El Banco de España alerta sobre la estafa del QRshing, el fraude de los códigos QR para robar dinero o datos personales.
El organismo ha publicado en su Portal del Cliente Bancario recomendaciones para no caer en este tipo de fraudes.
El uso de los códigos QR está cada vez más extendido en todo el mundo. Ya sea para consultar la carta de un restaurante, validar una entrada a un evento u obtener un certificado de vacunación. Este aumento de su utilización ha hecho que los estafadores se hayan adaptado para utilizarlos en sus delitos, es lo que se conoce como QRshing, resultado de la unión de QR y phishing.
Los QR no dejan de ser códigos de barras evolucionados que tras ser escaneados con la cámara de un dispositivo móvil te llevan a cierta información ubicada en la red o en una base de datos. Esta información puede ser de cualquier tipo, incluso sensible de ser utilizada por los delincuentes para apropiarse del dinero o los datos personales de la gente. Varios tipos de estafa se han detectado mediante este método:
Multas de tráfico con una QR que lleva a una web falsa donde pagar la sanción, aunque finalmente es el estafador el que recibe el importe.
La estafa del QR inverso: se realiza al pagar la cuenta a camareros. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, pero en realidad se trata de una solicitud de dinero. Además, de esta forma logra hacerse con datos personales y bancarios.
Combinación del QR con otras técnicas, como la instalación de malware (software malicioso) o páginas web que suplantan páginas reales (web spoofing) para que la víctima facilite datos personales.
Colocación de pegatinas encima del código QR real en un establecimiento comercial.
Ante el aumento de estafas mediante este método, el Banco de España ha publicado en su Portal del Cliente Bancario recomendaciones para no caer en este tipo de fraudes:
- Aunque no es infalible, si la página web empieza por https quiere decir que cumple con un mínimo de seguridad y protección.
- Extremar las precauciones y comprobar que el enlace web o url no es sospechoso antes de abrirlo. Si es un enlace acortado mejor alargarlo antes para verificarlo o no abrirlo.
- Cuando accedemos a una web que nos pida datos, es preferible entrar nosotros directamente desde la url completa o desde la propia aplicación.
- En el caso de que seamos dueños de una empresa, comprobar los QR que ponemos a disposición de los clientes para comprobar que no han sido falseados.
- Usar aplicaciones que permitan ver el enlace antes de abrirlo. En el caso de Android disponemos de la app Google Lens (que ya viene preinstalada) o aplicaciones específicas que se pueden descargar en la Play Store. En los dispositivos iOS se efectúa desde la propia cámara, aunque hay que activar la funcionalidad.