¿Te llegó un paquete que no pediste? Podría ser una peligrosa estafa con QR

En plena temporada de descuentos y compras en línea por el Hot Sale 2026, especialistas en seguridad digital advirtieron sobre una modalidad de fraude que cada vez gana más fuerza en México: el envío de paquetes falsos con códigos QR maliciosos.

La escena parece inofensiva. Un repartidor toca a la puerta y entrega una caja o sobre con el nombre y dirección correctos del destinatario. Sin embargo, la víctima nunca realizó esa compra.

Dentro del paquete suele haber un objeto barato, como un llavero, unas semillas o una funda para celular. En otros casos no hay nada relevante, salvo una tarjeta con un mensaje que invita a escanear un código QR para descubrir quién envió el supuesto “regalo” o para gestionar una devolución.

¡El problema comienza justo en ese momento!

Así operan las estafas de “Brushing” y “Quishing”

Expertos identifican esta modalidad como una combinación de dos fraudes digitales: el “Brushing” y el “Quishing”.

El primero consiste en utilizar datos personales filtrados —como nombre completo y dirección— para simular compras reales en plataformas de comercio electrónico. El segundo usa códigos QR fraudulentos para dirigir a las víctimas a sitios falsos y robar información sensible.

La mecánica suele desarrollarse en tres pasos.

Primero, los delincuentes adquieren bases de datos filtradas en internet o foros clandestinos. Con esa información realizan pedidos pequeños a nombre de las víctimas para que los paquetes lleguen sin levantar sospechas.

Después, el usuario recibe el envío en su domicilio. Debido al alto volumen de entregas durante eventos como el Hot Sale, muchas personas asumen que se trata de alguna compra olvidada o incluso de un obsequio.

Finalmente llega el fraude real: al escanear el código QR, el teléfono abre una página que aparenta pertenecer a empresas de mensajería o tiendas digitales reconocidas.

Ahí solicitan datos bancarios, contraseñas o códigos de verificación. En otros casos, piden descargar aplicaciones falsas en formato APK que contienen malware capaz de espiar el dispositivo o clonar aplicaciones bancarias.

El verdadero objetivo detrás de estos paquetes

Especialistas explican que este fraude tiene un doble propósito. Por un lado, busca robar información financiera y comprometer dispositivos móviles. Pero además, el esquema de “Brushing” permite a vendedores fraudulentos generar compras ficticias en plataformas digitales.

Una vez que el paquete aparece como “entregado”, los estafadores pueden publicar reseñas positivas falsas utilizando la identidad del destinatario. De esta forma inflan artificialmente la reputación de productos de baja calidad en marketplaces internacionales.

Empresas de ciberseguridad y autoridades han señalado que este tipo de prácticas aumentan durante temporadas de descuentos, cuando los consumidores esperan múltiples entregas y bajan la guardia frente a paquetes inesperados.

¿Qué hacer si recibes un paquete sospechoso?

Autoridades y expertos recomiendan no escanear códigos QR provenientes de paquetes desconocidos o sin remitente claro.

También sugieren verificar directamente en aplicaciones oficiales de tiendas como Amazon o Mercado Libre si existe algún pedido registrado en la cuenta personal. Nunca debe utilizarse el QR incluido en la caja para consultar información.

Otro punto clave es evitar descargar aplicaciones externas. Si una página solicita instalar un archivo para “confirmar” el remitente o rastrear el paquete, lo más recomendable es cerrar inmediatamente el sitio.

En México, la Procuraduría Federal del Consumidor y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros emitieron alertas previas sobre fraudes relacionados con códigos QR.

Asimismo, especialistas recomiendan reportar cualquier situación sospechosa ante la Policía Cibernética local o a través de las líneas de emergencia correspondientes.

Aunque recibir un paquete inesperado puede parecer una simple confusión, expertos advierten que podría tratarse de la puerta de entrada a un fraude digital capaz de comprometer cuentas bancarias, datos personales y hasta el control del teléfono móvil.