El QRishing, un nuevo fraude para tener en cuenta

De los creadores de los ciberdelitos en todas sus variantes llega el QRishing, una nueva modalidad de estafa relacionada con los códigos QR (del inglés quick response). Los delincuentes del ciberespacio van siempre un paso más por delante y desarrollan nuevos métodos para conspirar contra todo aquel que se ponga en su camino.
La palabra surge de la unión de dos términos QR y phishing, un ciberfraude del que ya se ha hablado en este blog. El QRishing consiste en engañar a la población mediante la manipulación de estos códigos para conseguir datos personales del usuario. Una vez lo abres, entrarás en un enlace malicioso que podrá ser tu peor pesadilla.
Por suerte, este fraude no afecta a la hora de solicitar un crédito rápido en Wandoo, ya que la lectura de los códigos no es un sistema contemplado por la compañía. No obstante, lee atento este post porque el QR está en todas partes y cada vez hay menos negocios que se resistan a sus encantos.
Todo lo que debes saber del QRishing
El código QR es el tradicional código de barras, pero modernizado. Para leerlo, tan solo hay que escanearlo con un dispositivo y se accederá a distinto tipo de información: una aplicación, un pdf, un enlace, una clave wifi, una tarjeta de contacto, el menú de un restaurante unos billetes, unas entradas, unas coordenadas…
El método, tal y como recoge el portal del cliente bancario del Banco España, surgió en Japón en la década de los 90, pero su popularidad llegó en la pandemia. El coronavirus hizo de estos códigos algo imprescindible para evitar el contacto físico con todo tipo de soportes, pero los ciberdelincuentes han sabido sacar tajada de este éxito pronto.
Fue la empresa Denso Wave, una filial de Toyota, quien ideó el primer código gracias al ingeniero Masahiro Hará. Su propósito no fue otro que ahorrarse problemas con el etiquetado que tenía en los centros de producción. Con el QR, podía transmitir más datos de una sola vez, ya que el código de barras solo admitía 20 caracteres.

Ejemplos de fraude
A continuación, se citan unos cuantos ejemplos con los fraudes más populares entre los ciberdelincuentes. Memorízalos y antes de escanear un código piensa si lo necesitas y, lo más importante, si es seguro. Las estafas más habituales son:
- Poner pegatinas QR falsas encima de los QR verdaderos en establecimientos.
- Crear una web falsa para pagar multas de tráfico y que el estafador se quede con el dinero.
- Instalar un malware, es decir, una web que suplanta a otra verdadera con el objetivo de que des tus datos personales.
- Técnica del QR inverso que consiste en hacer creer a una víctima que te está cobrando cuando en realidad la estás pagando tú. Es habitual en la hostelería cuando el estafador muestra el código a su víctima, pero en realidad es una petición de dinero a través de la que se hace con sus datos bancarios.
Cómo se detecta
Para prevenir y detectar un ciberfraude a tiempo, hay que identificar la dirección a la que te redirige el código QR. Puede que no te sientas cualificado para detectar si estás ante una estada o no (no te preocupes, es normal), pero fíjate siempre en estos detalles básicos:
- Que la página web a la que dirige empiece por https. Esto no siempre es infalible, pero te aseguras de un mínimo de protección.
- Si eres dueño de un establecimiento o empresa, comprueba que los códigos no hayan sido alterados.
- Si vas a entrar en una página en la que se piden datos personales, mejor acceder con la url entera y no desde el código.
- Cuando aparezca un enlace acortado, es preferible verlo entero antes de abrirlo.
Usa aplicaciones con las que puedas ver el enlace antes de abrirlo. En Android tendrías que utilizar Google Lens y en IOS se hace desde la propia cámara del dispositivo.
Es de esperar que nunca seas víctima de una ciberestafa, pero por si acaso, ten en cuenta siempre estos consejos; así evitarás que tus datos personales y cuentas bancarias se vean en las maliciosas manos de ciberdelincuentes.