Los ciberdelincuentes aprovechan el auge de los pagos y servicios digitales para robar datos bancarios mediante códigos QR manipulados
Vas a comer a un restaurante, escaneas el código QR de la mesa para consultar la carta y, sin darte cuenta, acabas de entregar tus datos personales a unos estafadores. Así actúa el denominado QRishing, una modalidad de fraude digital cada vez más extendida en España y que preocupa seriamente por su capacidad para engañar incluso a los consumidores más prudentes.
Desde ADICAE alertamos del crecimiento de esta técnica basada en la manipulación y suplantación de códigos QR legítimos. Los delincuentes están sustituyendo de forma masiva los códigos originales presentes en terrazas de hostelería, parquímetros, estaciones de transporte público o carteles informativos por otros falsificados que redirigen a páginas fraudulentas.
El funcionamiento del fraude es aparentemente sencillo, pero extremadamente eficaz. El usuario escanea el código confiando en el entorno donde se encuentra y el QR le dirige automáticamente a una web que imita perfectamente la imagen de una empresa, banco o servicio público. En muchos casos, el enlace utiliza direcciones acortadas o técnicas de redirección silenciosa para ocultar la verdadera página de destino.
Una vez dentro, la víctima puede encontrarse con formularios que solicitan credenciales bancarias, datos de tarjetas de crédito o información personal sensible. En otros casos, la página fraudulenta intenta descargar archivos infectados con malware o incluso activar suscripciones ocultas a servicios SMS prémium que generan cargos económicos sin el consentimiento del usuario.
El principal proble ma del QRishing es que los teléfonos móviles apenas incorporan barreras automáticas frente a este tipo de amenazas. El simple gesto cotidiano de escanear un código puede convertirse en la puerta de entrada para el robo de datos y el vaciado de cuentas bancarias.
Ante esta situación, desde ADICAE reclamamos una mayor implicación tanto de las administraciones públicas como de los establecimientos comerciales. La digitalización de servicios no puede realizarse sin garantías suficientes de seguridad para los consumidores. Resulta imprescindible reforzar la supervisión de los soportes físicos que contienen códigos QR y establecer protocolos de revisión periódica para evitar manipulaciones fraudulentas.
Además, la prevención individual sigue siendo fundamental. Los consumidores deben extremar la precaución antes de escanear cualquier código QR situado en espacios públicos. Una recomendación básica consiste en inspeccionar físicamente el código y comprobar si se trata de una pegatina superpuesta sobre el original. Los ciberdelincuentes suelen utilizar adhesivos falsos colocados encima de los auténticos para desviar a las víctimas hacia páginas fraudulentas.
También es recomendable configurar el teléfono móvil para que muestre la dirección web completa antes de abrir automáticamente el enlace. Revisar cuidadosamente el dominio puede marcar la diferencia entre acceder a una página legítima o caer en una estafa. No es lo mismo “parking.madrid.es” que “parking-madrid.es”, aunque a simple vista pueda parecer idéntico.
Desde ADICAE recordamos igualmente que un código QR legítimo para consultar un menú, pagar un ticket o acceder a información pública nunca debería exigir la descarga de aplicaciones externas, archivos ejecutables o configuraciones sospechosas fuera de las tiendas oficiales.
Otra señal clara de alarma aparece cuando, tras escanear un QR, la web solicita contraseñas bancarias completas, códigos de verificación o datos íntegros de tarjetas de crédito. En esos casos, lo más prudente es abandonar inmediatamente la página y no introducir ninguna información.
Si un consumidor sospecha haber sido víctima de QRishing, debe actuar con rapidez: contactar de inmediato con su entidad bancaria para bloquear tarjetas o cuentas afectadas, cambiar las contraseñas comprometidas y denunciar el incidente ante organismos especializados como el INCIBE o las fuerzas de seguridad.
La expansión del QRishing demuestra que la digitalización acelerada también está generando nuevos riesgos para los consumidores. Desde ADICAE insistimos en la necesidad de reforzar la educación financiera y digital de la ciudadanía, exigir mayores responsabilidades a empresas y administraciones y garantizar que la comodidad tecnológica no se convierta en una nueva vía para el fraude masivo.
