Estafas mediante códigos QR: cómo funcionan y consejos para evitarlas
- Analizamos cada jornada los bulos que circulan en redes sociales
- Escríbenos por Whatsapp al 659 800 555 y verificamos por ti los mensajes que recibas
Los códigos QR son unos cuadrados con puntos en blanco y negro que, al leerse con la cámara de un teléfono móvil, te permiten conectarte con servicios informáticos e información de distinto tipo (por ejemplo, leer el menú ofrecido por un bar). Se han popularizado mucho desde la llegada de la pandemia por la necesidad de los locales de evitar ofrecer información en papel que los clientes debieran tocar. Pero algunos estafadores están utilizando esta funcionalidad para apropiarse de datos personales y bancarios de usuarios, por ejemplo colocando falsos QR en parquímetros. Te explicamos cómo lo hacen y te damos claves para evitarlo.
Cómo funcionan
Los códigos QR (abreviatura de “Quick Response code”, traducible como “código de respuesta rápida”) son una tecnología de 1994. Además de permitir consultar cartas de restaurantes, que es como los han conocido muchos usuarios, tienen otros usos como acceder rápidamente a la dirección y claves de una wifi pública, llamar por teléfono, mandar un mensaje en WhatsApp o enlazar a diferentes archivos y páginas web.
Qué está pasando
La Policía Nacional alertaba recientemente en su cuenta oficial sobre “una nueva modalidad de estafa cometida a través de los códigos QR” cuyo objetivo es “hacerse con datos personales o bancarios de las víctimas”. La publicación hacía referencia a una nota de prensa del 5 de septiembre en la que la Comisaría Provincial de Málaga ya avisaba de estos nuevos fraudes. También recomendaba algunas pautas seguras para “evitar así ser víctimas de este tipo de delitos”.
El Instituto Nacional de Ciberseguridad (INCIBE) ya alertaba en noviembre de 2020 de los peligros que encierran los códigos QR. Desde esta entidad, la técnico de ciberseguridad para ciudadanos Ángela G. Valdés nos indica que los fraudes mediante código QR son posibles, pero que las denuncias que reciben en el teléfono de ayuda a la ciberseguridad (017) sobre este tipo de fraude “son algo puntual”. En 2021 se ha reportado esta modalidad de fraude en el uso de parquímetros. Una pegatina colocada sobre un parquímetro invitaba al usuario a darse de alta en una app para el pago del aparcamiento con el móvil. La falsa app “pide los datos bancarios para hacer un uso ilegítimo” de esta información.
Estafas y fraudes QR
En 2013, un artículo en la Conferencia Internacional de Criptografía Financiera y Seguridad de Datos ya alertaba de la posibilidad de usar los códigos QR para “atraer a los usuarios a escanearlos y posteriormente visitar sitios web maliciosos, instalar programas o cualquier otra acción que admita el dispositivo móvil”. Y en 2017, algunas páginas especializadas en tecnología explicaban cómo funcionaba el proceso de hacerse con los datos de otro usuario de Whatsapp a través de un código QR.
La opacidad para el usuario sobre el funcionamiento de estos códigos permitía en 2019 que se usaran para estafar en el también oscuro mundo de las criptomonedas. Como resulta fácil insertar los códigos QR como imágenes, también han denunciado QR fraudulentos en anuncios de YouTube.
Del phishing al Qrishing
El INCIBE explica que los fraudes más habituales a través de códigos QR son la suplantación de identidad, la inyección de un código malicioso o el secuestro del propio dispositivo. La suplantación de identidad (phishing) consiste en fingir que te has conectado a la página correcta, por ejemplo, la carta de un restaurante, pero en realidad es otro sitio. Una vez allí los estafadores te piden datos personales simulando que los necesitan para servirte en tu mesa. Es un timo y en este caso se conoce como “Qrishing”.
La inyección de código malicioso, por ejemplo un virus tipo troyano, implica que el código QR que hemos leído hace que se descargue en nuestro móvil un virus a través del cual nuestros datos personales se transfieren a los ciberdelincuentes.
En el caso del secuestro del propio dispositivo, como explica la página WeLiveSecurity, los atacantes capturan tu sesión, por ejemplo la de una mensajería como Whatsapp. Tu identidad se queda “almacenada en la computadora del criminal y este puede utilizarla como desee, incluso sin causar ningún tipo de interrupción en el uso de la aplicación en el teléfono de la víctima”. Esta modalidad se conoce como “QRLjacking”.
Cómo evitar estos fraudes mediante QR
El primer consejo siempre es mantenerse alerta y desconfiar cuando te pidan que facilites información personal (por ejemplo tus datos bancarios). La comisaría provincial de la Policía Nacional de Málaga propone dos consejos básicos: Configurar nuestro teléfono para que no actúe sin nuestro permiso y fijarse mucho en si hay alguna pegatina añadida.
Para leer los códigos QR, los móviles necesitan una aplicación específica. Algunas de ellas reenvían la información que capta la cámara y directamente abren una página web. Otras nos preguntan antes de hacerlo. Los técnicos como Ángela G. Valdes del INCIBE recomiendan usar exclusivamente las segundas y desinstalar las del primer tipo. Una vez el móvil te pregunte si quieres realmente acceder al sitio que ese código te propone, no hagas clic enseguida. Tómate unos segundos para leer la dirección y preguntarte si hay algo raro ¿El nombre de la página (dominio) es coherente con el sitio al que esperas acceder? ¿Hay faltas de ortografía evidentes?
Cuidado con las pegatinas
Las pegatinas añadidas a los folletos publicitarios se colocan encima del código QR original para hacerlos pasar por auténticos. En este caso, los expertos en ciberseguridad piden también a los dueños de los negocios que revisen periódicamente los códigos que están en lugares accesibles (por ejemplo, pegados sobre la mesa de una terraza) para que nadie los cambie por otros fraudulentos.
Otro consejo consiste en mantener nuestros sistemas actualizados. En cada nueva versión se añaden características añadidas de seguridad como resultado de la experiencia de otros usuarios. El INCIBE también pide que, en el caso de códigos QR “que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas”, no los compartamos en redes sociales porque podríamos estar colaborando con la difusión de un engaño.
Te recomendamos que revises estos consejos básicos de seguridad informática en nuestra web.Te proponemos también que veas el capítulo sobre ciberestafas de la serie Backup de RTVE y nuestra sección de artículos sobre ciberdelitos.
Si tu teléfono ya ha sido atacado, por ejemplo si hay un troyano que despliega publicidad no deseada o ha cambiado las aplicaciones nativas de tu móvil, los expertos recomiendan que adquieras un antivirus para limpiarlo o que restablezcas tu móvil a la configuración de fábrica. Para este último extremo, es importante que realices copias de seguridad de tus datos de manera habitual.