Crece el QRishing, la estafa a través de códigos QR que se extiende en bares y restaurantes

Los ciberdelincuentes cada vez tienen más tácticas para estafar a los usuarios a través de la denominada ingeniería social. En este contexto, crece el QRishing, la estafa a través de códigos QR que se extiende en bares y restaurantes. Un método que consiste en sustituir las pegatinas que los establecimientos utilizan para consultar su carta o, incluso, pagar la cuenta, por otras que redirigen a los usuarios a sitios web maliciosos para robar sus datos o claves bancarias. Solo entre agosto y septiembre de este año, este método de estafa se ha disparado un 587%, según datos de Check Point, una de las principales tecnológicas en seguridad informática de todo el mundo.

En paralelo, también siguen aumentando los casos de la estafa del código de verificación de WhatsApp, con el que los ciberdelincuentes se hacen pasar por uno de nuestros contactos para solicitarnos un código de seis dígitos por SMS para acceder a los dispositivos.

El sentido común sigue siendo la principal arma para evitar ser víctimas de una de estas estafas, pero también existen aplicaciones que sirven como barrera para protegernos de uno de estos ciberataques.

Los QR, al alcance de todos

QR son las siglas de Quick Response, que significa "respuesta rápida". Son una evolución de los códigos de barra, hechos mediante pequeños cuadrados, pero que se leen e imprimen más fácilmente, presentan menos errores y almacenan más información en distintos formatos. Se originan mediante un software de código libre y gratuito, por lo que cualquiera puede generar uno, también los ciberdelincuentes.

No se trata de un formato nuevo, de hecho, existen desde 1994, pero desde la pandemia se generalizaron en bares y restaurantes como sustitutos de las cartas y los menús físicos, aunque hosteleros como Mariano Lacambra, propietario de un restaurante en Zaragoza, prefieren no utilizarlos. En su caso, esta decisión se debe a que su negocio fue víctima de una estafa y no quiere correr riesgos con sus clientes.

"Veo una desproporción entre lo que avanza la tecnología y la protección que tenemos. Nosotros fuimos víctimas de una estafa telefónica y nos robaron una cantidad de dinero importante, por lo que desconfío. La pandemia ha adelantado todo y ahora todo pasa por el móvil, pero no se legisla al mismo ritmo. Te estafan y te quedas indefenso. Cuando nos planteamos poner códigos QR, optamos por imprimir nuestra carta en los manteles porque puede venir un gracioso a ponernos una pegatina falsa y estafar a nuestros clientes. Yo no tengo formación en tecnología y tampoco puedo saber cuándo los datos de mis clientes pueden quedar expuestos. Con el pan no vamos a jugar", cuenta este hostelero a COPE.

QRishing

Los ciberdelincuentes sustituyen las pegatinas con códigos QR en bares y restaurantes por otros códigos que, una vez son escaneados con nuestro móvil, nos redirigen a páginas web de phishing, a descargas automáticas de aplicaciones maliciosas. Nuestros móviles mandan un SMS de pago para instalarnos un malware, un software malicioso, que pueda robarnos los datos de las credenciales de las cuentas bancarias y, en definitiva, acceda al interior de nuestros dispositivos.

Para Pedro González, formador en ciberseguridad, para evitar este tipo de estafas lo esencial sigue siendo el sentido común: "Si vemos una pegatina encima de otra, debemos desconfiar. También si observamos una pegatina que está muy limpia, como nueva, en una superficie que generalmente suele mancharse como puede ser la mesa de un restaurante. Y, por supuesto, si escaneamos el QR y nos redirige a la descarga de una aplicación. También podemos buscar en internet qué aplicaciones que escanean QR nos ofrecen un poco más de protección y optar por utilizar estas, o bien porque nos permitan una vista previa, o porque se abran en un entorno controlado".

Estafa por WhatsApp

La técnica del QRishing no es la única que sigue creciendo. En las últimas semanas, se ha extendido una nueva estafa, la del código de verificación de WhatsApp, sobre la que ya ha advertido la Guardia Civil y que consiste en una "estafa encadenada".

Tanto si recibimos un código de seis dígitos, como un mensaje de un conocido pidiéndonos el código o solicitando algún tipo de transferencia, son señales que deben ponernos en alerta para ignorar el mensaje. Probablemente, nuestro conocido haya sido hackeado previamente y hayamos pasado a formar parte de la cadena.

En el caso de compartir el código, el ciberdelincuente tendrá acceso a nuestro teléfono. Podrá comunicarse con nuestro banco o hacer otro tipo de operaciones, además de tener acceso a nuestra lista de contactos a quienes podrá seguir estafando.

Para ello, el ciberdelincuente se instala la aplicación de WhatsApp en un dispositivo en el que quiere asociar nuestro teléfono. En paralelo, vamos a recibir un SMS con un código numérico de seis dígitos, el que el servicio de WhatsApp emplea para verificar la identidad antes de dar el alta en un nuevo dispositivo.

Simultáneamente, vamos a recibir un mensaje, generalmente de un contacto que tenemos en nuestra agenda, que previamente habrá sido hackeado, solicitándonos ese código y pidiéndonos que, por favor, se lo mandemos.

Verificación en dos pasos

"En el momento en el que facilitamos el código, perdemos el control de nuestra cuenta y además el hacker se va a hacer con nuestra agenda de contactos, lo que le va a permitir continuar con la cadena. Aquí, además del empleo del sentido común, lo mejor que podemos hacer es activar el segundo factor de autenticación, la verificación en dos pasos, preferiblemente a través de una aplicación de autenticación, que están disponibles para descargar en las tiendas oficiales de los distintos sistemas operativos. Así, al no tener acceso a esta segunda contraseña que se nos va a pedir para poder abrir la aplicación de WhatsApp, el ciberdelincuente no tendrá tampoco acceso a nuestra cuenta y estaremos más seguros", cuenta el experto en ciberseguridad, Pedro González, a COPE.