¿Qué es el QRishing y cómo protegerse de este tipo de estafa?

Encontrar y usar códigos QR en el día a día es cada vez menos ajeno para muchos españoles. Estos matrices de datos, cuyas iniciales proceden de las palabras en inglés Quick Response (o respuesta rápida en español) se crearon en Japón en los años 90 del pasado siglo, pero no se han popularizado y comenzado a usar con asiduidad hasta los últimos años. A día de hoy se pueden encontrar en multitud de lugares y para leerlos y acceder a la página web y a su información tan solo se necesita un teléfono móvil (o una tablet), ya que las cámaras de muchos de los dispositivos actuales ya leen estos códigos de forma directa, sin necesidad de usar otra app, permitiendo acciones cotidianas como acceder al menú de un restaurante. Sin embargo, pese a su utilidad, los códigos QR también pueden ser usados para realizar estafas, algo que se conoce como QRishing.

¿En qué consiste esta estafa?

El nombre de este tipo de estafas proceden de la combinación de QR y phishing, estafa de la que se considera un subgénero. El phishing es la palabra que sirve para designar aquellos timos en los que los delincuentes se hacen pasar por una empresa o entidad para engañar a los usuarios para conseguir información personal y bancaria o directamente dinero. 

En estos casos los delincuentes usan los códigos QR para redirigir a sus potenciales víctimas a páginas web fraudulentas.En algunas ocasiones, el INCIBE ha alertado de campañas de estafas a empresas que usan este método mediante correos electrónicos, enviando un mensaje con un QR como parte de un proceso de autentificación en dos pasos que llevaba a una web fraudulenta que se hacía pasar por la página de inicio de sesión de la organización.

Otros ejemplos de este tipo de estafas son las denunciadas por el Ayuntamiento de Madrid en el año 2023, cuando aparecieron códigos QR que llevaban a webs fraudulentas en las que realizar los pagos del alquiler de las bicicletas municipales y cuando falsas multas con códigos QR fueron colocadas en algunos vehículos.

Tampoco otras ciudades se han librado de este tipo de fraude, ya que también en 2023 se denunció que se habían colocado códigos QR falsos encima de los códigos reales en las cartas de bares y restaurantes, así como en carteles de actividades extraescolares cerca de colegios, con el objetivo de robar datos personales y bancarios o introducir malware.

Consejos para evitar ser víctimas de QRishing

Desde la Organización de Consumidores y Usuarios (OCU) redactaron una serie de consejos para, dentro de lo posible, evitar ser víctimas de este tipo de estafas. Recomiendan “identificar la dirección web a la que nos remite el código QR”, esto puede hacerse con aplicaciones de lectura de estos códigos que permiten verlo completo antes de redirigir a la página, permitiendo comprobar si es la URL real o si puede ser un intento de engaño. Es también importante que las páginas a las que lleven los códigos sean seguras, algo que se indica en el comienzo de la URL donde debe aparecer "https://".

También recomiendan precaución a la hora de leer códigos QR “pegados en cualquier sitio o en panfletos promocionales” y es importante usar “fuentes fiables” cuando se trata de instalar aplicaciones a través de un código.

La OCU también aconseja desconfiar de las páginas que pidan introducir información personal o datos bancarios.