La Policía Nacional alerta del aumento de las estafas que utilizan códigos QR para redirigir a sus víctimas a páginas falsas para robar datos personales o bancarios
El timo del QR inverso: cuando te hacen escanear un código para pagarte y en realidad te roban dinero
Los códigos QR se han convertido en una herramienta muy popular. Se utilizan para ver el menú de un restaurante, registrarse en un evento o pagar el parquímetro. Solo hay que apuntar con la cámara del móvil para entrar a una página web o realizar una acción en segundos.
Sin embargo, esta comodidad también ha abierto la puerta a nuevas formas de fraude. La Policía Nacional está alertando del aumento de las estafas que utilizan códigos QR manipulados, una técnica que se conoce como QRishing, que puede dar acceso a información personal, credenciales o incluso dinero de las víctimas.
Según han anunciado las autoridades, los delincuentes están aprovechando la confianza que generan estos códigos para engañar a los usuarios y redirigirlos a páginas fraudulentas que simulan ser oficiales. El problema es que muchas personas escanean estos códigos sin pensar y sin comprobar antes si son seguros. Ahí es donde los delincuentes encuentran su oportunidad.
¿Qué es el QRishing: la estafa de los códigos QR?
El término QRishing surge de la combinación de “QR” y “phising”. Se trata de una técnica de fraude online en la que los ciberdelincuentes utilizan códigos QR para dirigir las víctimas a páginas web fraudulentas. El objetivo suele ser o bien robar los datos personales, obtener credenciales bancarias o instalar malware en el dispositivo.
Cuando el usuario escanea el código, el móvil abre un enlace de forma automática. Si la página parece legítima, muchas personas introducen sus datos sin sospechar que están entregándoselos directamente a los estafadores.
El problema es que los códigos QR no muestran la dirección web antes de abrirla, lo que hace más complicado poder detectar este engaño.
Es un fraude cada vez más común
La Policía advierte que el que uso de códigos QR en la vida diaria ha hecho que este tipo de estafas crezca rápidamente. Hoy en día se encuentran en parquímetros, restaurantes, carteles publicitarios, estaciones de transporte, eventos y ferias o envíos postales. Esto permite a los delincuentes colocar códigos fraudulentos en lugares donde las personas esperan encontrar un QR legítimo.
De hecho, la Policía Nacional ha advertido de casos en los que los estafadores colocan pegatinas con códigos QR falsos encima de los originales, por ejemplo, en máquinas de aparcamientos o en carteles informativos.
Cuando el usuario escanea el código manipulado, se le redirige a una página falsa que suplanta la plataforma de pago oficial.
El caso de los parquímetros: una de las estafas más recientes
Uno de los ejemplos más recientes de este tipo de estafa detectados en España tiene que ver con los parquímetros. En algunas ciudades, los delincuentes han colocado códigos QR falsos en estas máquinas para dirigir a los usuarios a una página web fraudulenta donde supuestamente se puede pagar por aparcar.
Una vez dentro de esta página falsa, se le solicita al usuario introducir los datos de la tarjeta, introducir información personal y descargar una aplicación fraudulenta. En ese momento, los delincuentes pueden obtener acceso a la información bancaria o realizar cargos en la cuenta de la víctima. El fraude resulta especialmente eficaz porque el proceso parece completamente normal para el usuario.
También ocurre con paquetes inesperados
Otra modalidad detectada recientemente consiste en enviar paquetes no solicitados a domicilio que incluyen códigos QR. En estos envíos, aparentemente inocentes, se invita al destinatario a escanear este código para confirmar el pedido, activar una garantía o registrarse en una web.
La realidad es bien diferente, el QR lleva a páginas fraudulentas que solicitan información personal o datos bancarios. Esta técnica está relacionada con el fenómeno conocido como brushing, en el que los delincuentes utilizan direcciones reales para enviar productos y generar actividad falsa en plataformas de comercio electrónico.
¿Por qué funcionan estas estafas tan bien?
Los expertos en ciberseguridad señalan que los códigos QR tienen una característica que los hace especialmente atractivos para los ciberdelincuentes: ocultan la dirección web real hasta que se escanean.
Esto quiere decir que el usuario no puede comprobar fácilmente si el enlace es seguro antes de abrirlo. Además, los QR generan una falsa sensación de confianza porque se utilizan en entornos cotidianos como restaurantes o tiendas.
Según la Policía Nacional, este tipo de fraude es “rápido, fácil de ejecutar y difícil de detectar”, lo que explica por qué ha crecido tanto en los últimos años.
¿Qué puede pasar si se escanea un QR fraudulento?
Escanear un código QR manipulado puede tener diferentes consecuencias. Lo primero es el robo de datos personales, ya que en estas páginas web suelen pedir información como nombre, teléfono, correo electrónico o DNI. Estos datos pueden ser utilizados más adelante en otras estafas. También pueden robar los datos bancarios, algunas web fraudulentas imitan páginas de pago para conseguir los datos de la tarjeta bancaria, así los ciberdelincuentes pueden realizar cargos o vender esa información en mercados ilegales. Por último, pueden servir para instalar malware en el dispositivo para espiar, robar contraseñas o interceptar mensajes o códigos de verificación.