Un logo reconocible (en este caso el de Amazon) y un código QR bastan hoy en día para que los estafadores accedan a nuestras casas, no por la puerta, sino por el buzón. Las tácticas de phishing, tradicionalmente ligadas al correo electrónico o a los mensajes SMS, han dado un salto inesperado hacia el correo postal. Cada vez más ciudadanos están recibiendo cartas o paquetes que aparentan provenir de Amazon, acompañados de una supuesta promoción o invitación a un «club de pruebas de productos».
Todo parece inofensivo hasta que el destinatario escanea el código QR, que es cuando empieza la pesadilla, porque es ahí comienza el verdadero fraude; redirecciones a páginas falsas, suplantación de identidad y robo de datos personales o bancarios. Este nuevo método de estafa, identificado internacionalmente (vamos que ha tardado en llegar a Europa) y conocido como brushing, ha sido detectado en países como Reino Unido, Alemania, Francia y, recientemente, en España, donde no para de incrementarse el número de casos reportados.
Las cartas imitan el estilo corporativo de Amazon (la empresa asociada seleccionada por los timadores para cometer sus delitos) y prometen recompensas de hasta 40 euros a cambio de participar en campañas de prueba. El engaño está perfectamente diseñado para generar confianza, (vamos que no se trata de estafadores sin experiencia) especialmente en perfiles vulnerables como personas mayores, que pueden desconocer los peligros asociados a los códigos QR. A diferencia del correo electrónico, este formato físico evita filtros antispam y sistemas de ciberseguridad. En este contexto, el buzón de casa se ha convertido en la nueva frontera de las estafas digitales.
Del email al buzón: la evolución del phishing que esquiva los filtros digitales
La estrategia de los estafadores ha dado un nuevo giro. Durante años, el phishing digital ha invadido nuestros correos electrónicos con mensajes fraudulentos, algo a lo que todos los que usamos correo electrónico estamos acostumbrados, pero los filtros antispam y la creciente alfabetización digital han reducido su efectividad. Ahora, los delincuentes apuestan por el correo tradicional (¿han evolucionado o no?) como vía de entrada, enviando cartas físicas que imitan comunicaciones de empresas reconocidas como Amazon.
Al llegar al buzón, estas misivas sortean todos los mecanismos de protección que los sistemas digitales ofrecen y apelan directamente a la confianza del receptor. El método es simple pero efectivo; una tarjeta o carta impresa, aparentemente oficial, incluye un mensaje atractivo, un logo reconocible y un código QR, y esta es la peor parte de la historia, porque es cuando empieza el trabajo de los delincuentes.
En muchos casos, el diseño cuida hasta el más mínimo detalle para generar credibilidad, lo que aumenta la probabilidad de que el destinatario caiga en la trampa. Este cambio de canal no solo permite eludir los filtros informáticos, sino que se convierte en un nuevo reto para la ciberseguridad; combatir una amenaza analógica con consecuencias digitales.
Así funciona el fraude del “club de pruebas de Amazon” que promete dinero fácil y acaba robando tus datos
Los delincuentes no solo se valen del diseño visual para ganarse la confianza de las personas, se trata de un plan bien elaborado en la que se encuentran involucradas múltiples variables. El contenido del mensaje también está cuidadosamente redactado para despertar el interés y generar una falsa sensación de oportunidad. La carta invita al receptor a unirse a un supuesto “club de pruebas” de Amazon, donde podrá recibir productos gratuitos y, además, ganar comisiones de hasta 40 euros, una oferta bastante tentadora para cualquier persona que conoce la reputación (hasta ahora bien cuidada) de una empresa como Amazon.
Para participar, se indica que basta con escanear un código QR y rellenar un sencillo formulario con datos personales. Lo que parece un procedimiento inofensivo es, en realidad, el núcleo del fraude. Al escanear el QR, la víctima es redirigida a una página falsa que simula ser parte de Amazon, donde se solicitan datos sensibles como correo electrónico, dirección, teléfono o incluso información bancaria, un trabajo de investigación personal y sensible que realizan los delincuentes con tan solo el escaneo del código QR.
En algunos casos, la web maliciosa instala malware en el dispositivo utilizado. La promesa de dinero fácil sirve como anzuelo para que los usuarios entreguen sus datos sin sospechar que están alimentando una red de estafas internacionales.
Cartas con apariencia oficial y códigos QR: la nueva amenaza que ya ha llegado a España
Esta estafa, conocida como “brushing”, ha cruzado fronteras rápidamente y se extiende como pólvora por toda Europa. Casos documentados en Reino Unido, Alemania y Francia han comenzado a replicarse en España, donde ya se han detectado envíos con el mismo patrón; logo de Amazon, lenguaje promocional, códigos QR y promesas de beneficios inmediatos.
En todos los ejemplos, el objetivo es el mismo; recolectar datos personales a través del engaño y, en algunos casos, realizar operaciones fraudulentas con esa información, vamos que se trata de conseguir dinero a toda costa utilizando tus datos personales. La Guardia Civil, el Instituto Nacional de Ciberseguridad (INCIBE) y la propia Amazon han emitido alertas ante esta práctica. Recomiendan no escanear ningún código QR incluido en paquetes o cartas no solicitadas y, ante la duda, verificar siempre el remitente.
Además, insisten en la importancia de informar a personas mayores o poco habituadas al entorno digital, (aunque para caer en este tipo de estafa no importa la edad, las habilidades de los estafadores evolucionan, igual que la tecnología) ya que son las más vulnerables frente a este tipo de fraudes. La amenaza ha cambiado de forma, pero el objetivo sigue siendo el mismo; obtener tus datos y tu dinero mediante el engaño.
