Cómo podemos identificar el ‘Qrishing’, la estafa por QR con la que roban nuestros datos

La estrategia de pescar datos a través de códigos maliciosos es cada vez más frecuente

La estrategia de pescar datos a través de códigos maliciosos es cada vez más frecuente

Captura de pantalla amb el filtre "T'ho expliquem" de la imatge que circula a WhatsApp sobre la estafa del QR
, ,

¿Qué se ha dicho?

Que se están produciendo robos de información a través de códigos QR en notificaciones de multas falsas.

¿Qué sabemos?

Que se trata de una estafa recurrente de la que ya advierten las autoridades en América Latina y en España desde hace tiempo.

Nos habéis hecho llegar a través de nuestro número de WhatsApp (34 666908353) la imagen de una supuesta multa por estacionamiento incorrecto que incluye un código QR y nos pedís de qué se trata. Es una estafa que utiliza un QR para captar datos personales y que se ha detectado en la provincia de Salta, en Argentina.

Este tipo de fraude llamado Qrishing, se está reproduciendo mayoritariamente en América Latina, donde distintas autoridades ya han emitido alertas al respecto. Pese a que en España el volante concreto que nos habéis hecho llegar todavía no se ha detectado, sí que hay constancia de estafas similares a partir de códigos QR. El modus operandi está registrado por el Instituto Nacional de Ciberseguridad y tanto Mossos d’Esquadra como Policía Nacional tienen constancia de ello. ¡Te explicamos cómo funciona y cómo puedes evitar caer en este fraude!

La Policía Nacional compartía en su cuenta de X (antes Twitter) alertas por fraudes con QR ya en 2021. Además, en 2022 advirtió a través del mismo canal de una estafa que utilizaba esta metodología y que simulaba ser una multa de 100 euros por infracción emitida por la Policía Municipal de Madrid. Entonces, aclararon que ningún boletín de denuncia de las autoridades municipales incorporaban códigos QR. Por su parte, la Agència de Ciberseguretat de Catalunya también recoge distintos consejos para hacer frente a fraudes similares.

Una sofisticación del phishing

Añadir un QR como anzuelo para robarte los datos sofistica una práctica similar ya existente que hace lo mismo, pero solamente a través de un enlace: el phishing. En este caso, los ciberdelincuentes envían a la víctima un correo con un enlace a través del cual le roban datos personales.

En cambio, el Qrishing incluye códigos QR en documentos en los que es habitual encontrárselos (menús de restaurantes, cartas, documentos, vehículos de movilidad personal de alquiler…). Una vez la víctima ha escaneado el QR, se carga un enlace en el motor de búsqueda del dispositivo de forma automática y, entonces, los delincuentes pueden usurpar credenciales y otras informaciones de carácter sensible como datos bancarios.

Otra posibilidad que permite esta modalidad de estafa es la descarga automática de un archivo sin que la víctima de se cuenta tras haber hecho clic en el enlace vinculado al QR. En este caso, el móvil se infectaría de un malware o programa malicioso que permitiría a los ciberdelincuentes tomar el control del dispositivo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar los ficheros almacenados.

¿Cómo podemos detectar y protegernos de esta práctica?

  • Fijarse si el código QR es una pegatina o está tapando otro código. Se recomienda comparar los QR con otros ya existentes para encontrar diferencias sospechosas.
  • La aplicación de escaneo que se usa debe tener medidas de seguridad, como mostrarte el enlace antes de acceder a él y advertirte de posibles peligros.
  • Comprobar que la dirección web a la que se accede empieza por «HTTPS», algo que implica que la web tiene certificado de seguridad.
  • Si tras escanear el QR, se descarga un archivo, hay que desconfiar. Especialmente, si se trata de un archivo ejecutable («.apk» u otros).
  • Hay que tener el móvil actualizado para recibir los últimos parches de seguridad disponibles, además de poder implementar otras barreras como un programa antivirus.

En caso de ser víctima de esta estafa, la Agència de Ciberseguretat de Catalunya establece pautas a seguir.