Así vacían tu cuenta bancaria con un código QR: la SSC alerta sobre paquetes que llegan sin pedirlos

La Secretaría de Seguridad Ciudadana de la Ciudad de México (SSC) emitió una advertencia sobre una nueva modalidad de fraude que involucra el envío de paquetes inesperados con códigos QR maliciosos.

Según la Policía Cibernética, los delincuentes envían paquetes no solicitados a domicilios, incluyendo códigos QR que invitan a “reclamar” el contenido o verificar detalles del envío.

Al escanear estos códigos, las víctimas son redirigidas a sitios web fraudulentos, exponiendo sus datos personales y financieros a los estafadores. Esta modalidad ha encendido las alertas de autoridades y especialistas en ciberseguridad tanto en México como en otros países.

Modus operandi del fraude con códigos QR

El modus operandi descrito en las alertas oficiales consiste en tres pasos. Primero, la persona recibe en su domicilio un paquete no solicitado, generalmente sin remitente verificable.

En el interior, los estafadores incluyen un código QR acompañado de instrucciones que invitan al destinatario a escanearlo para recibir información adicional, acceder a un supuesto descuento o verificar la entrega.

Al escanear el código, la víctima puede ser dirigida a páginas falsas que solicitan información confidencial, como nombres, direcciones, números de tarjeta bancaria o credenciales de acceso. En algunos casos, el código QR también puede descargar software malicioso que compromete la seguridad del dispositivo, permitiendo a los delincuentes acceder a información sensible, realizar cargos no autorizados, robo de identidad y acceso a cuentas bancarias.

Fraudes con QR en otros sectores

Este tipo de fraude no solo se limita al sector de paquetería. Los códigos QR maliciosos pueden encontrarse en cartas de restaurantes, parquímetros, cargadores de coches eléctricos y otros servicios. Según especialistas en ciberseguridad, el principal riesgo radica en la dificultad para detectar cuándo un código QR ha sido manipulado o redirige a un sitio fraudulento.

La única manera de evitar estas estafas es no escanear códigos de origen desconocido y verificar siempre la autenticidad del remitente y del enlace.

Recomendaciones de autoridades

En México, la Policía Cibernética recomienda no escanear códigos QR de paquetes inesperados, no ingresar contraseñas ni información financiera en enlaces provenientes de estos códigos y confirmar directamente con las empresas de mensajería si existe un envío pendiente.

También se aconseja mantener actualizado el antivirus y el sistema operativo del dispositivo. Si se recibe un paquete sospechoso, se debe tomar evidencia fotográfica y reportarlo inmediatamente a las autoridades competentes.

Medidas de prevención y canales de denuncia

El fenómeno de los fraudes con códigos QR, conocido también como “brushing” en algunos contextos internacionales, ha sido objeto de investigaciones policiales y campañas de prevención. Aunque hasta ahora las autoridades no han revelado cifras oficiales de víctimas en México, la recomendación es priorizar la prevención y la denuncia oportuna.

Si una persona ya ha escaneado un código QR sospechoso, debe cambiar de inmediato las contraseñas de sus cuentas, contactar a su banco si proporcionó datos financieros, ejecutar un análisis antivirus y reportar el incidente ante la Policía Cibernética.

La advertencia central de las autoridades es contundente: si no solicitaste el paquete, no escanees el código QR y mantente alerta ante cualquier intento de fraude digital.

Casos recientes y antecedentes internacionales

A nivel internacional, se han documentado casos similares, especialmente en campañas de rebajas o durante épocas de alto volumen de compras en línea.

En España, la Guardia Civil ha alertado sobre el envío de supuestos paquetes de Amazon que incluyen códigos QR en la etiqueta. La recomendación de las autoridades es clara: desconfiar de cualquier paquete que no se haya solicitado y nunca escanear códigos QR provenientes de estos envíos, ya que pueden redirigir a páginas fraudulentas o solicitar la descarga de aplicaciones maliciosas.

El Instituto Nacional de Ciberseguridad (INCIBE) en España ha confirmado la detección de casos donde los usuarios recibieron un paquete con un código QR fraudulento dentro de la caja, el cual redirigía a un formulario para captar datos bancarios.

Entre sus recomendaciones destacan activar la previsualización de la URL antes de acceder, comprobar que el QR no sea una pegatina colocada sobre el original y evitar proporcionar información personal o financiera en sitios no verificados.