El uso de códigos QR se ha normalizado a nuestro alrededor: los usamos para acceder al transporte público, para consultar la carta de un restaurante, para entrar a la web de una tienda, para acceder a información sobre un evento cultural o concierto anunciado en un cartel... También para pagar vía Bizum (o recibir dinero) e incluso para recibir tu premio de Lotería en cualquier momento del año. Esta tendencia, si cabe, aumentó a raíz de la pandemia, cuando tomó una nueva relevancia el hecho de evitar tocar objetos en la medida de lo posible. Por eso es importante tener en cuenta que los ciberdelincuentes ya han tomado cuenta de ello: evita las estafas más comunes a través de códigos QR.
Hacer uso de los códigos QR es muy sencillo: basta con acceder a la cámara de nuestro móvil (o a la aplicación lectora de código QR que hayamos instalado), escanear el código y acceder al enlace correspondiente. La cosa puede complicarse cuando estos enlaces nos derivan a webs de 'phishing' o a la instalación de malware o virus en nuestro terminal.
En el caso concreto del 'phishing', se trata de un tipo de delito que suele cometerse a raíz de un robo o suplantación de identidad. Por ejemplo, recibes un correo de Hacienda pidiéndote ingresar determinada cantidad de dinero o facilitar determinados datos personales (tu número de cuenta, etc.) pero, en realidad, se trata de un correo creado mediante suplantación de la marca de Hacienda. Spam, sitios web falsos, software malicioso… son prácticas asociadas a la estafa.
En el caso de los códigos QR, existe el llamado 'QRishing': el ciberdelincuente puede generar códigos fraudulentos que, al ser leídos por tu móvil, permitan la instalación de malware o el robo de datos personas y bancarios con el fin de sustraer dinero sin que te des cuenta, así como el robo de dinero.
En este sentido, es frecuente el fraude a través del llamado 'QR inverso': consiste en el robo de dinero o datos personales de una persona haciendo creer a la víctimas que están cobrando dinero. Por ejemplo, puede utilizarse en restaurantes o tiendas: el delincuente se ofrecerá a pagar a través del escaneo de un código QR que, en teoría, contiene dinero, pero lo que se producirá es la operación contraria: es el afectado quien terminará pagando la cuenta o comprando el producto.
Este tipo de estafa también permite robar información personal de la víctima, entre otras cosas, de tipo bancario. Por eso es importante sospechar cuando se nos pida aportar datos personales o contraseñas para operar.
Para evitarlo, debes analizar los QR físicos que hayan podido ser manipulados, así como estudiar la URL a la que redirige este código, asegurándonos de que cumpla los estándares de navegación segura 'https'. Si la URL es corta, analiza la fuente antes de entrar y asegúrate de que te dirija a una web oficial. Ten en cuenta que los lugares donde más suelen actuar los ciberdelinuentes son restaurantes y parquímetros (a través de pegatinas con códigos QR falsos que tapan al original, y que derivan el pago al ciberdelinuentes, y no a la empresa legítima), donde las prisas nos llevan a tener menos cuidado. En este último caso, lo mejor es utilizar la app oficial del estacionamiento.