No escanees este QR: la nueva estafa que llega por correo postal para vaciar tus cuentas
Los ciberdelincuentes abandonan el email para enviarte cartas físicas a casa. Utilizan logotipos oficiales y códigos QR engañosos que, al ser escaneados, permiten a los atacantes acceder a tus datos bancarios e instalar virus en tu móvil
El ingenioso truco de los estafadores para colarse en tu móvil desde el buzón de casa.
Durante años, el phishing llegó en forma de email. Ahora, algunos atacantes han decidido volver al papel. La nueva oleada de timos se está colando en los buzones como una carta “oficial” con tono urgente y un código QR impreso. La escena parece de otra época, pero el objetivo es el mismo: que la víctima cometa un error rápido… y caro.
En el caso que ha encendido las alarmas en el ecosistema cripto, el investigador en ciberseguridad Dmitry Smilyanets documentó la recepción de una carta que simulaba proceder del equipo de seguridad de un monedero físico. El mensaje advertía de una supuesta “Autenticación de Seguridad” obligatoria para mantener el acceso, acompañada de la amenaza clásica: cierre de la cuenta y pérdida de los activos si no se actúa a tiempo.
El truco, conocido como quishing, traslada el phishing tradicional al soporte físico para ganar credibilidad. Al escanear el QR, el usuario es redirigido a un sitio web que imita la interfaz de configuración de wallets como Trezor o Ledger. La apariencia -logotipos, colores y estructura- está diseñada para reducir sospechas. Uno de los dominios usados con temática Ledger ya ha sido desactivado; otro, vinculado a Trezor, seguía accesible, aunque Cloudflare lo identificó como infraestructura de phishing.
La página fraudulenta solicita introducir la frase de recuperación (12, 20 o 24 palabras) bajo el argumento de verificar la titularidad del dispositivo. En realidad, esa secuencia funciona como representación textual de la clave privada: quien la obtiene puede importar el monedero en otro equipo y transferir los fondos sin necesidad de más interacción. Según la información recopilada, los datos introducidos se envían a servidores de los atacantes mediante una API en segundo plano.
Esta vuelta al buzón no se limita a las criptomonedas. Panda Security describió un caso en Suiza en el que los destinatarios recibían una carta supuestamente enviada por una oficina federal de meteorología y climatología. El documento incluía un QR que invitaba a descargar una app de alertas meteorológicas para Android. Al escanearlo, el usuario no llegaba a Google Play, sino a una web falsa que imitaba la tienda oficial y ofrecía una aplicación maliciosa con malware Coper (también conocido como Octo2), capaz de interceptar códigos de verificación y notificaciones, y de apuntar a apps bancarias para robar credenciales.
Cómo no caer
- Desconfía de cartas con urgencias y amenazas de bloqueo.
- No introduzcas nunca tu frase de recuperación en una web: solo debe usarse en el propio dispositivo durante una restauración legítima.
- Si te piden instalar una app, comprueba que la descarga viene de la tienda oficial y revisa el nombre exacto.
- Suma y sigue: La UE detecta en febrero 6 partidas de naranjas de Egipto, Turquía y Brasil con pesticidas prohibidos
- Transforman una antigua tienda de muebles de Castellón en 20 viviendas: hasta el famoso empresario José Elías se interesa
- Dos accidentes causan el corte total de la AP-7 en Castellón en dos puntos
- El aeropuerto de Castellón se 'blinda' contra las fugas del aparcamiento
- Un accidente múltiple en la N-340 provoca al menos cuatro heridos en Castellón
- Aemet empeora sus previsiones para Castellón: amplía la alerta amarilla por lluvia
- El aeropuerto de Castellón duplica este mes su oferta de rutas: vuelos y chollos disponibles desde marzo
- Del cierre de tiendas a la fiebre de cafeterías-pastelerías: Santa Gloria abre local en pleno centro de Vila-real
