Así funciona el ‘brushing’, la nueva estafa de la que advierte una jurista: “Suplantan a una empresa y te envían un paquete con tu dirección y tu nombre”

La Guardia Civil ha alertado sobre el aumento de una modalidad de fraude vinculada al comercio electrónico conocida como brushing, una técnica que combina la suplantación de identidad de plataformas de venta con el uso de envíos físicos para inducir al robo de datos personales. La alerta llega en pleno incremento de operaciones comerciales por el Black Friday y la campaña de final de año, periodos en los que crece el número de paquetes circulando y, por tanto, las oportunidades para los estafadores.

El procedimiento, tal y como lo describen las autoridades, consiste en remitir a una persona un paquete que no ha solicitado. El envío lleva el nombre y la dirección reales del receptor, lo que le confiere apariencia de legitimidad. En el interior aparece, además del objeto —generalmente de poco valor—, una tarjeta o etiqueta con un código QR. Ese código es la pieza clave: al ser escaneado, redirige a quien lo hace a una página web falsa creada para solicitar datos sensibles o descargar software malicioso.

El brushing explota la confianza que genera recibir un paquete con la propia dirección y el propio nombre. Quien lo recibe —por curiosidad o por intentar aclarar la procedencia— puede escanear el código QR o seguir un enlace que aparece en la tarjeta. La web a la que se accede simula pertenecer a una plataforma conocida y pide completar formularios para “confirmar el pedido”, “reclamar un regalo” o “valorar el producto”. En realidad, esas páginas están diseñadas para capturar datos personales y credenciales bancarias, o para inducir a la instalación de aplicaciones con malware.

Aunque el producto material enviado suele carecer de valor real, el objetivo de los delincuentes no es tanto el objeto como el comportamiento: provocar una interacción que permita la sustracción de información. Con esos datos, además de posibles cargos ilegítimos, los estafadores pueden llevar a cabo suplantaciones de identidad, acceder a cuentas bancarias o emplear la información para nuevas campañas de fraude. También se ha detectado que algunos de estos envíos se usan para crear reseñas falsas en marketplaces, manipulando la valoración de vendedores con el envío controlado de unidades.

Sandra, una jurista que publicó un vídeo en TikTok en relación a esta estafa, subraya la estrategia: “Suplantan a una empresa y te envían un paquete con tu dirección y tu nombre”, un método que aprovecha la percepción de seguridad que ofrece un envío físico y que, por eso mismo, resulta eficaz para inducir a la persona a facilitar datos que nunca compartiría de otro modo.

Las autoridades recomiendan medidas sencillas pero efectivas para reducir el riesgo. Primero, desconfiar de cualquier paquete que no se haya solicitado: no escanear códigos QR ni acceder a enlaces incluidos en el interior hasta verificar la procedencia. En caso de duda, contactar directamente con la empresa que supuestamente ha enviado el producto para confirmar si existe un pedido asociado. Nunca proporcionar datos bancarios, contraseñas o números de identificación a través de formularios cuyo dominio no corresponda con la entidad legítima.

Además, los organismos de ciberseguridad aconsejan revisar periódicamente movimientos en cuentas y alertas de actividad inusual, mantener el sistema y las aplicaciones del móvil actualizados y utilizar herramientas de seguridad que detecten enlaces fraudulentos. Si se sospecha que se ha sido víctima del fraude, conviene denunciarlo ante la Guardia Civil o la Policía y comunicarlo a la plataforma de comercio electrónico involucrada para que pueda tomar medidas sobre cuentas o valoraciones sospechosas.

La facilidad con la que se obtienen datos personales —a veces a partir de filtraciones, compras previas o bases de datos traficadas— permite a los delincuentes confeccionar envíos que aparentan normalidad. Por eso, la apariencia física del paquete no garantiza fiabilidad: el hecho de que una etiqueta lleve tu nombre y dirección no implica que la entidad remitente sea legítima. Las empresas serias, recuerdan los expertos, no suelen solicitar información sensible mediante códigos QR incluidos en envíos.

Las investigaciones sobre estos fraudes plantean, además, un desafío añadido: la combinación de elementos postales y digitales dificulta el rastreo de los responsables. Los envíos pueden realizarse desde distintos países o a través de intermediarios que complican la localización del origen real, mientras que las páginas de phishing cambian de dominio con rapidez. Por eso las labores de coordinación entre plataformas de comercio, empresas de mensajería y fuerzas de seguridad resultan imprescindibles para identificar patrones y bloquear operaciones sospechosas.