Los ciberdelincuentes siempre van un paso por delante y prueban distintas modalidades para defraudar a sus víctimas. Teniendo en cuenta este prisma, el Banco de España (BdE), a través del Portal del Cliente Bancario, alerta sobre fraude relativos a los códigos QR. «Protégete contra el fraude» es la serias del portal que «te permitirá sospechar y actuar en caso de que ocurra», señalan.
EL ORIGEN
Un código QR (Quick Response) es un código de barras evolucionado que, tras ser escaneado por un lector con nuestro móvil, nos permite acceder a la información. Un enlace a una web, una aplicación, entradas de un concierto en PDF, la carta de un restaurante, billetes de tren en pkpass, la clave de una red wifi, unas coordenadas o una tarjeta de contacto.
Inventado en Japón en los años 90, desde la pandemia se ha popularizado enormemente para reducir el contacto con soportes físicos
Inventado en Japón en los años 90, desde la pandemia se ha popularizado enormemente para reducir el contacto con soportes físicos en usos como el certificado de vacunación, el menú del restaurante o en el mobiliario urbano. Esto no ha pasado desapercibido para los ciberdelincuentes que pueden «colarnos» enlaces maliciosos.
MODUS OPERANDI
Ahora bien, ¿qué modus operandi utilizan? El banco de España pone Ejemplos reales que han sucedido en los últimos meses: multas de tráfico, QR Inverso, malware.-…
Así, exponen que está el caso de «multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe» y «un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
Esto lo combinan con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales. Tambén colocan pegatinas encima el código QR real en un establecimiento comercial.
De la unión de los términos QR y phishing surge el nombre de este fraude, el ‘QRishing‘ (sic), que consiste en la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada.
el ‘QRishing’ es la manipulación de códigos QR para engañar a la víctima y que acceda a enlaces o aplicaciones maliciosas y obtener su información privada
¿Qué puedo hacer para detectar y prevenir este tipo de fraude? La prevención se basa en tratar de identificar la dirección a la que nos remite el código QR. Según señala el Portal del Cliente Bancario «aunque no es infalible, si la web empieza por https quiere decir que cumple con un mínimo de seguridad y protección».
La recomendación es «extremar precauciones y comprobar que el enlace web o url no es sospechoso, antes de abrirlo». Si es un enlace acortado mejor «alargarlo» antes para verificarlo o no abrirlo, agregan.
«Si accedemos a una web que nos solicite datos, es preferible acceder nosotros directamente desde la url completa o desde la propia aplicación.
«Como dueño de una empresa comprueba los QR que pones a disposición de tus clientes para comprobar que no han sido falseados», recomienda el supervisor, que invita a «utilizar aplicaciones que permitan ver el enlace antes de abrirlo». «En el caso de dispositivos iOS se hace desde la propia cámara pero debes activar la funcionalidad. En Android dispones de la app Google Lens que ya viene preinstalada o aplicaciones dedicadas que encontrarás en la Play Store», añade el organismo que encabeza Pablo Hernández de Cos
OTROS FRAUDES
Recién llegados al mundo digital, hay carencias de formación y de información que nos hacen vulnerables frente a quienes quieren sacar provecho de ello.
Los ciberdelincuentes, en muchos casos, no necesitan desarrollar complejas estrategias para alcanzar sus objetivos y se limitan simplemente a aprovecharse de nuestro desconocimiento y, a veces, de nuestra limitada atención.
«Phishing, Smishing, Vishing… puede que ninguno de estos términos te suene, pero conviene que sepas que son técnicas utilizadas para acceder a nuestros datos, suplantar nuestra identidad e infectar nuestros dispositivos», afirma el Banco de España.
El supervisor considera que no es complicado evitar problemas. Crea contraseñas complejas (combinaciones de números y letras, mayúsculas y minúsculas…), cámbialas con regularidad, instala un antivirus y actualiza tus dispositivos» y «si recibes correos electrónicos en los que solicitan información personal o confidencial, no los respondas, descargues ni ejecutes los ficheros asociados. «Desconfía si encuentras ofertas de servicios bancarios en internet de entidades que dicen estar autorizadas pero su dirección está incompleta o no existe, el contacto es a través de números de móvil o cuyo prefijo no es español. Suelen ser páginas web falsas», explica.
Desconfía también si encuentras ofertas de financiación o de inversión en condiciones muy favorables de entidades situadas en países remotos, de las que no puedes obtener información. Casi siempre se trata de entidades fantasma que te pedirán que envíes una cantidad de dinero que no recuperarás».
«Desconfía de ofertas de financiación o de inversión en condiciones muy favorables de entidades situadas en países remotos», pide el banco de españa (bde)
El supervisor pide «prestar especial atención a los falsos correos que simulan ser tu banco y en los que te piden datos confidenciales y claves de seguridad para realizar operaciones. Nunca lo hagas: recuerda que las claves son personales y no tienes obligación alguna de facilitarlas. En la duda es mejor que hables con tu banco y confirmes el origen de esos correos». «
Rechaza también los correos que dicen escribir en nombre del Banco de España en los que te intentan convencer de que dispones de un producto bancario, has recibido una transferencia o se ha depositado dinero de la lotería y para cobrarlo tienes que realizar un pago previo. Son falsos, pues el Banco de España nunca envía ni solicita información confidencial por correo electrónico a los ciudadanos», finaliza el BdE.