La posible estafa que se esconde en la carta de algunos restaurantes

Existían desde antes, pero si hicieron un hueco definitivo entre nosotros durante la pandemia. Los códigos QR se inventaron como una evolución del código de barras. El primero se creó en 1994 a manos de una empresa japonesa, Denso Wave, que trabajaba para Toyota y necesitaba rastrear con precisión los vehículos y piezas durante el proceso de fabricación. Después de tener éxito, la compañía liberó la patente. Los códigos QR han evolucionado en todo este tiempo: se leen con cualquier dispositivo móvil, son capaces de almacenar muchos datos y están todos lados. Su uso se implantó especialmente a golpe de coronavirus. Evitar compartir objetos que hubiesen tocado otros obligó a que la hostelería reemplazase sus cartas físicas por este tipo de códigos. Ahora, los ciberdelincuentes han encontrado en ellos una nueva y sofisticada vía para estafar a los usuarios.

Se le conoce como Qrishing, un término que tiene su origen en el phishing —se acuñó así para hacer alusión a usar un cebo y esperar a que las víctimas «piquen»— y consiste en el robo de contraseñas y datos sensibles a través de un código QR. La Policía Nacional, y concretamente la Unidad de Delitos Tecnológicos, ha alertado de un auge en las denuncias de este tipo de estafas.

¿Cómo funciona?

Los estafadores colocan pegatinas con un falso código QR —entre sus características está que cualquiera puede generar uno— sobre el verdadero código, que habitualmente está puesto en la carta o encima de la mesa de un restaurante. El cliente hace uso de la cámara de su teléfono móvil para acceder al menú del local y lo que consigue esta falsa pegatina es redireccionarlo directamente a una plataforma de pago o a una página web falsa dónde los estafadores tratan de robarle sus datos.

De hecho, este tipo de métodos también se utilizan en carteles informativos de, por ejemplo, clases particulares o actividades infantiles. Así, los padres lo escanean y con la excusa de apuntar a sus hijos les redirigen a plataformas de pago, por lo que en un primer momento no sospechan y les proporcionan los datos personales y claves bancarias para realizar pagos. En Estados Unidos incluso aparecieron adheridos a parquímetros, fingiendo ser una vía para pagar el estacionamiento. Y hace unos meses, el Ayuntamiento de Madrid alertaba de la aparición en los parabrisas de algunos vehículos de falsas sanciones de tráfico que incluían un código QR.

Cargos fraudulentos

Las víctimas son conscientes de haber sido estafadas porque ven cargos en sus cuentas bancarias de los que no conocen el origen. Estos códigos falsos también pueden generar suscripciones, que se entienden legítimas al haber accedido a la página de suscripción de manera voluntaria, por eso es importante darse de baja de inmediato. Porque de no ser así se cargará un importe de dinero al mes.

La Organización de Consumidores y Usuarios (OCU) recomienda que, para prevenir una posible estafa, los usuarios traten de identificar siempre la dirección web a la que nos remite un código QR. Para eso existen aplicaciones de lectura que permiten ver los enlaces antes de abrirlos. También es importante comprobar que se trata de una página segura, que comience por «https://», lo que significa que es un sitio legítimo y tiene un certificado SSL (que mantiene la seguridad de sus datos).

Por su parte, la policía recomienda fijarse también en que no haya un código pegado encima de otro, porque esa puede ser la primera señal de alarma. Además, un QR situado en la mesa de un local de hostelería nunca pedirá a un cliente que introduzca sus datos personales. 

También hay que sospechar de aquellos códigos que redirijan a páginas con anuncios o enlaces extraños. O de aquellas que, como es habitual en los casos de intentos de estafa, contengan faltas de ortografía.