Los ciberdelincuentes se reinventan durante la pandemia a través de los códigos QR
Los códigos escaneables que suplantan a las cartas de los restaurantes son la trampa más habitual para obtener los datos de los clientes
Entre las tecnologías que han experimentado un mayor auge durante la pandemia está la de los códigos QR. La búsqueda de alternativas a los documentos en papel para reducir el riesgo de contagio de la covid-19 ha disparado el uso de esta herramienta, que permite leer desde el móvil la carta de un restaurante o un programa cultural sin necesidad de pasarlo de mano en mano. Sin embargo, el éxito de dichos códigos ha llamado también la atención de lo...
Entre las tecnologías que han experimentado un mayor auge durante la pandemia está la de los códigos QR. La búsqueda de alternativas a los documentos en papel para reducir el riesgo de contagio de la covid-19 ha disparado el uso de esta herramienta, que permite leer desde el móvil la carta de un restaurante o un programa cultural sin necesidad de pasarlo de mano en mano. Sin embargo, el éxito de dichos códigos ha llamado también la atención de los ciberdelincuentes. Las autoridades han detectado en los últimos meses un aumento de los intentos de fraude y robo de datos por esta vía y alertan de su uso como cebo para acceder a los dispositivos y hacerse con la información de los usuarios.
El comandante Alberto Redondo, jefe del Grupo de Delitos Tecnológicos de la Unidad Técnica de Policía Judicial de la Guardia Civil, explica que pueden darse varios supuestos: ‘‘Que los delincuentes peguen un código QR malicioso encima de uno real en museos, restaurantes, anuncios, etc., o que los sitúen en lugares públicos, de forma independiente y con cualquier excusa, como un sorteo’'. En el primer escenario, a los delincuentes les basta con colocar una pegatina con el código fraudulento sobre el código real y eso hace más difícil detectar la trampa; en el segundo, al no suplantar a la empresa real, sino colocar un anuncio en la calle, es más probable que el usuario dude sobre la autenticidad del código.
El principal problema de este tipo de fraude es que, al escanear el código con el móvil, ‘’el usuario no ve cuál es la URL o dirección web a la que accede’', sino que entra en ella antes de poder darse cuenta. Según explica el comandante, lo más importante para no caer en el enredo es tener sentido común: ‘’Si vas a un restaurante y vas a leer la carta, no tiene ningún sentido que [al escanear el QR] te pidan un dato personal’'. El usuario debe sospechar cuando el enlace le lleva a un sitio de descarga, cuando el archivo que se descarga en su teléfono no es un PDF o un documento de Word (como suelen ser los menús de los restaurantes) y, sobre todo, cuando lleva a archivos ejecutables en el teléfono.
Lo más característico de los delitos a través de los códigos QR es que es el propio usuario el que toma la iniciativa en la interacción. Al escanearlo, es él el que va hacia la trampa, sin que el delincuente tenga que hacerle llegar el anzuelo de forma activa. Esto lo diferencia del smishing o el phishing, donde son los ciberdelincuentes los que envían a la víctima un enlace fraudulento a través de un SMS o de un correo electrónico respectivamente. Precisamente el phishing también se ha multiplicado durante la pandemia, en gran parte por el teletrabajo: el atacante puede hacerse pasar por una entidad e incluir archivos adjuntos o enlaces que contengan el virus a través de un correo que parezca relacionado con el trabajo de la víctima. En el caso de los QR, el virus podría infectar el teléfono al ejecutar archivos a través del enlace o de una aplicación (en el caso de que el usuario haya accedido a descargarla).
Por eso, una vez escaneado el código, si se solicita ‘‘que descargues una aplicación, hay que tener mucho cuidado cuando lleva a mercados no oficiales’’, es decir, a otros que no sean Play Store o App Store, como alerta Redondo. El comandante insiste: ‘‘Si te bajas la aplicación, bajo ningún concepto hay que dar permisos de pagos por internet o de envíos a contactos’'. Si aun así el usuario sospecha, debe acercarse al cuartel de la Guardia Civil más cercano.
España fue el tercer país más amenazado por los ciberdelincuentes en 2020, según la escuela de tecnología Ironhack. Y, además, los ciberdelitos son el segundo tipo de delincuencia más común, por detrás de los hurtos, según el último informe del Ministerio del Interior. Aunque el Grupo de Delitos Tecnológicos ha confirmado el aumento de los casos de QR fraudulentos, fue la Policía Nacional de Málaga la que, a principios de septiembre, alertó a través de sus redes sociales de esta nueva modalidad de estafa. Precisamente a través de las redes se detectan muchos de los casos, cuando los usuarios comentan el problema, aunque muchos no lleguen a denunciarlo. Por eso hay cifras ocultas y es complicado obtener datos concretos.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.