Si nos ponemos a contarlas, probablemente nos acabemos durmiendo antes de llegar a la mitad del número de estafas para móvil que existen. Los timos relacionados con códigos QR son de los que más relevancia están tomando en estos últimos tiempos por ser aún poco conocidos.
Estos códigos se usan para muchas cosas: ver cartas de restaurantes, acceder a más información de un producto, descargar aplicaciones… Sabiendo además que leer un QR desde el móvil es sencillísimo, los encontramos en todas partes. Incluso para alquilar una bicicleta en ciudades como Madrid, donde ahora está surgiendo una estafa que nos vuelve a servir de alerta del peligro que suponen.
BiciMAD vuelve a poner los QR maliciosos en tela de juicio
Nuevo caso de ‘Qrishing’, que quizás por este nombre no lo conozcas, pero que hace referencia a las estafas de suplantación de identidad relacionadas con códigos QR. Esta palabra, a su vez, proviene del término ‘phishing’ (el que se utiliza para denominar de forma genérica una suplantación de identidad).
Ane Miren Parrilla Larrinaga en X
Aunque más allá de la terminología que usemos para denominarlo, lo importante es conocer en qué consisten. Para ello, nada mejor que un ejemplo real como lo que ha sucedido en Madrid. Tal y como reflejan varios medios como eldiario.es, la empresa municipal de alquiler de biciletas en Madrid (BiciMAD) está siendo usada para estafar usuarios. Porque sí, el objetivo no es la empresa, sino el ciudadano.
El modus operandi utilizado es sumamente conocido. Los estafadores pegan un código QR a la bicicleta (o la estructura de aparcamiento de la misma) con el objetivo de que un usuario confiado proceda a escanearlo para realizar el pago del alquiler. No hemos podido acceder ya a la página que se utilizaba, pero se dice que era una pasarela de pago que, a priori, podría pasar por ser una plataforma confiable de BiciMAD. Evidentemente, no lo era.
No se han trascendido datos acerca de cuántas personas han podido caer en esta estafa, si es que realmente alguien ha llegado a caer, pero no resulta difícil imaginarse lo problemático de este asunto. Y es que, más allá del dinero que los estafadores cobrasen por el supuesto alquiler, también podrían sustraerles dinero a futuro. Basta con tener ya registrada la tarjeta de débito/crédito para que estos puedan cargar pagos más adelante.
En ese último punto entra en juego también la importancia de configurar sistemas de autenticación de doble factor para pagos. Básicamente consiste en que, cada vez que se realice una operación, se precise de introducir un código que llegue por SMS al teléfono del propietario o, en su defecto, autenticarse y aprobarlo mediante la app (te recomendamos ponerte en contacto con tu banco para que te informen de las opciones que ofrecen).
En el caso concreto de este intento de estafa, BiciMAD recuerda que sólo su app oficial sirve para escanear los QR, de forma que así se garanticen pagos seguros y que, en caso de ser un QR fraudulento, la app no lo reconozca.
Un QR no es malo. Escanearlo sin estar seguros, sí
Ya advertíamos al inicio que los códigos QR están ya integrados en nuestra sociedad y que pueden ser muy útiles. De hecho, los QR genuinos de BiciMAD son buen ejemplo de ello. Pero como todo en la vida, tiene su parte negativa y es que es demasiado fácil crear un timo con ellos. Y eso es un problema.
Los móviles no son capaces de identificar si un QR es fiable o no, aunque sí abren una página web o autorizan una descarga, el dispositivo puede alertarnos. El caso es que la responsabilidad ha de ser nuestra. Y aquí partimos de la misma base que para todo tipo de estafas: llevar la desconfianza por bandera.
Queremos decir que es importante no escanear todos los QR que veamos por ahí, ni siquiera aquellos colocados en lugares donde presuponemos que son fiables (como en el caso de BiciMAD). En caso de escanearlo, hay que estar seguros siempre de que si es para una descarga, esta se realiza desde la tienda de aplicaciones de Google Play. Si es una descarga externa de un APK, puede venir de un repositorio de confianza, pero no es lo habitual que se promocione por un QR, así que tiende a ser maliciosa.
Incluimos también en este punto la descarga de archivos de todo tipo, porque incluso un simple PDF puede incorporar malware escondido. Si tenemos posibilidad de preguntar a algún responsable de ese código (en un restaurante, por ejemplo), mejor.
Aunque si hay una recomendación especialmente importante por lo que implica, es no realizar nunca pagos en una web a la que nos hayamos dirigido al escanear el QR. Si tienes dudas, hay formas de comprobar que sea un enlace de confianza (por ejemplo, VirusTotal), pero probablemente sea malicioso. Y si enlaza a una aplicación, cerciórate de que sea una app conocida y oficial de la empresa que te está solicitando el pago.
Imagen de portada | Wikimedia Commons
En Xataka Android | Qué hacer si te han hackeado la cuenta de WhatsApp
