Al escanear el código, la persona es redirigida a un sitio web fraudulento que simula ser una página oficial o confiable. En estos espacios se solicita ingresar datos personales, información bancaria o credenciales de acceso; en otros casos, se descarga de manera inadvertida un software malicioso que compromete la seguridad del dispositivo móvil o equipo de cómputo.

LA UNIDAD DE LA POLICÍA CIBERNÉTICA DE LA SSC ALERTA POR PAQUETES QUE CONTIENEN QR COMO UNA POSIBLE FORMA DE FRAUDE

La Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México, a través de la Unidad de Policía Cibernética, alerta a la ciudadanía de una nueva modalidad de fraude que utiliza paquetes inesperados, acompañados de códigos QR maliciosos para obtener información personal y financiera de las víctimas.

De acuerdo con los reportes recibidos, los estafadores envían a domicilios paquetes que no fueron solicitados y que no guardan relación con el destinatario; en el interior o adherido al envío, se incluye un código QR con instrucciones que invita a escanearlo para conocer detalles del contenido, el estado del envío o para “reclamar” el paquete.

Al escanear el código, la persona es redirigida a un sitio web fraudulento que simula ser una página oficial o confiable. En estos espacios se solicita ingresar datos personales, información bancaria o credenciales de acceso; en otros casos, se descarga de manera inadvertida un software malicioso que compromete la seguridad del dispositivo móvil o equipo de cómputo.

Una vez que los ciberdelincuentes obtienen la información, pueden realizar robos de identidad, cargos no autorizados, acceso a cuentas bancarias o suplantación digital, lo que deriva en afectaciones económicas y vulneración de datos personales.

Esta modalidad aprovecha la confianza y el uso cotidiano de los códigos QR, herramienta cada vez más presente en trámites, comercios y servicios. En ese sentido, la Policía Cibernética de la SSC emite recomendaciones para evitar caer en el engaño:

• No escanees códigos QR de paquetes o mensajes que no hayas solicitado o que provengan de remitentes desconocidos.
• No proporciones información personal, financiera o de contacto en páginas web a las que accedas mediante códigos sospechosos.
• Verifica la autenticidad del remitente antes de realizar cualquier acción.
• Actualiza el sistema operativo, antivirus y software de seguridad de tus dispositivos electrónicos.
• Desconfía de sitios que soliciten datos personales o pagos urgentes sin ofrecer garantías claras.
• Revisa cuidadosamente la dirección web antes de ingresar información sensible.
• Documenta cualquier paquete o mensaje sospechoso mediante fotografías o capturas de pantalla.
• Reporta de inmediato cualquier intento de fraude.

Ante cualquier duda de un posible ilícito cibernético o estafa en línea, puedes comunicarte con la Unidad de Policía Cibernética al teléfono 55 5242 5100, extensión 5086, o al correo electrónico policia.cibernetica@ssc.cdmx.gob.mx. Asimismo, la SSC invita a la ciudadanía mantenerse informada a través de las redes sociales @SSC_CDMX y @UCS_GCDMX.

La modalidad de fraude que emplea paquetes inesperados con códigos QR maliciosos consiste en el envío de envíos no solicitados a domicilios particulares, los cuales incluyen un código QR acompañado de una nota que invita a escanearlo bajo pretextos como conocer detalles del contenido, el estado del envío o instrucciones para reclamarlo. Al escanearlo, el usuario es redirigido a sitios web fraudulentos que solicitan datos personales, credenciales de acceso o información bancaria, o bien se instala malware que compromete el dispositivo móvil para extraer información sensible de manera silenciosa.

• Explota la curiosidad y la confianza cotidiana en las entregas de paquetería

Esta táctica explota la curiosidad y la confianza cotidiana en las entregas de paquetería, convirtiendo un objeto físico en vector de phishing avanzado conocido como quishing combinado con prácticas de brushing.

En México, el estado actual de esta práctica refleja un incremento vinculado al boom del comercio electrónico y las entregas a domicilio, donde ciberdelincuentes aprovechan la familiaridad de los usuarios con plataformas como Mercado Libre o servicios postales para distribuir paquetes falsos que parecen legítimos. Los reportes indican que las víctimas, principalmente en zonas urbanas con alto volumen de envíos, pierden datos que luego se usan para cargos no autorizados, suplantación de identidad o accesos a cuentas bancarias, con un impacto creciente en la confianza digital del consumidor promedio.

Entre las variables en progreso en México destacan la mayor sofisticación en el embalaje y el etiquetado para imitar entregas auténticas de e-commerce, el uso expandido en ciudades metropolitanas gracias a la facilidad de generar códigos QR personalizados, y la rápida emisión de alertas oficiales ante el aumento de denuncias, lo que evidencia una adaptación local de técnicas globales impulsada por el crecimiento de compras en línea.

A nivel mundial, esta estafa se ha consolidado como una variante del quishing y brushing, con advertencias emitidas por autoridades como la Comisión Federal de Comercio de Estados Unidos desde inicios de 2025, donde paquetes inesperados contienen notas que inducen al escaneo de QR bajo la apariencia de regalos o devoluciones pendientes. Países como Estados Unidos reportan casos frecuentes que combinan envíos postales con enlaces maliciosos, afectando a miles de consumidores y generando pérdidas económicas significativas por robo de identidad.

El estado actual global muestra una proliferación de ataques quishing, con un promedio superior a 11.000 detecciones diarias de códigos QR maliciosos según análisis especializados de ciberseguridad, y un 15% de los códigos rastreados en la web resultando peligrosos, lo que refleja su expansión más allá de lo digital hacia entornos físicos como paquetes y espacios públicos.

• Incremento sostenido en el uso de acortadores de URL para QR

Las variables en progreso a escala internacional incluyen el incremento sostenido en el uso de acortadores de URL para QR (con alzas del 55% y 44% en periodos consecutivos recientes), la incorporación de enlaces profundos en aplicaciones móviles y códigos estilizados o “fancy” que dificultan su detección visual, junto con la integración de descargas directas de malware, ampliando el riesgo en un contexto de mayor dependencia de escaneos rápidos.

En conjunto, tanto en México como en el mundo, esta modalidad evoluciona hacia formas más híbridas de ciberataques que fusionan lo físico y lo digital, representando un riesgo persistente que amplifica las pérdidas por fraude financiero y robo de datos, mientras las autoridades y empresas de seguridad impulsan actualizaciones preventivas ante su progresiva sofisticación y volumen creciente.

• Ataques cibernéticos de quishing
  Los ataques cibernéticos de quishing (también conocidos como QRishing o phishing con códigos QR) son una variante moderna del phishing tradicional, pero en lugar de usar enlaces de texto sospechosos en correos o mensajes, los ciberdelincuentes emplean códigos QR maliciosos para engañar a las víctimas.

¿Cómo funciona el quishing?Los atacantes crean un código QR que, al escanearlo con el celular, dirige automáticamente a la víctima a:Un sitio web falso que imita uno legítimo (banco, empresa de paquetería, gobierno, etc.) para robar credenciales, datos de tarjetas o información personal.

Una descarga automática de malware (software malicioso) en el dispositivo.
Formularios fraudulentos que piden datos sensibles.

Dónde suelen aparecer estos códigos QR falsos

• En correos electrónicos fraudulentos (el QR reemplaza al típico enlace clickable).
• En mensajes de WhatsApp, SMS o redes sociales.
• En el mundo físico: pegatinas QR falsas colocadas sobre códigos QR legítimos en: Parquímetros públicos
• Carteles publicitarios
• Menús de restaurantes
• Facturas impresas
• Ascensores o zonas comunes de edificios

Ejemplos reales frecuentes

• Un correo que dice: «Tu paquete está retenido, escanea este QR para pagar $1.99 de gestión y liberarlo».
• Un código QR pegado encima del original en un parquímetro que roba los datos de la tarjeta al intentar pagar.
• Mensaje de WhatsApp de supuesta «entrega express» de Amazon o Mercado Libre pidiendo escanear QR para confirmar dirección.
• Ataque cibernético brushing

El «ataque cibernético brushing» (o simplemente brushing) no es un ciberataque técnico tradicional como un ransomware o un phishing directo, sino una estafa o fraude en el comercio electrónico que se considera dentro del ámbito de la ciberseguridad porque implica el uso indebido de datos personales filtrados o robados.

¿Qué es exactamente el brushing?

Es una práctica fraudulenta en la que vendedores (normalmente de plataformas como Amazon, AliExpress, Temu, Shein, eBay, etc.) envían paquetes no solicitados a personas al azar. Estos paquetes suelen contener artículos baratos (pendientes, cables USB, calcetines, juguetes pequeños, etc.) y llegan con tu nombre y dirección real.

El objetivo principal es:

• Hacer que parezca que hubo una compra real («verified purchase»).
• Que el vendedor (o cuentas controladas por él) pueda dejar reseñas falsas positivas; 5 estrellas.
• Mejorar artificialmente la reputación, el posicionamiento y las ventas del producto en la plataforma.

Literalmente «brushing» viene de «brush up» = mejorar, maquillar, inflar. ¿Por qué se considera un problema de ciberseguridad? Porque para enviarte el paquete los estafadores necesitan tu nombre + dirección (y a veces teléfono).

Eso significa que tus datos personales han sido:

• Obtenidos en una fuga de datos (data breach) anterior.
• Comprados en la dark web.
• Recolectados de bases de datos públicas o robados de tiendas online.
• Recibir un brushing suele ser una señal de alarma de que tus datos ya están circulando.
• Variantes más peligrosas (2025-2026)Brushing + quishing:

Incluyen una tarjeta con un código QR dentro del paquete.

• Te piden escanearlo para «saber quién te envió el regalo», «registrar el producto» o «reclamar un premio».
• El QR te lleva a webs falsas que roban contraseñas, datos bancarios o instalan malware.
• En algunos casos se usan para crear cuentas falsas a tu nombre en las plataformas y dejar reseñas desde allí.

¿Qué hacer si te llega un paquete que no pediste?

• No abras el paquete ni uses el producto (evitas participar involuntariamente en la reseña falsa).
• No escanees ningún código QR que venga dentro.
• Revisa tus cuentas en Amazon, AliExpress, Shein, bancos, etc. Busca pedidos que no reconoces.
• Cambia contraseñas importantes y activa la autenticación en dos pasos (2FA).
• Puedes reportarlo a la plataforma (Amazon suele tener opción para reportar brushing) o la policía cibernética.
• Legalmente no estás obligado a devolverlo, pero devolverlo ayuda a que la plataforma detecte el fraude.

El brushing parece inofensivo: «¡Me llegó un regalo gratis!!». En realidad es una bandera roja de que tus datos personales ya están comprometidos y pueden usarse para fraudes más graves.

¿Te ha pasado alguna vez o conoces a alguien que haya recibido uno de estos paquetes misteriosos?