¿Sabías que existe una práctica llamada quishing o qrishing y con la que te pueden estafar haciendo un uso fraudulento de los códigos QR? Los delincuentes no pierden la oportunidad de buscar fórmulas alternativas para robar dinero o información confidencial a cualquier tipo de usuarios y desde hace años han encontrado un filón en esta nueva tecnología.

La dinámica es sencilla, pero muy avispada. Sabedores de que mucha gente tiene acceso a los esta tecnología codificada y que aparentemente parece muy segura, aprovechan esa creencia para introducir códigos que son fraudulentos.

A pesar de que el código QR existe desde hace años, no ha sido hasta la llegada del Covid 19 cuando se ha popularizado. Desde 2020 hasta ahora muchos bares, restaurantes y tiendas incluyen esta tecnología para dar acceso a sus cartas o sus catálogos y que los clientes puedan consultarlos a través de internet.

El quishing consiste en utilizar esta fórmula para que los usuarios no lleguen a las direcciones correctas, sino a otras no legítimas donde pueden ser víctimas de robo de información o incluso de dinero.

¿Cómo funciona esta nueva estafa?

Los delincuentes utilizan varías vías para hacer llegar sus códigos QR. Según explica la compañía española especializada en esta tecnología, QRFY, más del 70% de las estafas contemporáneas se ejecutan mediante la técnica del quishing.

A los restaurantes y tiendas donde aparecen códigos QR se suman bancos, hoteles, colegios, edificios públicos donde hay tablones de anuncios e incluso portales y fincas de viviendas en las que se dejan folletos de publicidad.

En los restaurantes o en tiendas que tienen sus propios códigos, los delincuentes lo que hacen es colocar una pegatina con su código encima, para que así los usuarios accedan creyendo que es la dirección legítima.

En otros casos dejan carteles por la calle o en establecimientos haciéndose pasar por empresas. El problema surge cuando la web a la que dan acceso es aparentemente muy parecida a la del comercio original y allí piden datos personales para una promoción o un descuento en el precio. El cliente cree que va a participar en un sorteo o se va a aprovechar de unas condiciones ventajosas cuando en realidad está siendo víctima de robo de información o claves bancarias.

Una tercera estrategia que siguen los delincuentes es utilizar los códigos QR como fórmula de pago. Ya hay muchas empresas que proponen utilizar esta tecnología para acceder a una pasarela segura de pago y realizar las transacciones económicas a través de esta vía. Aquí el engaño viene cuando el QR fraudulento lleva a una app que no es la real, accediendo así a información confidencial de los clientes.

¿Nos podemos proteger frente a los intentos de estafa?

El quishing, que recibe ese nombre por su similitud de funcionamiento con el phishing (el robo de contraseñas y otros datos a través de enlaces engañosos) es una práctica extendida, pero ante las que podemos estar completamente protegidos.

QRFY, empresa experta en este tipo de tecnología, ofrece cinco recomendaciones clave para lograrlo. La primera es verificar la fuente del código QR. Como sabes, todos estos códigos dirigen hacia una página web. Y existe un modo para comprobar que esa web es legítima, que aparezca un candado junto a la URL.

Si ves el candado y la dirección comienza por “https://”, la web es de confianza. Por supuesto, a esto tienes que sumar que sea un portal con una apariencia segura, bien construido y sin aspecto de fraude.

Otro asunto donde QRFY pone el foco es en las apps de escaneo. La única forma de acceder a los QR es mediante su escaneo con aplicaciones que leen los cuadros blancos y negros. Si las apps son seguras, es más probable que estés defendido frente a los intentos de estafa.

Por lo general, la mayoría de dispositivos móviles actuales ya incluyen escáneres instalados por defecto, así que no te tienes que preocupar por ello. Pero si no es el caso, busca en las tiendas virtules apps que estén bien valoradas y tengan buena reputación.

A este consejo hay que sumar uno que es esencial, tus dispositivos móviles han de estar protegidos en todo momento. No olvides incluir un programa antivirus para hacer análisis constantes sobre la seguridad del equipo.

En el caso de QRFY, la empresa innova constantemente sus códigos QR dinámicos para que haya menos posibilidades de ser vulnerables frente a los ciberdelincuentes. Además, utiliza una herramienta antifraude que escanea constantemente las URL de destino y protege a los usuarios bloqueando el acceso al código QR. Siguiendo esta dinámica han bloqueado más de 5.000 amenazas en todo el mundo durante el último año.

La última recomendación es clara, no tienes por qué escanear todos los códigos QR a los que tengas acceso, y especialmente a aquellos que son muy tentadores, con ofertas que son demasiado buenas para ser verdad. Probablemente detrás de esa propuesta tan atractiva lo que se esconda sea un intento de robo de información.