Usuarios escaneando un código QR

Usuarios escaneando un código QR EP

Reportajes

La estafa escondida en los QR: cuidado con la carta del restaurante o los paquetes sorpresa que te llegan

Publicada
Actualizada

Suena el timbre, es un repartidor con un paquete. Tú no has pedido nada, pero te puede la curiosidad. Viene acompañado de un QR, lo escaneas y han accedido a todos tus datos. Las estafas mediante estos códigos se están volviendo cada vez más comunes y pueden llegar desde cualquier lugar, desde cargadores de coches eléctricos hasta las cartas de los restaurantes.   

A este nuevo método de engaño se lo conoce como 'brushing'. Al aceptar la entrega "se te identifica como cliente y pueden usar tus datos", avisa la OCU. Las empresas utilizan estos nuevos perfiles para valorar positivamente sus productos y posicionarlos mejor en los portales de venta. 

"Lo que parece un regalo, o un error, en realidad es una suplantación de personalidad", alerta la OCU. Las compras navideñas hacen trabajar aún más a los delincuentes, que aprovechan estas fechas para aumentar el número de envíos. 

Manuel Fernández Omicrono

"Si escaneas este código, te pueden enviar a una página web fraudulenta en la que van a solicitar todos tus datos personales o te redirigen para que descargues una aplicación maliciosa", advierte la Guardia Civil a través de sus redes sociales.

Los códigos QR se han convertido en un elemento más en nuestro día a día. Desde la pandemia los vemos en todas partes: restaurantes, cines, tiendas e incluso son útiles a la hora de pagar en algunos establecimientos. Leerlos es muy fácil: sacas tu móvil, escaneas el código y este te redirige a una página web, aunque hay que tener mucho cuidado.

"Un QR en estos casos lo único que hace es enlazar a una persona con una posible trampa", explica Enrique Serrano, experto en ciberseguridad. Estos códigos pueden redirigir al usuario a dos sitios: una página web o la descarga de una aplicación. Así acceden los hackers a la información de nuestros teléfonos. 

Los ataques más "sofisticados" son los que entran en los dispositivos móviles de manera inmediata, aunque también son los más difíciles de programar. Con ellos buscan espiar el dispositivo y extorsionar a su dueño utilizando la información recabada en el ataque. Esto es un hackeo completo del sistema, pero es el modo de actuar menos frecuente.

Un restaurante en Toledo con una carta en QR

Un restaurante en Toledo con una carta en QR EFE/ Ismael Herrero

Los más comunes son precisamente aquellos que te redirigen a otra web o aplicación que solicita tus datos personales. Los ciberdelincuentes suelen pegar un código QR encima de otro que ya existe, como es el caso de restaurantes, comercios y otros servicios.

Algunos restaurantes ya permiten pagar a través de un software propio. "Si te descargas la aplicación maliciosa que simula ser la del restaurante, en vez de pagar la cuenta, estás pagando a los hackers", explica Serrano.

La OCU avisa también de un nuevo fraude en los cargadores de coches eléctricos. En él se redirige al consumidor a una web falsa en la que realizará un pago sin obtener energía para su vehículo. "Es posible que, al no ser grandes cantidades de dinero, la gente no se dé cuenta de la estafa", aseguran desde la organización.

Últimamente, se han ido añadiendo nuevos timos que operan a través de las interfaces de doble autenticación que funcionan con QR, como los que hay en WhatsApp u otras plataformas. El fin de estas sigue siendo el mismo: obtener todos los datos posibles del titular de la cuenta.

No hay un perfil concreto al que van dirigidos los ciberataques. "Cualquiera puede ser víctima de este tipo de estafas", asegura el experto. Esos timos suelen buscar un alcance masivo, pues el acceso a los códigos suele ser público. "Se coloca un QR en una de las plazas más concurridas de Madrid y ya está hecho", continúa Serrano. 

Aunque los ancianos son el sector más vulnerable a este tipo de delitos, los jóvenes no se libran de que sus datos se vean perjudicados. El nivel de manejo con la tecnología queda a un lado cuando se trata de los QR. 

La protección ante estas estafas es complicada. La única manera de evitarlas al 100% es no escanear las imágenes. "Estás en un restaurante y es la única manera de acceder a la carta, ¿qué haces, te vas?", señala Serrano. En esa situación no queda otra que acceder al código. 

Starlink Omicrono

Los últimos modelos de smartphone tienen una pequeña solución para este problema. Hasta hace unos años, el QR te llevaba directamente al enlace asociado a él. Ahora, antes de acceder a la página web, te muestra el sitio al que dirige el código. "Entonces, si estás comiendo, por ejemplo, en el restaurante 1234 y ves que la carta no lleva ese nombre, desconfía", aconseja el especialista.

"Para el ojo humano es muy difícil detectar que un código QR de una carta de un restaurante sea otra cosa", continúa el técnico. Por ello, la única manera de evitar un ataque es siendo muy precavido con los sitios web a los que accedes.

Serrano advierte también que hay algunos enlaces "que redirigen y no se ven". "Se ve como un acortador de URLs chiquitito, como una web muy muy cortita, sin sentido", continúa. Estos son los links más peligrosos, pues la víctima puede no darse cuenta de que están ahí.

Estos engaños no solo ocurren en comercios o restauración, sino que cada vez es más común que aparezcan estos códigos pegados en las lunas de los coches, simulando una vía de cobro de las multas de tráfico. El procedimiento es exactamente el mismo: te redirige a una página que solicita los datos bancarios para realizar el pago. 

Evitar estos timos es algo muy complicado, ya que los estafadores encuentran cada vez formas más ingeniosas de acceder a los datos de los usuarios. Cada día nuevos códigos QR se van repartiendo por las calles de las ciudades, indicando direcciones de locales, cartas de restaurantes… Lo único que le queda a la población es ignorarlos.

*Sofía Antuna, autora del reportaje, es alumna de la segunda promoción 2024-2025 del Máster de Periodismo de EL ESPAÑOL/UCJC.