Ciberdelincuencia

Las estafas con falsos QR van a más y llegan a cartas de restaurantes, multas y ofertas de empleo

Los Mossos alertan de un aumento de este tipo de ciberdelitos, cada vez más sofisticados, aprovechando la "ingeniería social"

En los 10 primeros meses de este 2024, la policía catalana ha registrado 68.416 denuncias, un 6,8% más que en 2023

Del phising al fishing: los métodos de los ciberestafadores para vaciar nuestras cuentas bancarias

Cada día hay más de 300 víctimas de ciberestafas en Catalunya

Un ciudadano captura un QR en Barcelona hace unos días

Un ciudadano captura un QR en Barcelona hace unos días / Manu Mitru

Germán González

Germán González

Por qué confiar en El Periódico Por qué confiar en El Periódico Por qué confiar en El Periódico

Hace unos meses aparecieron en paredes y fachadas del Eixample de Barcelona carteles falsos de una supuesta compañía de suministros en los que se afirmaba haber "detectado problemas en la facturación de los contadores" e instaba a vecinos a escanear un código QR "para actualizar sus datos. Pero ese código redirigía a una web fraudulenta. Este es uno de los ejemplos que cita la Agència de Ciberseguretat de Catalunya sobre el uso creciente de los códigos QR para "robar información personal y bancaria". "Los ciberdelincuentes colocan esos QR en rótulos o anuncios, a menudo disfrazados de información de organismos oficiales o como ofertas tentadoras", advierten.

Los estafadores han llegado a sustituir el QR de la carta de un restaurante por otro irregular

Los Mossos d’Esquadra alertan de que este tipo de estafas por QR están aumentando y ven con preocupación que ello va unido a una mayor sofisticación en el tipo de fraude, especialmente a la hora de escanear ese código. Los ciberdelincuentes aprovechan cualquier soporte para intentar engañar al ciudadanos: desde carteles con presuntos avisos de empresas suministradoras, a falsas multas u ofertas de trabajo, oportunidades de viaje o supuestos regalos como masajes o aparatos tecnológicos.

Al escanear el falso QR y clicar en un enlace malicioso, el cliente ve sus datos expuestos

Uno de los engaños más sofisticados ha alcanzado a las cartas en formato QR de los restaurantes, que se extendieron durante la pandemia para evitar posibles contagios. Ahí, los estafadores han llegado a sustituir el QR del restaurante por otro irregular. El cliente, cuando lo escanea para leer la carta, abre sin saberlo la puerta a que los ciberdelincuentes le roben datos personales, bancarios o le usurpen su identidad.

David Baldoví, jefe de la Oficina con Relaciones con la Comunidad de la Región Policial Virtual de los Mossos d’Esquadra, detalla el método: al escanear con el móvil el falso QR, este dirige a la víctima a una dirección web fraudulenta y al hacer clic en ella, pensando que es la carta del restaurante, el estafador accede a sus datos. "Es una de las ciberestafas que ha emergido con más fuerza. Utiliza un código malicioso para capturar datos personales", subraya Baldoví.

Donde más han detectado los Mossos estos QR fraudulentos que afectan a bares y restaurantes ha sido en mesas de terrazas ya que los criminales aprovechan que están al aire libre y poco vigiladas.

Los estafadores aprovechan las emociones básicas para provocar reacciones en la víctima, que pierde la capacidad de pensar

Otra práctica habitual es colocar un QR fraudulento encima de un QR oficial o legítimo, con tal finura que el 'pegote' casi ni se aprecia.

Sin embargo, lo más abundantes son falsos anuncios de empleo, de viajes u ofertas de suministros en los que el QR a escanear es milicioso. El mismo método se usa en las falsas multas que los estafadores dejan en los coches: un papel que informa de que la única manera de saldar el pago es escanear ese contenido con la advertencia de que si no pagas te podrían embargar el coche.

Nueva estafa

Nueva estafa / Mossos d'Esquadra

Para no caer en estos falsos QR, Baldoví recomienda no ir con prisa y examinarlos físicamente antes de pasar el teléfono. Si aparece con signos de estar pegado a otro "de mala manera" o el papel contiene alguna falta de ortografía ello puede ser un indicativo de que es falso. También insiste en que ante cualquier duda se debe preguntar para verificar que el QR es correcto. Además, hay programas descargables que permiten saber si una dirección web tiene o no indicadores de que su contenido sea malicioso.

Aumentan las ciberestafas

Las ciberestafas en Catalunya han aumentado de forma constante en los últimos años. Entre enero y octubre de 2022 fueron 53.421 mientras que en el mismo periodo de 2023 fueron 64.036, lo que supone un incremento de casi el 20%. En los 10 primeros meses de este 2024 han sido 68.416 denuncias, una subida del 6,8% respecto a 2023, según datos a los que ha tenido acceso EL PERIÓDICO.

Baldoví subraya que los estafadores se valen de la "ingeniería social" para lograr su objetivo. Es decir, manipulan las emociones básicas como el miedo, la sorpresa o el deseo, que son universales, para provocar una reacción psicológica y física. "La reacción psicológica tiende a anular la capacidad cognitiva de la persona", apunta el agente de los Mossos, que pone como ejemplo más claro de esta práctica la reacción al recibir un mensaje que alerta de que un hijo o familiar está en peligro o tiene un problema.

La policía recomienda seguir el protocolo SANA: Stop, Analiza, No hagas caso y Actúa  

"Quien recibe el mensaje entra en un estado se alerta y pierde la capacidad para pensar". Es lo que los estafadores buscan; una reacción inmediata azuzada por las emociones. Baldoví pone dos ejemplos concretos de esto: "el caso del mensaje que te dice que has ganado un iPhone 16, pero si no vienes a buscarlo en 24 horas lo perderás, o el de una supuesta multa en nombre la Dirección General de Tráfico que puede subir la cantidad si no se paga en 24 horas".

Un ciudadano captura un QR en Barcelona hace unos días

Un ciudadano captura un QR en Barcelona hace unos días / Manu Mitru

Ante estas situaciones, los Mossos recomiendan aplicar "cuatro pasos que hemos resumido con el acrónimo de SANA: Stop, Analiza, No hagas caso y Actúa". La policía insiste en que no se pierda el control cuando llega un mensaje sospechoso y analizar de qué se trata. Es decir, si nos llega un aviso de llegada de un paquete, parar a pensar si hicimos esa compra, dónde y cuándo la hicimos y cómo el vendedor oficial se comunica con nosotros. Asimismo, evitar reacciones impulsivas. Si el mensaje nos despierta dudas, ignorarlo. Y por último, alertar a otras personas o a las autoridades del intento de estafa.

"Con estos pasos se reducen mucho los riesgos de ser estafados", asegura Baldoví, que subraya la importancia de tener el doble factor de autentificación para transacciones bancarias o comercio electrónico como “barrera física ante un ataque o usurpación de identidad”.

Pese a estas prevenciones, el agente admite que hay ciberdelincuentes que pueden conseguir tu número de verificación con una llamada y hacerse pasar por el banco, por lo que insta a ir con cuidado ante estafas que son cada vez más complejas y elaboradas.

Un ciudadano captura un QR en la mesa de un bar en Barcelona hace unos días

Un ciudadano captura un QR en la mesa de un bar en Barcelona hace unos días / Manu Mitru

Negocio lucrativo

Baldovi advierte de que “el cibercrimen no es una actividad delictiva común, como otras a las que podemos estar más acostumbrados. Es una gran industria que puede incluso subvencionar conflictos bélicos con el dinero que recauda de estafas”.

"Se trata de un negocio lucrativo y a partir de aquí pueden invertir en tecnología, en I + D y en herramientas cualificadas para mejorar la actividad delictiva”, destaca el responsable de la Oficina con Relaciones con la Comunidad de la Región Policial Virtual de los Mossos.

¿Cómo combatirlo? "Hacer que no sea rentable". Y ello pasa por que aumente la concienciación ciudadana para eludir esos riestos. "Que una gran cantidad de gente no llegue a caer en una ciberestafa es mucho más eficaz que una operación policial con detenidos", remacha.

Suscríbete para seguir leyendo