El QRishing o estafa por código QR hace tiempo que circula. Sin embargo, hace unos días alertaba la policía del auge de estas prácticas de ciberdelincuencia.
Los códigos QR son códigos usados ampliamente y por cualquier que permiten, entre otras cosas, compartir enlaces digitales (por ejemplo, una página web) mediante un soporte físico (un código QR impreso y pegado en una superficie).
Durante la pandemia, se popularizó el uso de códigos QR para substituir les cartas y menús de bares y restaurantes. Esta práctica aún sigue vigente en prácticamente todos los establecimientos de restauración y es ahí donde los ciberdelincuentes han visto una oportunidad.
Sin embargo, no se limita ahí. Encontramos infinidad de códigos QR potencialmente fraudulentos esparcidos por toda la ciudad, ya sea en establecimientos como en servicios públicos o mobiliario urbano.
Cómo funciona la estafa
Simplemente, el ciberdelincuente pega su código QR fraudulento encima del código QR del establecimiento. El usuario, creyendo estar usando un código legítimo, está en realidad escaneando un código falso.
Estos códigos fraudulentos tienen como objetivo recopilar datos sensibles del usuario: información bancaria, credenciales de acceso a aplicaciones, emails, etc. Para ello, el código suele:
- Abrir páginas web falsas dónde se piden datos al usuario.
- Pasarelas de pago fraudulentos, donde el usuario cree estar haciendo un pago legítimo.
- Descarga de malware que, en el dispositivo, recopilará esta información.
En realidad, no es otra cosa que el viejo conocido phishing. La novedad, sin embargo, es que permite llevar la estafa digital al terreno físico, suplantando la identidad de establecimientos y servicios en los que nos encontramos presencialmente.
Cómo evitar ser estafado
Es recomendable que los usuarios extremen las precauciones, siguiendo estas recomendaciones:
- Establecer si el código QR es legítimo: ¿está bien situado y pegado o muestra algún tipo de manipulación? ¿Hay códigos en todas las mesas o no es práctica del establecimiento? En caso de duda, preguntar siempre al personal.
- Los dispositivos móvil actuales ya incorporan un lector de códigos QR, por lo que debemos hacer caso omiso de cualquier petición de descarga de aplicación para leerlo.
- Generalmente, el móvil nos va a pedir una confirmación antes de abrir la dirección web a la que dirige el código QR, por lo que podemos ya fijarnos en si esta URL dispone de protocolo de seguridad https. Si no lo tiene, lo mejor es no visitarla.
- Una vez en la página, debemos observar si se trata de una página legítima o no: por ejemplo, ¿contiene la información de la empresa, como el logotipo y la información legal correspondiente?
- También podemos preguntarnos si nos está pidiendo información que realmente necesita. Ante la duda, consultarlo al personal o por las vías de contacto habituales y conocidas antes de hacer nada.
¿Qué pueden hace las marcas?
Estos tipos de práctica tienen como trasfondo la voluntad de suplantar la identidad de la organización afectada, puesto que se nutren de su legitimidad para engañar a los usuarios.
En el terreno offline, deberán revisar los códigos QR disponibles en sus establecimientos, detectar los fraudulentos y eliminarlos físicamente.
En el terreno online, las acciones que puedan emprender dependerán de si la página web o plataforma que se está visitando a través del código está realizando algún tipo de abuso o infracción de marca.
Es decir, si el código QR está pegado en mi tienda o bar, pero la página a la que redirige no tiene nada que ver con mi negocio en ningún aspecto (no usa el logotipo o grafismo, no menciona la marca, el contenido no tiene nada que ver con la actividad del negocio, etc.), no podrá hacer nada al respecto porque no hay ningún uso engañoso de la marca a nivel online.
Sin embargo, si la página web o plataforma usa la marca o la menciona para realizar la acción de phishing, es decir, engañar al usuario para que deje sus datos o realice un pago haciéndole creer que es legítima, ahí sí encontramos una infracción y la empresa puede emprender acciones para eliminar esa página web.
La mejor manera de atajar los abusos de marca online es mediante soluciones de monitorización y vigilancia de dominios, que nos permiten:
- Detectar cuando un tercero registra un dominio con nuestra marca.
- Detectar una página web de terceros que menciona nuestra marca.
- Vigilar páginas web sospechosas, pero que aún no contienen ninguna infracción.
Todo ello nos permite anticiparnos a ataques de phishing que usan nuestra marca de manera ilegal y, por lo tanto, proteger a los usuarios.
¿Necesitas consejo? Habla con nosotros
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.