Los códigos QR se han vuelto omnipresentes en la vida cotidiana, pero también han dado lugar a estafas cada vez más sofisticadas.
Imagine que está en una cafetería disfrutando de un café y revisando su teléfono. Mientras tanto, ve un código QR en la mesa que promete un 10% de descuento en la próxima compra.
Sin pensarlo dos veces, lo escanea y en cuestión de segundos la pantalla se ilumina con un sitio web que parece legítimo, pero que en realidad es una trampa. Ha caído en una estafa conocida como quishing, un riesgo que cada vez es más frecuente y que le puede pasar a cualquiera.
Alexander Leal, docente de la Universidad de Antioquia en la cátedra de seguridad de la información, explica que el quishing es una técnica de engaño que combina elementos del phishing con los códigos QR.
“En lugar de enviar un enlace directo a una página fraudulenta, el atacante proporciona un código QR que, al ser escaneado, redirige a la víctima a un sitio web diseñado para robar información sensible, como contraseñas y números de tarjeta de crédito”, comenta.
Esta práctica se basa en la confianza que las personas depositan en los códigos QR, un fenómeno que ha crecido exponencialmente en los últimos años y que se usa día a día, sobre todo en pequeños y medianos comercios.
El catedrático agrega que “el quishing se ha vuelto un problema creciente debido a la rapidez con que se ha adaptado a las tendencias actuales de consumo digital”.
Con la pandemia, muchos negocios se vieron obligados a implementar sistemas de pago que utilizan códigos QR, facilitando el proceso de compra para los clientes, pero también brindando nuevas oportunidades para los estafadores.
“El phishing es una estrategia en que te brindan un enlace, a través de un mensaje de texto o WhatsApp, que te lleva a una página fraudulenta. El quishing, por su parte, utiliza un código QR para presentar el mismo enlace de manera más sofisticada”, añade Leal, subrayando la habilidad de los estafadores para disfrazar sus tácticas.
La multinacional tecnológica Tivit también alerta sobre los peligros del quishing. Mauricio Galvez, gerente de Servicios Ciberseguridad, explica que con el aumento en el uso de códigos QR durante la pandemia los atacantes han encontrado un terreno fértil para explotar la confianza del usuario.
“Los códigos QR se han popularizado tanto que muchos los escanean sin pensar en las consecuencias. Esto ha creado un ambiente donde es fácil para los delincuentes crear códigos maliciosos que parecen legítimos (...) Los usuarios deben estar alerta y siempre verificar la autenticidad de un código QR antes de escanearlo”.
También le puede interesar: Así funciona el fraude de los SMS sobre paquetes y envíos “no entregados”
Pero el quishing no solo afecta a los consumidores, sino también a los comerciantes. “Los comerciantes deben implementar medidas de seguridad para proteger a sus clientes”, advierte Galvez.
“Esto incluye la educación de los empleados sobre cómo detectar códigos QR sospechosos y cómo comunicarse efectivamente con los clientes sobre los métodos de pago seguros”. Esta educación es crucial, ya que los empleados suelen ser la primera línea de defensa contra el fraude.
Para prevenir ser víctima de quishing, tanto los comerciantes como los consumidores deben estar atentos. Bancolombia recomienda revisar constantemente que la superficie del código QR no haya sido modificada.
“Al realizar transferencias o pagos a través de código QR, valide con el comercio que el nombre y número de la cuenta destino sí corresponda al comercio”, sugiere la entidad. Este simple paso puede marcar la diferencia entre una transacción segura y una estafa.
En caso de que un código QR parezca alterado, los usuarios deben avisar a la línea 018000912345 para actualizarlo e investigar la situación.
Alexander Leal también ofrece consejos valiosos: “Es fundamental verificar la URL después de escanear un código QR. Muchas veces, el código lleva a sitios web que pueden parecer legítimos, pero que son fraudulentos”, un consejo particularmente importante, ya que las páginas de destino pueden ser una copia casi exacta de las originales, dificultando la detección de la estafa.
Además, el docente aconseja a los comerciantes que no dejen los códigos QR expuestos todo el tiempo, sugiriendo que “es mejor sacar el código QR en el momento de la transacción, así se minimiza el riesgo”, práctica que no solo protege a los consumidores, sino que también ayuda a los comerciantes a mantener la integridad de sus procesos de pago.
Bancolombia también sugiere a los usuarios que, al escanear un código QR, “asegúrese de que la información que aparece en su pantalla sea correcta y que coincida con la información del comercio”. Esto incluye validar el nombre del establecimiento y el monto de la transacción.
“Si descubre que el código fue alterado, comuníquese con el comercio de inmediato y, si es necesario, bloqueé su tarjeta como medida de seguridad”, añade la entidad.
Además, es crucial que los usuarios mantengan sus dispositivos actualizados y utilicen aplicaciones de seguridad que puedan detectar amenazas en tiempo real.
“La ciberseguridad es una responsabilidad compartida”, concluye Galvez. “Tanto los consumidores como los comerciantes deben trabajar juntos para crear un entorno seguro y protegido”.
La multinacional tecnológica IBM alerta sobre otra modalidad de estafa similar al phishing que es impulsada por herramientas de inteligencia artificial generativa para crear mensajes fraudulentos.
“Estas herramientas pueden generar correos electrónicos y mensajes de texto personalizados que no contengan errores ortográficos, incoherencias gramaticales y otras señales de alarma habituales en los intentos de suplantación de identidad”, alerta la empresa estadounidense en un boletín.
La IA también puede ayudar a los estafadores a ampliar sus operaciones. Según el índice X-Force Threat Intelligencede IBM, un estafador tarda 16 horas en crear un correo electrónico de suplantación de identidad de forma manual. Con la IA, los estafadores pueden crear mensajes aún más convincentes en solo cinco minutos.
