Nuestros otros blogs
Destacamos
Tags
Ver más
El blog de
Imagen generada por IA (Nano Banana).
Contenido
↵Puede que ya sepas detectar un correo sospechoso o un SMS con un link raro, pero hay una nueva estafa de phishing: llega al buzón en una carta física con un código QR. Aquí te contamos cómo funciona y qué consejos seguir para no puedan robar tus datos.
El phishing estándar ya lo tenemos bastante interiorizado. Hemos aprendido a mirar con desconfianza el correo que promete un reembolso inesperado o el SMS que pide actualizar una cuenta, el problema es que los estafadores también lo saben y han buscado nuevas vías.
La idea es simple pero efectiva. En lugar de esperar a que pulsemos un enlace desde el móvil, el atacante aprovecha la confianza que todavía concedemos a las comunicaciones físicas. El papel da una sensación de legitimidad que un email ya no siempre consigue.
Así, recibes una carta con membrete oficial, tu nombre y dirección correctos, y una instrucción para escanear un código QR. Ese QR lleva a una web falsa cuyo objetivo es que entregues información que nunca deberías compartir.
Un caso real y reciente: una persona recibió en su domicilio una carta supuestamente enviada por Ledger, empresa de wallets de criptomonedas, con apariencia oficial y una instrucción para escanear un QR y enviar su frase de recuperación secreta. Con esa frase, los estafadores habrían podido vaciar su wallet por completo.
La clave del éxito de estos ataques es la combinación de datos reales con un formato físico que genera confianza inmediata. Cuando recibes una carta con tu nombre y dirección correctos, la guardia baja naturalmente.
Esos datos no salen de la nada. Los criminales compran bases de datos con información personal obtenida de brechas de seguridad y las usan para personalizar sus campañas. O sea que si tus datos han sido filtrados alguna vez, podrías ser objetivo.
Este tipo concreto de ataque tiene incluso nombre propio: quishing. El phishing mediante QR es la tendencia de mayor crecimiento en ciberestafas, con un aumento del 400 % en los últimos años. Y va en aumento.
No todas las cartas con QR son una estafa, claro. Pero hay señales que deberían ponerte en modo alerta inmediatamente.
Te piden datos sensibles tras escanear: ninguna empresa legítima te pedirá contraseñas, frases de recuperación, datos bancarios o códigos de verificación a través de un QR.
La carta genera urgencia artificial: frases como "actúa antes de 48 horas" o "tu cuenta será bloqueada" son una señal clásica de manipulación. Ninguna entidad real te pedirá contraseñas o códigos de verificación por este medio.
El QR lleva a una URL rara: la mayoría de cámaras de móviles modernos muestran el destino antes de abrirlo. Comprueba la ortografía, las terminaciones del dominio y los subdominios extraños. Si algo no cuadra, no entres.
Hay pegatinas o impresión encima de otra cosa: busca pegatinas superpuestas, bordes rasgados o distinta calidad de impresión en los códigos QR físicos. Un QR pegado encima de otro es una señal clarísima.
El phishing lleva años evolucionando y esta es su última vuelta de tuerca. La buena noticia es que con esta información ya tienes ventaja. Comparte este artículo con alguien que todavía no lo sepa, porque el próximo sobre puede llegar a cualquier buzón. ¿Habías oído hablar ya del phishing por carta o te ha pillado por sorpresa? 📨💸
