El Banco de España alerta de un nuevo tipo de fraude o robo de datos personales e incluso dinero, esta vez a través de códigos QR. ¡Atentos para no caer en esta nueva trampa!
Ya conocíamos los nuevos códigos QR o ‘Quick Response’ que básicamente son los códigos de barras tradicionales pero mejorados para que nos enlacen a un contenido o web concreto. También conocíamos el llamado ‘phishing’ o cómo los ciberdelincuentes nos pueden robar los datos personales, las claves y contraseñas para usurpar nuestra identidad e incluso para robarnos directamente de nuestra cuenta bancaria. Ahora, el portal del cliente del Banco de España alerta de la fusión de ambos conceptos para hablar del ‘QRshing’ o cómo robarnos gracias a un QR.
Los ladrones se modernizan para engañar a sus víctimas y sus artimañas cambian tan rápido como nuestra sociedad. Si los códigos QR proliferaron especialmente con la pandemia y el covid para evitar el contacto directo, una vez instaurados en nuestro día a día, son utilizados para robarnos datos personales.
Nos han aportado rapidez y comodidad para acceder sin papel a un concierto o para consultar la carta de un restaurante. Ahora, tenemos que pensarnos dos veces cuando escaneamos un código QR con nuestro móvil.
Éstas son algunas de las recomendaciones que el Banco de España enumera para evitar riesgos y ponérselo fácil a los ciberdelincuentes:
- Multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.
- Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
- Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.
- Colocando pegatinas encima el código QR real en un establecimiento comercial.
De la unión de los términos QR y phishing surge el nombre de este fraude, el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.
¿Qué puedo hacer para detectar y prevenir este tipo de fraude? La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR: - Aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.
- Extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo. Si es un enlace acortado mejor «alargarlo» antes para verificarlo o no abrirlo.
- Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.
- Como dueño de una empresa comprueba los QR que pones a disposición de tus clientes para comprobar que no han sido falseados.
- Utilizar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store.
Es importante prestar atención a los detalles y ante cualquier sospecha no escanear el QR y buscar con las vías tradicionales la información, es decir, buscar la web oficial del banco, empresa, restaurante, etc.
En general, un principio de ciberseguridad es desconfiar como primera opción para protegernos. No debemos ser confiados por normal, porque ya es demasiado habitual y frecuente encontrar potenciales delitos y fraudes tecnológicos.
Los códigos QR pueden ir en certificados, recetas, citas o documentos sanitarios, en entradas o comprobantes bancarios,… y en ningún caso debemos enviar ni facilitarlos por ninguna vía para no poner en peligro nuestra privacidad ni ningún bien o servicio. Cualquier documento o archivo puede contener información sensible y es altamente recomendable guardarlo de forma segura.