-was-found-in-your-parcel-will-inform-police-how-to-save-yourself-from-this-fraud\/articleshow\/111183261.cms\" target=\"_blank\" rel=\"nofollow noopener\">paquete no se puede entregar porque contiene medicamentos<\/a>. A esto le sigue la presi\u00f3n psicol\u00f3gica de las llamadas de un \u201coficial de polic\u00eda\u201d y los intentos de extorsionarte para obtener una gran suma de dinero con el fin de \u201cprotegerte\u201d de cargos penales.<\/p>\n<h2>Pago contra reembolso<\/h2>\n<p>Otra estafa popular involucra productos con pago en el momento de la entrega. A veces, los estafadores anuncian un producto con anticipaci\u00f3n y se lo env\u00edan a la v\u00edctima con su consentimiento; pero tambi\u00e9n existe una versi\u00f3n en la que un <a href=\"https:\/\/parceldaily.com\/blog\/how-cash-on-delivery-scams-work\/\" target=\"_blank\" rel=\"nofollow noopener\">paquete llega de la nada<\/a>. Un d\u00eda, un repartidor llega a tu puerta con un paquete a tu nombre. Por lo general, el nombre de un producto atractivo se muestra de manera prominente en la caja, por ejemplo, un tel\u00e9fono inteligente de alta gama. Pero\u2026 tienes que pagarlo. El precio es de 2 a 3 veces m\u00e1s bajo que la tasa de mercado. Los estafadores cuentan con la codicia y la urgencia (\u201cel repartidor tiene prisa, \u00a1hagamos esto r\u00e1pido!\u201d) para hacer que la v\u00edctima pague sin verificar el art\u00edculo correctamente. El repartidor se apresura, y la v\u00edctima abre la caja para encontrar una imitaci\u00f3n barata del producto reclamado, o simplemente basura.<\/p>\n<p>Si el objetivo se niega a pagar por el art\u00edculo misterioso, los estafadores pueden tener listo un \u201cPlan B\u201d, enga\u00f1\u00e1ndolos para que proporcionen un c\u00f3digo de verificaci\u00f3n \u00fanico para un marketplace o banco, <a href=\"https:\/\/www.indiatoday.in\/technology\/news\/story\/do-you-shop-online-beware-of-fake-otp-delivery-scam-or-you-will-lose-money-2314088-2022-12-27\" target=\"_blank\" rel=\"nofollow noopener\">con el pretexto de \u201cconfirmar la cancelaci\u00f3n del pedido\u201d<\/a>.<\/p>\n<h2>Ataques dirigidos<\/h2>\n<p>A veces, las estafas de entrega f\u00edsica se dirigen a v\u00edctimas espec\u00edficas. Por ejemplo, algunos delincuentes <a href=\"https:\/\/www.kaspersky.es\/blog\/five-threats-hardware-crypto-wallets\/28724\/\" target=\"_blank\" rel=\"nofollow noopener\">han intentado robar criptomonedas<\/a> enviando a los propietarios de carteras de hardware Ledger paquetes que supuestamente eran un reemplazo gratuito bajo garant\u00eda por dispositivos defectuosos. Dentro del paquete hab\u00eda una \u201cnueva\u201d cartera de criptomonedas; en realidad, una memoria USB con malware dise\u00f1ado para robar la frase semilla del monedero. La <a href=\"https:\/\/www.cybereason.com\/blog\/fbi-warns-us-companies-to-avoid-malicious-usb-devices\" target=\"_blank\" rel=\"nofollow noopener\">pandilla de ransomware FIN7<\/a> tambi\u00e9n ha utilizado memorias USB por correo como parte de ataques de ransomware dirigidos a organizaciones seleccionadas.<\/p>\n<h2>La amenaza oculta<\/h2>\n<p>Las estafas de brushing y quishing tienen una causa desagradable. Si est\u00e1s recibiendo estos paquetes, significa que tu direcci\u00f3n y otra informaci\u00f3n de contacto se han filtrado en bases de datos y est\u00e1n circulando en foros clandestinos. Estos conjuntos de datos se venden repetidamente, por lo que es posible que tambi\u00e9n seas objeto de otros tipos de estafas. Prep\u00e1rate: <a href=\"https:\/\/www.kaspersky.es\/blog\/kaspersky-password-manager-authenticator\/29111\/\" target=\"_blank\" rel=\"nofollow noopener\">activa la autenticaci\u00f3n de dos factores en todos tus servicios<\/a>, espera llamadas de estafas, revisa tus extractos bancarios frecuentemente y aseg\u00farate de instalar una <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">protecci\u00f3n confiable<\/a>\u00a0en todos tus dispositivos.<\/p>\n<h2>\u00bfQu\u00e9 hacer si recibes un paquete inesperado?<\/h2>\n<ul>\n<li>Revisa detenidamente el paquete, las etiquetas y cualquier documento adjunto.<\/li>\n<li>Toma una fotograf\u00eda del paquete por si acaso, pero nunca sigas ning\u00fan enlace de c\u00f3digo QR o texto impreso. Guarda el paquete por si hay una investigaci\u00f3n m\u00e1s adelante.<\/li>\n<li>Nunca llames a los n\u00fameros de tel\u00e9fono ni, nuevamente, visites los enlaces impresos en el paquete.<\/li>\n<li>Nunca pagues ninguna \u201ctarifa de env\u00edo\u201d o \u201cderecho de aduana\u201d y nunca proporciones tus datos de pago.<\/li>\n<li>Nunca conectes dispositivos de almacenamiento digital recibidos inesperadamente a tu ordenador o tel\u00e9fono inteligente.<\/li>\n<li>Si el paquete se ha entregado mediante un servicio de entrega a domicilio importante y conocido (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, servicios postales nacionales, etc.), visita el sitio web oficial de la empresa, busca sus n\u00fameros de contacto, el servicio de seguimiento en l\u00ednea o el chat en vivo, y verifica el estado del env\u00edo y la informaci\u00f3n del remitente. Si el paquete tiene un n\u00famero de seguimiento, introd\u00facelo manualmente; no escanees ning\u00fan c\u00f3digo QR en la etiqueta.<\/li>\n<li>Denuncia el paquete sospechoso al servicio de entrega a domicilio y a la polic\u00eda, incluso si no te han robado dinero.<\/li>\n<\/ul>\n<blockquote><p>Lee m\u00e1s sobre estafas que involucran c\u00f3digos QR, marketplaces y servicios de entrega:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/dhl-scam-with-qr-codes\/27346\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>\u201cHay un paquete para usted. Por favor, escanee el c\u00f3digo QR\u201d<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/bubble-tea-qr-code\/48893\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>C\u00f3digos QR (no) seguros<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.es\/blog\/qr-code-threats\/25246\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>QR: \u00bfqu\u00e9 r\u00e1pido o qu\u00e9 peligroso?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/message-boards-video-call-scam\/52717\/\" target=\"_blank\" rel=\"nofollow noopener\"><strong>Foros de mensajes afectados por una nueva estafa de videollamadas<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Brushing, quishing y otros esquemas de fraude que comienzan con la entrega a domicilio de un producto que nunca solicitaste.<\/p>\n","protected":false},"author":2722,"featured_media":31333,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[611,378,1752,323,3073,561,919,43],"class_list":{"0":"post-31332","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amazon","9":"tag-amenazas","10":"tag-codigos-qr","11":"tag-consejos","12":"tag-correo","13":"tag-estafa","14":"tag-estafas","15":"tag-phishing"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/31332\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/29433\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/24542\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/29375\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/28446\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/29991\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/40299\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/13705\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/54126\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/23102\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/24154\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/32588\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/brushing-quishing-and-other-threats-of-unexpected-parcels\/29574\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/35302\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/brushing-quishing-and-other-threats-of-unexpected-parcels\/34938\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/estafas\/","name":"estafas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31332"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31332\/revisions"}],"predecessor-version":[{"id":31337,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31332\/revisions\/31337"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31333"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}