Todo sobre el ‘brushing’: la estafa que podría afectar tus compras sin que te des cuenta

¿Has recibido alguna vez un paquete que no recuerdas haber pedido? Puede que no sea un despiste, ten en cuenta unas medidas antes de aceptarlo

Que un repartidor llame a tu puerta con un paquete a tu nombres es desde hace unos años lo más habitual. El auge de comercio electrónico unido a la pandemia lo han convertido en algo habitual. Por estas fechas, con el 11 del 11 y el Black Friday a la vuelta de la esquina –dos citas comerciales de las más fuertes–, la situación se agudiza. El año pasado, solo entre octubre y diciembre se facturaron 22,5 millones de euros, un máximo histórico. Y las empresas de reparto dan el do de pecho. Sus trabajadores hacen una media de cien entregas diarias por estas fechas.

En medio de todo esto, muchas veces llaman al timbre y no sabemos qué nos traen. Porque en medio de esta orgía de consumo a veces perdemos la pista de lo que hemos pedido. «Es muy normal que nos pase esto, explica Jordi Nebot, CEO de Pay NoPain, empresa española especializada en el desarrollo de herramientas de pagos online. Pues bien, los cibercacos han descubierto que pueden sacar tajada de esta situación, la de no saber qué te traen. Si recibes un envío que no has pedido –no que no recuerdes, sino que no reconoces– puede que esté siendo víctima de una estafa. Se llama ‘brushing’.

El ‘modus operandi’ es sencillo. Llama el mensajero a nuestra puerta con una caja y le firmamos el recibí aunque no sabemos qué trae. La envía un ciberdelincuente haciéndose pasar por una empresa, pero lo desconocemos. Sin embargo, con nuestra rúbrica, a él le llega la confirmación de que el envío ha llegado a su destinatario y, por tanto, que los datos que maneja son correctos.

«Realmente no deberíamos aceptar ningún paquete que no recordemos haber pedido», reconoce el experto. Pero si lo hacemos porque tampoco tenemos claro que no lo hayamos hecho tenemos que estar muy atentos cuando lo abramos.

– ¿Porque está vacío?

– No, de hecho suele contener algún objeto, aunque de poco valor.

Lo importante son tus datos, la confirmación de que son correctos y de los que pueden disponer para suplantar tu identidad como consideren. «Alguien los tiene en su poder y los ha usado o los va a usar», subraya el experto. ¿Cómo? Para hacerse perfiles en diferentes portales, hacer compras en tu nombre (y con tu dinero, si han logrado esa información ) o escribir reseñas en páginas de venta por internet en tu nombre. Puede ser Amazon, Aliexpress, Temu… Esto último es lo más habitual y aunque parece un poco tontería, sí es importante, alerta Nebot. Y lo confirma la Organización de Consumidores y Usuarios (OCU), que también ha lanzado una alerta sobre esta estafa:«La suplantación de nuestra identidad es un delito».

«Lo primero que deberíamos hacer si ya hemos aceptado el paquete es revisar nuestras cuentas y empezar a cambiar contraseñas», indica el CEO de PayNoPain ¿Todas? Primero las relacionadas con compras similares a lo recibido o en el portal al que supuestamente se lo hemos comprado. «Es útil revisar los avisos de los dispositivos que nos llegan a veces. En Apple es común que recibamos mensajes cuando una contraseña memorizada que puede haberse filtrado», prosigue.

– ¿Y las tarjetas? ¿Tenemos que cancelarlas?

– Lo habitual es que esos datos estén más protegidos y no los tengan. Así que antes de esto, recomendaría vigilar los cargos anteriores y los posteriores a la fecha de recepción del paquete.

En caso de algo sospechoso, hay que hablar con el banco para reclamar un pago fraudulento. La empresa a la que estás señalando deberá «demostrar que tú participaste en esa operación». Y si no puede, te devolverá el dinero en pocos días.

Un viejo conocido

Por último, «pero no menos importante», es conveniente denunciar la recepción de este paquete extraño ante la policía. «Y también en la Agencia Española de Protección de Datos y en la OCU», remarca Nebot. La razón está en que estas dos organizaciones pueden mover los hilos y hablar con las plataformas para que mejoren el control interno e identifiquen los pedidos falsos.

Llegados a este punto, hay que preguntarse también cómo alguien ha podido tener acceso a nuestros datos. ¿Alguna nueva trampa? «La mayoría de las veces los hemos facilitado nosotros porque hemos sido víctimas del ‘phising’». Un ciberdelincuente se hace pasar por una empresa en concreto y nos envía algún tipo de mensaje para que facilitemos nuestros datos. Lo más común es que nos envíe una enlace a una página que parece la original pero no lo es. Pero los facilitamos. Para no caer en ello, «antes de nada, tenemos que comprobar dos cosas:fijarnos en que delante de la dirección cuando pinchamos haya un candado y que la url sea https. Y luego, ver el resto de esa url porque a menudo no se escribe igual, hay algún carácter que sobra, etc.».

Hace unos días, la perfumería Douglas envió un email a sus usuarios registrado para alertar de que había otra página que estaba haciéndose pasar por la suya. Y DHL hizo lo propio poco después. Son solo dos ejemplos porque España es el tercer país que más ataques de ‘phishing’ sufre. El año pasado se alcanzaron 14.261 incidentes, según el Instituto Nacional de Ciberseguridad. Así que nosotros, los consumidores, tenemos que extremar las precauciones.

«Comprueba la reputación digital de la tienda»

Estamos a unos días de que empiecen las grandes compras del Día del Soltero (el 11 del 11), del Black Friday (29 de noviembre) y del Cyber Monday (2 de diciembre). Así que es importante tener controladas nuestras compras. Si vamos a coger algo en tiendas que no conocemos o en las que no tenemos experiencia, Jordi Nebot, CEO de PaynoPain, nos invita a hacer un poco de detectives.«Comprueba antes de comprar la reputación digital de la tienda, que no es otra cosa que revisar los comentarios en su web o plataforma donde vende, sus redes sociales, lo que comentan otros compradores…». Eso nos puede dar pistas de si estamos ante un comercio fiable o no, y de los riesgos que conlleva si al final finalizamos la transacción.