En Perú, las estafas evolucionan al ritmo de la tecnología, y el QRishing ha surgido como una nueva amenaza para los ciudadanos. Esta modalidad de fraude emplea códigos QR falsos, estratégicamente colocados en estacionamientos o vehículos, para dirigir a las víctimas a sitios web maliciosos que imitan portales oficiales. A través de falsas multas, los estafadores engañan a las personas para que ingresen información personal y financiera. ¿Cómo identificar y evitar estos fraudes?
En los últimos días, esta modalidad ha tomado fuerza en la capital peruana, ya que estos estafadores están colocando stickers o avisos en los parabrisas de los autos, señalando que se ha cometido una infracción de tránsito y que se debe ingresar a un QR para conocer más al respecto. A través de las redes sociales, varios usuarios han denunciado ser víctimas de estos QR falsos.
Otras modalidades que se están presentando es colocar carteles falsos de otros servicios, pegar códigos falsos sobre originales en lugares públicos y enviar estos QR por correo electrónico, WhatsApp o redes sociales, haciéndolos pasar por promociones o encuestas.
LEA TAMBIÉN: Kaspersky: Perú registra 92 intentos de ataque de ransomware al día
¿Qué es el ‘QRishing’?
Kenneth Tovar, country manager para Perú y Bolivia de Palo Alto Networks, sostuvo que los ciberdelincuentes pueden robar una amplia gama de datos como usuarios y contraseñas de cuentas personales o laborales, datos de tarjetas de crédito y accesos a cuentas de redes sociales o correos electrónicos.
“Es común que al ingresar al QR, la víctima se encuentre con un cuestionario que lo lleve a dar información personal como nombre completo, dirección, número de teléfono, centro laboral o identificación oficial. Si tomamos como ejemplo la modalidad de la ‘infracción vehicular’, la página de destino puede tener la opción de pagar la multa con un descuento, algo que podría llevar a la víctima a ingresar sus datos de tarjetas de crédito”, expresó para Gestión.
“Los QR también pueden llevar a las víctimas a descargar aplicaciones maliciosas que extraen datos bancarios o generan transacciones sin autorización. La herramienta principal de este tipo de estafa es el generador de código QR, que son herramientas legítimas que los estafadores manipulan para crear códigos con enlaces maliciosos”, añadió.
Luego que la víctima ingresa sus datos, los ciberdelincuentes usan ‘Phishing kits’, que incluyen páginas web prefabricadas para imitar sitios verdaderos, y troyanos o malware, que están ocultos en sitios enlazados por los códigos QR.
Otro factor que se debe tomar en cuenta es la URL. El especialista mencionó que si dicha dirección no coincide con la organización, parece sospechosa o tiene errores, es mejor no ingresar. Además, algunos estafadores suelen superponer códigos falsos encima de verdaderos, un código pegado es otro indicador.
¿Cómo evitar ser víctima del ‘QRishing’?
Jorge Castañeda Albán, especialista y docente de la facultad de Ingeniería Informática de la USIL, indicó que la extracción de información personal es una de las formas más utilizadas en los ciberataques y se ubican en primer lugar. Usuarios, nombres, contraseñas, detalles de las tarjetas de crédito, cuentas bancarias, es la información más requerida.
“Los ciberdelincuentes emplean herramientas para la generación de códigos QR personalizados y maliciosos. Crean dominios engañosos para configurar páginas web que se parecen a sitios legítimos. Otra arma muy empleada es el redireccionamiento de las URL, mediante servicios de acortadores de enlaces para ocultar el destino final”, dijo.
El especialista recomendó utilizar solo aplicaciones de escaneo que verifican automáticamente la URL, verificar si el código QR parece alterado, superpuesto o contiene errores ortográficos. También considerar el uso de aplicaciones comprobadoras de URL para asegurarse de que la página es legítima.
“Si una persona fue víctima de estos estafadores, lo primero que debe hacer es cambiar las contraseñas afectadas, luego informar al banco si se proporcionaron datos financieros. Se debería también escanear el dispositivo con un antivirus para eliminar posibles rastros”, mencionó.
¿Cómo las empresas pueden proteger a sus clientes si usan códigos QR?
Castañeda Albán manifestó que las empresas deben implementar códigos QR dinámicos y únicos con medidas de autenticación. Además, enseñar a los clientes sobre cómo identificar los códigos legítimos vinculados a su organización y supervisar los lugares donde se colocan estos códigos QR para evitar manipulaciones, además de implementar sistemas de notificación para verificar transacciones.
“Se recomienda a los usuarios, evitar escanear códigos QR en correos electrónicos o mensajes no solicitados, confirmar directamente con el proveedor si un código QR parece sospechoso y por último solo usar aplicaciones de confianza para escanear códigos QR”, analizó.
“Los ciberataques llegaron a nuestras vidas junto con el desarrollo tecnológico alcanzado en los últimos años, y seguirán evolucionando al ritmo de sus avances. Mientras algunos buscamos evitar estos ataques, otros buscarán mecanismos para hacerlo. Sin embargo, en la actualidad venimos utilizando tecnologías emergentes que aseguren la utilización de la tecnología”, añadió.
¿Cómo implementar medidas de seguridad para evitar suplantación de códigos QR?
Según especialistas en ciberseguridad, la suplantación de códigos QR en tu negocio puede tener un impacto relevante en su reputación, ya que los clientes podrían ser víctimas de estafas al intentar realizar pagos legítimos.
En ese caso, la suplantación del código QR de tu negocio puede desviar los pagos de tus clientes a cuentas fraudulentas, generando desconfianza y afectando tu credibilidad. Al sentirse estafados, los clientes podrían cuestionar la seguridad de tu sistema de cobros, lo que no solo puede provocar la pérdida de clientes, sino también comentarios negativos que dañen tu reputación y dificulten la recuperación de tu imagen en el mercado.
LEA TAMBIÉN: EY: Ciberdelincuentes ahora atacan a empresas de tecnología, educación y manufactura
Recomendaciones para evitar ser víctima de los QRisting
Un consejo importante que brinda Kenneth Tovar, es evitar las redes públicas. En caso una persona se encuentra en un aeropuerto o restaurante y deseé usar el WiFi del establecimiento, algunas veces tendrás que escanear un código, el cual puede estar manipulado por estafadores.
“Al intentar conectarse a internet, el usuario puede caer en la modalidad llamada ‘Gemelo Malvado’, ya que la víctima piensa que está ingresando a la red del establecimiento, cuando en verdad está conectándose a otra que le puede extraer datos como contraseñas, correos electrónicos e información de tarjetas bancarias”, sostuvo.
“Existen aplicaciones de escaneo que permiten previsualizar la URL antes de abrirla. Si aún no estás seguro de la legitimidad de dicho QR, siempre está la alternativa de intentar ingresar manualmente la URL en lugar de escanear el código directamente”, precisó.
Yuriko Cabeza, Lima 1987. Licenciada de la Universidad Inca Garcilaso de la Vega, con más de 12 años de experiencia en medios digitales. Escribo sobre política, actualidad local y realizo informes especiales.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
