Ciberdelincuentes "analógicos": así pueden estafarte mediante el correo postal

Ha empezado a circular una nueva modalidad de fraudes, pero esta vez no llega por email, SMS ni redes sociales. 

Los ciberdelincuentes han reinventado sus métodos y están utilizando el viejo canal del correo postal físico para intentar engañar a destinatarios desprevenidos. 

Esta técnica, a primera vista inocua, está causando confusión porque aprovecha la aparente “seriedad” de los envíos tradicionales para sembrar dudas sobre la autenticidad de la información que contienen.

Cartas fraudulentas

Los afectados suelen recibir cartas que parecen oficiales: con membretes, logotipos de empresas conocidas o incluso sellos que imitan a organismos públicos. 

El gancho puede variar, pero los casos detectados hasta ahora comparten un patrón común: mensajes que contienen advertencias urgentes, solicitudes de actualización de datos o avisos de cobros pendientes, y todas incluyen instrucciones para que el destinatario actúe de inmediato para evitar consecuencias.

En algunos casos, la carta afirma que hay un paquete retenido en correos por falta de pago de una tasa, y pide que se abone un importe para liberarlo. En otros, se indica que se ha intentado entregar un paquete o documento importante, y que hay que escanear un código QR o visitar una dirección web para confirmar la recepción o pagar una “tasa administrativa”. 

Lo que estas cartas parecen omitir a simple vista —pero que no es casual— es que los enlaces y QR no conducen a páginas oficiales, sino a sitios diseñados para capturar datos personales o financieros.

El sesgo de autoridad

Este giro hacia el correo postal no es casual. Los estafadores están tratando de explotar un fenómeno conocido como sesgo de autoridad: tendemos a confiar en documentos físicos, con sellos y formatos que parecen oficiales, más que en mensajes digitales que podrían parecer fácilmente fraudulentos. El papel nos da una sensación de legitimidad que los atacantes están aprovechando.

Las autoridades y expertos en ciberseguridad ya han avisado de que no hay ninguna institución pública ni empresa de paquetería que utilice este tipo de cartas con solicitudes de pago vía QR o páginas externas, y que cualquier comunicación oficial de ese tipo debería venir con identificadores verificables y por otros canales (como notificaciones en línea con autenticación o correos electrónicos validados).

El objetivo de este tipo de fraude postal suele ser robar datos personales y financieros. Al dirigir a la víctima a una página falsa para “pagar una tasa” o “confirmar datos”, los estafadores consiguen que introduzca su nombre completo, DNI, dirección, números de tarjeta o credenciales de acceso a servicios en línea. 

Esa información luego puede ser usada para robo de identidad, accesos no autorizados o incluso ventas en mercados clandestinos.

¿Cómo protegerse?

Lo recomendable, evidentemente, es no escanear códigos QR ni visitar enlaces incluidos en cartas que demanden pagos o actualización de datos sin verificar la fuente primero. 

Si crees que el contenido podría ser legítimo, lo recomendable es contactar directamente a la empresa u organismo por canales oficiales (como su web institucional o su servicio de atención al cliente) y no utilizar los datos de contacto que aparecen en la carta.

También es útil buscar en internet menciones de la estafa o comunicados de advertencia de organismos públicos o medios de comunicación confiables. Muchas veces, otros usuarios ya han reportado casos similares y eso puede ayudar a identificar patrones.

Si sospechas que has sido víctima, conviene bloquear cualquier tarjeta que hayas usado en ese sitio falso, cambiar credenciales de cuentas afectadas y, de ser necesario, denunciar la incidencia ante las autoridades correspondientes.

Este tipo de fraude demuestra que los ciberdelincuentes están inventando constantemente nuevas formas de llegar a las víctimas, mezclando canales tradicionales y digitales para aprovechar la confianza de los usuarios. 

Por eso, aunque una carta en papel pueda parecer más “segura” que un correo electrónico, no hay que bajar nunca la guardia, especialmente cuando implica datos personales o pagos inesperados.