Códigos en Bicimad que llevan a pasarelas de pago fraudulentas y otras estafas mediante QR

El servicio municipal de bicicletas compartidas de Madrid, Bicimad, será gratuito hasta el próximo 31 de diciembre, según anunció el pasado julio el ayuntamiento de la capital. Sin embargo, en los últimos días algunos usuarios se han sorprendido al encontrar en las bicicletas pegatinas con un código QR que, al ser leído, redirige a una pasarela de pago en la que abonar, en libras esterlinas, viajes sueltos o pases diarios. Según informa el Ayuntamiento de Madrid a Newtral.es, estos códigos QR forman parte de un intento de fraude que ya ha sido solucionado. 

Las primeras denuncias surgieron en la red social X, en la que varias personas alertaron de la presencia de estos adhesivos el pasado 11 de septiembre. La plataforma de usuarios ‘Bicimad en lucha’ reportó más casos al día siguiente y recordó que el servicio es gratuito. El Ayuntamiento de Madrid afirma a Newtral.es que ha tenido constancia de cinco bicicletas afectadas y que el caso ha sido puesto en manos de la Policía Nacional. 

Como publicó el diario El Mundo, la página web a la que dirigían los códigos, ya desactivada, estaba registrada en Kiev, Ucrania, y su finalidad era la de recopilar los datos bancarios de las personas estafadas, un método conocido como phishing. 

La generalización de los códigos QR conlleva riesgos de fraude y phishing 

El fraude mediante códigos QR no solo ha afectado a las bicicletas del servicio municipal de Madrid, sino también a algunos patinetes de empresas privadas como Lime o Uber. En estos casos, la estafa puede ser más difícil de detectar puesto que sí se trata de un servicio de pago.

A raíz de la pandemia, los códigos QR han cobrado mayor protagonismo y su uso se ha generalizado entre la población para acciones cotidianas como consultar el menú de un establecimiento. Sin embargo, esta tecnología no está exenta de peligro y no es la primera vez que se utiliza con fines fraudulentos.

Como informamos en Newtral.es, el pasado mes de diciembre aparecieron en varios coches del barrio madrileño de Carabanchel multas falsas acompañadas de un código QR. En septiembre de 2021, la Policía Nacional también alertó del uso de códigos QR para intentos de phishing en Málaga. En otros casos, los códigos forman parte de campañas comerciales, pero aún así la policía aconseja extremar las precauciones.

El Instituto Nacional de Ciberseguridad (INCIBE)  también advirtió este verano de una nueva campaña de phising utilizando códigos QR. Ya el año pasado el instituto había alertado de los riesgos de fraude asociados al uso de esta tecnología, ofreciendo una serie de indicaciones para escanear códigos QR de manera fiable y segura, entre los que se incluyen:

• No acceder a una dirección URL que nos parezca sospechosa a primera vista.
• Asegurarnos de que la web a la que vamos a acceder siempre cumple con estándares de protección y navegación segura, como, por ejemplo, HTTPS. 
• No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR. En el caso de acceder a plataformas bancarias o de compras, debe hacerse mediante el navegador o la aplicación propia.