ESET alerta sobre la recepción de paquetes que no fueron solicitados y cómo esto podría ser una señal de alerta de que los datos personales podrían estar comprometidos.
Las ventas globales en línea superarían los 6,4 billones de dólares durante 2025. Una gran parte de ellas se concretó a través de plataformas digitales. ESET, compañía líder en detección proactiva de amenazas, advierte que aunque, en apariencia, ofrecen comodidad y seguridad para los consumidores, existe una industria clandestina que ha crecido hasta el punto en que los consumidores comunes podrían terminar participando, sin saberlo, en la creación de reseñas falsas. Solo en 2024, Amazon bloqueó proactivamente más de 275 millones de reseñas sospechosas de ser falsas y se sancionó a miles de individuos.
Si se recibe un artículo en el hogar y no se recuerda el haberlo pedido, según ESET, podría tratarse de que estén usando los datos para una estafa conocida como brushing (literalmente “cepillado”, en inglés). El término se utiliza porque el estafador “peina” o retoca la reputación de su producto con ventas y comentarios falsos.
“Las estafas de brushing son un tipo de fraude en el comercio electrónico en el que un vendedor envía un paquete a la dirección de una persona aparentemente al azar. El artículo suele ser de bajo valor y no se trata de un gesto altruista. En realidad, es un intento del vendedor de inflar fraudulentamente la calificación del producto en plataformas de venta en línea”, comenta Martina López, investigadora de Ciberseguridad de ESET Latinoamérica.
La estafa comienza cuando el estafador obtiene una lista de nombres y direcciones postales —normalmente publicada en foros de ciberdelincuencia tras filtraciones de datos, o a través de sitios de búsqueda de personas. Incluso puede recopilar esta información de fuentes públicas.
Luego, crea una cuenta falsa de comprador en una plataforma de comercio electrónico donde vende sus productos y utiliza esa cuenta para “comprar” su propio producto y envía el artículo a la dirección de la víctima. Con la cuenta falsa, publica una reseña de 5 estrellas, mejorando (o “brushing up”) la reputación y visibilidad del producto
La primera vez que la víctima se entera del fraude suele ser cuando recibe el paquete no solicitado
“La preocupación por recibir productos gratis por correo recae en el posible hecho de ser el objetivo de una estafa de brushing, lo que podría indicar que hay datos personales que se están compartiendo en el mundo del ciberdelito. Por otro lado, los estafadores podrían estar verificando que estos datos sean correctos para pasar a una segunda fase, que podría implicar un fraude de identidad más grave”, advierte López de ESET.
Existen versiones más “peligrosas” de brushing en las que se incluye un código QR dentro del paquete que se recibe. Al escanearlo probablemente lleve a un sitio malicioso o de phishing diseñado para instalar malware o engañar a la víctima para que comparta más información personal.
Finalmente, hay un costo indirecto asociado a estas estafas, y es que erosionan lenta y silenciosamente la confianza que los consumidores depositan en los sistemas de reseñas de las plataformas de comercio electrónico.
Si se recibe por correo un artículo de bajo valor y mala calidad que no se recuerda haber comprado, esto según ESET es una señal de alerta inmediata. Una dirección de remitente vaga o ausente, y la presencia de un posible código QR dentro del paquete, también son indicios preocupantes.
Para asegurarse, es importante revisar los correos electrónicos y las cuentas que se tengan en plataformas de comercio electrónico o marketplaces, buscando compras recientes. También vale la pena comprobar las cuentas bancarias y los informes de crédito en busca de actividad sospechosa, ya que los estafadores podrían haber pasado a la siguiente fase del fraude.
Si se recibes algo por correo que no se recuerda haber pedido, desde ESET aconsejan minimizar el riesgo siguiendo estos pasos:
- Hay que confirmar que no sea un regalo preguntando a la familia, amigos o personas del hogar si han pedido algo a otro nombre recientemente.
- No escanear ningún código QR que pueda venir dentro del paquete.
- Revisar que no haya salido dinero de la cuenta bancaria y que no se hayan abierto nuevas líneas de crédito a ese mismo nombre.
- Activar la autenticación multifactor (MFA) en las cuentas bancarias y de tarjetas de crédito.
- Habilitar MFA en todas las cuentas de compras en línea y correo electrónico.
- Reportar el fraude a la plataforma correspondiente (por ejemplo, Amazon). La mayoría tiene un apartado específico para denunciar estafas de brushing.
- No intentar devolver el artículo al remitente.
Desde ESET comparten algunas medidas que se pueden tomar para reducir las probabilidades y adoptar buenos hábitos de privacidad:
- Minimizar lo que se compartes en redes sociales.
- Configurar las cuentas para que solo tus contactos vean las publicaciones.
- Eliminar datos personales como dirección, fecha de nacimiento y número de teléfono.
“Las estafas de brushing son solo una de las muchas formas en que los delincuentes usan tu información personal en tu contra. Mitigar este riesgo no es algo que se haga una sola vez: exige vigilancia continua sobre tu mundo digital. En definitiva, es el precio que pagamos por acceder a los servicios que nos gustan”, concluye Martina de ESET.
