El más mínimo resquicio es suficiente para que los ciberdelincuentes traten de realizar un fraude. Estos malhechores aprovechan cualquier elemento digital para sustraerte datos bancarios, contraseñas o información confidencial, provocándote importantes perjuicios tanto nivel económico como personal. La última alerta de la Guardia Civil en relación a esta materia tiene que ver con algo tan habitual y extendido en los últimos tiempos como los códigos QR. El simple gesto de escanearlo puede hacer que los ciberdelincuentes accedan a tu móvil, convirtiendo lo que iba a ser una agradable velada en un bar en una auténtica pesadilla.
El aviso de ‘La Benemérita’, se centra en un tipo de QR empleado para realizar la estafa del ‘QRLjacking’: crean una falsa sensación de seguridad para robar tus datos y acceder a todo el contenido de tu dispositivo, incluyendo aplicaciones bancarias. Un enlace pixelado que puede parecer inofensivo pero que esconde un serio peligro.
Una trampa perfecta
Este fraude se aprovecha de la confianza de la víctima, que jamás piensa que detrás de un simple código QR va a haber un engaño. Nuestra mente está tan acostumbrada a escanearlos que automáticamente cuando vemos uno nos lanzamos a él sin pensarlo dos veces. En este timo es clave la legitimidad del entorno físico como puede ser un comercio o un restaurante. Creemos que como el lugar en el que estamos es seguro, el código QR también lo va a ser… y no siempre es así.
Es la trampa perfecta de los ciberdelincuentes, que solamente tienen que esperar agazapados a que caigas en ella. La triquiñuela del estafador es la siguiente: imprime su propio código malicioso en una pequeña pegatina y después la pega disimuladamente sobre el QR auténtico del establecimiento. Es un operación que dura apenas unos segundos y que la mayoría de las víctimas nunca notan la manipulación física del código porque la pegatina es prácticamente idéntica a la original.
Así funciona el ‘QRLjacking’
Estamos hablando de un mecanismo tremendamente sencillo que se aprovecha de la inmediatez reinante en la sociedad actual. El ‘QRLjacking’ consiste en superponer un código malicioso sobre el original para redirigirte a una página web fraudulenta que suplanta la identidad de la real. Lo más preocupante es que la nueva página es una copia casi perfecta de la web del establecimiento. De esta forma se aseguran de que no sospeches absolutamente nada.
Una vez que has caído en la trampa, el fraude ya va sobre ruedas. Ya en la página falsa te pedirán que facilites tus datos ya sea para un pago, una promoción o cualquier otro motivo. Una vez que los introduces, ‘game over’, los ciberdelincuentes capturan tus credenciales bancarias o instalan un virus o malware en tu dispositivo móvil para controlar todos tus movimientos.
Un exagente de la Guardia Civil lanza un mensaje de alerta
Sergio Luján, especialista en la lucha contra los delitos telemáticos en la Guardia Civil, lanza un mensaje claro y directo: «La precaución es nuestra mejor arma, porque la sofisticación de estas estafas hace que cualquier persona pueda convertirse en víctima. Hay que desconfiar por sistema de cualquier QR».
Y el exagente añade: «Una vez que tienen acceso a tu cuenta, realizan transferencias rápidas a monederos de criptomonedas o a cuentas en el extranjero, haciendo que el rastro del dinero se pierda casi por completo». Para poder prevenir este fraude, se aconseja seguir estas recomendaciones:
- Antes de escanear el código QR tócalo con el dedo: La principal señal de que algo no va bien es notar un relieve o una doble capa en el adhesivo.
- No aceptes la URL de inmediato: Fíjate atentamente en cómo está escrita. Si tiene caracteres extraños o faltas de ortografía es un indicio claro de estafa.
- Jamás introduzcas tus datos bancarios.