Alertan por nueva estafa con paquetes y códigos QR falsos durante CyberDay: así buscan robar tus datos bancarios

El inicio del CyberDay trae consigo miles de ofertas y un aumento significativo en las compras por internet. Sin embargo, el incremento de las transacciones y despachos también ha abierto nuevas oportunidades para los ciberdelincuentes.

La empresa de ciberseguridad Kaspersky advirtió sobre una sofisticada modalidad de fraude que combina envíos físicos a domicilio con códigos QR maliciosos. La técnica, conocida como "quishing", busca engañar a las víctimas para obtener información bancaria, credenciales de acceso e incluso instalar software malicioso en sus teléfonos.

¿Qué es el quishing y por qué preocupa durante CyberDay?

El quishing es una variante del phishing tradicional, pero en lugar de utilizar enlaces fraudulentos enviados por correo electrónico o mensajes de texto, emplea códigos QR que dirigen a las víctimas hacia sitios web falsos o descargas maliciosas.

Según datos de Kaspersky, el desconocimiento sobre esta amenaza sigue siendo alto. Un estudio reveló que el 41% de los chilenos no sabe que un código QR falso puede ser utilizado para comprometer cuentas bancarias y datos personales.

La preocupación aumenta debido al crecimiento de este tipo de ataques. Las detecciones de correos con códigos QR maliciosos pasaron de 46.969 a 249.723 en un corto período, multiplicándose más de cinco veces.

Así funciona la nueva estafa con paquetes sorpresa

A diferencia de otros fraudes digitales, esta modalidad comienza con la llegada de una encomienda física al domicilio de la víctima.

Los delincuentes utilizan bases de datos obtenidas ilegalmente para acceder a nombres y direcciones reales. Con esa información generan envíos aparentemente legítimos que llegan directamente a los hogares.

Una vez recibido el paquete, la víctima encuentra una tarjeta o adhesivo con un código QR acompañado de mensajes llamativos como:

"Recibiste un regalo, escanea para saber quién lo envió".

"Obtén una tarjeta de regalo dejando tu opinión".

"Verifica tu entrega aquí".

El objetivo es despertar curiosidad o aprovechar el interés por promociones relacionadas con eventos de compras masivas como CyberDay.

¿Qué ocurre al escanear el código QR?

Los expertos advierten que al escanear estos códigos pueden ocurrir dos situaciones peligrosas.

Acceso a sitios web falsos

La víctima es redirigida a páginas que imitan perfectamente a bancos, tiendas o empresas reconocidas. Allí se le solicita ingresar datos personales, claves bancarias, números de tarjetas o códigos de verificación.

Instalación de malware

En otros casos, el código QR invita a descargar una aplicación aparentemente legítima. Sin embargo, el archivo contiene malware diseñado para tomar control del dispositivo, registrar contraseñas y acceder a aplicaciones financieras.

Cómo protegerse de esta estafa

Desde Kaspersky recomiendan extremar las precauciones durante eventos de alto movimiento comercial como CyberDay.

Entre las principales medidas de seguridad destacan:

• Desconfiar de cualquier paquete que no haya sido solicitado.
• Revisar cuidadosamente las etiquetas y remitentes.
• No escanear códigos QR provenientes de fuentes desconocidas.
• Verificar directamente en los sitios oficiales de las empresas de transporte cualquier número de seguimiento.
• Evitar descargar aplicaciones sugeridas por códigos QR o mensajes inesperados.
• Denunciar cualquier situación sospechosa ante la empresa de transporte y las autoridades correspondientes.

Los especialistas recalcan que recibir una encomienda inesperada podría indicar que información personal ya circula en bases de datos utilizadas por ciberdelincuentes, por lo que recomiendan mantener una actitud preventiva y verificar siempre cualquier comunicación por canales oficiales.

En un escenario donde las estafas digitales evolucionan constantemente, la principal recomendación sigue siendo la misma: desconfiar de los regalos inesperados y nunca entregar información personal o bancaria sin confirmar previamente la legitimidad de la solicitud.