QRishing: ten cuidado con los códigos QR fraudulentos

28/02/2023

Los ciberdelincuentes siempre van un paso por delante y prueban distintas modalidades para defraudar a sus víctimas. Esta nueva entrada de la serie «Protégete contra el fraude» te permitirá sospechar y actuar en caso de que ocurra.

Un código QR (Quick Response) es un código de barras evolucionado que, tras ser escaneado por un lector con nuestro móvil, nos permite acceder a la información. Un enlace a una web, una aplicación, entradas de un concierto en PDF, la carta de un restaurante, billetes de tren en pkpass, la clave de una red wifi, unas coordenadas o una tarjeta de contacto.

Inventado en Japón en los años 90, desde la pandemia se ha popularizado enormemente para reducir el contacto con soportes físicos en usos como el certificado de vacunación, el menú del restaurante o en el mobiliario urbano. Esto no ha pasado desapercibido para los ciberdelincuentes que pueden «colarnos» enlaces maliciosos. ¿Qué modus operandi utilizan? Veamos algunos ejemplos reales que han sucedido en los últimos meses:

  • Multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.
  • Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
  • Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.
  • Colocando pegatinas encima el código QR real en un establecimiento comercial.

De la unión de los términos QR y phishing surge el nombre de este fraude, el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.

¿Qué puedo hacer para detectar y prevenir este tipo de fraude? La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR:

  • Aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.
  • Extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo. Si es un enlace acortado mejor «alargarlo» antes para verificarlo o no abrirlo.
  • Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.
  • Como dueño de una empresa comprueba los QR que pones a disposición de tus clientes para comprobar que no han sido falseados.
  • Utilizar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store.

¿Te ha parecido útil esta información?