Brushing en 60 segundos: por qué te llegan paquetes no solicitados
La estafa brushing es cuando un vendedor envía paquetes que tú no has pedido para poder registrar una “compra” y publicar reseñas falsas con tu nombre o con la etiqueta de “compra verificada”. A veces, además, el paquete trae códigos QR o enlaces que llevan a webs falsas para robar datos o instalar malware. En España, INCIBE lo clasifica como un fraude de ecommerce y explica que no estás obligado a aceptar ni usar el paquete; lo ideal es dejarlo cerrado y contactar con la plataforma. INCIBE
En los últimos meses han aparecido variantes con QR dentro o fuera del paquete (“escanea para tu regalo”, “paga una tasa mínima”), que redirigen a phishing o a descargas maliciosas. Autoridades y verificadores han alertado de este giro: no escanees códigos ni pagues importes por adelantado.
Señales de alerta: QR, “tasas” simbólicas y juego con la “prueba de entrega”
- Paquete pequeño y barato (semillas, accesorios, cablecitos) enviado a tu nombre sin haberlo pedido. Buscan que aparezcas como comprador.
- Etiqueta confusa (remitente genérico, marketplace asiático/europeo, tracking opaco).
- Papel o pegatina con un QR o un link acortado para “confirmar” recepción, “obtener el regalo”, “pagar aduanas de 1–3 €”. No lo escanees ni pagues.
- Mensajería que te pide datos extra por SMS/WhatsApp para completar la entrega. Desconfía y verifica por el canal oficial.
Qué hacer paso a paso (España)
1) Durante la entrega
- Si puedes, rechaza el paquete (marca “rechazado” en la PDA del repartidor). No tienes obligación de aceptarlo.
- Si ya lo recibiste, no lo abras y no uses el contenido. Déjalo cerrado.
2) Documenta y conserva pruebas
- Fotografía la caja y la etiqueta (sin publicar tus datos).
- Guarda el albarán y anota fecha/hora del intento de entrega.
- Si venía un QR o enlace, no lo escanees; haz foto (desde otro dispositivo) para adjuntarla en el reporte.
3) Reporta en la plataforma
- Si el paquete viene de Amazon u otro marketplace, reporta como “paquete no solicitado / estafa brushing” en el Centro de ayuda. Amazon prohíbe explícitamente este envío y tiene canal de denuncia. Amazon España
- Busca “brushing” o “paquete no solicitado” en la ayuda del marketplace (Temu, AliExpress, etc.). Muchos ya incluyen flujos específicos.
4) Pide asistencia y, si procede, denuncia
- Llama al 017 (INCIBE) para resolver dudas o trazar el siguiente paso. INCIBE
- Denuncia si han usado tus datos, te han cobrado algo o han intentado suplantarte. Adjunta todas las pruebas (fotos, tracking, mensajes).
- Protege tus datos: antes de tirar la caja, retira o destruye las etiquetas con tu nombre y dirección; es una recomendación recurrente de fuerzas de seguridad.
Tabla rápida: situación → acción inmediata
| Situación | Qué hago ya | Dónde reporto |
|---|---|---|
| Llega paquete no pedido | Rechazar si es posible; si no, no abrir | Marketplace/tienda (centro de ayuda) |
| Trae QR o pide “tasa” | No escanear / no pagar; foto como prueba | Denuncia + 017 (INCIBE) |
| Me piden datos por SMS/WhatsApp | No responder; verificar en la web/app oficial | Operador oficial + denuncia si hay intento de fraude |
| Ya lo abrí | No usar; documentar contenido y etiqueta | Reporte en plataforma + 017 (INCIBE) INCIBE |
| Mis datos se usaron para reseñas | Capturas de pantalla y número de pedido (si existe) | Marketplace (moderación de reseñas) + denuncia Amazon España |
Errores frecuentes que veo (y cómo los corrijo)
- “Pago 1–2 € y me olvido” → error: abres la puerta a phishing y cargos mayores. Solución: no pagues tasas fuera del canal oficial y revisa la URL (dominios raros, faltas).
- “Solo es un QR de info” → error: puede instalar malware o robar credenciales. Solución: no escanear; si ya lo hiciste, cambia contraseñas y analiza el dispositivo.
- “Tiro la caja tal cual” → error: expones tus datos personales. Solución: destruye etiquetas o bórralas antes de reciclar.
Prevención: así evito el brushing en mi día a día
- Higiene de cuentas: reviso periódicamente historiales de compra y direcciones guardadas en marketplaces; borro las que no uso.
- Privacidad: minimizo dónde publico mi dirección y teléfono (sorteos, perfiles abiertos).
- 2FA y contraseñas: activo doble factor y uso contraseñas únicas; si un QR me llevó a una web dudosa, cambio credenciales por si acaso.
- Etiquetas a cero: antes de tirar cajas, elimino toda info personal.
Preguntas frecuentes
¿Qué es exactamente la estafa brushing?
Un vendedor envía productos no solicitados a tu dirección para simular ventas y publicar reseñas falsas (“compra verificada”).
¿Tengo obligación de aceptar o devolverlo?
No. Puedes rechazarlo al repartidor. Si lo recibiste, no estás obligado a usarlo ni pagar nada. Contacta con la plataforma.
¿Qué hago si trae un código QR o me piden una “tasa de aduanas”?
No escanees ni pagues. Es una variante frecuente que lleva a phishing o malware. Documenta y denuncia.
¿Dónde reporto un caso de brushing?
En el centro de ayuda del marketplace (p. ej., Amazon tiene página específica) y al 017 de INCIBE; denuncia si hay perjuicio o uso indebido de datos.
¿Por qué usan mis datos?
Porque ya están en alguna base (compras antiguas, filtraciones, sorteos, etc.). Revisa cuentas y direcciones guardadas periódicamente.
Conclusión
La estafa brushing intenta fabricar confianza con reseñas falsas y, en sus variantes modernas, robar datos mediante QR o “tasas simbólicas”. Mi consejo práctico: rechaza, documenta, reporta y protege tus datos. Con ese protocolo, cierras el grifo a los estafadores y evitas males mayores.