Aviso del Banco de España: cuidado al escanear códigos QR, pueden ser fraudulentos

Correos electrónicos, SMS o llamadas. A la hora de detectar una estafa, estos tres canales de comunicación son los más conocidos por la mayoría de la población, pero los ciberdelincuentes siempre van un paso por delante y han encontrado nuevas modalidades para defraudar a sus víctimas. Una de ellas son los códigos QR, alerta el Banco de España a través de su Portal del Cliente Bancario.

Un código QR (Quick Response) es un código de barras evolucionado que, tras ser escaneado por un lector con nuestro móvil, nos permite acceder a la información. Un enlace a una web, una aplicación, entradas de un concierto en PDF, la carta de un restaurante, billetes de tren, la clave de una red wifi, unas coordenadas o una tarjeta de contacto.

Con la pandemia su uso se popularizó para reducir el contacto, una tendencia que no ha pasado inadvertida entre los ciberdelincuentes, que ahora también usan los QR para estafas. ¿Qué modus operandi utilizan? El Banco de España recopila algunos ejemplos reales que han sucedido en los últimos meses:

-Multas de tráfico con un QR que conducen a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.

-Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.

-Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.

-Colocando pegatinas encima el código QR real en un establecimiento comercial.

-De la unión de los términos QR y phishing surge el nombre de este fraude, el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.

¿Qué puedo hacer para detectar y prevenir este tipo de fraude? La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR:

-Aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.

-Extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo. Si es un enlace acortado mejor "alargarlo" antes para verificarlo o no abrirlo.

-Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.

-Como dueño de una empresa es aconsejable comprobar que los QR que se ponen a disposición de los clientes para constatar que no han sido falseados.

-Utilizar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de dispositivos iOS se hace desde la propia cámara pero hay que activar la funcionalidad. En Android está la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que se pueden encontrar en la Play Store.