0 opiniones
El INCIBE alerta: vuelve la estafa de los códigos QR
Una mujer escaneó una de estas claves y añadió su tarjeta bancaria, lo que la ató a una suscripción indeseada
Los códigos QR, a pesar de su utilidad y conveniencia (en bares, museos, productos de marketing…) cada vez son utilizados por más ciberdelincuentes para llevar a cabo distintos fraudes. Uno de los principales problemas es que crear un código QR malicioso es relativamente sencillo, incluso para personas sin conocimientos muy profundos de informática. Ahora, el Instituto Nacional de Ciberseguridad (Incibe) ha explicado un tipo de engaño asociado a esta tecnología.
Tal y como relatan en su blog, se puso en contacto con ellos una mujer que había sido víctima de un fraude tras escanear un código QR. Todo comenzó al comprar un reloj inteligente en una tienda online que lo vendía muy barato. El producto venía con “un folleto muy llamativo donde se promocionaban una serie de ventajas adicionales”.
Activar una suscripción
Para poder disfrutar de estos beneficios, era necesario escanear el código QR, algo que esta consumidora hizo. A continuación, rellenó un formulario donde, entre otras cosas, añadió los datos de su tarjeta bancaria. Y este fue un error fatal: pasados unos días, descubrió que había activado una suscripción.
Los expertos del Incibe sospecharon que haber escaneado el código QR podría haberla llevado a una página fraudulenta. Por eso, le recomendaron acceder a la página web de la suscripción y buscar cómo darse de baja en los “Términos y condiciones” o “Condiciones de contratación”. La entidad recordó a esta afectada que la ley ampara a todos los consumidores con un plazo de 14 días para desistir una suscripción, siempre y cuando no se haya hecho uso de ella, que incluso se podría ver aumentado a 12 meses si no se informa debidamente sobre el derecho al desistimiento.
Cómo evitar caer en esta estafa
Por todo ello, el Incibe recomienda encarecidamente no escanear códigos QR si el usuario no está seguro su procedencia y su finalidad. En la misma línea, remarca la conveniencia de comprobar que el código QR no es una pegatina colocada sobre el QR original, una táctica enormemente tramposa y peligrosa.
Atención ❌estafa de QR una pegatina que te lleva a la web de los malos
— Radu Ciber ⛴️ ⭐️⭐️⭐️ (@raducornelco97) October 15, 2024
COMPRUEBA siempre la dirección donde te lleva el QR, y utiliza antivirus y sumilar como @Malwarebytes
⛴️⭐️⭐️⭐️🚔 https://t.co/ph6JmGQ09y
También es útil, cuando sea posible, activar la función de previsualización de la URL a la que redirecciona antes de acceder a ella (haciendo uso de analizadores de enlaces, como VirusTotal) y sospechar si esa URL no pertenece al dominio de la empresa o servicio. Por último, hay que mantener los antivirus actualizados, sospechar si el servicio solicita descargar un archivo (especialmente si es .apk) y, en caso de duda, no facilitar jamás datos personales ni bancarios.
Cómo actuar
Estas son las recomendaciones del Incibe a la víctima del caso anteriormente mencionado:
- Contactar con su entidad bancaria y contarles la situación para que puedan tomar las medidas de precaución convenientes, como, por ejemplo, anular la tarjeta bancaria.
- Recopilar todas las evidencias posibles.
- Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Si no logra desistir la suscripción y recuperar el dinero, reclamar en la entidad bancaria, aportando una copia de la denuncia para tratar de recuperar el importe defraudado.
- En el caso de que la entidad bancaria no le facilite una solución, efectuar la reclamación ante el Banco de España.
- Puesto que había proporcionado datos personales en la web fraudulenta, practicar egosurfing periódicamente, apoyándose en el recurso de Google Dorks. En caso de localizar cualquier tipo de información:
- Solicitar la retirada de información en el sitio web.
- Ejercer los ARSOPOL (acceso, rectificación, supresión, oposición, portabilidad, derecho a no ser objeto de decisiones individualizadas y limitación del tratamiento).
- En caso necesario, denunciar ante la AEPD (Agencia Española de Protección de Datos) u organismos autonómicos similares.
Desbloquear para comentar