Durante años hemos aprendido a mirar con desconfianza el correo electrónico que promete un reembolso inesperado, el SMS que nos pide actualizar una cuenta o el mensaje de WhatsApp que llega con demasiada urgencia. El phishing se nos ha quedado grabado como algo digital, pegado a una pantalla, a un enlace sospechoso o a una web que intenta parecerse a la de nuestro banco. Pero esa imagen se está quedando corta. La misma lógica del engaño también puede cruzar la puerta de casa dentro de un sobre, impresa en papel y con apariencia de comunicación oficial.
La diferencia no está tanto en el mecanismo como en el contexto. En lugar de esperar a que pulsemos un enlace desde el móvil, el atacante intenta aprovechar la confianza que todavía concedemos a determinadas comunicaciones físicas. Y, precisamente, ahí está el riesgo. El papel puede dar una sensación de legitimidad que un correo sospechoso ya no siempre consigue, aunque el fondo sea el mismo de siempre: suplantar a alguien para empujarnos a entregar información que no deberíamos compartir.
Phishing en papel: el viejo engaño ha encontrado otro buzón
Un ejemplo reciente lo compartió en LinkedIn Inés Zuriaga del Castillo, que contó haber recibido en su domicilio una carta física supuestamente enviada por Ledger, la empresa conocida por sus wallets de hardware, dispositivos físicos para guardar claves de criptoactivos. Según su publicación, el sobre incluía papel, un membrete con apariencia oficial y una instrucción para escanear un QR con el supuesto objetivo de actualizar el dispositivo y enviar la frase de recuperación. Ese último punto es la señal más evidente de alarma: la frase de recuperación no debe compartirse nunca.
Ledger también ha advertido de este tipo de intentos en su página de soporte. La compañía describe una carta que se presenta como un aviso de “verificación de seguridad” y que pide al usuario escanear un QR para introducir su frase de recuperación secreta, supuestamente con el fin de evitar problemas de seguridad o interrupciones en el servicio. La recomendación de la empresa es tajante: no escanear esos códigos, no visitar esos enlaces y no compartir nunca las 24 palabras de recuperación. No es un detalle menor. Con esa frase, un atacante puede tomar el control de la wallet y mover los fondos asociados.