En las últimas semanas ha resurgido una estafa por mensajes de texto con una variación que merece especial atención: los estafadores están enviando supuestas “Notificaciones de Incumplimiento” que aparentan venir de tribunales estatales o agencias como el DMV, e incluyen un código QR para que la víctima “resuelva” un presunto cargo pendiente. Detrás de ese QR no hay ninguna obligación real: hay una trampa diseñada para robar datos personales y bancarios.
La modalidad no es del todo nueva —recuerde las oleadas de mensajes sobre peajes y multas sin pagar que circularon a principios de 2025—, pero los delincuentes han hecho pequeños cambios que aumentan la probabilidad de éxito. En esta versión más reciente, el mensaje suele contener una imagen que simula un aviso oficial del tribunal con lenguaje alarmista, instando al receptor a escanear el código QR para “evitar procedimientos” o “acudir a una audiencia”. El gancho económico es deliberadamente pequeño: en los casos reportados la cantidad exigida es de solo 6,99 dólares, una cifra lo bastante baja para que muchas personas paguen sin pensar y evitar el papeleo, pero lo bastante lucrativa cuando se multiplica por miles de víctimas.
Tras escanear el código, la ruta es intencionadamente indirecta: primero se llega a un sitio intermedio que pide resolver un CAPTCHA para “verificar que no eres un robot”. Ese paso no es inocente: el CAPTCHA y los enlaces intermedios ayudan a sortear controles automatizados y a dificultar la investigación por parte de analistas de seguridad. Después de completar esa comprobación, el usuario es redirigido a una web falsa que imita a la agencia estatal correspondiente —por ejemplo, sitios que tratan de pasar por oficinas de tránsito o departamentos de vehículos—. En los ejemplos analizados por medios especialistas, los dominios utilizados tenían formas extrañas, como “ny.gov-skd[.]org” o “ny.ofkhv[.]life”, indicio claro de que no pertenecen a entidades oficiales.
En la pantalla final se solicita información personal y los datos de la tarjeta de crédito para “pagar” la multa. Ese formulario no procesa pagos legítimos: lo único que hace es capturar tu nombre, teléfono, dirección, correo y datos bancarios para que los atacantes los usen o vendan. Con esos elementos pueden cometer fraude financiero, suplantación de identidad o lanzar campañas de phishing más sofisticadas dirigidas contra ti y tus contactos.
Las instituciones públicas ya han advertido repetidamente que no solicitan pagos ni información sensible por mensajes de texto. Por ejemplo, la oficina del gobernador de Nueva York publicó una alerta sobre campañas de mensaje que suplantan E‑ZPass y otros servicios oficiales; puedes leer su comunicado en la web oficial del estado aquí. Asimismo, organizaciones de referencia en protección al consumidor ofrecen guías prácticas para reconocer y evitar el phishing; el Federal Trade Commission (FTC) mantiene recursos útiles en su página: Cómo reconocer y evitar fraudes de phishing. Y para ver reportes y análisis técnicos sobre este tipo de campañas, los periodistas de seguridad suelen documentarlas en medios como BleepingComputer (bleepingcomputer.com), que ha seguido la evolución de estas estafas.
Si recibe un mensaje así, hay varias señales claras que indican que podría tratarse de una estafa: el remitente no figura entre tus contactos, el texto apela al miedo o la urgencia, la cantidad solicitada es muy baja y te obligan a usar un enlace o QR en lugar de ofrecer un canal oficial. Sea cual sea la forma, la regla de oro es la misma: no escanear el código ni introducir datos personales o financieros en páginas cuyo origen no haya sido verificado. Si tienes dudas, navega directamente al sitio oficial de la agencia (por ejemplo, la página del DMV de tu estado) o llama al número oficial que figura en su web para confirmar cualquier notificación.
También conviene tomar medidas prácticas: revisa tus movimientos bancarios si has llegado a pagar, comunica el incidente a tu entidad financiera para bloquear la tarjeta si fuera necesario, y cambia contraseñas importantes si has usado la misma información en otros servicios. Para denunciar estos fraudes puedes presentar una queja en el portal del FTC (reportfraud.ftc.gov) y, en Estados Unidos, también es recomendable informar al FBI a través del IC3 (Internet Crime Complaint Center).
Detrás del detalle técnico —códigos QR, CAPTCHA, dominios falsos— hay siempre una estrategia humana: apurar al receptor para que actúe sin pensar. Mantener la calma, verificar por canales oficiales y no entregarle a nadie tus datos por mensaje son las mejores defensas. Si en algún momento tienes dudas sobre la veracidad de una notificación, prueba a buscar el nombre exacto de la campaña o del texto en un buscador y consultar fuentes oficiales antes de tocar nada; muchas de estas estafas ya aparecen documentadas en los medios especializados y en las alertas de las autoridades.
La tecnología que usamos cotidianamente puede facilitar mucho la vida, pero también abre puertas para engaños nuevos. La clave está en combinar sentido común con unas pautas básicas de seguridad digital: no escanear QR de remitentes desconocidos, no introducir datos en sitios no verificados y reportar el intento para ayudar a que menos personas caigan en la misma trampa.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...