Cuidado con los códigos QR, se han convertido en una estafa demasiado habitual

Los códigos QR se han convertido en una herramienta que facilita el acceso a información, pagos o promociones. Perottiene su riesgos y el último del que ya alerta el propio INCIBE es el QRishing, una variante del phishing que utiliza códigos QR para engañar a los usuarios y robar información privada.

¿Qué es el QRishing?

El QRishing es una forma de ciberataque en la que los estafadores utilizan códigos QR falsos para redirigir a los usuarios a sitios web fraudulentos. Estos códigos QR pueden ser colocados en lugares públicos, integrados en correos electrónicos o en sitios web falsos. Al escanearlos, los usuarios creen que están accediendo a una página legítima, pero en realidad están siendo dirigidos a un sitio malicioso que busca robar sus datos personales, contraseñas o incluso realizar transacciones financieras fraudulentas.

El proceso del QRishing sigue una estructura similar al phishing tradicional, pero utilizando un código QR como anzuelo:

• Creación del código QR falso: los atacantes crean un código QR que redirige a un sitio web malicioso.

• Distribución del código QR: el código puede ser pegado sobre códigos legítimos en lugares públicos, como restaurantes o estaciones de servicio, o enviado a través de correos electrónicos y mensajes de texto.

• Engaño al usuario: el usuario escanea el código pensando que es seguro y es redirigido a un sitio web que parece seguro.

• Robo de información: el sitio web fraudulento solicita datos personales, contraseñas o información financiera, que los atacantes utilizan para cometer fraudes.

¿Dónde hayQR maliciosos?

Los códigos QR falsos pueden aparecer en muchos lugares habituales porque es suficiente con poner una pegatina con el QR malicioso sobre el real para comenzar la estafa.

• Establecimientos físicos: los atacantes pueden colocar pegatinas con códigos QR falsos sobre los códigos legítimos en menús de restaurantes, parquímetros o puntos de información turística.

• Correos electrónicos y SMS: un correo electrónico o mensaje de texto puede incluir un código QR, aparentando ser de una empresa conocida o de una entidad financiera, solicitando al usuario escanearlo para resolver un problema urgente.

• Redes sociales y sitios web: los códigos QR también pueden ser compartidos en redes sociales, en anuncios falsos o en sitios web fraudulentos.

¿Cómo protegerse?

La prevención es clave para evitar caer en un ataque de QRishing.

• Verificar el código QR antes de escanearlo: observar el entorno. Si hay un código QR que parece estar sobrepuesto con una pegatina, es mejor no escanearlo.

• Uso de aplicaciones de escaneo seguras: muchas aplicaciones para escanear códigos QR muestran el enlace antes de redirigir automáticamente. Hay que verificar que el enlace sea legítimo antes de hacer clic.

• No compartir información confidencial: si al escanear un código QR pide ingresar datos personales o financieros, hay que comprobar primero que el sitio web es seguro (revisar la URL y buscar el candado de seguridad).

• Desconfíar de códigos QR en correos electrónicos y mensajes: es raro que una entidad pida escanear un código QR para resolver un problema. En estos casos, hay que llamar directamente a la empresa antes de interactuar con el código.

El QRishing es una nueva táctica utilizada por los cibercriminales para engañar a los usuarios aprovechando la popularidad de los códigos QR. La mejor defensa es estar informado y tomar precauciones al escanear cualquier código.