En los últimos tiempos, un tipo de fraude nuevo se ha hecho presente como una amenaza en aumento: la estafa del código QR. A través de esta técnica, los atacantes están aprovechando el auge de los códigos QR para robar información personal, acceder a cuentas bancarias, infectar dispositivos con malware y, en algunos casos, atacar directamente a empresas. Un ejemplo destacado tuvo lugar al final de 2023 en el Reino Unido, cuando una ciudadana escanearon un código QR para pagar el aparcamiento en una estación de tren gestionada por TransPennine Express, solo para caer víctima de un fraude de 13.000 libras.

¡Protegete de la Estafa del Código QR!

¿Cómo Funciona la Estafa del Código QR?

Los delincuentes utilizan códigos QR falsificados que imitan servicios legítimos, como sistemas de pago de aparcamientos, restaurantes o instituciones públicas. Cuando las personas escanean estos códigos, son redirigidas a sitios web fraudulentos donde se les pide información personal sensible, como datos bancarios o credenciales de acceso a plataformas importantes. En otros casos, los códigos QR permiten la descarga de malware en el teléfono móvil de la víctima, lo que les da acceso a la vigilancia y al robo de información privada, incluyendo datos de aplicaciones bancarias o corporativas.Por ejemplo, un atacante puede crear un código QR que parezca ser del parqueadero público, pero al escanearlo, la víctima es redirigida a un sitio web falso que solicita sus datos bancarios. O bien, un código QR podrías contener malware que se instala en el dispositivo móvil sin que la persona se dé cuenta, permitiendo así que los delincuentes accedan a toda la información almacenada en el dispositivo.

La Pandemia Aceleró el Uso de los Códigos QR, pero También los Fraudes

Aunque los códigos QR existen desde hace décadas, su uso se incrementó significativamente durante la pandemia de COVID-19. En restaurantes y comercios, se adoptaron estos códigos para ofrecer menús digitales y pagos sin contacto. Sin embargo, este aumento en el uso de códigos QR también facilitó su explotación por parte de los ciberdelincuentes. Hoy en día, estos códigos se encuentran en estaciones de tren, parquímetros, hospitales y hasta en anuncios publicitarios, ofreciendo a los atacantes múltiples oportunidades para llevar a cabo sus estafas.Por ejemplo, en muchas estaciones de tren, se utilizan códigos QR para el pago de billetes. Sin embargo, si un atacante crea un código QR falso y lo coloca en un lugar público, muchas personas podrían escanearlo sin dudarlo, caer en la trampa y perder sus dinero.

El “Quishing”: El Nuevo Phishing a través de Códigos QR

La estafa del código QR ha dado lugar a una variante de phishing conocida como “quishing”. En este tipo de ataque, los delincuentes envían correos electrónicos fraudulentos que contienen un código QR en lugar de un enlace. Cuando la víctima escanea el código, es redirigida a una página falsa que imita a la perfección una web legítima, como una plataforma bancaria o una red social, donde se le pide que ingrese sus credenciales de acceso. Los atacantes también pueden aprovechar el acceso al dispositivo para instalar malware o robar información sensible de aplicaciones importantes.Por ejemplo, un atacante puede enviar un correo electrónico que parece ser de la entidad bancaria, pero en lugar de un enlace, contiene un código QR. Si la persona escanea el código, será redirigida a una página falsa que se parece a la página de la entidad bancaria, donde se le pedirá que ingrese sus datos de acceso.

¿Por qué el “Quishing” es tan Peligroso?

El “quishing” ha ganado popularidad debido a que los códigos QR no muestran señales evidentes de peligro, lo que los hace más difíciles de detectar que los enlaces tradicionales de phishing. Además, muchas personas escanean códigos QR sin pensar demasiado, especialmente en situaciones de prisa, como al pagar el aparcamiento o acceder a servicios públicos, lo que las hace más vulnerables a caer en el engaño.Por ejemplo, cuando una persona está en un lugar público y ve un código QR que parece ser de un servicio legítimo, es probable que escanee el código sin dudarlo. Sin embargo, si el código es falso, la persona puede caer en la trampa y perder su información personal o ser infectada con malware.

Consejos para Evitar Caer en la Estafa del Código QR

Para protegerse de la estafa del código QR y el “quishing”, siga estos consejos:- Revisa siempre el código QR antes de escanearlo: Asegúrese de que no esté cubierto con una pegatina o alterado de alguna manera. Por ejemplo, si un código QR parece estar dañado o tiene algo extraño, no lo escanee.- Verifica la URL a la que te lleva el código: Si la dirección web parece sospechosa o no coincide con la página oficial, no ingreses tus datos. Por ejemplo, si la URL contiene caracteres extraños o no es la página que esperabas, no ingrese ninguna información.- Evita escanear códigos QR enviados por correo electrónico: Si recibes un mensaje que te pide escanear un QR, es probable que sea un intento de phishing. No escanee códigos QR de fuentes desconocidas.- Mantén actualizado tu dispositivo móvil: Asegúrate de tener instalado un software de seguridad confiable para protegerte contra el malware. Actualice regularmente su sistema operativo y los aplicaciones instaladas.- Actúa rápidamente si sospechas de un fraude: Si crees que has caído en una estafa, contacta con tu entidad bancaria o con el administrador del servicio lo antes posible. Informe el incidente y déjanos que tomemos las medidas necesarias.

La Importancia de la Seguridad Empresarial frente a la Estafa del Código QR

Las empresas también deben estar alerta, ya que los ataques de “quishing” pueden afectar tanto a clientes como a empleados. Es fundamental realizar auditorías de seguridad regulares, monitorizar posibles fraudes y formar a los trabajadores sobre cómo identificar y prevenir estos ataques. Además, las organizaciones deben contar con protocolos de respuesta a incidentes de ciberseguridad para actuar rápidamente en caso de un ataque.Por ejemplo, una empresa puede implementar software de detección de fraudes que analice los códigos QR y detecte cualquier actividad sospechosa. También puede ofrecer capacitación a sus empleados sobre cómo identificar y evitar los ataques del código QR. Y en caso de un ataque, tener un protocolo de respuesta en lugar para actuar rápidamente y minimizar las pérdidas.