Los códigos QR, inicialmente concebidos como una herramienta práctica para simplificar tareas cotidianas, se han convertido en un objetivo para los ciberdelincuentes. En países como Perú, la aparición de falsas multas de tránsito con códigos QR fraudulentos ha alertado a las autoridades y expertos en ciberseguridad. Este tipo de estafa, conocido como quishing, combina la ingeniería social con la tecnología, redirigiendo a las víctimas a sitios web maliciosos diseñados para obtener información personal y bancaria.
Falsas multas de tránsito: Una amenaza en crecimiento
En Perú, los delincuentes han comenzado a distribuir documentos que simulan ser notificaciones de infracciones vehiculares. Estos falsos avisos, colocados en el parabrisas de los automóviles, incluyen códigos QR que, al ser escaneados, dirigen a las víctimas a sitios web fraudulentos. Aparentemente, el objetivo es que los conductores «verifiquen y paguen» sus multas. Sin embargo, estos sitios recopilan información sensible como números de identificación, datos bancarios e incluso contraseñas.
El diseño de estos documentos utiliza lenguaje y formatos similares a los oficiales, aumentando la confianza de las víctimas. Sin embargo, una revisión detallada revela inconsistencias como mensajes genéricos y la ausencia de información específica, como la placa del vehículo o la ubicación exacta de la infracción. Estas señales son claves para identificar un posible fraude.
El quishing: Una evolución del phishing
El término quishing se refiere a una variante del phishing que utiliza códigos QR para redirigir a los usuarios a sitios web maliciosos. A diferencia de las estafas tradicionales que emplean correos electrónicos o mensajes SMS, el quishing depende de la confianza que las personas depositan en los códigos QR, percibidos como herramientas seguras y convenientes.
Cómo opera el quishing:
- Los ciberdelincuentes crean un código QR que simula ser legítimo.
- Este código se coloca en documentos falsos, correos electrónicos, mensajes de texto o incluso en espacios públicos.
- Al escanear el código, las víctimas son dirigidas a páginas fraudulentas que solicitan datos personales o bancarios.
Esta modalidad es especialmente peligrosa porque el usuario no puede verificar fácilmente a dónde lo llevará el código QR antes de escanearlo, lo que lo convierte en un método efectivo para engañar a personas desprevenidas.
Códigos QR fraudulentos en lugares públicos
El uso indebido de códigos QR no se limita a multas de tránsito. En lugares como restaurantes, parqueaderos y estaciones de pago, los delincuentes colocan códigos falsos sobre los originales, aprovechando la confianza de los usuarios en estos entornos. Este tipo de fraude, conocido como la «estafa de los parkings», ha ganado notoriedad en países como España, donde los ciberdelincuentes lograron robar más de 1,000 euros a una víctima que intentaba pagar su estacionamiento.
Los códigos QR fraudulentos, al igual que en el caso de las multas falsas, redirigen a los usuarios a páginas que imitan sitios oficiales. Al ingresar sus datos, las víctimas permiten que los delincuentes realicen transacciones no autorizadas o incluso vendan su información en la dark web.
Qué información pueden robar los ciberdelincuentes
La información que los estafadores buscan recopilar a través de los códigos QR incluye:
- Datos personales: Números de identificación, direcciones y nombres completos.
- Información bancaria: Números de tarjetas de crédito o débito, códigos de seguridad y contraseñas.
- Accesos a cuentas: Credenciales de inicio de sesión para servicios en línea.
- Datos sensibles del dispositivo: En algunos casos, los códigos QR pueden instalar malware en el dispositivo, permitiendo a los delincuentes acceder a fotos, contactos y mensajes.
Códigos QR: Un arma de doble filo
La creciente dependencia de los códigos QR en la vida diaria los ha convertido en herramientas potencialmente peligrosas. Estos pequeños recuadros pixelados están presentes en múltiples contextos, desde menús digitales en restaurantes hasta boletos de eventos y estaciones de pago. Su practicidad, sin embargo, también los hace vulnerables a ser manipulados por ciberdelincuentes.
Dónde se encuentran con mayor frecuencia:
- Carteles publicitarios en la calle.
- Correos electrónicos o mensajes de texto.
- Publicaciones en redes sociales.
- Documentos falsos, como multas de tránsito o facturas.
Cómo protegerse de las estafas con códigos QR
La prevención es la clave para evitar caer en estas estafas. Aquí algunas recomendaciones prácticas para proteger tu información personal y financiera:
- Verifica la autenticidad del código QR:
- Inspecciona el entorno donde se encuentra el código. Si parece colocado de manera improvisada o sobre otro código, es mejor evitar escanearlo.
- Utiliza aplicaciones que permiten previsualizar el enlace antes de abrirlo en el navegador.
- Mantén tu dispositivo actualizado:
- Un sistema operativo y software de seguridad actualizados pueden detectar y bloquear intentos de fraude antes de que se concreten.
- Evita escanear códigos de fuentes no confiables:
- Si recibes un código QR a través de correos electrónicos o mensajes no solicitados, verifica su autenticidad directamente con la fuente.
- Contacta con entidades oficiales:
- Ante cualquier duda, confirma la veracidad de notificaciones o multas con las autoridades correspondientes antes de proporcionar información.
- Desconfía de las solicitudes de datos sensibles:
- Ninguna entidad confiable pedirá datos bancarios o contraseñas a través de un código QR.
El impacto global de las estafas con códigos QR
El uso indebido de códigos QR no es un problema exclusivo de Perú. En países como España, Estados Unidos y otros mercados internacionales, las estafas con esta tecnología están en aumento. La «estafa de los parkings» es solo un ejemplo de cómo los delincuentes están adaptando sus tácticas para aprovechar la digitalización.
