Llegan sin aviso y no son un regalo: la estafa silenciosa detrás de pedidos que no hizo

El comercio electrónico vive uno de sus momentos de mayor expansión. Solo en 2025, las ventas globales en línea superaron los 6,4 billones de dólares, impulsadas por la comodidad de comprar desde cualquier lugar y por la confianza que millones de usuarios depositan en las plataformas digitales.Sin embargo, detrás de esa aparente seguridad, también ha surgido una industria clandestina que opera en silencio y que cada vez involucra a más consumidores sin que estos lo sepan.La magnitud del problema es tal que, solo en 2024, Amazon bloqueó más de 275 millones de reseñas sospechosas de ser falsas, además de sancionar a miles de personas involucradas en este tipo de prácticas. En ese escenario, expertos en ciberseguridad advierten que un gesto que podría parecer inofensivo, como recibir un paquete inesperado en casa, puede ser, en realidad, la señal de alerta de una nueva modalidad de estafa.La estafa detrás de los paquetes que llegan sin haber sido pedidosSegún ESET, compañía de detección de amenazas, cuando una persona recibe un artículo que no recuerda haber comprado, podría estar siendo utilizada como parte de una estafa conocida como brushing.El término, que en inglés significa “cepillado”, hace referencia a la forma en que los estafadores “retocan” artificialmente la reputación de productos en plataformas de comercio electrónico.“Las estafas de brushing son un tipo de fraude en el comercio electrónico en el que un vendedor envía un paquete a la dirección de una persona aparentemente al azar. El artículo suele ser de bajo valor y no se trata de un gesto altruista. En realidad, es un intento del vendedor de inflar fraudulentamente la calificación del producto en plataformas de venta en línea”, explicó Martina López, investigadora de ciberseguridad de la compañía.El mecanismo comienza cuando los delincuentes acceden a listas de nombres y direcciones postales, información que suele circular en foros de ciberdelincuencia tras filtraciones de datos o que incluso puede obtenerse de fuentes públicas y sitios de búsqueda de personas.Con esos datos, crean cuentas falsas de compradores en plataformas digitales, adquieren sus propios productos y los envían a domicilios reales.Lea también: (Las seis conductas que también son delito en Colombia y muchos no lo saben).La experta comentó que, una vez completada la entrega, desde esa cuenta falsa publican reseñas positivas, “generalmente de cinco estrellas, que mejoran la visibilidad y credibilidad del producto”.La primera vez que la víctima toma conciencia de lo ocurrido es cuando el paquete aparece en su puerta, sin explicación alguna.Riesgos del brushing, nueva modalidad de estafaPara los investigadores, la preocupación no se limita a recibir un objeto gratuito. “Podría indicar que hay datos personales circulando en el mundo del ciberdelito o que los estafadores están verificando que esa información sea correcta para pasar a una segunda fase, que podría implicar un fraude de identidad más grave”, advirtió López.Existen variantes más peligrosas del brushing en las que el paquete incluye un código QR. Al escanearlo, la víctima puede ser redirigida a un sitio malicioso o de phishing diseñado para instalar malware o robar información sensible.Además del daño individual, estas prácticas tienen un impacto colectivo, pues “erosionan de forma lenta y silenciosa la confianza de los consumidores en los sistemas de reseñas, uno de los pilares del comercio electrónico”.Señales de alerta y qué hacer ante un paquete sospechosoLa compañía de ciberseguridad recomienda desconfiar si se recibe un artículo de bajo valor y mala calidad que no se recuerda haber comprado. Una dirección de remitente imprecisa o inexistente, así como la presencia de códigos QR dentro del paquete, son indicios adicionales de riesgo. Ante esta situación, los expertos aconsejan:Confirmar que no se trate de un regalo preguntando a familiares o personas del hogar.No escanear códigos QR incluidos en el paquete.Revisar cuentas bancarias, reportes de crédito y movimientos recientes.Activar la autenticación multifactor (MFA) en cuentas bancarias, tarjetas, correos electrónicos y plataformas de compra.Reportar el caso a la plataforma de comercio electrónico correspondiente.No intentar devolver el producto al remitente.Como medida preventiva, también se sugiere reducir la exposición de datos personales en redes sociales, limitar la visibilidad de las publicaciones y eliminar información sensible como direcciones, fechas de nacimiento o números de teléfono.