El brushing es una estafa de eCommerce en la que un vendedor fraudulento infla las ventas y las valoraciones de sus productos enviando paquetes no solicitados a direcciones reales que ha obtenido de datos filtrados o extraídos de la red. No conviene confundirlo con el brushing del ámbito de la peluquería (el moldeado del cabello con secador), que comparte término y resultados de búsqueda. Aquí hablamos de fraude: cuando recibes en casa un paquete que nadie ha pedido, casi siempre hay detrás una manipulación de reseñas y, lo más importante para la seguridad, una señal de que tus datos personales están circulando.
Lo esencial
- El brushing es una técnica de manipulación de marketplaces: un vendedor crea compradores falsos, se "vende" a sí mismo productos baratos y los envía a personas reales para generar compras verificadas y reseñas positivas.
- El paquete físico es la prueba que el marketplace exige para marcar la reseña como "compra verificada", lo que sube el ranking del producto.
- Recibir un envío que no has pedido es una bandera roja de exposición de datos: tu nombre y tu dirección (y a veces más información) están en manos de un tercero.
- Algunas campañas recientes incluyen un código QR en el paquete, un puente hacia el quishing y el robo de credenciales.
- La defensa combina higiene de datos personales, revisión de la cuenta del marketplace frente a la apropiación de cuenta y, en el lado del vendedor legítimo, detección de reseñas falsas y abuso de marca.
Qué es el brushing
El brushing consiste en fabricar actividad comercial falsa alrededor de un producto para engañar tanto al algoritmo del marketplace como al consumidor. El vendedor abre o compra cuentas de comprador ficticias, realiza pedidos de sus propios artículos (normalmente productos ligeros y muy baratos: semillas, bisutería, fundas de móvil, mascarillas) y los envía a domicilios reales. Como la transacción se completa con una entrega verificable, la plataforma la contabiliza como una venta legítima y habilita a esa cuenta para publicar una reseña con la etiqueta de compra verificada.
El truco está en que el destinatario del paquete no ha comprado nada y, con frecuencia, ni siquiera figura como el autor de la reseña. La víctima es solo el eslabón físico que da verosimilitud al fraude: una dirección a la que enviar algo para que la compra parezca real.
Por qué funciona: rankings y reseñas verificadas
Los marketplaces ordenan sus resultados en función de señales como el volumen y la velocidad de ventas, la valoración media y la proporción de reseñas verificadas. El brushing ataca las tres a la vez. Cada envío suma una venta, cada cuenta ficticia añade una reseña de cinco estrellas y la etiqueta de compra verificada otorga a esas opiniones un peso desproporcionado frente a las reseñas sin compra confirmada.
El resultado es un producto que escala posiciones de forma artificial, gana la caja de compra frente a competidores honestos y proyecta una confianza que no ha ganado. Para el comprador real que después llega a esa ficha, el daño es indirecto pero cierto: toma una decisión basada en señales manipuladas.
Cómo funciona una campaña de brushing paso a paso
La mecánica es repetible y barata, por eso escala tan bien:
- Obtención de direcciones. El vendedor reúne un listado de nombres y direcciones reales. Las fuentes habituales son brechas de datos, listados comprados en foros clandestinos y datos extraídos de redes sociales o webs mal protegidas.
- Creación de compradores ficticios. Registra o adquiere cuentas de comprador, a veces vinculadas a esas mismas identidades filtradas para aumentar la credibilidad.
- Pedido y envío. Compra sus propios productos, muy baratos para minimizar el coste, y los expide a las direcciones de la lista.
- Reseña verificada. Una vez registrada la entrega, la cuenta ficticia publica una valoración positiva que la plataforma marca como compra verificada.
- Escalada de ranking. La acumulación de ventas y reseñas empuja el producto hacia arriba, atrayendo compras reales que consolidan el efecto.
El coste unitario para el estafador es mínimo porque el producto es simbólico y muchas veces ni siquiera llega completo: lo que importa no es lo que hay dentro de la caja, sino el registro de entrega.
Recibir un paquete no solicitado es una señal de exposición de datos
Aquí está el punto que un equipo de seguridad no debe pasar por alto. Un paquete que no has pedido no es un regalo afortunado: es la confirmación de que tu información personal está en un conjunto de datos que un tercero controla. Como mínimo, alguien conoce tu nombre y tu dirección postal. En los casos peores, esos datos vienen acompañados de tu correo, tu teléfono o incluso credenciales, lo que abre la puerta a fraudes más graves.
Ese origen conecta el brushing con el resto de la cadena de suministro del cibercrimen. Buena parte de las listas de direcciones procede de la misma economía clandestina que alimenta el robo de credenciales mediante infostealers y que se comercializa en los mercados que rastreamos con monitorización de la dark web. Cuando aparecen datos personales tuyos en circulación, el brushing suele ser la manifestación más visible, pero rara vez la única.
Existe además un escenario de apropiación de cuenta. Si al recibir el paquete descubres una reseña publicada en tu nombre que tú no has escrito, o pedidos que no reconoces, es probable que tu cuenta del marketplace haya sido comprometida y esté siendo usada para publicar valoraciones falsas. En ese caso, el brushing se solapa con un fraude de identidad en toda regla, un patrón que también aparece en las estafas de relación que analizamos en el catfishing.
El código QR: brushing 2.0 y quishing
Una evolución preocupante añade un código QR al paquete, a veces con un mensaje del tipo "escanea para saber quién te ha enviado esto" o "descubre tu regalo". Escanearlo puede llevar a una página de phishing que solicita datos de pago o credenciales, o directamente a la descarga de una aplicación maliciosa. Es la fusión del brushing con el quishing (phishing mediante códigos QR). La regla es sencilla: nunca escanees un código impreso en un paquete cuyo remitente desconoces.
Brushing en Amazon y otros marketplaces
El brushing no es exclusivo de ninguna plataforma, pero se asocia sobre todo con los grandes marketplaces por su volumen y por el peso de la etiqueta de compra verificada. Amazon prohíbe expresamente las reseñas incentivadas y falsas, ha demandado a intermediarios que las venden y ha reforzado la detección de patrones anómalos, pero la escala del catálogo hace que el problema persista.
Si eres el destinatario de un paquete no solicitado en Amazon o en cualquier otro marketplace, la plataforma dispone de un canal para reportarlo. Conviene hacerlo: además de protegerte, ayudas a que el sistema identifique al vendedor fraudulento. Un episodio ilustrativo fue la oleada de sobres con semillas no solicitadas recibidos en varios países en 2020, que las autoridades relacionaron en buena parte con esquemas de brushing.
Detección y defensa
La respuesta correcta depende de si estás en el lado del consumidor que recibe el paquete o en el de la marca legítima cuyos productos y reputación se ven manipulados.
Para consumidores
- No pagues ni facilites datos. La mercancía no solicitada es legalmente tuya y no debes nada a nadie por ella. Ningún envío legítimo exige un pago posterior ni la introducción de datos para "liberar" el paquete.
- No escanees códigos QR impresos en el paquete ni sigas enlaces que lo acompañen.
- Revisa tu cuenta del marketplace. Busca pedidos que no reconozcas, reseñas publicadas en tu nombre y cambios en direcciones o métodos de pago. Cualquiera de ellos apunta a apropiación de cuenta.
- Refuerza la autenticación. Cambia la contraseña de la cuenta afectada, activa la autenticación multifactor y comprueba si tu correo aparece en filtraciones conocidas.
- Reporta el envío a la plataforma y, si detectas cargos o accesos no autorizados, a tu entidad financiera.
- Vigila tus finanzas durante las semanas siguientes, porque la misma filtración que habilitó el brushing puede alimentar otros fraudes.
Para marcas y marketplaces
Desde el lado del vendedor legítimo y de la plataforma, el brushing es un problema de integridad del catálogo y de abuso de marca. Las líneas de defensa más útiles son:
- Análisis de anomalías de velocidad: picos de ventas y reseñas incompatibles con el histórico del producto o con su distribución geográfica.
- Detección de grafos de cuentas: agrupación de compradores ficticios por reutilización de direcciones, dispositivos, patrones de registro o franjas horarias.
- Correlación compra-reseña: reseñas verificadas concentradas en ventanas temporales estrechas y con lenguaje repetitivo.
- Protección frente a bots y credential stuffing en el registro y el acceso, para frenar la creación masiva de cuentas y la apropiación de las legítimas.
- Registro de marca y reporte en los programas que las plataformas ofrecen a los titulares, para retirar listados y reseñas fraudulentas.
Estas medidas encajan en el marco de seguridad más amplio del comercio electrónico, que abordamos junto al cumplimiento de PCI DSS en la guía de ciberseguridad para retail y eCommerce. Un programa de detección de fraude y abuso de marca es tan necesario como la protección del dato de tarjeta.
Marco legal: mercancía no solicitada y protección de datos
En la Unión Europea, la Directiva 2011/83 sobre derechos de los consumidores prohíbe la venta por inercia y libera al destinatario de cualquier obligación de pago por bienes no solicitados. En España, el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios recoge esa protección. En Estados Unidos, la regla de la mercancía no pedida permite al receptor quedarse con el producto como un regalo sin deber nada.
En paralelo, el brushing tiene una dimensión de protección de datos. El hecho de que un vendedor disponga de tu nombre y dirección para enviarte un paquete implica un tratamiento de datos personales sin base legítima, lo que puede fundamentar una reclamación ante la autoridad de control competente y refuerza la necesidad de investigar el origen de la filtración.
Preguntas frecuentes
¿Qué es el brushing en el comercio electrónico?
Es una estafa en la que un vendedor infla artificialmente las ventas y las reseñas de sus productos enviando paquetes no solicitados a direcciones reales obtenidas de datos filtrados. Cada entrega genera una compra verificada que habilita una reseña falsa positiva y sube el ranking del producto en el marketplace.
¿Por qué he recibido un paquete de Amazon que no he pedido?
Lo más probable es que seas la dirección física de una campaña de brushing: alguien usa tus datos para simular una entrega real y publicar una reseña verificada. No debes pagar nada, pero conviene interpretarlo como una señal de que tu información personal está circulando y revisar tu cuenta por si ha sido comprometida.
¿Es peligroso recibir un paquete de brushing?
El paquete en sí suele ser inofensivo, pero es una alerta de exposición de datos. El riesgo real está en lo que puede venir después: intentos de fraude, apropiación de cuenta y, si el envío incluye un código QR o un enlace, phishing. Nunca escanees ni sigas esos enlaces.
¿Qué hago si encuentro una reseña publicada en mi nombre que no he escrito?
Es un indicio de que tu cuenta del marketplace ha sido comprometida. Cambia la contraseña de inmediato, activa la autenticación multifactor, revisa pedidos y direcciones, elimina las reseñas fraudulentas si puedes y reporta la incidencia a la plataforma.
¿Cómo se diferencia el brushing de la estafa del paquete con código QR?
El brushing clásico solo busca la reseña verificada y el paquete es simbólico. La variante con código QR añade un vector de phishing: aprovecha el paquete para inducirte a escanear un código que lleva a una página fraudulenta o a la descarga de malware. Es brushing combinado con quishing.
Recursos relacionados
- Qué es un infostealer: robo de credenciales 2026
- Monitorización de la dark web
- Catfishing: qué es, cómo detectarlo y prevenirlo
- Ciberseguridad para retail y eCommerce (PCI DSS)
Protección frente al brushing con Secra
En Secra ayudamos a las organizaciones a detectar pronto la exposición de datos que hace posible el brushing y otros fraudes derivados: monitorización de marca y de dark web para localizar listados, reseñas y datos personales en circulación, análisis de patrones de abuso en marketplaces y endurecimiento de la autenticación frente a la apropiación de cuentas. Lo integramos en nuestro servicio de monitorización de la dark web, pensado para anticipar el fraude antes de que se convierta en un incidente reputacional.
Solicita una evaluación inicial y planifiquemos juntos la defensa frente al brushing y la exposición de datos de tu organización.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

