por Genbeta
16 de julio de 2025
Las ciberestafas no dejan de evolucionar, habiendo demostrado ser muy capaces de aprovecharse de cada nueva tecnología que se lanza al mercado para hacer más convincentes sus engaños. Sin embargo, en ocasiones, los responsables de las mismas optan por apostar por técnicas mucho menos innovadoras pero, claramente, también muy efectivo.
Y es que una nueva campaña de estafas está recurriendo al tradicional correo postal para suplantar la identidad de Amazon: a través de cartas físicas dotadas de un diseño bastante profesional, los estafadores están consiguiendo acceder a datos personales y bancarios de sus víctimas, en una campaña que se ha documentado ya en varios países de Europa e Iberoamérica.
Las misivas, que reproducen la imagen corporativa de la plataforma de comercio electrónico, invitan al destinatario a participar en un supuesto programa de "prueba de productos". A cambio, se promete el envío de artículos gratuitos y comisiones de hasta 40 euros. Sin embargo, se trata de un engaño cuidadosamente elaborado.
(vía @Sharker en X)
La parte tecnológica del fraude
El elemento clave del fraude es un código QR que acompaña a la carta. Al escanearlo, el usuario es redirigido a una página web que imita a la de Amazon, donde se le solicita completar un formulario con información sensible: nombre, dirección, correo electrónico, datos bancarios e incluso credenciales de inicio de sesión en la plataforma.
La empresa de ciberseguridad KnowBe4 alertó recientemente sobre esta técnica, que califica como una evolución del phishing tradicional:
"Una carta física genera más confianza que un correo electrónico, especialmente en personas mayores o con menor conocimiento tecnológico".
Los expertos advierten que este tipo de fraude, conocido también como 'quishing', logra evadir los filtros de seguridad habituales, como los antivirus o el antispam del correo electrónico. En este caso, además, se aprovecha el carácter tangible del correo tradicional para parecer más legítimo.
Cómo reconocer la estafa
A pesar de su aspecto convincente, existen varios indicios que delatan la falsedad de estas cartas:
- Errores gramaticales o de estilo, como la mezcla de tonos formales e informales ('tú' y 'usted') en el texto.
- Direcciones de correo electrónico no vinculadas a Amazon.
- Promesas poco realistas, como comisiones sin previo registro.
- Solicitudes de datos bancarios o personales mediante un código QR.
Amazon ha vuelto a recordar a sus usuarios que nunca contacta con clientes a través de correo postal para ofrecer promociones de prueba ni comisiones en efectivo. La compañía dispone de canales oficiales y programas de 'testing' que requieren inscripción previa y verificación dentro de su plataforma.
Recomendaciones ante una carta sospechosa
Las autoridades y expertos en ciberseguridad recomiendan:
- No escanear el código QR incluido en la carta.
- No proporcionar ningún dato personal o financiero.
- Destruir la carta para evitar que otros puedan caer en la trampa.
- Informar del intento de fraude a Amazon mediante sus canales oficiales.
- Contactar con la entidad bancaria si ya se han proporcionado datos y cambiar las contraseñas de acceso.
Una amenaza internacional
Carta en inglés vía Reddit
Según las investigaciones y los reportes de usuarios en plataformas como Reddit, esta estafa ya ha sido detectada en países como Reino Unido, Alemania, Francia, España, Estados Unidos y varios países de América Latina. La campaña podría estar relacionada con otras prácticas fraudulentas como la generación de reseñas falsas o el blanqueo de capitales a través de transferencias ilegales.
Las autoridades hacen un llamado a la ciudadanía para mantener la vigilancia también fuera del entorno digital. "El buzón físico ha dejado de ser un espacio seguro. Esta es una nueva frontera de la ciberdelincuencia", concluyen desde KnowBe4.
Imagen |
-
La noticia
"El buzón físico ya no es un espacio seguro". Porque si encuentras esta carta de Amazon dentro, estás a las puertas de una estafa
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
