Ir a un restaurante a comer, sentarse en una mesa y sacar el teléfono móvil para escanear el código QR que muestra la carta es una acción que se ha convertido en algo habitual desde que comenzó la pandemia. Este inocente gesto para ver el menú puede ser, también, una puerta de entrada para los ciberdelincuentes. Si consiguen salirse con la suya, serán capaces de hacerse con información personal, vaciar la cuenta corriente, secuestrar contraseñas o suscribir al cliente a servicios carísimos que no desea.
Phishing, sexortion, falso soporte técnico, etc. El glosario de palabras y frases para describir los cibercrímenes no deja de crecer. Y es que la era digital ha traído jugosas oportunidades para quienes viven de la picaresca. “Tenemos un número de atención al ciudadano donde recibimos consultas de usuarios que se han visto afectados por algún tipo de escaneo de QR que no era legítimo”, explica a Consumidor Global Ángela García, técnico de ciberseguridad para ciudadanos del Instituto Nacional de Ciberseguridad (Incibe).
¿Cómo funciona un ciberataque a través de un QR?
Los ciberdelincuentes van siempre un paso por delante. Cuando se ha descubierto un nuevo timo y se diseñan medidas preventivas, ellos ya tienen el ojo puesto en la siguiente fechoría. “Las técnicas que utilizan en muchas ocasiones son tan complejas que ni los sistemas de seguridad de los fabricantes son capaces de detectarlas. Sin embargo, un alto porcentaje de esos ataques tienen un denominador común, que es el vector de infección. Para que los datos sean robados, deben de acceder al sistema, ya sea por un ordenador, un móvil o una tableta", revela José Luis Sánchez, gerente de inteligencia de amenazas cibernéticas de Mnemo, empresa del sector de la ciberseguridad y la tecnología.
Y ahí es donde entran los códigos QR, cuando el cliente accede a la carta de un restaurante. Si éste es objeto de un ciberataque pueden ocurrir varias cosas: que dirija al usuario a una web con una URL muy parecida a la del establecimiento y allí le pidan los datos de la tarjeta de crédito; que lo conduzca a una página en la que se le anuncie que le ha tocado un premio y para hacerlo efectivo hay que revelar alguna información personal incluso que consigan entrar en las redes sociales y hacerse con su información personal.
¿Qué hacer para protegerse?
Todos los expertos consultados por este medio coinciden en algo: la mejor protección es el sentido común. “Cuando se abre un enlace externo, lo primero que hay que hacer es comprobar que la URL es la correcta y comprobar que a la izquierda hay un candado. Si es una plataforma de pago, hay que asegurarse que ésta cumpla con una serie de certificaciones como la Data Security Standard (PCI) y la autorización del Banco de España”, añade Jordi Nebot, CEO y fundador de PaynoPain, empresa especializada en el pago online.
Un móvil funciona igual que un ordenador, sólo que tiene un tamaño más reducido, y por eso que muchas personas no piensan en su seguridad como lo hacen con las computadoras. “Es más que aconsejable instalar un antivirus que nos ahorre algún susto. Si tuviésemos instalado uno en nuestro dispositivo, éste podría detectar archivos maliciosos”, asegura Sánchez. De hecho, hay antivirus para el teléfono que analizan, cuando se abre un enlace, si el mismo tiene intenciones maliciosas.
¿Hay ahora más ciberataques?
Los delitos digitales, antes de la pandemia, ya eran una práctica habitual, se puede decir que vienen de la mano con la era digital. Pero es ahora, con la aplicación masiva del código QR, cuando se ha tomado consciencia de la vulnerabilidad de los usuarios. En Incibe disponen de un número teléfono de atención para afectados (017) por este tipo de robos. Aunque la Confederación Empresarial de Hostelería de España asegura no estar preocupada, ya que no ha saltado ninguna alarma por parte de los hosteleros que indique que el número de ciberdelitos en restaurantes y bares haya aumentado.
No obstante, quienes suelen denunciar estos casos no son los hosteleros, sino los clientes que han sido víctimas del timo. “Si llegas a un restaurante y la carta es por QR, no vamos a desconfiar ya que se trata de sitios privados y quizás es donde lo tengan más controlados. En un centro comercial o en un lugar público, al haber menos vigilancia hay que tomar ciertas pautas o precauciones para no sufrir un fraude”, explica García. Por el contrario, “realmente sigue habiendo incidentes de ciberseguridad como antes, pero es cierto que la pandemia ha hecho que o bien estos incidentes sean más visibles o que tengan un mayor impacto”, indica Sánchez.
Pagar desde el teléfono móvil
En el mundo digital nada es 100 % seguro. Por eso, las entidades financieras cada vez apuestan más por fortalecer sus defensas. “Es muy recomendable activar el doble factor de autenticación tanto en las aplicaciones de banca online como en las que usamos en nuestro día a día con más frecuencia”, explica Sánchez. Existen aplicaciones de pago como PayPal o Google Pay que disponen de sistemas propios de antifraude, pero “no olvidemos que si, por algún casual, se detecta alguna vulnerabilidad de estas aplicaciones donde se permita ver el número de tarjeta, CVV o fecha de caducidad, existirá la posibilidad de que esa información nos la roben”, añade el experto en ciberseguridad de Mnemo.
Bizum es una forma de pago relativamente nueva, pero muy extendida, que se usa para hacer transacciones rápidas y de pequeñas cantidades. Hasta ahora no se ha puesto en duda su seguridad pero, como indica la experta de Incibe, hay que tener cuidado con la ingeniería social, es decir, con la picaresca: “A veces intentan manipularnos en algunas tiendas online de vendedores. Existen casos en los que un falso vendedor pide un ingreso por esta plataforma, el comprador no lo conoce bien y realiza un ingreso sin recibir nada a cambio”, advierte García.