QRshing: cómo el phishing llega a los códigos QR

Para entender en qué consiste el QRshing es imprescindible saber, primero, qué es el phishing. Se trata de una estafa virtual mediante la cual los hackers intentan captar información personal de otras personas a través de enlaces maliciosos que envían en correos electrónicos, SMS o medios similares.

El tipo de información que suelen buscar los estafadores es, principalmente, información bancaria, con el objetivo de robar el dinero de sus víctimas de manera ilegal. Para ello, se hacen pasar por su propia entidad bancaria o actúan bajo el nombre de una empresa conocida, para ganar la confianza de los usuarios y pedirles que rellenen determinados tipos de formularios.

Funcionamiento de los códigos QR

Hoy en día, la mayoría de las personas saben lo que es un código QR, que es la abreviatura de Quick Response o código de respuesta rápida. Se trata de una combinación de puntos blancos y negros que forman un diseño que, a su vez, se asocia a una información específica y única. Es decir, cada código QR lleva al usuario a un tipo de información a través de un lector disponible en dispositivos electrónicos, como smartphones y ordenadores.

La lectura de estos códigos lleva al usuario a visualizar la información en cuestión, para lo que, en ocasiones, debe hacer clic en algún tipo de enlace. El problema viene cuando estos enlaces son maliciosos y derivan a páginas web cuyo cometido es captar datos e información personal con fines delictivos.

La gran popularidad que alcanzaron en la época de pandemia ha llevado a muchos establecimientos a mantener la lectura de códigos QR como una práctica habitual. Sin embargo, también ha hecho que los ciberdelincuentes opten, cada vez con más frecuencia, por ejecutar el QRshing, empleando falsos códigos QR malintencionadamente.

¿Qué es el QRshing y cómo se ejecuta?

La variante del phishing que se emplea en el caso de los códigos QR se denomina QRshing o QR phishing, y su funcionamiento es similar al del concepto del que proviene. Se trata de una estafa mediante la cual se suplanta la identidad de una entidad u organización relevante, a la que se vincula falsamente un código QR cuyo objetivo principal es acceder a los datos financieros y personales de los usuarios engañosamente.

Por lo general, hay dos maneras en las que se puede llevar a cabo esta suplantación y el delito en sí mismo. Por un lado, llevando al usuario a un formulario falso en el que introduzca los datos bancarios, como el número de tarjeta o el número de cuenta. Por otro lado, redirigiéndole, a través del código QR, a un enlace que descargará un malware para robar los datos que contenga el teléfono móvil.

Cómo evitar caer en la trampa del QRshing

A continuación, te mostramos algunas recomendaciones muy útiles que debes tener en cuenta para identificar conductas delictivas sospechosas y no caer en la trampa. Tal y como has visto, hay múltiples formas de engañar a los usuarios, lo que les hace ser, aún, más vulnerables. Para reducir al máximo el riesgo de sufrir este ciberataque, ten en cuenta lo siguiente:

• La descarga de aplicaciones móviles debe realizarse en la tienda oficial de tu sistema operativo (App Store o Play Store), o en la web oficial de la página del desarrollador de la app.
• Desmarca la opción de abrir automáticamente los enlaces en el momento de escanear los códigos QR, ya que en algunos smartphones aparece activada por defecto. El objetivo es comprobar, personalmente, la veracidad de cada enlace en el que entras.
• Comprueba que la pegatina de los códigos QR no esté pegada encima de otra original, lo cual podría ser indicativo de fraude.
• Asegúrate de instalar un antivirus eficaz en tus dispositivos, especialmente el smartphone, para realizar análisis cada cierto tiempo e identificar posibles malwares que se hayan descargado automáticamente o por error.
• Los códigos QR con información personal son solo tuyos: no es recomendable compartir estos códigos QR con nadie de tu entorno.

Ejemplos de situaciones donde se puede producir QRshing

Hay que tener en cuenta que en cualquier situación en la que se utilice un código QR para transmitir información se puede llevar a cabo esta práctica. No obstante, se han identificado algunos ejemplos de casos reales en los que la mala praxis se ha repetido bastantes veces, lo que ha llevado a establecer un patrón en este tipo de ataques:

• Comunicaciones electrónicas: ya sea a través de email o SMS, muchas personas que suelen utilizar banca electrónica o que hacen compras online pueden recibir comunicaciones de supuestas entidades financieras en las que les invitan a leer un código QR y rellenar un formulario. Algunas de las excusas más habituales son un cambio en la política de privacidad de la empresa o la revisión de operaciones de seguridad.
• Multas de aparcamiento falsas: si te encuentras una multa de aparcamiento en el coche en la que la única forma de pago disponible es a través de un código QR, sospecha. Una de las prácticas que llevan a cabo estos estafadores es simular las multas de la policía y fomentar a los usuarios a realizar el pago mediante el código QR. Sin embargo, las multas reales se pueden abonar de múltiples formas a través de los canales oficiales.
• Parquímetros: si te has fijado, algunos parquímetros cuentan con pegatinas en las que aparecen códigos QR que suelen ser fraudulentos. El mensaje que trasladan es que es posible efectuar el pago a través de ese código QR, algo que únicamente se puede realizar a través de la app oficial o en la propia máquina física.

Cómo mantener tus datos bancarios seguros con Caja Rural del Sur

Una de las principales preocupaciones de los usuarios es mantener su información y sus datos bancarios seguros con su entidad financiera de confianza en el entorno digital. En este sentido, cabe destacar que las compañías bancarias como Caja Rural del Sur contamos con un férreo sistema de seguridad para evitar que se produzcan incursiones en las cuentas de nuestros clientes.

Pero, para que sepas en qué casos deberías permanecer más alerta ante posible riesgo de QRshing, hemos elaborado una pequeña guía virtual muy sencilla. Y, en caso de duda, te recomendamos ponerte en contacto con nosotros antes de llevar a cabo cualquier acción que pueda dejar tu información al descubierto.