Archivo - Bicicletas del renovado servicio de bicimad en Madrid - AYUNTAMIENTO DE MADRID - Archivo
MADRID, 14 Sep. (Portaltic/EP) -
Algunas bicicletas eléctricas del servicio madrileño BiciMad han aparecido recientemente con pegatinas de un código QR que en lugar de dirigir a información oficial del Ayuntamiento, remiten a una plataforma ajena que exige un pago, un ejemplo de la estafa conocida como 'Qrishing'.
El 'qrishing' es una modalidad del 'phishing', la estafa que suplanta una fuente conocida y en la que confía la víctima, que en lugar de enviar sus mensajes y enlaces maliciosos a través de un correo electrónico o un mensaje de texto SMS, aprovecha la popularidad que han adquirido los QR en los últimos años.
Un QR es una etiqueta óptica de código único que contiene información y presenta un formato cuadrado. Se escanea, por ejemplo, con la cámara del teléfono móvil, y abre un enlace que da acceso a una entrada para una sala de conciertos o el cine, a un método de autenticación WiFi o una solicitud de transferencia para hacer pagos.
Desde la pandemia su uso ha crecido, ya que entonces ayudó a resolver algunos de los problemas que se plantearon ante la propagación del coronavirus, como la necesidad de guardar distancia física o de mantener una higiene más escrupulosa. Se convirtieron en una alternativa 'cero contacto' para ofrecer la carta en un restaurante o mostrar información turística, entre otros.
Si embargo, el potencial de estos códigos bidimensionales también lo conocen los ciberdelincuentes, que en ocasiones suplantan los códigos QR de entidades legítimas por otros falsos, para engañar a los usuarios, con solo pegarlos encima de los originales.
Es lo que ha ocurrido en el servicio BiciMad que gestiona la Empresa Municipal de Transportes (EMT) en la ciudad de Madrid, como han denunciado algunos usuarios en redes sociales e incluso el propio Ayuntamiento ante la Policía Nacional.
"Los códigos QR son muy útiles en nuestro día a día, pero hay que tener especial cuidado si los escaneamos en espacios públicos, ya que pueden haber sido manipulados o colocados por ciberdelincuentes que intentan hacerse con los datos y el dinero de los usuarios", explica el Lead Security Researcher de Kaspersky, Marc Rivero, en un comunicado enviado a Europa Press.
En el caso de BiciMad, si el código QR fraudulento se escaneaba desde la aplicación móvil oficial del servicio, informaba de un error. En cambio, si se hacía con la cámara del teléfono, se redirigía al usuario a una web fraudulenta en la que se solicitaba un pago para desbloquear la bici.
Los QR también están en el centro de otras estafas, como la del 'QR inverso', una técnica fraudulenta de la que ya advirtió la Guardia Civil de Sevilla en 2022, con la que los estafadores roban dinero mediante este código haciendo creer a sus víctimas que en realidad están cobrando una cantidad determinada.