Estafa por texto sobre “Notice of Default” usa códigos QR para robar datos y cobrar $6.99

abril 6, 2026

Estafa por texto sobre “Notice of Default” usa códigos QR para robar datos y cobrar $6.99

Resumen del engaño

Scammers están enviando mensajes de texto que imitan notificaciones judiciales estatales en Estados Unidos bajo el título «Notice of Default». Estos SMS presionan a la víctima para que escanee un código QR que redirige a un sitio de phishing. Allí se solicita un pago de 6,99 USD mientras los estafadores recopilan información personal y financiera, incluidas credenciales y datos de tarjeta.

Mensajes que muestran «Notice of Default» y piden escanear un código QR que lleva a un sitio de phishing que exige $6.99.

Contexto y antecedentes: por qué esto importa

El fraude que imita notificaciones oficiales (multas de tráfico, avisos judiciales, cargos pendientes) no es nuevo: lleva décadas como modalidad telefónica y por correo. En los últimos años la técnica evolucionó a mensajes SMS (smishing) y ahora incorpora códigos QR como vector de redirección. El uso generalizado de QR tras la pandemia —para menús, pagos y enlaces rápidos— ha hecho que muchas personas escaneen códigos sin la misma cautela que al clicar un enlace. Eso convierte al QR en una herramienta útil para los atacantes: el código oculta la URL maliciosa y facilita que la página de phishing se abra directamente en el navegador del móvil.

El problema es especialmente sensible cuando el mensaje suplanta a instituciones públicas, porque genera miedo y urgencia —dos elementos psicológicos que aumentan la probabilidad de que la víctima siga instrucciones sin verificar. El importe demandado, 6,99 USD, es deliberadamente bajo para reducir la fricción de pago y aparentar legitimidad.

Análisis técnico y comentario experto para profesionales

Desde la perspectiva de un profesional de seguridad, este tipo de campaña combina varios elementos técnicos y psicológicos para maximizar eficacia:

  • Vector de entrega: SMS masivos (smishing), que sortean algunos controles de correo electrónico y llegan directamente al móvil.
  • Código QR como ofuscador: el QR oculta la URL real, evita que el usuario vea inmediatamente el dominio y posibilita que la página de destino sea cualquier servidor hosteado en infraestructura barata o kompromisada.
  • Sitio de phishing con formularios de recolección: páginas diseñadas para capturar datos personales y de pago y procesar micropagos mediante pasarelas comprometidas o cuentas de pago controladas por los estafadores.
  • Impersonación institucional: uso de términos oficiales («Notice of Default», referencia a cortes estatales) para generar tensión y respuesta rápida.

Para detección y mitigación, los equipos de seguridad deben considerar:

  • Monitoreo de dominios y certificados TLS: detectar dominios nuevos que imiten entidades judiciales o contengan variantes tipográficas.
  • Análisis de patrones en SMS: agrupar indicadores (menciones a multas/tribunales, inclusión de QR, referencias a importes bajos) para reglas de filtrado o clasificación.
  • Integración de feeds de amenaza y takedown rápido: automatizar procedimientos para reportar y solicitar bloqueo/baja de dominios y hostings maliciosos.
  • Formación focalizada en smishing y QR: campañas de concienciación que muestren ejemplos reales y expliquen cómo comprobar enlaces y códigos antes de escanear.

Casos comparables y tendencias

La transición a QR no es aislada. Desde que los códigos QR se generalizaron como mecanismo de interacción rápida, han proliferado casos en los que se usan para:

  • redirigir a formularios de pago falsos (p. ej., restaurantes o donaciones fraudulentas),
  • instalar aplicaciones maliciosas o certificados cuando el lector permite ejecución automática,
  • suplantar servicios legítimos mediante páginas clonadas alojadas en dominios nuevos o comprometidos.

En términos generales, los informes de la industria y las autoridades de protección al consumidor coinciden en que el phishing y el smishing siguen siendo de las principales vías de fraude digital. La táctica de cobrar una pequeña cantidad para “regularizar” un supuesto trámite ha sido utilizada antes para normalizar la transacción y evitar que la víctima alerte a su entidad bancaria o a las autoridades.

Riesgos e implicaciones

Los riesgos asociados a caer en esta estafa incluyen:

  • Robo de credenciales y datos financieros que permiten cargos no autorizados y suplantación de identidad.
  • Instalación de malware si la página de destino explota vulnerabilidades del navegador o induce a descargar aplicaciones.
  • Compromiso de cuentas vinculadas (correo, banca, servicios gubernamentales) y posible uso para fraudes posteriores o ventas en mercados ilícitos.
  • Impacto reputacional para entidades públicas si la suplantación es frecuente y los ciudadanos creen que el organismo es negligente.

Además, el uso de montos bajos como 6,99 USD dificulta la detección por métodos tradicionales (muchos bancos no categorizan esos micropagos como anómalos) y reduce la probabilidad de disputas inmediatas por parte de la víctima.

Recomendaciones prácticas

Acciones para usuarios particulares

  • No escanear códigos QR procedentes de mensajes no solicitados. Si el mensaje afirma ser de un tribunal o agencia, consultar siempre el sitio o teléfono oficial que figura en fuentes oficiales, no el remitente del SMS.
  • Si se ha escaneado y completado un pago, contactar de inmediato con la entidad emisora de la tarjeta para disputar el cargo y considerar cancelar o bloquear la tarjeta.
  • Monitorizar extractos bancarios y activar alertas por transacción. De sospecha de robo de identidad, considerar un congelado de crédito con las agencias principales (Experian, Equifax, TransUnion en EE. UU.).
  • Reportar el incidente a la oficina local, al organismo judicial suplantado y a las plataformas de denuncia nacionales: por ejemplo, la FTC y el FBI Internet Crime Complaint Center (IC3) para Estados Unidos.
  • Usar lectores de QR que muestren la URL antes de abrirla y comprobar que el dominio es legítimo y cifrado (HTTPS), aunque esto no garantiza seguridad completa.

Acciones para organizaciones y equipos de seguridad

  • Implementar y actualizar filtros de SMS corporativos y listas de bloqueo de dominios/URLs conocidos maliciosos.
  • Incluir escenarios de smishing y uso de QR en los ejercicios de concienciación y phishing-simulado para empleados, con métricas de respuesta y remedio.
  • Vigilar la aparición de dominios lookalike y coordinar con registradores y proveedores de hosting para acciones de takedown.
  • Configurar reglas en SIEM/EDR para correlacionar accesos a dominios sospechosos desde dispositivos móviles corporativos y generar alertas tempranas.
  • Colaborar con proveedores de mensajería y operadoras móviles para mejorar la filtración de SMS maliciosos y el uso de senders verificados (A2P 10DLC en EE. UU.).

Conclusión

La campaña que usa mensajes con el encabezado «Notice of Default» y códigos QR para dirigir a páginas de phishing que exigen $6,99 es una variación moderna de estafas antiguas. Combina la urgencia emocional de una supuesta notificación oficial con la ofuscación que aporta un QR, reduciendo la fricción para el pago. La mejor defensa es la cautela: verificar con fuentes oficiales antes de actuar, no escanear códigos de remitentes desconocidos, y que organizaciones y equipos de seguridad refuercen detección, respuesta y formación específica contra smishing y fraudes basados en QR.

Source: www.bleepingcomputer.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

PyPI: PyTorch Lightning e intercom-client comprometidos en ataque de cadena de suministro para robar credenciales
Noticias Ciberseguridad
Paquetes oficiales de SAP en npm comprometidos para robar credenciales
Noticias Ciberseguridad
Exploit en 36 horas: SQL injection crítico en LiteLLM (CVE-2026-42208)
Noticias Ciberseguridad
Fallo en creación de cuentas de Robinhood utilizado para inyectar correos de phishing
Noticias Ciberseguridad