Enlaces accesibilidad
menú principal menú principal
VerificaRTVE

Te explicamos la estafa de los paquetes de Amazon con QR: son códigos fraudulentos y la empresa no los envía

Por
Brushing: la estafa con códigos QR en paquetes que suplanta a Amazon
Mensaje de WhatsApp que alerta sobre los códigos QR fraudulentos que suplantan a Amazon Getty Images / VerificaRTVE

Nos habéis consultado a nuestro servicio de WhatsApp por un vídeo que circula por esta aplicación de mensajería instantánea que asegura que hay personas que están recibiendo paquetes de Amazon con un código QR fraudulento. En VerificaRTVE hemos consultado a la multinacional y nos explica que estos códigos no guardan relación con la empresa y que este modus operandi es una estafa. La Policía de varias ciudades de EE. UU.  ya ha alertado acerca de este fraude conocido como Brushing

El vídeo por el que nos habéis consultado circula por WhatsApp etiquetado como reenviado muchas veces y muestra a un hombre contando que "la Policía está advirtiendo que a mucha gente le están hackeando con el siguiente método". En la grabación explica que dicho procedimiento se llama "la estafa de Amazon" y consiste en escanear un código QR con tu teléfono móvil tras recibir un supuesto paquete de Amazon en tu domicilio. Dentro de la caja "encuentras un código QR y un vale de descuento" y es tras escanear ese código cuando "los ciberdelincuentes entran en tu ordenador". 

Amazon no es el remitente de estos paquetes con códigos QR fraudulentos. En VerificaRTVE hemos contactado con el equipo de Amazon España y nos confirma que se trata de una estafa. Alerta de que "ante estos tipos de estafas o fraudes, es muy importante revisar la cuenta de Amazon" y añaden que "hay que desconfiar siempre de comunicaciones externas y denunciarlas a través de reportascam@amazon.com".  La compañía también comparte una serie de recomendaciones ante este tipo de casos: "Sospechar de las falsas urgencias: los estafadores siempre intentan convencer a sus posibles víctimas de que deben actuar de inmediato" o "verificar siempre los enlaces (o QR o cualquier otro tipo de mensaje recibido) para ver si hay errores ortográficos o caracteres repetidos. Desde la multinacional recuerdan que los sitios web legítimos de Amazon contienen la terminación 'amazon.es'". En su página de atención al cliente explican cómo actuar en el caso de haber sido víctima de un fraude y qué hacer al recibir un paquete no solicitado. 

La Guardia Civil explica por correo electrónico a VerificaRTVE que "el modus operandi es técnicamente posible, pero no tenemos constancia de denuncias al respecto". "La actividad delictiva es posible desde el momento que el usuario mediante el código QR accede a un sitio web que simula a uno real (lo que se conoce como phishing) donde invita al usuario, mediante engaño, a introducir datos personales (como nombres o direcciones)", concluye el instituto armado.  

La Policía de distintas ciudades estadounidenses alerta de esta estafa 

El departamento de Policía de Palm Beach, en Florida, explica que esta estafa denominada "brushing" consiste en "recibir un regalo o paquete inesperado por correo". Explican que el paquete "tendrá la dirección del destinatario, pero no tendrá información del remitente". Al abrir el paquete y encontrar el código QR se aconsejará al usuario "escanearlo para averiguar quién envió el regalo [...] si se escanea el código QR, el destinatario puede, sin saberlo, enviar información a un estafador, comprometer su teléfono o ser dirigido a un sitio web malicioso". 

En Akron, Ohio, la Policía publicó en su perfil de Facebook una alerta explicando que "una vez escaneado el código, toda la información de ese teléfono se enviará a los estafadores [...] el código QR no debe escanearse por ningún motivo. Las estafas con códigos QR no son nada nuevo. Estas estafas aparecen en todos los lugares, incluidos los parquímetros". El departamento de Policía de Denver también se ha hecho eco de este fraude a través de su perfil de X. 

Escanear un código QR desconocido puede poner en riesgo tus datos personales 

El Instituto Nacional de Ciberseguridad (INCIBE) asegura a VerificaRTVE que tienen "un par de casos similares donde los usuarios esperaban un paquete y dentro de la caja del producto, junto con el dispositivo y el manual de instrucciones, había un QR fraudulento el cual les redirigía a un formulario que pedía datos identificativos y bancarios". INCIBE recomienda una serie de "pautas preventivas" en el caso de recibir uno de estos códigos, como "comprobar que el código QR no sea una pegatina colocada sobre el QR original", "activar la función de previsualización de la URL a la que redirecciona antes de acceder a ella" o "hacer uso de analizadores de enlaces, como VirusTotal". En caso de duda, "nunca facilitar datos personales ni bancarios", recomiendan desde el organismo.  

INCIBE difundió en febrero una guía para identificar un código QR malicioso. En ella alertan al usuario de sospechar "si la URL a la que te redirige no se corresponde con el nombre de la empresa o servicio al que se supone que vas a acceder" o "si al escanear el QR te solicita descargar un archivo con extensiones como .apk.". También publican en su página web oficial un artículo en el que enseñan al usuario a escanear códigos QR de manera fiable y segura. 

En VerificaRTVE ya te hemos alertado de las estafas mediante códigos QR, te hemos explicado cómo funcionan y te hemos ofrecido consejos para evitarlas. En concreto, te hablamos de la técnica conocida como Qrishing, que consiste en suplantar la identidad de una empresa u organismo, por ejemplo, la carta de un restaurante, pero en realidad es una página web fraudulenta.  

*22-10-2024 11:30h: Actualización para incluir la respuesta de la Guardia Civil y el Instituto Nacional de Ciberseguridad (INCIBE)

Es noticia: