Como evitar las estafas al escanear un código QR
Ciberseguridad

Como evitar las estafas al escanear un código QR

En el mes de septiembre se detectó una serie de fraudes relacionados con los códigos QR, concretamente en Málaga.

Como evitar caer en las estafas en Bizum

La Guardia Civil recomienda marcar *#06# en tu teléfono: por este motivo

Cuidado si te contacta la Seguridad Social para una tercera dosis, es una estafa e intentan secuestrar tu WhatsApp


En el mes de septiembre se detectó una serie de fraudes relacionados con los códigos QR, concretamente en Málaga.

“La policía ha detectado en Málaga una nueva modalidad de estafa cometida a través de los códigos QR”, publicaba la Policía Nacional el pasado mes de septiembre en su perfil de Twitter.

Aunque desde la Policía Nacional en Málaga afirmaron que no se detectó un caso concreto de estas estafas en la provincia o en Málaga capital, indicaron que tienen conocimiento de que se trata de una práctica que se lleva a cabo, motivo por el que han decidido alertar a la población y ofrecerle consejos para evitar estos fraudes en la medida de lo posible.

Por tanto, te explicamos qué prácticas podrían llevar a cabo los ciberdelincuentes y cómo puedes evitar ser víctima de un fraude a través de códigos QR.

Actividades fraudulentas a través de códigos QR

Los códigos QR, existen desde hace años, pero sin duda han experimentado un auge en su uso durante los meses de la pandemia de coronavirus, cuando los hemos usado en restaurantes, aeropuertos, a la entrada de conciertos, teatros, etc.

Como hemos mencionado, la Policía Nacional en Málaga ha advertido de que es posible llevar a cabo estafas a través del escaneo de estos códigos. Este tipo de códigos es una de las posibles entradas de programas maliciosos a nuestros dispositivos.

El Instituto Nacional de Ciberseguridad (INCIBE) enumera los riesgos a los que podemos exponernos al escanear un QR: posibles casos de phishing, la técnica que intenta hacerse con nuestros datos personales, bancarios o con nuestro dinero; la descarga de malware o inyección de código malicioso; y «qrljacking» o secuestro de sesión.

Si no habéis oído este último término antes, el «qrljacking» consiste en secuestrar una cuenta que acepta un inicio de sesión a través del escaneo con QR.

Es, por ejemplo, el caso de WhatsApp Web. Para poder iniciar sesión en una pestaña de nuestro navegador, escaneamos un código desde nuestro smartphone y la sesión se inicia automáticamente.

Lo que hacen los ciberdelincuentes aquí es engañar a las víctimas para que escaneen un código que suplanta al original y, al hacerlo, capturan las credenciales de la sesión de la víctima y acceden de forma encubierta a la información que hay dentro de su cuenta.

Cuidado con los QR que vemos en la calle

Con esto no estamos diciendo que haya que desconfiar de todos los códigos QR o que haya que dejar de usarlos, sino que hay que prestar atención a qué es lo que escaneamos. Según la policía, uno de los casos en los que hay que tener especial cuidado es en aquellos en los que veamos que el código está pegado encima de otro cartel.

Por ejemplo, imagina que se trata de una publicidad de una marca conocida y que el único elemento de ese cartel que sobresale es el QR. Ojo porque es posible que debajo esté el de la marca y que ese haya sido superpuesto por ciberdelincuentes.

Por atractivos que parezcan, desconfía también de anuncios de supuestos premios, regalos, promociones, etc., que encuentres por la calle.

Estas promesas de conseguir un premio tan sólo escaneando un QR podrían tener detrás otras intenciones. Y no te fíes tampoco de los que encuentres solos, sin ningún tipo de información.

Consejos para evitar que nos cuelen virus al escanear un QR

Para evitar ser víctima de uno de estos casos de estafa, tenemos una serie de recomendaciones, empezando por lo más básico: tener instalado un antivirus o un antimalware en nuestro dispositivo.

También es importante prestar atención a qué escaneamos, dónde y por qué. Y si vamos a escanear uno, configuremos nuestro lector de QR para que no vaya directamente a la URL, sino que nos permita verla antes de acceder. Así podremos comprobar que se trata del sitio web al que queremos ir.

Lo mismo deberíamos hacer con las descargas de archivos. Si el ciberdelincuente pretende que nos descarguemos un archivo malicioso, será mejor que no permitamos las descargas directas al escanear.

Y, además, hay que tratar de no rellenar ningún formulario de la web a la que accedemos. Si tenemos que hacerlo, es mejor dirigirnos nosotros mismos a ese formulario accediendo manualmente a la web que seguir un enlace de dudosa procedencia.

Cómo protegerte de posibles ataques si eres el creador de un QR

El INCIBE también ofrece una serie de consejos para los usuarios que generan esos QR como puede ser el caso si tienes un negocio, por ejemplo.

¿Qué puedes hacer para prevenir estos ataques?

Comprobar frecuentemente que tus QR no han sido cambiados ni modificados por otras personas. Ojo también a la hora de elegir el generador de este código: usa un servicio que ofrezca las suficientes garantías de seguridad.

En resumen, ya seas propietario de un negocio o un usuario, puedes seguir estos consejos y recomendaciones para evitar en la medida de lo posible ser víctima de un ataque a través de un código QR:

  • Ten instalado un antivirus o un antimalware en tu dispositivo.
  • Desconfía de los supuestos regalos, promociones y ofertas que encuentres por la calle y a las que podrías acceder tan sólo escaneando un QR: pueden ocultar otras intenciones.
  • Asegúrate de que el código que vas a escanear no ha sido pegado encima de otro.
  • Configura tu lector de códigos QR para que no pueda acceder directamente a la URL antes de entrar en ella y asegúrate de que es una web en la que puedes confiar.
  •  No permitas las descargas directas de archivos al escanear un código QR.
  •  Si tienes un negocio y vas a ofrecer un QR a tus clientes, usa un generador de este servicio que ofrezca todas las garantías de seguridad y comprueba frecuentemente que no ha sido modificado ni cambiado por terceras personas.

Información adicional

Tamara López

Graduada en Trabajo Social. Máster en Educación Social y Animación Sociocultural.
Botón volver arriba