“Mucho ojo si recibes en casa un paquete de Amazon junto con un QR sospechoso. Podría tratarse de una estafa”, así comienza un video publicado en el canal de TikTok de la Guardia Civil. En esta ocasión, los ciberdelincuentes aprovechando el gancho de la Navidad, suplantando compañías como Amazon, mandan un paquete a casa con un supuesto “regalo” y un código QR para que lo escanees y sepas quién te lo ha enviado.
Sin embargo, al escanear ese código, se redirige al usuario a una página web fraudulenta en la que se solicitan los datos personales y bancarios. Otra opción es que los estafadores solicitan al usuario que se descargue una web maliciosa en el dispositivo y, de esta manera, acceder a toda la información del mismo, incluidos los datos de las cuentas bancarias. Por tanto, para evitar caer en la trampa, lo más recomendable es no escanear ningún código de ningún paquete, especialmente de aquellos que no has comprado y no sabes de dónde provienen.
A esta técnica, en la que los estafadores te envían un paquete de regalo falso en nombre de Amazon o de cualquier otra compañía, se le conoce como brushing.
Qué es el brushing y cómo evitarlo
La Organización de Consumidores y Usuarios (OCU) define así el funcionamiento del brushing: “recibes en tu dirección y a tu nombre un paquete con productos que no has solicitado ni comprado.” Pero cuando escaneas el código que se incluye en el paquete para conocer el emisor o más detalles del regalo, se te identifica como cliente y pueden usar tus datos, esos datos que han obtenido sin que tú te enteraras, como la contraseña del banco. Lo que parece un regalo, o un error, como sucede en este caso con Amazon, en realidad es una suplantación de personalidad. En otras ocasiones, señalan desde este organismo, el objetivo es escribir falsas reseñas en tu nombre de un producto.
En la actualidad, los códigos QR se escanean con muchos fines. La Guardia Civil apunta en el vídeo que no se debe escanear un código QR de origen desconocido y no conoces con qué fin. Además, desde el Instituto Nacional de Ciberseguridad (INCIBE) ofrecen algunos trucos adicionales para evitar estas trampas:
Si a primera vista, la URL nos parece sospechosa, directamente no debemos acceder a ella.
Asegurarnos de que la web a la que vamos a acceder siempre cumple con estándares de protección y navegación segura, como, por ejemplo, que tenga HTTPS.
Hacer uso de analizadores de enlaces, como VirusTotal y URLVoid. De esta manera, antes de abrir la web podremos comprobar que no se trata de ningún ataque de ingeniería social como Qrishing, conocido como el phishing o smishing de los códigos QR.
También podemos recurrir a aplicaciones, como Kaspersky QR Scanner, disponible en Android e iOS, que realizan una serie de chequeos de seguridad antes de activar el código QR en el smartphone.
No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR. Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos datos de nuestra tarjeta bancaria, lo hagamos desde la URL completa o a través de su aplicación propia.
Fuentes
Canal de TikTok de la Guardia Civil
Organización de Consumidores y Usuarios (OCU)
Instituto Nacional de Ciberseguridad (INCIBE)