Lima, enero de 2026.- La recepción de paquetes que no fueron solicitados puede parecer una simple confusión logística o incluso una sorpresa inofensiva. Sin embargo, especialistas advierten que este tipo de envíos podría ser la señal visible de una práctica fraudulenta conocida como brushing, una estafa vinculada al comercio electrónico que pone en riesgo los datos personales de los consumidores.
El crecimiento sostenido de las compras en línea ha generado nuevas oportunidades para los ciberdelincuentes. De acuerdo con proyecciones del sector, las ventas globales de comercio electrónico superarían los 6,4 billones de dólares en 2025, consolidando a las plataformas digitales como el principal canal de consumo. En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte que detrás de la aparente comodidad y seguridad de estas plataformas opera una industria clandestina dedicada a la manipulación de reseñas y reputación de productos.
Solo en 2024, Amazon bloqueó de forma proactiva más de 275 millones de reseñas sospechosas de ser falsas y sancionó a miles de usuarios involucrados en estas prácticas. Parte de este fenómeno está directamente relacionado con el brushing, una modalidad de fraude que utiliza datos reales de personas para simular compras legítimas y mejorar artificialmente la calificación de productos.
Según ESET, si una persona recibe un artículo en su domicilio y no recuerda haberlo comprado, es posible que sus datos estén siendo utilizados sin su consentimiento. El término brushing, que en inglés significa “cepillar” o “retocar”, hace referencia a cómo los estafadores “peinan” la reputación de sus productos mediante ventas ficticias y comentarios positivos.
“Las estafas de brushing son un tipo de fraude en el comercio electrónico en el que un vendedor envía un paquete a la dirección de una persona aparentemente al azar. El artículo suele ser de bajo valor y no se trata de un gesto altruista. En realidad, es un intento del vendedor de inflar fraudulentamente la calificación del producto en plataformas de venta en línea”, explica Martina López, investigadora de Ciberseguridad de ESET Latinoamérica.
El proceso suele comenzar cuando los estafadores acceden a listas de nombres y direcciones postales. Esta información puede provenir de filtraciones de datos publicadas en foros de ciberdelincuencia, de sitios de búsqueda de personas o incluso de fuentes públicas disponibles en internet. Con esos datos, los delincuentes crean cuentas falsas de compradores en plataformas de comercio electrónico, desde las cuales adquieren sus propios productos y los envían a las direcciones de las víctimas.
Una vez realizado el envío, la cuenta falsa publica una reseña de cinco estrellas, lo que mejora la visibilidad y el posicionamiento del producto dentro de la plataforma. En la mayoría de los casos, la primera señal de alerta para la víctima es la llegada del paquete no solicitado.
“La preocupación por recibir productos gratis por correo recae en el posible hecho de ser el objetivo de una estafa de brushing, lo que podría indicar que hay datos personales circulando en el mundo del ciberdelito. Además, los estafadores podrían estar verificando que estos datos sean correctos para avanzar hacia una segunda fase, que podría implicar un fraude de identidad más grave”, advierte López.
Existen variantes más peligrosas de esta estafa. En algunos casos, los paquetes incluyen un código QR que invita a la persona a escanearlo para obtener más información sobre el producto o el supuesto envío. Al hacerlo, la víctima puede ser redirigida a un sitio malicioso o de phishing diseñado para instalar malware o recolectar información personal adicional.
Más allá del impacto individual, el brushing tiene un efecto estructural en el ecosistema digital. Esta práctica erosiona de manera progresiva la confianza de los consumidores en los sistemas de reseñas, uno de los principales criterios utilizados para tomar decisiones de compra en línea.
ESET señala que recibir un artículo de bajo valor y mala calidad que no se recuerda haber comprado debe considerarse una señal de alerta inmediata. Otros indicios incluyen direcciones de remitente incompletas o inexistentes, así como la presencia de códigos QR dentro del paquete.
Para descartar riesgos mayores, los especialistas recomiendan revisar los correos electrónicos asociados a cuentas de comercio electrónico y verificar si existen compras recientes no reconocidas. También es fundamental comprobar movimientos bancarios e informes de crédito, ya que los estafadores podrían haber escalado el fraude.
Si se recibe un paquete no solicitado, ESET aconseja confirmar primero que no se trate de un regalo preguntando a familiares o personas del entorno cercano. Además, recomiendan no escanear códigos QR incluidos en el envío, revisar que no se hayan realizado cargos no autorizados ni abierto nuevas líneas de crédito, y activar la autenticación multifactor (MFA) en cuentas bancarias, tarjetas de crédito, correos electrónicos y plataformas de compras en línea.
Asimismo, es importante reportar el fraude a la plataforma correspondiente, como Amazon u otros marketplaces, que cuentan con canales específicos para denunciar estafas de brushing. No se recomienda intentar devolver el artículo al remitente.
Como medida preventiva, ESET sugiere adoptar hábitos de privacidad digital, como limitar la información compartida en redes sociales, configurar la visibilidad de las publicaciones solo para contactos de confianza y eliminar datos sensibles como direcciones, fechas de nacimiento o números telefónicos de perfiles públicos.
“Las estafas de brushing son solo una de las muchas formas en que los delincuentes usan tu información personal en tu contra. Mitigar este riesgo no es algo que se haga una sola vez, sino que exige una vigilancia continua sobre el entorno digital. En definitiva, es el precio que pagamos por acceder a los servicios que utilizamos a diario”, concluye Martina López.
Para conocer más sobre este tipo de amenazas y buenas prácticas de seguridad informática, ESET invita a visitar su portal WeLiveSecurity y a escuchar Conexión Segura, su podcast especializado en ciberseguridad.