Las nuevas estafas que esconden los QR

RED

Eva González Cobos / Lãberit | EFE

El Banco de España advierte de un nuevo engaño que consiste en manipular estos famosos códigos que se escanean con el móvil para sustraer datos personales o incluso dinero

25 abr 2023 . Actualizado a las 12:11 h.

Palabras como phishing o smishing han dejado de sonar extrañas para los consumidores españoles. Por desgracia. Porque detrás de ellas se esconden algunas de las más novedosas estafas, engaños que los cacos más tecnológicos utilizan para sustraer desde datos personales hasta incluso dinero de las cuentas bancarias.

Y casi al mismo ritmo que las autoridades van descubriendo sus engaños y advirtiendo a la población, los ciberdelincuentes van poniendo en marcha nuevos engaños con los que tratar de seguir engrosando su cuenta de víctimas. El Banco de España advertía esta misma semana de una nueva fórmula a la que han bautizado como QRishing, resultado de la unión de QR y phishing. Básicamente consiste en la manipulación de los códigos QR para engañar a los más incautos y que las víctimas accedan directamente a enlaces o aplicaciones maliciosas a través de las que se consigue obtener información privada.

A pesar de que los códigos QR (llamados así por las iniciales de Quick Response, o respuesta rápida en español) fueron creados en la década de los 90 en Japón, cuando realmente cogieron impulso fue al abrigo de la pandemia. Durante la desescalada cobraron un papel primordial en restaurantes y otros negocios que ofrecían servicios, ya que permitían acceder a información como las cartas y menús sin necesidad de que decenas de clientes manosearan papeles que podían contener virus. Realmente, los QR son una especie de códigos de barras evolucionados que la tecnología de los teléfonos inteligentes que disponemos hoy en día nos permite escanear y acceder a determinada información alojada en el vasto mundo de internet.

Ahora, el Banco de España ha detectado numerosas estafas a través de estos códigos. La primera está relacionada con tráfico. Los expertos del regulador han tenido constancia de varios clientes que, pensando que estaban pagando una multa, acababan en una web falsa en la que en vez de abonar la sanción lo que estaban haciendo era engrosar las cuentas de un estafador.

También hay algún camarero o dueño de establecimientos que ha caído en engaños de este tipo. Por ejemplo, el Banco de España advierte que hay delincuentes que, a la hora de pagar la cuenta en un bar, presentan a los trabajadores del mismo un código QR que supuestamente está vinculado a su propia entidad bancaria y que permite hacer un pago directo por lo que ha consumido. Pero en realidad, lo que están haciendo es un QR inverso. Es decir, están solicitando dinero en vez de pagando. Además, las autoridades aseguran que de esta forma también se pueden obtener datos personales y bancarios, por lo que puede resultar realmente peligrosa.

También se está combinando el uso de los QR con otras técnicas, como la instalación de malware (software malicioso). Estos códigos de barras provocan la instalación de programas que pueden acceder a toda clase de datos (también los bancarios) desde el teléfono móvil y sin que el damnificado se dé cuenta.

Hay otras fórmulas más rudas que consisten directamente en pegar encima del código QR real otro falso en los establecimientos comerciales o en los anuncios por la calle. Y hay veces que, con las prisas, no nos damos cuenta de lo que tenemos delante.

Desde la Organización de Consumidores y Usuarios (OCU) han lanzado algunos consejos para que los ciudadanos de a pie no caigan en las fauces de los delincuentes: «La mejor opción es identificar la dirección web a la que nos remite el código QR, hay aplicaciones de lectura de códigos que nos permiten ver el enlace antes de abrirlo, usa mejor alguna de ellas porque así podrás comprobar si se trata de un enlace sospechoso», resumen los expertos de la asociación. Además, recomiendan instalar aplicaciones solo de fuentes fiables, prestando así especial atención a aquellos QR que nos lleven directamente a descargar apps y programas en nuestros dispositivos móviles.

También recuerdan que es mejor siempre desconfiar de las páginas en las que tenga que facilitar datos personales o bancarios: «En cualquier caso, comprueba que se trata de una página segura, que comience por https://, lo que suele significar que se trata de un sitio legítimo y tiene un certificado SSL (que mantiene la seguridad de sus datos)», resumen.

Además, los expertos en ciberseguridad recomiendan que, aquellos que regenten y gestionen negocios, comprueben periódicamente que los códigos no hayan sido falseados. Mientras que, una vez más, apelan al sentido común. Si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante pararse a pensar un momento antes de actuar.

No compartir

Los códigos QR merecen especial cuidado. Incluso los que sí son legítimos. Porque estos códigos de barras pueden comprometer la privacidad de los ciudadanos. Muchos han subido, sin darse cuenta, a las redes fotos que incluían estos sistemas y que podían conllevar un peligro. Porque algunos contenían certificados médicos, comprobantes bancarios, entradas a eventos o incluso boletos de sorteos. Estos códigos pueden ser usados en nuestra contra, por lo que nunca se deben compartir a través de fotos.