Qrishing. Por mucho que la pronunciación de este término nos lleve a pensar en la práctica sexual de moda, no tiene absolutamente nada que ver con ello. Básicamente viene a ser cómo se denomina al phishing cuando tiene que ver con códigos QR.
Si bien este término se ha empezado a acuñar en los últimos tiempos, lo cierto es que las estafas e incluso malware relacionados con los códigos QR no son nuevas. En este post te contaremos en qué consisten y, evidentemente, cómo puedes protegerte de ello.
Una puerta de entrada al malware para tu móvil
El caso más extendido de problemas relacionados con QR lo encontramos en aquellos que se exponen como enlace de descarga a una presunta app de confianza. Se pueden llegar a encontrar en la calle como pegatinas puestas en un muro o una farola, pero sobre todo online en un banner de publicidad o redes sociales.
Suelen enlazar a una página que aparentemente se ve seria y en la que se describe una aplicación que, como decíamos anteriormente, aparenta ser normal. Sin embargo, al realizar la descarga se está instalando un archivo malicioso.
Puede ser que descarguemos directamente el malware en el móvil y, esté más o menos oculto, no haya rastro de la app. Aunque lo más habitual es que el malware quede integrado con la app. Esta podrá al final cumplir o no con lo que prometían, pero en cualquier caso habrá servido ya para infectar el móvil.
Otra posibilidad es que sean códigos QR que destinan a una plataforma de pago que, como en el caso de las apps, parecen ser de confianza y no lo son. A veces incluso emulan la apariencia de servicios conocidos como PayPal, haciendo que pueda parecer que se está realizando un pago por esta vía cuando realmente se está enviando dinero a unos ciberdelincuentes.
Casos recientes: apps fraudulentas, cuentas secuestradas y robo de dinero
Algunos casos recientes son los QR escondidos en apps relacionadas con la serie 'El Juego del Calamar'. En plena ola de popularidad de la serie, se empezaron a repartir en algunos lugares una tarjeta con la característica simbología de la serie y en cuya parte trasera había un QR que, al escanearlo, llevaba a una web comercial de dudosa confianza de la que advirtió incluso la Policía Nacional.
Otro caso vivido en estos últimos tiempos tiene que ver con unos códigos QR problemáticos con Discord. Y es que algunos usuarios reciben un QR que supuestamente da acceso a un servidor de Discord de confianza, saliendo incluso una vista previa de personas que están dentro. Sin embargo, al acceder secuestran la cuenta del usuario y comienzan a enviar ese mismo QR a todos los contactos.
Con respecto a los QR fraudulentos en la calle, a principios de 2022 empezaron a aparecer parquímetros con códigos falsos que robaban el dinero a las víctimas pensando estas que realmente estaban realizando un pago por el estacionamiento. Ocurrió en Texas y hasta las autoridades tuvieron que advertir a los ciudadanos.
Cómo evitar los problemas del Qrishing
Evidentemente, no todos los QR son peligrosos. Sin embargo, verificar de antemano si son o no de confianza se antoja bastante complicado, aunque hay algunas medidas de prevención que si se aplican pueden evitar ser víctimas de problemas:
- No descargues apps que vengan de un QR, salvo que estas se encuentren en Google Play, tengan una buena valoración y den otras señales de ser de confianza. Si se tiene que descargar un APK desde el navegador, desconfía.
- Vigila bien los QR que encuentres en la calle y especialmente si están colocados en un sitio aleatorio. Sin saber a dónde pueden llevar, lo mejor es ni siquiera escanearlos.
- Si el QR está situado en un lugar de aparente confianza como un restaurante para ver la carta, asegúrate de que no es una pegatina que sobrepone al QR auténtico del restaurante. Para mayor fiabilidad, consulta a los trabajadores del restaurante.
- Analiza la url a la que enlaza el QR, haciendo uso para ello de herramientas online como las de Sucuri, PCrisk o VirusTotal.
- No introduzcas datos personales en la web a la que accedas, incluyendo usuarios y contraseñas de cualquier cuanta. Salvo que estés plenamente seguro de que es un sitio de confianza.
- No realices pagos en ninguna plataforma a la que hayas accedido mediante un código QR. Al igual que en el anterior caso, deberás asegurarte de que es una plataforma de confianza, pero ante la duda es mejor no hacerlo.
Si estás en un punto extremo en el que hayas sido víctima de un robo de dinero o similar a causa de esto, la recomendación es evidente: denuncia ante las autoridades. Además, conviene que se lo comuniques a tu entidad bancaria a la mayor celeridad para bloquear tus cuentas y, en la medida de lo posible, puedan ayudarte a recuperar ese dinero que te han robado.
