En este nuevo episodio de 'Delitos en la Red', el policía especializado en delitos tecnológicos, José Díaz, nos habla del QRishing es una forma de phishing que explota la confianza que generan los códigos QR. Al escanearlos con un móvil, la víctima puede ser redirigida a sitios web falsos que imitan portales oficiales, descargar malware o entregar credenciales bancarias y corporativas sin saberlo.
El nombre lo dice todo: QR más phishing, la vieja técnica de suplantación de identidad digital, ahora con una nueva piel. A diferencia de un enlace escrito que puedes leer antes de hacer clic, un código QR es una caja negra: no sabes a dónde te lleva hasta que lo escaneas. Esa es su ventaja para el delincuente y su trampa para la víctima. La invisibilidad, la confianza acumulada en estos cuadrados pixelados y su omnipresencia en espacios públicos forman una combinación letal.
¿CÓMO OPERAN LOS CIBERESTAFADORES?
La mecánica del engaño es tan sencilla como efectiva. Los delincuentes colocan pegatinas con códigos fraudulentos sobre los códigos QR originales en lugares de gran afluencia. Al escanearlos, el usuario no accede a la web oficial, sino a una réplica casi perfecta diseñada para robar credenciales.
Pero los métodos van mucho más allá de la simple pegatina. Los expertos en ciberseguridad identifican varias modalidades en expansión:
- Estafas en parkings y parquímetros. En Barcelona se detectaron QR falsos pegados en parquímetros. Al escanear, los usuarios llegaban a una web que imitaba el sistema de pago del ayuntamiento. Introducían su tarjeta para pagar el parking y los estafadores vaciaron sus cuentas.
- Multas de tráfico falsas. Puede llegarte una notificación para pagar a través de un código QR una multa de tráfico que redirige a un sitio web falso. El documento lleva sellos oficiales, una redacción impecable y un plazo de pago urgente. La presión hace el resto.
- Bares y restaurantes. Colocando una pegatina en un menú encima del QR real, los estafadores pueden llevarte a páginas web fraudulentas para robarte tus datos personales o financieros. Mallorca, con su altísima concentración de locales de hostelería y millones de turistas poco familiarizados con el entorno, es un escenario especialmente vulnerable.
- Correos y SMS con QR adjunto. El usuario recibe un email, carta o SMS con un QR que debe escanear. Es similar al smishing de Correos y DHL, pero usando códigos QR en lugar de enlaces. El QR lleva a una web de phishing idéntica a la del banco.
- Estaciones de carga de vehículos eléctricos. Los estafadores reemplazan los códigos legítimos por otros que redirigen a una página falsa de pago para robar datos bancarios. Con el auge del vehículo eléctrico, este vector de ataque está en plena expansión.
EL AUGE DEL QRISHING
El QRishing crece porque aprovecha la confianza que las personas han desarrollado hacia los códigos QR. Esta modalidad de fraude funciona porque los delincuentes se disfrazan de lo cotidiano para pasar desapercibidos.
La pandemia aceleró la adopción masiva de esta tecnología. Los códigos QR llegaron para sustituir a las cartas de papel, a los tickets en papel, a los folletos. Y con ellos llegó una normalización del gesto de escanear sin pensar. Esa inercia es el verdadero activo del estafador. A diferencia de otras formas de ciberataque, el QRishing depende directamente de la acción del usuario. El fraude solo se concreta si la persona decide escanear el código, lo que convierte a la prevención en un elemento clave.
CÓMO PROTEGERTE DEL QRISHING
La mejor defensa sigue siendo la desconfianza saludable. Estas son las pautas que recomiendan las autoridades y los expertos en ciberseguridad:
- Comprueba físicamente el QR. Antes de escanear, observa si hay alguna pegatina pegada sobre el código original. Un adhesivo ligeramente levantado, mal alineado o de diferente textura es una señal de alarma.
- Activa la vista previa de la URL. Algunas aplicaciones permiten ver la URL antes de redirigirte, lo que te da la oportunidad de verificar su legitimidad. Una vez que escanees el código, revisa la dirección y asegúrate de que es segura antes de continuar.
- Desconfía de los QR recibidos por correo. La más obvia es no escanear códigos QR recibidos por email, especialmente de fuentes que no reconozcas.
- No introduzcas datos bancarios tras escanear un QR desconocido. Ningún organismo oficial, banco ni empresa legítima te pedirá datos sensibles a través de un código QR colocado en la calle.
- Mantén tu dispositivo actualizado. Cada nueva versión del sistema operativo suele incluir nuevas medidas de seguridad para prevenir ciberestafas.
- Activa la autenticación en dos factores (2FA). Aunque un ciberdelincuente consiga tu contraseña, no podrá acceder a tu cuenta sin una autenticación adicional.
QUÉ HACER SI YA HAS CAÍDO EN LA TRAMPA
Si sospechas que has sido víctima de un ataque de QRishing, cada minuto cuenta. Los expertos recomiendan actuar de inmediato. Lo primero es interrumpir cualquier transacción en curso. Si has facilitado información bancaria, contacta inmediatamente con tu banco para bloquear posibles operaciones fraudulentas.
Otra actuación inmediata debe ser la de cambiar todas tus contraseñas. Empieza por las cuentas bancarias, el correo electrónico y las redes sociales. Usa contraseñas únicas y largas para cada servicio.
Escanea tu dispositivo con un antivirus. Asegúrate de que no se haya descargado ningún software extraño y de que la página no haya realizado ninguna descarga automática sobre tu dispositivo.
Finalmente, denuncia ante las autoridades. La Policía Nacional y el INCIBE (Instituto Nacional de Ciberseguridad) tienen canales específicos para reportar estos delitos. Cada denuncia ayuda a mapear y desmantelar las redes de ciberestafadores.
