QR fraudulentos hallados en bicis de BiciMad: el riesgo de escanear un código en espacios públicos

455 vistas
lectura 2 mins
Bicicletas del renovado servicio de bicimad en la capital AYUNTAMIENTO DE MADRID (Foto de ARCHIVO) 06/3/2023

El qrishing es una modalidad del phishing, la estafa que suplanta una fuente conocida y en la que confía la víctima, y que aprovecha la popularidad que han adquirido los QR en los últimos años.

Algunas bicicletas eléctricas del servicio madrileño BiciMad han aparecido recientemente con pegatinas de un código QR que en lugar de dirigir a información oficial del Ayuntamiento, remiten a una plataforma ajena que exige un pago, un ejemplo de la estafa conocida como qrishing.

El qrishing es una modalidad del phishing, la estafa que suplanta una fuente conocida y en la que confía la víctima, que en lugar de enviar sus mensajes y enlaces maliciosos, a través de un correo electrónico o un mensaje de texto SMS, aprovecha la popularidad que han adquirido los QR en los últimos años.

Un QR es una etiqueta óptica de código único que contiene información y presenta un formato cuadrado. Se escanea, por ejemplo, con la cámara del teléfono móvil, y abre un enlace que da acceso a una entrada para una sala de conciertos o el cine, a un método de autenticación WiFi o una solicitud de transferencia para hacer pagos.

Suscríbete a nuestro newsletter

Desde la pandemia su uso ha crecido, ya que entonces ayudó a resolver algunos de los problemas que se plantearon ante la propagación del coronavirus, como la necesidad de guardar distancia física o de mantener una higiene más escrupulosa. Se convirtieron en una alternativa ‘cero contacto’ para ofrecer la carta en un restaurante o mostrar información turística, entre otros.

Sin embargo, el potencial de estos códigos bidimensionales también lo conocen los ciberdelincuentes, que en ocasiones suplantan los códigos QR de entidades legítimas por otros falsos, para engañar a los usuarios, con solo pegarlos encima de los originales.

AMENAZA EN MADRID

Es lo que ha ocurrido en el servicio BiciMad que gestiona la Empresa Municipal de Transportes (EMT) en la ciudad de Madrid, como han denunciado algunos usuarios en redes sociales e incluso el propio Ayuntamiento ante la Policía Nacional.

“Los códigos QR son muy útiles en nuestro día a día, pero hay que tener especial cuidado si los escaneamos en espacios públicos, ya que pueden haber sido manipulados o colocados por ciberdelincuentes que intentan hacerse con los datos y el dinero de los usuarios”, explica el Lead Security Researcher de Kaspersky, Marc Rivero, en un comunicado enviado a Europa Press.

En el caso de BiciMad, si el código QR fraudulento se escaneaba desde la aplicación móvil oficial del servicio, informaba de un error. En cambio, si se hacía con la cámara del teléfono, se redirigía al usuario a una web fraudulenta en la que se solicitaba un pago para desbloquear la bici.

Los QR también están en el centro de otras estafas, como la del QR inverso, una técnica fraudulenta con la que los estafadores roban dinero mediante este código haciendo creer a sus víctimas que en realidad están cobrando una cantidad determinada.

Suscríbete a nuestro newsletter

Tags:

Ver todo