Los códigos QR (quick response, respuesta rápida, en inglés), conocidos por todos, son cuadrados compuestos por recuadros blancos y negros más pequeños, parecidos a un tablero de ajedrez, pero desordenado. Tienen un formato similar a los códigos de barras y no son legibles por los humanos, con lo que es imprescindible escanearlos para saber lo que contienen. Normalmente, los datos codificados conducen a un enlace web.
A raíz de la pandemia de la COVID-19 se han popularizado y su uso se ha hecho muy común para consultar, por ejemplo, la carta de un restaurante, ver la clave de la wifi, entrar en la sala de cine, pagar con el móvil o acceder a algunas páginas o aplicaciones como la versión de ordenador de WhatsApp.
Tal y como vemos, estos códigos son muy útiles para facilitar el acceso a determinados servicios y agilizan muchos procesos del día a día. No obstante, también se utilizan para realizar estafas. Los ciberdelincuentes emplean los QR mediante códigos fraudulentos que suplantan a los legítimos. Es lo que se conoce como QRishing. Además, existe otra modalidad de estafa con estos códigos, el QRLjacking o la estafa del inicio de sesión.
¿Cuáles son las estafas más comunes con QR? ¿Cómo me puedo proteger? Aquí te damos todas las claves.
QRishing: una de las estafas más comunes
El Banco de España explica que QRishing es el término que se usa para denominar a las estafas que emplean los códigos QR como vía de entrada para ciberdelinquir. Consiste en la manipulación de estos códigos para engañar a las víctimas que terminan accediendo a webs o aplicaciones fraudulentas en las que los estafadores se hacen con sus datos personales.
La palabra viene de la combinación de QR y phishing, otro tipo de estafa que hemos explicado anteriormente.
Restaurantes y multas de aparcamiento, dos de las estafas más habituales con QRishing
El pasado mes de abril, el Ministerio del Interior puso en marcha una campaña de concienciación a través de redes sociales, para informar acerca de algunas de las principales tácticas utilizadas por los ciberdelincuentes para estafar a sus víctimas. Para ello, la institución elaboró dos vídeos, el primero de los cuales está dedicado a los códigos QR.
En ese vídeo, una guardia civil señala que estos códigos son herramientas cotidianas para todos, incluidos los ciberdelincuentes. La agente explica que los estafadores están empleando QR reales, utilizados a la hora de pagar en restaurantes o en multas de aparcamiento, para sustituirlos por otros que redirigen al usuario a pasarelas de pago fraudulentas.
En el caso de un restaurante, si al escanear uno de estos códigos dudamos de la página web a la que nos remite, la guardia civil recomienda consultar con el establecimiento si el método de pago es a través del QR sospechoso.
Además, si nos encontramos en el coche una multa con un QR, la agente aconseja dudar y confirmar la veracidad de la sanción buscando en internet, por ejemplo, el número de referencia que figura en la multa, ya que puede haber denuncias previas de dicho número. Por otra parte, si ya se han introducido los datos de la tarjeta de pago en una pasarela sospechosa, nos tenemos que poner en contacto con nuestra entidad bancaria cuanto antes, para ver si es posible evitar la estafa. A modo de conclusión, la protagonista del vídeo recuerda que uno de cada cinco delitos se comente en la red.
Otras formas de estafa con QRishing: QR inverso
El Banco de España advierte de otros métodos que utilizan los ciberdelincuentes en un ataque del tipo QRishing. Existe, por ejemplo, el timo del QR inverso, en el cual las víctimas en lugar de ser los clientes de un restaurante son los camareros. En este caso, el estafador realiza una consumición en un local y a la hora de pagar muestra un código QR al camero que da por hecho que corresponde a la cuenta bancaria del cliente (estafador) y que al escanearlo cobraría la consumición, pero en realidad es una solicitud de dinero. Con esto, el ciberdelincuente consigue hacerse con los datos bancarios y personales de la víctima para robarle dinero.
QRLjacking: otra modalidad de estafa
El Basque Cybersecurity Center (BCSC), la entidad designada por el Gobierno del País Vasco para fomentar la ciberseguridad en la comunidad autónoma, explica que el QRLjacking es la herramienta de ingeniería social en la que un estafador suplanta un QR para robar información de un usuario que quiere acceder a un sitio web.
La tecnología SQRL permite iniciar sesión en una página sin necesidad de especificar usuario y contraseña al utilizar, en su lugar, un código QR. Con este sistema de autenticación, en la pantalla de la página a la que quiere acceder el usuario en lugar de los campos habituales para introducir las claves de acceso se muestra un código QR que, una vez escaneado con el móvil, permite iniciar automáticamente la sesión del usuario sin solicitar credenciales.
En las estafas por QRLjacking, los ciberdelincuentes suplantan el SQRL de una web para tratar de estafar a la víctima que escanea el código y, así, facilita sus contraseñas. Por ejemplo, WhatsApp web tiene la opción de poder trabajar en el navegador web de nuestro ordenador autenticándonos con un código SQRL, un ciberdelincuente podría mostrarnos una falsa web de acceso de manera que cuando escaneáramos el código QR secuestraría nuestra sesión en su ordenador y a la vez serviría un código SQRL válido para la víctima que accedería a su WhatsApp sin sospechar nada extraño.
¿Cómo me protejo del QRishing y el QRLjacking?
Desde el Instituto Nacional de Ciberseguridad (INCIBE) nos dan algunas pautas de prevención de este tipo de estafas, fundamentalmente no acceder a una página si la dirección parece sospechosa o cerciorarnos de que la dirección web empiece por https, lo que garantiza que es una página segura. También recomiendan no dar datos y contraseñas en sitios web a los que hayamos accedido a través de un QR.
Es fundamental no escanear códigos sospechosos y evitar proporcionar datos bancarios y personales en las páginas a las que redireccionan los códigos QR. El INCIBE nos traslada una serie de recomendaciones y buenas prácticas que se deben tener en cuenta
- Si la url nos parece sospechosa, no debemos acceder a ella.
- Asegurarnos de que la web a la que vamos a acceder siempre cumple con estándares de protección y navegación segura, como, por ejemplo, que empieza por https.
- Hacer uso de analizadores de enlaces, antivirus y chequeos de seguridad.
- No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR. Es conveniente que si accedemos a páginas de entidades bancarias o comercios on-line donde introducimos datos bancarios, lo hagamos desde la url completa o a través de su aplicación propia.
Alberto Aza, portavoz de CECA -asociación de cajas de ahorros y bancos creados por ellas, integrada por CaixaBank, Kutxabank y Cajasur Banco, Abanca, Unicaja Banco, Ibercaja Banco, Caixa Ontinyent, Colonya Pollença y Cecabank- explica que “El peligro de los códigos QR se debe, en primer lugar, a su sencillez. Al ser, por concepto, algo tan básico asumimos que no poseen riesgos, parecen patrones inofensivos. El problema es que, al contener un código oculto, es muy fácil que los ciberdelincuentes puedan dirigirnos a sitios web maliciosos. Por ello, la concienciación y la educación financiera y digital son la mejor herramienta de protección”
Por otra parte, la Policía Nacional explica en su perfil oficial de TikTok que debemos tener mucho cuidado con las acciones que realizamos sobre códigos QR porque pueden ser maliciosos y descargar en nuestro teléfono móvil malware que acceda a datos de carácter personal.
¿Qué hago si ya he sido víctima?
En caso de haber caído en la estafa de los ciberdelincuentes, el INCIBE recomienda, en primer lugar, cambiar contraseñas y comprobar la configuración de privacidad. Seguidamente, hay que contactar con la web o el servicio para que emprenda las medidas procedentes. No hay que olvidarse de pasar el antivirus y, sobre todo, ponerse en contacto con nuestra entidad bancaria para procurar anular las operaciones que no se hayan realizado todavía y, en su caso, anular la tarjeta de crédito.
Y si es necesario, desde el Instituto Nacional de Ciberseguridad aconsejan contactar con las oficinas municipales de información al consumidor, dar a conocer la incidencia en el correo incidencias@incibe-cert.es y llamar al 017, la línea de ayuda en ciberseguridad, e interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Fuentes
Basque Cybersecurity Center (BCSC)
Web de INCIBE
Qué hacer si eres víctima de fraude, en INCIBE
Declaraciones de Alberto Aza, portavoz de CECA