En restaurantes, hoteles, administraciones, o para alquilar una bicicleta... Los códigos QR, esos pequeños cuadrados con píxeles en blanco y negro, ya forman parte del día a día. Flasheados con la cámara, proporcionan acceso directo a un sitio web. Por su facilidad de uso, se han ganado un lugar especial en el panorama administrativo, comercial o incluso educativo. Pero también se han convertido en una herramienta inagotable para los estafadores que buscan datos bancarios o personales. Esto se llama "quishing".
En el caso de multas o avisos de La Poste, los códigos QR pueden falsificarse para redirigir a un sitio malicioso, pero no sólo eso. Último episodio hasta la fecha: en el departamento de Loiret, a mediados de diciembre, a los usuarios de coches eléctricos les robaron sus datos de pago escaneando un código QR pegado en una estación de carga. En realidad, la etiqueta enlazaba a una copia del sitio del proveedor. Mala sorpresa: los delincuentes recuperaron los datos, se llevaron dinero… y los coches nunca fueron cargados.
Los riesgos son los mismos que los relacionados con el “phishing”. Esta práctica consiste en hacerse pasar por un tercero (banco, operador de telecomunicaciones, empresa) para incitar al internauta a hacer clic en un sitio y solicitarle sus datos bancarios o información, como su contraseña y su nombre de usuario. Según un estudio de la empresa Kaspersky, que comercializa productos antivirus para particulares, el 65% de los franceses siguen siendo estafados mediante ataques de phishing, y el fenómeno ha aumentado un 61% en Europa este año.
Los sitios suelen ser muy similares y, por lo tanto, naturalmente pueden inducir a error. “Se llama reflejar. El software permite reproducir los sitios a la perfección. Si el hacker es malo, los errores en la réplica son visibles, pero si es bueno, no podemos notar la diferencia”, explica Fériel Bouakkaz, profesor-investigador en ciberseguridad del EFREI. "A veces, el sitio descarga malware directamente en el dispositivo".
Sin embargo, el proceso no es más complicado que el de una estafa clásica. “Cualquiera puede generar un código QR, no es necesaria formación ni conocimientos específicos. Esto se puede hacer con un simple sitio web, por lo que es la tecnología perfecta para los ciberdelincuentes”, subraya el experto.
Sin embargo, este método es mucho más cruel, porque sospechamos menos de un código QR que de un SMS o correo electrónico sospechoso, motivo de muchas campañas de sensibilización. Sobre todo porque el código QR se ha desarrollado ampliamente tras la pandemia de Covid-19 y el pase sanitario. “Después del Covid-19 se estableció una relación de confianza con el código QR porque nos acostumbramos a verlo en todas partes. Se suponía que debía protegernos contra el virus... ahora puede exponernos a virus informáticos”.
Lea también: PV y código QR falsos: cuidado con las estafas por estacionamiento prohibido
Por correo electrónico, en el buzón o por SMS, y ahora atrapados en estaciones de carga o en escaparates... los ciberdelincuentes siempre tienen inventiva a la hora de robar datos sensibles. Por tanto, debemos estar especialmente atentos. Para protegerse contra este tipo de estafa, existen varios niveles de protección. “Primero, no muestres nada en espacios públicos. Resulta tentador escanear un código QR que anuncia un 10% de descuento en el supermercado a cambio de información personal. En estos casos hay que preguntar si la oferta es real en la tienda”.
Pero también es importante comprobar la URL, es decir la dirección web que aparece al escanear el código QR. Por último, en caso de “phishing” (por parte de un sitio falso de Seguros de Salud, CAF o de un operador, por ejemplo), “deberás acudir a tu espacio personal o contactar directamente con el servicio en cuestión”.
Lea tambiénCiberseguridad: ante las estafas, los franceses no son lo suficientemente cuidadosos en línea
Porque aquí el estafador no necesita dirigirse a su víctima a través de un SMS o un correo electrónico mencionando un “paquete no entregado” o un “saldo CPF que está venciendo”. La víctima acude, sin saberlo, directamente a él. Sobre todo porque, si bien ya existen mecanismos de protección para redirigir automáticamente los correos electrónicos y mensajes SMS fraudulentos a "spam" (no deseado), este no es el caso de los códigos QR. Los usuarios quedan a su suerte.
Y es probable que estas estafas crezcan en el período previo a los Juegos Olímpicos de París este verano, cuando el código QR será esencial. De hecho, será necesario presentar uno para viajar por los recintos olímpicos. Los estafadores podrían intentar atrapar a los franceses y a los 15,3 millones de turistas extranjeros que se estima que se esperan, con ofertas de wifi gratuito o participación en concursos.
