ESET, un especialista en detección proactiva de amenazas, advierte que existe una industria clandestina de “fraude de paquetes” que ha crecido hasta el punto en que los consumidores comunes y corrientes podrían estar involucrados, sin saberlo, en la creación de reseñas falsas.
Solo en 2024, Amazon bloqueó proactivamente más de 275 millones de reseñas sospechosas de ser falsas y multó a miles de personas.
Según ESET, si recibes un artículo en casa y no recuerdas haberlo pedido, los datos podrían usarse para una estafa llamada » Cepillar (literalmente “cepillado” en inglés).
El término se utiliza porque el estafador “daña” la reputación de su producto mediante ventas y reseñas falsas.
“Las estafas de Cepillar son una forma de fraude de comercio electrónico en la que un vendedor envía un paquete a la dirección de una persona aparentemente aleatoria.
“El artículo suele ser de bajo valor y no es un gesto altruista. En realidad, es un intento del vendedor de aumentar de manera fraudulenta la calificación del producto en las plataformas de venta online”, comentó Martina López, investigadora de ciberseguridad de ESET Latinoamérica.
¿Cómo ocurre el fraude?
La estafa comienza cuando el estafador recibe una lista de nombres y direcciones postales, que normalmente se publica en foros de ciberdelincuencia tras una filtración de datos. O a través de sitios de búsqueda de personas. Incluso puedes recopilar esta información de fuentes públicas.
Luego cree una cuenta de comprador falsa en una plataforma de comercio electrónico. Desde allí, vende sus productos y utiliza esta cuenta para «comprar» su propio producto y envía el artículo a la dirección de la víctima.
Usando la cuenta falsa, publique una reseña de mejora de 5 estrellas (o «refrescante«) la reputación y visibilidad del producto. La primera vez que la víctima se entera de la estafa suele ser cuando recibe el paquete no deseado.
“La preocupación de recibir productos gratis por correo es que puedas ser blanco de una estafa. Cepillar. Esto podría ser una indicación de que se comparten datos personales en el mundo del cibercrimen.
“Por otro lado, los defraudadores podrían comprobar que esos datos son correctos para pasar a una segunda fase que podría implicar un fraude de identidad más grave”, advirtió López.
Costos indirectos
Hay versiones más “peligrosas” de Cepillar Hay un código QR incluido en el paquete que recibe. Es probable que el escaneo conduzca a un sitio web malicioso o de phishing cuyo objetivo es instalar malware o engañar a la víctima para que revele más información personal.
Por último, también existen costos indirectos asociados con estos fraudes. Esto está erosionando lenta y silenciosamente la confianza que los consumidores depositan en los sistemas de revisión de las plataformas de comercio electrónico.
Si recibe por correo un artículo inferior y de mala calidad que no recuerda haber comprado, esto es una señal de alerta inmediata, según ESET.
Una dirección de remitente vaga o faltante y la presencia de un posible código QR en el paquete también son signos preocupantes.
Para estar seguro, es importante revisar los correos electrónicos y las cuentas en plataformas o mercados de comercio electrónico y buscar compras recientes.
También vale la pena revisar las cuentas bancarias y los informes de crédito para detectar actividades sospechosas, ya que es posible que los estafadores hayan pasado a la siguiente fase de la estafa.
Recomendaciones
Si recibe algo por correo que no recuerda haber pedido, ESET le recomienda minimizar el riesgo siguiendo los pasos a continuación:
- Confirme que no es un regalo preguntando a familiares, amigos o miembros del hogar si recientemente ordenaron algo con un nombre diferente.
- No escanee ningún código QR que pueda estar incluido en el embalaje.
- Asegúrese de que no se haya retirado dinero de la cuenta bancaria y que no se hayan abierto nuevas líneas de crédito al mismo nombre.
- Habilite la autenticación multifactor (MFA) para cuentas bancarias y de tarjetas de crédito.
- Habilite MFA para todas las compras en línea y cuentas de correo electrónico.
- Informe la estafa a la plataforma adecuada (por ejemplo, Amazon). La mayoría tiene una sección dedicada a denunciar estafas de secado con secador.
- No intente devolver el artículo al remitente.
- Minimiza lo que compartes en las redes sociales.
- Configura cuentas para que solo tus contactos vean las publicaciones.
- Eliminar información personal como dirección, fecha de nacimiento y número de teléfono.
