CyberDay: Kaspersky alerta sobre paquetes con falsos QR utilizados en estafas bancarias

Los cibercriminales usan información filtrada para realizar compras online a nombre de sus víctimas y enviarlas con códigos QR fraudulentos. En un contexto donde el 41% de los chilenos ignora que escanearlos puede amenazar sus bolsillos.

El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio.

Organizado por la Cámara de Comercio de Santiago (CCS). El evento reunirá a cientos de marcas con ofertas y descuentos. En categorías como tecnología, moda, hogar y viajes. Generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online. También abre espacio para nuevas modalidades de fraude.

Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos. Mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria. E incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos. Aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas.

Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad. Cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR). Si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias. Con el fin de “activar” la supuesta tarjeta de regalo.

En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente. Pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas. Pues de acuerdo con un estudio de Kaspersky. 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea.

Además, el origen de esta amenaza evidencia un problema previo de privacidad. Si estás recibiendo estos paquetes. Significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile. Aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas. Buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”. Explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado. No lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios. Considéralo como sospechoso.

• Valida la autenticación del envío. Si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo. Visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono. Para confirmar la información del remitente y el estado real de la entrega.

• Nunca escanees códigos QR de origen dudoso y protege tus datos. Los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.

• Denuncia el envío sospechoso. Repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.

• Utiliza una solución de seguridad robusta. Vontar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real. Advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.