Nos habéis preguntado a través de nuestro servicio de verificación de WhatsApp (+34 627 28 08 15) por los riesgos de estafas de phishing asociados al uso de código QR. Según ha advertido la Policía Nacional, se han registrado casos en los que estos códigos nos pueden llevar a una web fraudulenta donde intentarán hacerse con nuestros datos personales. Es decir, una nueva técnica de phishing surgida tras la crisis de la COVID-19. Esto es lo que sabemos al respecto.
La Policía Nacional pone la voz de alarma
El cuerpo de la Policía Nacional ha alertado a través de sus redes sociales que ha detectado este tipo de estafa asociada al phishing en Málaga: “Mucho cuidado al escanear un código QR desconocido. La Policía ha detectado en Málaga una nueva modalidad de estafa a través de códigos QR”, dice el mensaje.
Para ampliar la información añaden una noticia del medio local Málaga Hoy. Como explican en la misma, la Comisaría Provincial de Málaga ha alertado de la detección de esta nueva modalidad de estafa a través de códigos QR.
Según han explicado desde la citada comisaría, con motivo de la crisis sanitaria provocada por la COVID-19 los ciudadanos han cambiado sus hábitos y han empezado a utilizar tecnología de este tipo, y en este contexto los estafadores utilizan esta modalidad para crear códigos QR que lleven a quien los escanea a webs fraudulentas. En estas webs es donde intentan robarles sus datos personales y bancarios. Por todo ello han pedido máxima precaución a la hora de escanear un código QR desconocido por la amenaza de phishing.
[El código QR: de una anécdota a estar en todas partes]
Lo que dice INCIBE sobre el ‘phishing’ y el código QR
El Instituto Nacional de Ciberseguridad (Incibe) publicó esta nota hace casi un año en su página web en la que alertaba de este nuevo tipo de estafas. Entre los riesgos que pueden sufrir los clientes debido al uso de estos códigos en los negocios destacan:
Ataques de phishing: “Los usuarios podrían proporcionar sus credenciales mediante el escaneo del código QR contenido en una web, mensaje o correo electrónico”, advierte el organismo El usuario, al escanear el código “es redirigido a una página web, que suplanta a la de la empresa donde se le solicita información confidencial”.
Descarga de malware o de código malicioso, mediante “el uso de sitios web maliciosos para distribuir malware contra los usuarios de dispositivos móviles, a través de la inyección de código malicioso”.
QR Jacking o secuestro de sesión. Es decir, el secuestro de nuestra cuenta de un servicio que acepte la función de “inicio de sesión con código QR”. Para ello “tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes”.
Por último los consejos que dan desde INCIBE son: comprobar de forma frecuente que los códigos en tu negocio no han sido modificados por terceras personas, elegir un generador de códigos QR o un servicio que ofrezca garantías, comprobar que el QR redirige a la página indicada, deshabilitar la apertura automática de enlaces al escanear un código QR, chequear que la URL es de un sitio fiable, no divulgar códigos QR por redes sociales.
La Oficina de Seguridad del Internauta publicó este vídeo tutorial en Youtube para ayudar a prevenir este tipo de estafas:
Lo que dicen los expertos sobre el ‘phishing’ y el código QR
Josep Albors, experto en ciberseguridad de ESET, nos explica que, en este tipo de estafas de phishing, los ciberdelincuentes “suelen colocar códigos QR encima de códigos legítimos usados en todo tipo de establecimientos como restaurantes, centros comerciales o locales donde acuda una cantidad de gente considerable». Además, el objetivo de los estafadores es “redirigir a las victimas a una web que no tiene relación con la legítima o incluso descargar una aplicación maliciosa”. Y añade que “así los delincuentes pueden solicitar datos personales en la web fraudulenta o incluso tratar de infectar el dispositivo móvil usando la aplicación descargada”.
Albors también nos aclara que este tipo de estafas son conocidas desde hace varios años, pero que con «el aumento del uso de códigos QR, motivado por las medidas sanitarias, los delincuentes han visto una oportunidad de oro para conseguir un elevado número de víctimas”. Por último, nos aconseja escanear los códigos QR con una aplicación como “Google Lens” que nos mostrase “el enlace al que nos quiere redirigir antes de pulsar sobre él”, para así chequear que estamos entrando en la web que queremos.
Cómo evitar el ‘phishing’
Recuerda que el phishing, como este que se puede producir a través de código QR, es una estafa que podemos sufrir generalmente a través de mensajes de texto, correos electrónicos y llamadas fraudulentas en las que los delincuentes intentan hacerse de manera ilícita con nuestros datos personales, contraseñas o acceder a nuestras cuentas bancarias. El phishing es también una suplantación de identidad, es decir, alguien que se hace pasar por una empresa, organización o persona para intentar engañarnos. En esta guía puedes encontrar algunas pautas para evitarlo y puedes consultar todas los bulos que hemos publicado en Newtral.es sobre las estafas de phishing.
Fuentes:
- Cuenta de Twitter de la Policía Nacional
- Página web de Málaga Hoy
- Página web de INCIBE
- Josep Albors experto en ciberseguridad de ESET
