Metadescripción: El brushing evoluciona en 2026: paquetes inesperados con QR fraudulentos para robar datos. Aprende a detectarlo y protege tu información al comprar online.

Los códigos QR forman parte de nuestra rutina diaria. Son rápidos, cómodos y, aparentemente, inofensivos. Sin embargo, los ciberdelincuentes están abusando de nuestra confianza con una nueva versión de la estafa del cepillado de dientes.

Lo que antes se limitaba a generar reseñas falsas en plataformas de comercio electrónico ahora implica riesgos mucho mayores para la seguridad personal.

¿Qué es exactamente el brushing?

Un «brushing scam» ocurre cuando recibes en tu domicilio un paquete que no has comprado. Suele tratarse de productos baratos como luces LED, fundas de móvil o pequeños accesorios de escaso valor enviados a tu nombre y dirección correctos.

En su versión original, los vendedores utilizaban datos personales obtenidos en filtraciones para crear pedidos falsos y publicar reseñas verificadas. De esta forma inflaban artificialmente la reputación de sus productos. En algunos casos, si se adueñaban de una cuenta con una tarjeta asociada, podían incluso cargar el importe al usuario.

El núcleo del problema viene de lejos: la explotación de los datos personales. No es un regalo sorpresa, sino la señal de que tu información personal (correo electrónico, dirección postal o incluso tus datos de pago) ha quedado expuesta. Esto ha llevado a muchos a comparar precios de VPN, pues quieren entender cuánto cuesta reforzar su protección online, especialmente cuando navegan desde redes públicas o acceden a enlaces desconocidos

La evolución: códigos QR y QRishing

Como todo en la vida, la vieja estafa ha ido mutando. Ahora, algunos de estos paquetes incluyen un código QR que invita al destinatario a escanearlo. ¿El anzuelo? Querer saber quién lo ha enviado, poder reclamar un premio o gestionar la devolución.

Al hacerlo, el usuario puede ser redirigido a una página web fraudulenta diseñada para robar credenciales bancarias o instalar malware en el teléfono. Este método combina el brushing con lo que las autoridades denominan QRishing, una variante del phishing tradicional que utiliza códigos QR físicos o pegatinas superpuestas en espacios públicos.

La Policía Nacional ha alertado del aumento de estos fraudes en ciudades como Madrid y Málaga, donde se han detectado códigos falsos en parkings, estaciones de carga o sistemas de alquiler de bicicletas. En Reino Unido, los casos vinculados a estafas con QR han aumentado más de un 300% en el último año, con pérdidas medias superiores a los 1000 euros por víctima.

Brushing clásico vs brushing con QR

Para entender cómo ha cambiado esta estafa, conviene compararla:

Brushing clásico

Brushing con QR (QRishing)

Objetivo principal

Generar reseñas falsas

Robar datos personales y bancarios

Método

Envío de producto barato

Envío + código QR fraudulento

Riesgo económico inmediato

Bajo o indirecto

Alto y directo

Tipo de fraude

Manipulación reputacional

Phishing, malware y robo de identidad

Detección

Difícil pero limitada

Más compleja y sofisticada

El salto cualitativo es evidente: ya no se trata solo de manipular valoraciones online, sino de acceder directamente a tus cuentas.

¿Por qué es especialmente peligroso?

Con las nuevas formas de brushing, el riesgo no se limita a una pequeña pérdida económica. Introducir datos en una web falsa puede significar entregar acceso a tu banca online, a tu correo electrónico o a tus cuentas de tiendas de comercio electrónico.

Si utilizas la misma contraseña en varios servicios, algo más común de lo que pensamos, el daño puede multiplicarse rápidamente. En otros casos, el QR puede llevar a la descarga de aplicaciones maliciosas que permiten a los delincuentes tomar el control de tus dispositivos.

Lo más preocupante es que muchas víctimas no detectan el fraude hasta días o semanas después, cuando ya se han producido cargos indebidos o accesos no autorizados.

¿Cómo detectar un QR fraudulento?

Aunque cada vez son más sofisticados, existen señales de alerta claras:

• El código parece una pegatina colocada sobre otro original.

• La URL no coincide exactamente con el dominio oficial.

• La página a la que redirige presenta errores ortográficos o imágenes de baja calidad.

• Se solicita introducir datos bancarios con urgencia.

• Se pide descargar una aplicación fuera de las tiendas oficiales.

En el caso de un paquete no solicitado, la recomendación es sencilla: no escanear ningún código y comunicarlo debidamente a la plataforma correspondiente.

¿Cómo proteger tus datos en el día a día?

Más allá de evitar escaneos sospechosos, la protección digital requiere hábitos constantes. Mantener el sistema operativo actualizado, activar la verificación en dos pasos y utilizar contraseñas únicas son medidas que pueden parecer básicas pero que resultan muy efectivas.

También es recomendable revisar periódicamente si tu correo electrónico ha estado implicado en alguna filtración y cambiar las credenciales comprometidas. Asimismo, añadir herramientas que cifren la conexión, especialmente cuando se utiliza wifi pública, puede reducir el riesgo de interceptación de datos. Y aquí las VPN juegan un papel crucial. Y no, no se trata de vivir con paranoia, sino de asumir que la seguridad digital forma parte de nuestra vida cotidiana.

Una desconfianza saludable

El comercio electrónico seguirá creciendo y los códigos QR continuarán facilitando muchas de nuestras gestiones diarias. Y, claro, no todo paquete inesperado es inofensivo, pero tampoco todo código impreso es de fiar. La evolución del brushing demuestra que los ciberdelincuentes se adaptan con rapidez a nuestros hábitos. La mejor defensa sigue siendo la información, la prudencia y una actitud crítica ante cualquier solicitud inesperada de datos. Antes de ponerte a escanear, piénsalo dos veces.