En este momento puede parecer mentira, pero, hasta hace unos meses, los códigos QR estaban prácticamente obsoletos. Algunos auguraban que esta tecnología pasaría a la historia como un fracaso, pero nada más lejos de la realidad. Y es que, la búsqueda de alternativas al papel para reducir el riesgo de contagio de la covid ha revivido a los códigos QR para leer desde el móvil el certificado de vacunación a una carta de un restaurante.
Aunque esto en un principio era algo positivo, por desgracia, a medida que se va extendiendo el uso de esta herramienta, también van aumentando los casos de códigos QR fraudulentos para robar datos personales y bancarios de las personas que los utilizan.
Es lo que ha ocurrido de manera masiva en los parquímetros de algunas ciudades de Texas (Estados Unidos). Al parecer, los estafadores habrían colocado pegatinas con códigos QR falsos en estaciones de pago en Austin, Houston y San Antonio.
Si bien es España aún no se han detectado casos, debemos estar alerta, ya que estas prácticas se extienden con gran velocidad.
En qué consiste ese fraude con QR
Las alarmas saltaron el pasado 20 de diciembre, cuando la policía de San Antonio alertó de la estafa a través de su cuenta de Twitter. "Las personas que intentan pagar el estacionamiento usando esos códigos QR pueden haber sido dirigidas a un sitio web fraudulento y enviado el pago a un proveedor fraudulento", explicaban en el tuit.
SCAM ALERT: Fraudulent QR code stickers were discovered on City of San Antonio public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and submitted payment to a fraudulent vendor. 1/2 pic.twitter.com/X1hnPmnttx
- San Antonio PD (@SATXPolice) December 20, 2021
Según Fox 7 Austin, en San Antonio se han descubierto más de 100 parquímetros con códigos falsos. El Departamento de Transporte de Austin está revisando todos los parquímetros de la ciudad.
De momento, solo 29 de las 900 máquinas que están instaladas por toda la ciudad están afectadas por esta estafa. Sin embargo, no hay datos sobre el número de personas que han sido engañadas por los falsos códigos QR.
Cómo operan los estafadores para conseguir nuestros datos
El sistema de fraude es muy simple. Los estafadores imprimen los códigos QR, los enganchan en los parquímetros junto a unas indicaciones que los anunciaban como un nuevo método de pago desarrollado por el gobierno de la región.
Al escanearlo con el teléfono móvil, el código dirige al usuario a una web fraudulenta que finge ser un sistema de pago rápido para aparcar. Según los informes, la web, que parecía normal y se alojaba en el dominio pasaportelab.xyz, ya está fuera de servicio.
Este tipo de estafas se denominan phishing, aunque las realizadas a través de un código QR tienen un nombre propio: Qrishing. En ambos casos, los ciberdelincuentes envían a la víctima un enlace fraudulento a través de un correo electrónico o en este caso de un código QR.
Normalmente el atacante se hace pasar por una entidad legítima para robar datos personales o entrar en un dispositivo móvil. En el caso de los QR, el virus puede infectar el teléfono al ejecutar archivos a través del enlace o de una aplicación.
Debemos de estar preparados para el supuesto de que llegue a nuestro país
Como ya hemos mencionado, de momento, en España no se han detectado códigos QR falsos en parquímetros, aunque es una práctica que se está extendiendo.
Para evitar ser víctimas de qrishing, el Instituto Nacional de Ciberseguridad (INCIBE) recomienda en primer lugar, mantenerse alerta y desconfiar cuando te pidan que facilites información personal, como datos bancarios o el DNI.
Los expertos también recomiendan vigilar con las pegatinas añadidas a los folletos publicitarios o en cualquier sitio público, ya que muchas veces no son verdaderos.
INCIBE también recomienda mantener los sistemas operativos actualizados, ya que en cada nueva versión se añaden nuevas características de seguridad como resultado de la experiencia de otros usuarios. Al mismo tiempo, es importante que compruebes que el código QR redirige a la página indicada, es decir, que apunta a la página o servicio que dice apuntar. Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla.
Deshabilitar la apertura automática de enlaces al escanear un código QR es otra de las recomendaciones que hace el instituto, ya que de esta manera se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder
En el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, es importante no divulgar el código QR por redes sociales ya que así se evita expandir el fraude.