La estafa del código QR: cuidado al escanear estos símbolos en restaurantes y otros sitios públicos

De la noche a la mañana, incluso nuestros mayores aprendieron a consultar el menú del día en sus teléfonos móviles, lo que a largo plazo ha traído un impacto positivo en el medio ambiente: para muchos negocios ya no es necesario imprimir a diario; tan solo actualizar la información digital que corresponda.

Estos códigos QR no tardaron en llegar también a los distintos formatos publicitarios, cajeros, parquímetros e incluso a los faldones de los programas de televisión (como cuando el informativo de turno nos anima a ampliar una noticia escaneando la imagen sobreimpresionada en pantalla). Podemos aseverar entonces que hoy día existe un QR para todo, motivo por el que los ciberdelincuentes han encontrado un nuevo ámbito de actuación.

A la nueva tipología de estafa articulada a través de códigos QR se la conoce como 'QRshing' o 'Quishing', esto es, la fusión de las siglas 'QR' (en inglés, 'Quick Response' o respuesta rápida) con el término 'phishing'. Alude este último a la suplantación de entidades bancarias, instituciones, empresas de paquetería y demás para engañar a la víctima y convencerla de que aporte sus datos personales o su tarjeta de crédito. La excusa suele ser un cargo pendiente (por descubiertos, tasas de aduanas...) y el medio una página web creada a imagen y semejanza de la original de la compañía u órgano en cuestión. Estos calcos resultan tan exactos que muchos acaban picando y viendo reducido el balance de su cuenta corriente, cuando ya no queda otra que denunciar a un estafador que no suele dejar rastro.

El quishing consiste por tanto en emplear códigos QR para enlazar a estos sitios web fraudulentos. ¿Por qué? Los delincuentes saben que el envío de enlaces por mensajes de texto y correos electrónicos está dejando de ser efectivo: quien más y quien menos ha interiorizado que no debe pinchar en estos vínculos sin importar el remitente; que nuestro banco nunca nos pedirá hacerlo y que, en todo caso, debemos ponernos en contacto con la oficina en la que somos titulares para salir de dudas. Ahora bien, si uno asocia estos enlaces a un código QR y lo coloca físicamente en el cajero de dicha sucursal, puede que alguien termine escaneándolo.

Del mismo modo, los amantes de lo ajeno superponen pegatinas QR a las verdaderas de restaurantes (en las propias mesas), gasolineras (en los surtidores) o los mentados parquímetros. Pongamos que vamos a abonar el estacionamiento y vemos un código QR en el terminal a pie de calle. Éste nos dirige a una web aparentemente municipal, por lo que nos confiamos, introducimos los datos de nuestra tarjeta de crédito y pagamos. El resultado, además de perder el dinero, será una sanción cuando el revisor correspondiente compruebe que hemos aparcado sin cumplir con nuestras obligaciones. Pero es que también se han dado casos de códigos QR adheridos a multas falsificadas y dejadas bajo el parabrisas del coche (otra forma de esquilmarnos en la que algunos caen).

Luego están aquellos códigos QR que se colocan de forma aleatoria por la ciudad (en farolas, portales, marquesinas...) y que escaneamos por mera curiosidad: «¿Qué contendrá?». La respuesta suele ser un programa informático malicioso o 'malware', diseñado para sustraer información de nuestro teléfono móvil en segundo plano, sin que nos demos cuenta. Toca desconfiar cuando, tras apuntar a uno de estos códigos con la cámara del smartphone, se nos pida instalar una aplicación o descargar un archivo.

Visto lo visto, no resulta extraño que más del 70% de las estafas de phishing se cometan actualmente mediante códigos QR, según estimaciones de la empresa de ciberseguridad ProofPoint. Tampoco que la Policía Nacional haya dedicado varias alertas al Quishing, a través de sus perfiles en las distintas redes sociales.

Ahora bien, ¿qué precauciones debemos tomar para no meternos en líos al utilizar este tipo de imágenes? En primer lugar desmarcaremos la opción de abrir automáticamente cualquier enlace proveniente de un código QR al momento de escanearlo. La misma se encuentra activada por defecto en algunos móviles, por lo que conviene dedicar unos minutos a la categoría correspondiente del menú de ajustes.

Lo normal, al realizar un escaneo, es que se previsualice la dirección web asociada en la pantalla del teléfono. Antes de pinchar en la misma debe comprobarse que comienza por 'https' en lugar de 'http', esto es, que resulta una URL segura. En cualquier caso, una vez dentro, desconfiaremos sin excepción al encontrarnos cualquier tipo de formulario que requiera la introducción de datos bancarios o personales. ¿Corresponde el logotipo de esa web al original de la empresa en que nos hemos interesado o parece retocado de algún modo? ¿Se incluye texto con faltas de ortografía o gramaticales? Si es así podría tratarse de una suplantación.

Como hemos apuntado anteriormente, descargar una app enlazada a través de un código QR siempre ha de ser la última opción. Mejor buscarla manualmente en las tiendas de aplicaciones oficiales (Google Play, App Store) o en su sitio web oficial. Además, obviaremos aquellas pegatinas que parezcan colocadas encima de otras; instalaremos un antivirus en nuestro dispositivo (para que nos alerte de infecciones o direcciones sospechosas) y mantendremos su sistema operativo actualizado a la última versión para contar con los últimos parches de seguridad.