El QRshing es un nuevo tipo de estafa que tiene su origen en el phishing, una acción delictiva cuyo objetivo es el envío de enlaces maliciosos – a través del móvil u ordenador – para engañar a los usuarios y que estos faciliten sus datos personales y/o bancarios y así extraerles su dinero de forma malintencionada. En este tipo de engaños es habitual que los estafadores suplanten la identidad de una entidad bancaria o de alguna plataforma que los usuarios utilicen de forma habitual. Para llevar a cabo esta estafa se suelen servir de SMS o correos electrónicos fraudulentos donde solicitan a los usuarios que inserten sus datos personales para, supuestamente, restaurar contraseñas perdidas o actualizar su información.
¿Qué es un código QR y cómo funciona?
Los códigos QR (abreviatura de “Quick Response code” o “código de respuesta rápida” en su traducción al castellano) son unos símbolos cuadrados que cuentan en su interior con diferentes combinaciones de puntos en blanco y negro. Cada combinación está asociada a un tipo de información diferente y, al leer el código con la cámara de un móvil, permiten conectarse a diferentes servicios informáticos o acceder a diversa información, como por ejemplo la carta de un restaurante.
A raíz de la pandemia, su popularidad ha crecido exponencialmente debido a la necesidad de evitar ofrecer la información en papel para no fomentar posibles contagios. Sin embargo, los nuevos avances tecnológicos también permiten que los estafadores encuentren nuevas vías para delinquir, más aún en la era digital en la que vivimos actualmente. De esta forma, ya han comenzado a proliferar los primeros delitos a través de esta funcionalidad mediante falsos códigos QR que buscan hacerse de forma malintencionada con los datos personales y bancarios de los usuarios.
El phishing llega a los códigos QR, ¿qué es el QRshing?
Las medidas de seguridad que se implantaron durante la pandemia para evitar nuevos contagios han permitido la proliferación de los códigos QR para acceder de forma rápida y sencilla a las cartas de los restaurantes, a nuestro pasaporte COVID o a las entradas de un concierto, y todo ello sin la necesidad de llevar un solo papel encima. En este escenario es donde aparece el temido QRshing o QR phishing, una estafa que consiste en la suplantación de la identidad de la empresa a la que se vincula un determinado código QR para acceder a los datos personales de los usuarios – como números de tarjetas de crédito o de cuentas bancarias – con fines delictivos.
Una vez que los ciberdelincuentes consiguen realizar la suplantación pueden extraer los datos personales del usuario de dos formas:
- Invitándole a que sea él mismo quien introduzca sus datos con alguna excusa creíble.
- Redirigiéndole a un enlace que descargará automáticamente un software maligno (malware) en el dispositivo para hackearlo y robar todos los datos.
Ejemplos de estafas con códigos QR
Las estafas a través de códigos QR pueden ser de diversa índole. A continuación, enumeramos algunas de las formas más populares a través de las que los cibercriminales utilizan los códigos QR para llevar a cabo sus ataques de phishing:
- Multas de aparcamiento falsas: los estafadores podrían colocar multas falsas sobre la luna de los coches imitando el grafismo de la policía. Estas contienen un código QR que invita al usuario al pago online de la falsa multa.
- Correos electrónicos: muchos usuarios de banca electrónica podrían recibir correos suplantando la identidad de su entidad financiera para hacerles llegar un código QR malicioso que les invite a insertar sus datos personales en el enlace. Entre las excusas más comunes para incitar al usuario a escanear los QR se encuentran: dar su consentimiento a los nuevos cambios de política de privacidad, cambiar su contraseña o revisar nuevos procedimientos de seguridad.
- Parquímetros: en los parquímetros de algunas ciudades los delincuentes ya han comenzado a colocar pegatinas con códigos QR fraudulentos. Su objetivo es engañar a los conductores para hacerles creer que deben pagar su estacionamiento a través de una web especial, pero en realidad esta plataforma está destinada a robar sus datos bancarios.
Consejos para protegerte del QRshing
Como hemos visto, son muchas las formas en las que los ciberdelincuentes pueden tratar de acceder a nuestros datos sensibles a través de los códigos QR. Para evitar ser víctimas de estos comportamientos delictivos, existen una serie de recomendaciones que conviene seguir y conseguir así minimizar las probabilidades de caer en sus engaños:
- Desactiva la opción de abrir automáticamente los enlaces al escanear los códigos QR: de esta forma podrás revisar y comprobar que la dirección web es segura antes de entrar en ella.
- Comprueba que no hay una pegatina superpuesta sobre un código QR original antes de escanear un QR en un restaurante o comercio.
- No compartas con nadie códigos QR con información personal: sobre todo aquellos que contengan datos sensibles. La mejor opción es que los guardes de forma segura en tu dispositivo.
- Instala un antivirus en tu teléfono móvil para que pueda realizar análisis periódicos con frecuencia en busca de posible malware instalado.
- Descarga siempre todas las aplicaciones desde la tienda oficial del sistema operativo de tu dispositivo o desde la página web oficial del desarrollador.
Grupo Caja Rural: tu seguridad, nuestra apuesta más fuerte
Todas las entidades que formamos parte de Grupo Caja Rural trabajamos con esfuerzo para que todos nuestros servicios de banca digital cuenten siempre con las máximas garantías de seguridad. Por ello, si has caído en alguna estafa o tienes sospechas de que podrías haber sido víctima de algún movimiento fraudulento, no dudes en ponerte en contacto con nosotros a través de los teléfonos 913 346 780 o 900 822 670 para que podamos ayudarte a resolver tu incidencia con la mayor celeridad posible.