Llevamos algún tiempo en el que el tema Seguridad está presente, y eso nos con lleva a veces a tratar el nuevo modelo de estafas tipo phishing asociados al uso de código QR. Según ha advertido la Policía Nacional, se han registrado casos en los que estos códigos nos llevan a una web fraudulenta donde intentarán hacerse con nuestros datos personales. Es decir, una nueva técnica de phishing que ha surgido tras la crisis del COVID-19. Esto es lo que sabemos al respecto.
La advertencia de la Policía Nacional…
El cuerpo de la Policía Nacional ha alertado a través de Twitter que ha detectado este tipo de estafa asociada al phishing en Málaga:
¡Mucho ojo al escanear un código #QR desconocido!
La @policia ha detectado en #Málaga una nueva modalidad de #estafa cometida a través de los códigos QR
El objetivo es hacerse con datos personales o bancarios de las víctimas #EvitaDisgustos
Más info: https://t.co/qvp3DVBlTx
Las personas han estado haciendo uso del código QR y lo han llevado a cabo precisamente para evitar el tener que tocar documentos, papeles, cartas de menú en restaurantes, etc… Ello ha llevado a los estafadores para ingeniárselas y suplantar identidades mediante códigos QR falsos, redirigiendo así a los usuarios a páginas web fraudulentas. En estas webs es donde intentan robarles sus datos personales y bancarios. Por todo ello han pedido máxima precaución a la hora de escanear un código QR desconocido.
¿Qué nos dice INCIBE sobre el código QR y el pshishing?…
El Instituto Nacional de Ciberseguridad (Incibe) publicó esta nota hace casi un año en su página web en la que alertaba de este nuevo tipo de estafas. Entre los riesgos que pueden sufrir los clientes debido al uso de estos códigos en los negocios destacan:
- Ataques de phishing: “Los usuarios podrían proporcionar sus credenciales mediante el escaneo del código QR contenido en una web, mensaje o correo electrónico”, advierte el organismo El usuario, al escanear el código “es redirigido a una página web, que suplanta a la de la empresa donde se le solicita información confidencial”.
- Descarga de malware o de código malicioso, mediante “el uso de sitios web maliciosos para distribuir malware contra los usuarios de dispositivos móviles, a través de la inyección de código malicioso”.
- QR Jacking o secuestro de sesión. Es decir, el secuestro de nuestra cuenta de un servicio que acepte la función de “inicio de sesión con código QR”. Para ello “tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes”.
Por último los consejos que dan desde INCIBE son: comprobar de forma frecuente que los códigos en tu negocio no han sido modificados por terceras personas, elegir un generador de códigos QR o un servicio que ofrezca garantías, comprobar que el QR redirige a la página indicada, deshabilitar la apertura automática de enlaces al escanear un código QR, chequear que la URL es de un sitio fiable, no divulgar códigos QR por redes sociales.
La OSI (Oficina de Seguridad del Internauta) publicó un videotutorial sobre cómo prevenir este tipo de estafas.
¿Qué dicen los expertos sobre este “nuevo” modelo de estafa?…
Josep Albors, experto en ciberseguridad de ESET, nos explica que, en este tipo de estafas de phishing, los ciberdelincuentes “suelen colocar códigos QR encima de códigos legítimos usados en todo tipo de establecimientos como restaurantes, centros comerciales o locales donde acuda una cantidad de gente considerable“.
¿Qué aconsejamos nosotros para evitar el Phishing por QR?…
¿Cómo evitar los fraudes por QR?
Para poder evitar fraudes, como éste, tenemos que mantenernos siempre alerta y no confiar cuando nos pidan que les demos nuestra información personal y mucho menos si nos piden datos bancarios.
Consejos básicos:
- Configurar nuestro teléfono para que no se pueda actuar sin nuestro permiso.
- Fijarnos si a la hora de leer un código QR pudiera haber una pegatina añadida sobre ella.
