Los códigos QR (Quick Response) se han convertido en una gran herramienta de comunicación e información, útil para acceder a una web o una aplicación, entrar a un concierto, consultar la carta de un restaurante, montar en tren, mostrar un certificado de vacunación o compartir una clave WIFI, entre muchas otras funciones.
Tal ha sido su auge en los últimos años que no han podido escapar de los ciberdelincuentes, quienes aprovechan su popularidad para cometer fraudes.
Desde el Portal Cliente Bancario, ofrecido por el Banco de España, han recopilado algunos ejemplos de prácticas fraudulentas de las que han tenido conocimiento en los últimos meses.
Una de las más recientes ha consistido en la emisión de multas de tráfico falsas, colocadas sobre los parabrisas de los coches de Madrid, cuyo QR conduce a una web falsa para el pago de la supuesta sanción.
Otra práctica fraudulenta, detectada en los últimos tiempos, recibe el nombre de QR inverso, y sus víctimas son camareros de bar en el momento de pagar la cuenta. "El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios", explica el portal.
También se han detectado QR fraudulentos en establecimientos comerciales, con pegatinas falsificadas que se superponen a los QR reales, o QR en combinación de otras técnicas, "como la instalación de malware o webs que suplantan páginas reales".
QR + phishing = QRishing
Muchas de las técnicas anteriormente recopiladas esconden lo que tanto el Portal Cliente Bancario como otras fuentes autorizadas están denominando el QRishing: un término que surge de la unión de QR y phishing. "Consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada", explica el portal.
Para detectar y prevenir este tipo de fraudes, el portal ofrece algunos consejos a tener en cuenta cada vez que vayamos a consultar un código QR.
En primer lugar, si la web empieza por https significará que la página cuenta con un mínimo de seguridad y protección, aunque no es una regla infalible.
En segundo lugar, se deben extremar las precauciones y comprobar que la dirección de la web o url no sea sospechosa. "Si es un enlace acortado mejor alargarlo antes para verificarlo o no abrirlo".
En el caso de que la web nos solicite datos, es preferible que accedamos nosotros mismos a la misma página mediante la url completa, mediante la página principal o mediante una aplicación.
A los empresarios que ofrezcan este tipo de códigos, se les recomienda comprobar las direcciones que ponen a disposición de los clientes para verificar que no han sido falseadas.
Por último, y de forma general, se recomienda emplear aplicaciones que permitan visualizar el enlace antes de abrirlo. "En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store", concluye el blog.
