Imaginen la escena: regresan a casa, encuentran un paquete en su felpudo o les notifica el portero que ha llegado una entrega a su nombre. Abren la caja con curiosidad, solo para descubrir un artículo que nunca pidieron, a menudo un objeto de bajo valor, quizá unas semillas, unos auriculares genéricos o un adorno de plástico. Su primera reacción podría ser de confusión, quizás incluso de alegría momentánea al pensar en un regalo inesperado. Pero la realidad es que lo más probable es que se hayan convertido, sin saberlo, en parte de una estafa sofisticada y globalmente extendida conocida como 'brushing'. Lejos de ser un obsequio, este paquete es una señal de que sus datos personales han sido utilizados con fines dudosos, impactando no solo su privacidad, sino también la integridad del comercio electrónico. Es un fenómeno que ha crecido exponencialmente con la expansión de las compras en línea y que merece nuestra atención y comprensión.
¿Qué es el 'brushing'? Desentrañando el concepto
El término 'brushing' proviene del inglés, y aunque su traducción literal no nos dé muchas pistas, en el contexto del comercio electrónico, se refiere a una práctica fraudulenta mediante la cual los vendedores envían productos no solicitados a direcciones reales de consumidores. El objetivo principal de esta maniobra no es el coste del producto en sí –que suele ser insignificante para el vendedor–, sino la manipulación del sistema de valoraciones y reseñas de las plataformas de compra en línea.
Piensen en cómo funcionan los mercados digitales: la confianza es la moneda de cambio. Los consumidores suelen basar sus decisiones de compra en la reputación del vendedor, las valoraciones de otros usuarios y la cantidad de ventas. Un vendedor con miles de ventas y una calificación de cinco estrellas es, inherentemente, más atractivo que uno nuevo con pocas ventas y ninguna reseña. Aquí es donde entra en juego el 'brushing'.
El vendedor fraudulento utiliza los datos de dirección de una persona real para realizar una compra falsa en su propia tienda, utilizando una cuenta de comprador también falsa. Una vez que el "pedido" se ha "realizado" y el "comprador" (que es el propio vendedor) "recibe" el paquete no solicitado, puede proceder a escribir una reseña positiva para sí mismo, otorgarse la máxima calificación de estrellas e, incluso, generar un historial de transacciones que le ayude a escalar en los algoritmos de búsqueda de las plataformas. En muchos casos, ni siquiera se necesita una cuenta de comprador falsa, sino que el vendedor utiliza los datos de la víctima para generar el envío y, una vez que el sistema de seguimiento de la paquetería registra la entrega, la plataforma considera que la transacción se ha completado con éxito, permitiendo al vendedor dejar una reseña positiva en nombre de un supuesto comprador real. Esta es la parte más insidiosa: la plataforma cree que un consumidor genuino recibió y valoró positivamente el producto.
Es una táctica de manipulación descarada que distorsiona la competencia leal y engaña a los consumidores legítimos. El pequeño coste del envío y del producto es una inversión mínima para el vendedor si, a cambio, consigue una reputación artificialmente inflada que le generará miles de ventas reales en el futuro. Es, en esencia, un lavado de imagen digital, una forma de "cepillar" su perfil para que parezca más atractivo de lo que realmente es. La escalada de esta práctica subraya la necesidad de una mayor vigilancia por parte de las plataformas y, lo que es más importante, de una mayor conciencia entre los usuarios sobre cómo opera este tipo de fraude.
La mecánica de la estafa del paquete no solicitado
La estafa del 'brushing' es sorprendentemente sencilla en su ejecución, pero devastadora en sus implicaciones a gran escala. Todo comienza con la adquisición de datos personales, principalmente nombres y direcciones postales. ¿De dónde provienen estos datos? En la mayoría de los casos, son el resultado de brechas de seguridad en bases de datos de tiendas en línea, registros públicos, filtraciones de datos o incluso la compra de listas de direcciones en el mercado negro digital. Una vez que el estafador, que suele ser un vendedor de un país con regulaciones laxas o un intermediario para varios vendedores, tiene acceso a esta información, el proceso se desencadena.
Primero, se crea una cuenta de comprador falsa en una plataforma de comercio electrónico importante (como Amazon, eBay, AliExpress, etc.) o se utiliza una cuenta comprometida. Con esta cuenta, se realiza un pedido de un producto, a menudo de bajo valor, de la propia tienda del estafador o de la tienda de un vendedor asociado. La dirección de envío utilizada es la de una persona real, la víctima, y se asigna un nombre de usuario inventado o el nombre real de la víctima. El estafador paga por el producto (o simula pagarlo si las transacciones se realizan internamente) y el envío.
El paquete se envía a la dirección de la víctima. Aquí es crucial entender que el objetivo no es que la víctima reciba el producto y lo use, sino simplemente que el sistema de seguimiento del transportista registre el paquete como "entregado". Una vez que se confirma la entrega, la plataforma de comercio electrónico marca la transacción como completada. En este punto, el vendedor (actuando como el comprador falso o aprovechando el estado de "entregado" para dejar una reseña) tiene la oportunidad de dejar una reseña de cinco estrellas para su propio producto y servicio, alabando la rapidez del envío, la calidad del artículo y la excelente atención al cliente. Estas reseñas, al parecer provenientes de un "comprador verificado", mejoran artificialmente el ranking del vendedor y la credibilidad de sus productos.
Esta estrategia es particularmente efectiva porque las plataformas suelen dar mucha importancia a las reseñas verificadas, es decir, aquellas asociadas a una compra real y entregada. El 'brushing' explota esta confianza. A mis ojos, es una demostración clara de cómo la búsqueda de atajos y la manipulación pueden minar los cimientos de la confianza digital que tanto nos ha costado construir. Es un recordatorio de que, incluso en un entorno aparentemente regulado, siempre hay quienes buscan las grietas del sistema.
¿Por qué mi dirección? El origen de los datos
La pregunta que inevitablemente surge es: "¿Cómo consiguieron mi dirección?" La respuesta es multifacética y, a menudo, perturbadora, ya que toca directamente el tema de nuestra privacidad digital. La forma más común en que los estafadores obtienen direcciones para el 'brushing' es a través de brechas de datos. Numerosas empresas han sido víctimas de ciberataques que exponen millones de registros de clientes, incluyendo nombres, direcciones, correos electrónicos y, a veces, incluso contraseñas o información de pago parcial. Una vez que estos datos están en el dominio público (o se venden en la dark web), son fácilmente accesibles para actores maliciosos.
Otra fuente común son las bases de datos públicas. En muchos países, ciertos registros de propiedades o de negocios son de acceso público, lo que puede proporcionar nombres y direcciones. Si bien esta información por sí misma no es suficiente para una estafa de 'brushing', puede ser combinada con otros datos obtenidos de forma ilícita para construir un perfil más completo.
Además, nuestras propias actividades en línea contribuyen a un rastro digital que puede ser explotado. Cuando compramos en sitios web menos seguros, nos registramos en sorteos, encuestas o incluso participamos en concursos de redes sociales, podemos estar, sin saberlo, cediendo nuestros datos a entidades que no tienen los estándares de seguridad más altos o que directamente buscan monetizar esa información. Es decir, a veces, somos nosotros mismos, por descuido o falta de conocimiento, quienes proveemos la materia prima para estas estafas.
También existe la posibilidad de que la información provenga de antiguos pedidos legítimos. Si alguna vez compraron en una tienda que luego fue comprometida, sus datos podrían estar entre los expuestos. O si una empresa con la que hicieron negocios vendió sus datos a terceros sin su consentimiento explícito o con una política de privacidad poco clara, también podrían ser vulnerables. En mi opinión, esto subraya la imperiosa necesidad de ser extremadamente cuidadosos con dónde y cómo compartimos nuestra información en línea, y de revisar regularmente las políticas de privacidad de los servicios que utilizamos. La huella digital que dejamos es permanente y su uso indebido, como vemos con el 'brushing', puede tener consecuencias inesperadas y frustrantes.
Implicaciones y riesgos para el receptor
Recibir un paquete no solicitado puede parecer inofensivo al principio, o incluso una curiosidad, pero las implicaciones del 'brushing' van más allá de una simple molestia. Los riesgos asociados pueden afectar nuestra privacidad, nuestra seguridad y la confianza en el ecosistema del comercio electrónico. Es crucial entender que, si bien el objetivo directo no es robar dinero al receptor, el hecho de ser identificado como una dirección "activa" puede abrir la puerta a problemas mayores.
Implicaciones para la privacidad
La implicación más inmediata y obvia es la violación de la privacidad. El hecho de que un tercero desconocido tenga su nombre y dirección postal significa que han accedido a información personal sin su consentimiento. Aunque no se utilicen datos financieros en la transacción de 'brushing' per se, esta es una prueba de que sus datos están circulando y pueden ser combinados con otra información suya ya existente en la red, formando un perfil más completo y valioso para otros tipos de fraudes.
Además, el 'brushing' sirve para validar una dirección. Los estafadores ahora saben que esa dirección es real y que alguien vive allí. Esto puede hacer que sean más propensos a ser el objetivo de otros tipos de estafas por correo, telemarketing o incluso visitas indeseadas, ya que se ha confirmado que la dirección es "buena".
Riesgos de seguridad
Aunque la mayoría de los paquetes de 'brushing' contienen artículos inofensivos de bajo valor, siempre existe un riesgo latente. ¿Qué pasa si el paquete contiene algo peligroso o ilegal? Ha habido casos, aunque raros, de paquetes de 'brushing' que contienen semillas de plantas invasoras (como ocurrió en EE. UU. y Canadá), productos de origen desconocido que podrían ser dañinos, o incluso artículos de apariencia inocua que podrían ser la cubierta de algo más siniestro. Aunque el riesgo es bajo, es una posibilidad que no se debe ignorar.
También existe el riesgo de que el 'brushing' sea una fase preliminar para estafas más complejas. Al haber validado su dirección, los delincuentes podrían intentar estafas de suplantación de identidad (phishing o smishing) más personalizadas, enviándole correos electrónicos o mensajes de texto que parecen provenir de la empresa de paquetería o de la plataforma de comercio electrónico, con el fin de obtener más información personal o bancaria. La familiaridad con un paquete recibido, aunque no pedido, podría hacer que las víctimas sean más propensas a caer en estas trampas.
Impacto en el consumidor y en el mercado
Más allá de los riesgos personales, el 'brushing' tiene un impacto negativo en el mercado en general. Al inflar artificialmente las calificaciones de los vendedores, se distorsiona la competencia. Vendedores legítimos que invierten en la calidad de sus productos y en un servicio al cliente genuino se ven desfavorecidos frente a estafadores que manipulan el sistema. Esto, a su vez, erosiona la confianza del consumidor en las reseñas en línea, un pilar fundamental del comercio electrónico moderno.
Cuando los consumidores no pueden confiar en la autenticidad de las reseñas, toda la experiencia de compra se degrada. ¿Cómo saber si ese producto con miles de valoraciones positivas es realmente bueno o si su reputación ha sido fabricada? En mi opinión, la erosión de la confianza es uno de los mayores peligros del 'brushing', ya que amenaza la equidad y la transparencia de todo el ecosistema de compras en línea. Las plataformas deben ser más proactivas en la detección y erradicación de estas prácticas para preservar la integridad de sus mercados.
¿Qué hacer si recibes un paquete de 'brushing'?
Encontrarse con un paquete no solicitado en la puerta de su casa puede generar confusión, pero es fundamental saber cómo actuar. Aquí les detallo los pasos recomendados para gestionar un caso de 'brushing':
- No paguen nada: Los paquetes de 'brushing' suelen estar pre-pagados. Si alguien les pide dinero por él, es una estafa adicional. Simplemente no lo paguen.
- No lo devuelvan sin investigar: Devolver el paquete, aunque parezca lo correcto, puede validar su dirección como un objetivo activo y generar aún más problemas. Algunos estafadores incluso podrían intentar que paguen los gastos de envío de la devolución.
-
Investiguen y documenten:
- Identifiquen al remitente: Busquen el nombre del remitente y la dirección en la etiqueta del paquete. A menudo, el nombre será genérico o falso, pero la dirección puede dar una pista sobre el origen.
- Identifiquen la plataforma de compra: Si la etiqueta de envío muestra una plataforma de comercio electrónico (Amazon, eBay, AliExpress, etc.), anótenlo.
- Tomen fotos: Fotografíen el paquete, la etiqueta de envío y el contenido. Esto servirá como prueba.
-
Contacten a la plataforma de comercio electrónico: Esta es una de las acciones más importantes. Reporten el incidente a la plataforma que figura como remitente (o la que sospechen que se usó). Explíquenles la situación, que nunca pidieron el artículo y que sospechan de 'brushing'. Indiquen que su dirección está siendo utilizada fraudulentamente.
- Aquí pueden encontrar información sobre cómo reportar actividad sospechosa en Amazon: Reportar un problema de seguridad o fraude en Amazon (Ejemplo de enlace, el contenido real puede variar por región)
- Revisen sus cuentas y alertas: Accedan a sus cuentas en las plataformas de comercio electrónico donde hayan comprado previamente y revisen su historial de pedidos para asegurarse de que no haya habido actividad inusual. Activen la autenticación de dos factores si no la tienen ya. Es buena idea revisar también sus estados de cuenta bancarios y de tarjetas de crédito por si hay cargos sospechosos, aunque esto es menos común en el 'brushing' directo.
-
Contacten a las autoridades de protección al consumidor: En muchos países, existen agencias gubernamentales dedicadas a la protección del consumidor que querrán saber sobre estas prácticas. Pueden reportar el incidente a organismos como la FTC en Estados Unidos, la OCU en España o su equivalente local.
- Por ejemplo, pueden encontrar información relevante en la Organización de Consumidores y Usuarios (OCU) de España: Fraudes en compras online - OCU
- Consideren qué hacer con el artículo: Si el artículo es inofensivo y no pueden devolverlo de forma segura o no hay instrucciones claras de la plataforma, pueden donarlo, tirarlo o conservarlo. No tienen obligación de pagar por él ni de devolverlo si no lo pidieron. En mi opinión, es mejor no interactuar demasiado con el paquete más allá de documentarlo, para evitar cualquier riesgo de validar aún más la transacción a ojos de los estafadores.
- Vigilen sus datos personales: Consideren suscribirse a un servicio de monitoreo de crédito o revisar sus informes de crédito regularmente. Además, manténganse informados sobre consejos de ciberseguridad para protegerse contra futuras brechas de datos.
- No hagan clic en enlaces sospechosos: Si reciben correos electrónicos o mensajes de texto relacionados con el paquete que parecen venir de la empresa de paquetería o de la tienda, sean extremadamente cautelosos. Podrían ser intentos de phishing. Verifiquen siempre la fuente a través de canales oficiales. Información sobre cómo proteger sus datos personales es fundamental: Protección de datos personales - AEPD
Más allá del 'brushing': Otros fraudes relacionados con envíos
El 'brushing' es solo una de las muchas tácticas que los estafadores emplean en el ámbito de los envíos y el comercio electrónico. Existen otros fraudes con los que debemos familiarizarnos para estar mejor protegidos. Por ejemplo, el "phishing" y el "smishing" relacionados con entregas falsas son extremadamente comunes. Los estafadores envían correos electrónicos o mensajes de texto que simulan ser de empresas de paquetería (como DHL, FedEx o Correos), informando sobre un problema con una entrega y solicitando información personal o un pequeño pago para "reprogramar" el envío. Estos enlaces suelen dirigir a sitios web falsos diseñados para robar credenciales bancarias o instalar malware.
Otro fraude es el de la "intercepción de paquetes", donde los delincuentes obtienen su información de seguimiento de un pedido real y contactan a la empresa de paquetería para cambiar la dirección de entrega, desviando su compra a otro lugar. También hay estafas que implican el envío de productos falsificados o de muy baja calidad que sí se pidieron, pero que no cumplen con las expectativas, y donde el vendedor desaparece después de la venta. En mi opinión, la variedad y sofisticación de estos esquemas subraya que, como consumidores, nuestra vigilancia no puede limitarse solo a los paquetes inesperados, sino que debe extenderse a toda nuestra interacción con el ecosistema de compras en línea y los servicios de mensajería.
El papel de las plataformas de comercio electrónico y las autoridades
Ante la proliferación de estafas como el 'brushing', tanto las plataformas de comercio electrónico como las autoridades reguladoras tienen un papel crucial que desempeñar. Las grandes plataformas, como Amazon, Alibaba o eBay, invierten recursos significativos en sistemas de detección de fraudes. Utilizan algoritmos avanzados para identificar patrones sospechosos, como un gran número de reseñas positivas de productos de bajo valor, múltiples cuentas realizando compras en la misma dirección o un crecimiento desproporcionad