top of page

馃毃 Ten cuidado con el escaneo de c贸digos QR



Los c贸digos QR son unos cuadrados con puntos en blanco y negro que, al leerse con la c谩mara de un tel茅fono m贸vil, te permiten conectarte con servicios inform谩ticos e informaci贸n de distinto tipo (por ejemplo, leer el men煤 ofrecido por un bar). Se han popularizado mucho desde la llegada de la pandemia por la necesidad de los locales de evitar ofrecer informaci贸n en papel que los clientes debieran tocar. Pero algunos estafadores est谩n utilizando esta funcionalidad para apropiarse de datos personales y bancarios de usuarios, por ejemplo colocando falsos QR en parqu铆metros. Te explicamos c贸mo lo hacen y te damos claves para evitarlo.



C贸mo funcionan Los c贸digos QR (abreviatura de 鈥淨uick Response code鈥, traducible como 鈥渃贸digo de respuesta r谩pida鈥) son una tecnolog铆a de 1994. Adem谩s de permitir consultar cartas de restaurantes, que es como los han conocido muchos usuarios, tienen otros usos como acceder r谩pidamente a la direcci贸n y claves de una wifi p煤blica, llamar por tel茅fono, mandar un mensaje en WhatsApp o enlazar a diferentes archivos y p谩ginas web.


Qu茅 est谩 pasando


La Polic铆a Nacional alertaba recientemente en su cuenta oficial sobre 鈥渦na nueva modalidad de estafa cometida a trav茅s de los c贸digos QR鈥 cuyo objetivo es 鈥渉acerse con datos personales o bancarios de las v铆ctimas鈥. La publicaci贸n hac铆a referencia a una nota de prensa del 5 de septiembre en la que la Comisar铆a Provincial de M谩laga ya avisaba de estos nuevos fraudes. Tambi茅n recomendaba algunas pautas seguras para 鈥渆vitar as铆 ser v铆ctimas de este tipo de delitos鈥.


El Instituto Nacional de Ciberseguridad (INCIBE) ya alertaba en noviembre de 2020 de los peligros que encierran los c贸digos QR. Desde esta entidad, la t茅cnico de ciberseguridad para ciudadanos 脕ngela G. Vald茅s nos indica que los fraudes mediante c贸digo QR son posibles, pero que las denuncias que reciben en el tel茅fono de ayuda a la ciberseguridad (017) sobre este tipo de fraude 鈥渟on algo puntual鈥. En 2021 se ha reportado esta modalidad de fraude en el uso de parqu铆metros. Una pegatina colocada sobre un parqu铆metro invitaba al usuario a darse de alta en una app para el pago del aparcamiento con el m贸vil. La falsa app 鈥減ide los datos bancarios para hacer un uso ileg铆timo鈥 de esta informaci贸n.



Estafas y fraudes QR En 2013, un art铆culo en la Conferencia Internacional de Criptograf铆a Financiera y Seguridad de Datos ya alertaba de la posibilidad de usar los c贸digos QR para 鈥渁traer a los usuarios a escanearlos y posteriormente visitar sitios web maliciosos, instalar programas o cualquier otra acci贸n que admita el dispositivo m贸vil鈥. Y en 2017, algunas p谩ginas especializadas en tecnolog铆a explicaban c贸mo funcionaba el proceso de hacerse con los datos de otro usuario de Whatsapp a trav茅s de un c贸digo QR. La opacidad para el usuario sobre el funcionamiento de estos c贸digos permit铆a en 2019 que se usaran para estafar en el tambi茅n oscuro mundo de las criptomonedas. Como resulta f谩cil insertar los c贸digos QR como im谩genes, tambi茅n han denunciado QR fraudulentos en anuncios de YouTube.



Del phishing al Qrishing El INCIBE explica que los fraudes m谩s habituales a trav茅s de c贸digos QR son la suplantaci贸n de identidad, la inyecci贸n de un c贸digo malicioso o el secuestro del propio dispositivo. La suplantaci贸n de identidad (phishing) consiste en fingir que te has conectado a la p谩gina correcta, por ejemplo, la carta de un restaurante, pero en realidad es otro sitio. Una vez all铆 los estafadores te piden datos personales simulando que los necesitan para servirte en tu mesa. Es un timo y en este caso se conoce como 鈥淨rishing鈥.


La inyecci贸n de c贸digo malicioso, por ejemplo un virus tipo troyano, implica que el c贸digo QR que hemos le铆do hace que se descargue en nuestro m贸vil un virus a trav茅s del cual nuestros datos personales se transfieren a los ciberdelincuentes. En el caso del secuestro del propio dispositivo, como explica la p谩gina WeLiveSecurity, los atacantes capturan tu sesi贸n, por ejemplo la de una mensajer铆a como Whatsapp. Tu identidad se queda 鈥渁lmacenada en la computadora del criminal y este puede utilizarla como desee, incluso sin causar ning煤n tipo de interrupci贸n en el uso de la aplicaci贸n en el tel茅fono de la v铆ctima鈥. Esta modalidad se conoce como 鈥淨RLjacking鈥.



C贸mo evitar estos fraudes mediante QR El primer consejo siempre es mantenerse alerta y desconfiar cuando te pidan que facilites informaci贸n personal (por ejemplo tus datos bancarios). La comisar铆a provincial de la Polic铆a Nacional de M谩laga propone dos consejos b谩sicos: Configurar nuestro tel茅fono para que no act煤e sin nuestro permiso y fijarse mucho en si hay alguna pegatina a帽adida. Para leer los c贸digos QR, los m贸viles necesitan una aplicaci贸n espec铆fica.


Algunas de ellas reenv铆an la informaci贸n que capta la c谩mara y directamente abren una p谩gina web. Otras nos preguntan antes de hacerlo. Los t茅cnicos como 脕ngela G. Valdes del INCIBE recomiendan usar exclusivamente las segundas y desinstalar las del primer tipo. Una vez el m贸vil te pregunte si quieres realmente acceder al sitio que ese c贸digo te propone, no hagas clic enseguida. T贸mate unos segundos para leer la direcci贸n y preguntarte si hay algo raro 驴El nombre de la p谩gina (dominio) es coherente con el sitio al que esperas acceder? 驴Hay faltas de ortograf铆a evidentes?


Cuidado con las pegatinas Las pegatinas a帽adidas a los folletos publicitarios se colocan encima del c贸digo QR original para hacerlos pasar por aut茅nticos.


En este caso, los expertos en ciberseguridad piden tambi茅n a los due帽os de los negocios que revisen peri贸dicamente los c贸digos que est谩n en lugares accesibles (por ejemplo, pegados sobre la mesa de una terraza) para que nadie los cambie por otros fraudulentos. Otro consejo consiste en mantener nuestros sistemas actualizados. En cada nueva versi贸n se a帽aden caracter铆sticas a帽adidas de seguridad como resultado de la experiencia de otros usuarios.


El INCIBE tambi茅n pide que, en el caso de c贸digos QR 鈥渜ue faciliten el acceso a unos servicios determinados de transporte, ocio o 谩reas reservadas鈥, no los compartamos en redes sociales porque podr铆amos estar colaborando con la difusi贸n de un enga帽o. Te recomendamos que revises estos consejos b谩sicos de seguridad inform谩tica en nuestra web.Te proponemos tambi茅n que veas el cap铆tulo sobre ciberestafas de la serie Backup de RTVE y nuestra secci贸n de art铆culos sobre ciberdelitos.


Si tu tel茅fono ya ha sido atacado, por ejemplo si hay un troyano que despliega publicidad no deseada o ha cambiado las aplicaciones nativas de tu m贸vil, los expertos recomiendan que adquieras un antivirus para limpiarlo o que restablezcas tu m贸vil a la configuraci贸n de f谩brica. Para este 煤ltimo extremo, es importante que realices copias de seguridad de tus datos de manera habitual.


Comentarios


bottom of page