Las ciberestafas no dejan de evolucionar, habiendo demostrado ser muy capaces de aprovecharse de cada nueva tecnología que se lanza al mercado para hacer más convincentes sus engaños. Sin embargo, en ocasiones, los responsables de las mismas optan por apostar por técnicas mucho menos innovadoras pero, claramente, también muy efectivo.

Y es que una nueva campaña de estafas está recurriendo al tradicional correo postal para suplantar la identidad de Amazon: a través de cartas físicas dotadas de un diseño bastante profesional, los estafadores están consiguiendo acceder a datos personales y bancarios de sus víctimas, en una campaña que se ha documentado ya en varios países de Europa e Iberoamérica.

Las misivas, que reproducen la imagen corporativa de la plataforma de comercio electrónico, invitan al destinatario a participar en un supuesto programa de "prueba de productos". A cambio, se promete el envío de artículos gratuitos y comisiones de hasta 40 euros. Sin embargo, se trata de un engaño cuidadosamente elaborado.

(vía @Sharker en X)

La parte tecnológica del fraude

El elemento clave del fraude es un código QR que acompaña a la carta. Al escanearlo, el usuario es redirigido a una página web que imita a la de Amazon, donde se le solicita completar un formulario con información sensible: nombre, dirección, correo electrónico, datos bancarios e incluso credenciales de inicio de sesión en la plataforma.

La empresa de ciberseguridad KnowBe4 alertó recientemente sobre esta técnica, que califica como una evolución del phishing tradicional:

"Una carta física genera más confianza que un correo electrónico, especialmente en personas mayores o con menor conocimiento tecnológico".

Los expertos advierten que este tipo de fraude, conocido también como 'quishing', logra evadir los filtros de seguridad habituales, como los antivirus o el antispam del correo electrónico. En este caso, además, se aprovecha el carácter tangible del correo tradicional para parecer más legítimo.

En Genbeta

Los correos certificados no se libran de ser usados en estafas: ni tu buzón de toda la vida está ya libre de phishing

Cómo reconocer la estafa

A pesar de su aspecto convincente, existen varios indicios que delatan la falsedad de estas cartas:

• Errores gramaticales o de estilo, como la mezcla de tonos formales e informales ('tú' y 'usted') en el texto.
• Direcciones de correo electrónico no vinculadas a Amazon.
• Promesas poco realistas, como comisiones sin previo registro.
• Solicitudes de datos bancarios o personales mediante un código QR.

Amazon ha vuelto a recordar a sus usuarios que nunca contacta con clientes a través de correo postal para ofrecer promociones de prueba ni comisiones en efectivo. La compañía dispone de canales oficiales y programas de 'testing' que requieren inscripción previa y verificación dentro de su plataforma.

Recomendaciones ante una carta sospechosa

Las autoridades y expertos en ciberseguridad recomiendan:

1. No escanear el código QR incluido en la carta.
2. No proporcionar ningún dato personal o financiero.
3. Destruir la carta para evitar que otros puedan caer en la trampa.
4. Informar del intento de fraude a Amazon mediante sus canales oficiales.
5. Contactar con la entidad bancaria si ya se han proporcionado datos y cambiar las contraseñas de acceso.

Una amenaza internacional

Carta en inglés vía Reddit

Según las investigaciones y los reportes de usuarios en plataformas como Reddit, esta estafa ya ha sido detectada en países como Reino Unido, Alemania, Francia, España, Estados Unidos y varios países de América Latina. La campaña podría estar relacionada con otras prácticas fraudulentas como la generación de reseñas falsas o el blanqueo de capitales a través de transferencias ilegales.

Las autoridades hacen un llamado a la ciudadanía para mantener la vigilancia también fuera del entorno digital. "El buzón físico ha dejado de ser un espacio seguro. Esta es una nueva frontera de la ciberdelincuencia", concluyen desde KnowBe4.

Imagen |

Las estafas mediante códigos QR fraudulentos, conocidas como "quishing", son cada vez más comunes, sobre todo teniendo en cuenta que el uso de los códigos QR se ha impulsado masivamente a lo largo de los últimos años tras el COVID.

Esta modalidad de fraude, impulsada principalmente por organizaciones criminales, ha pasado de 100 casos reportados en Reino Unido en 2019 a 1.386 denuncias en 2024, tal y como cuenta el medio BBC. En España, este tipo de estafas también ha llegado con casos como el de Aragón, donde la Policía Nacional detectaba códigos QR falsos en la carta de los restaurantes.

Un código QR falso encima del original

Los delincuentes suelen colocar sus propios códigos QR falsos en lugares donde el pago sin contacto es común, como parquímetros y menús de restaurantes. Simplemente pegan sus códigos fraudulentos sobre el código QR original, engañando a los usuarios desprevenidos.

Katherine Hart, oficial principal del Instituto de Normas Comerciales en Reino Unido, advierte que estas estafas están significativamente infradenunciadas y representan un "enorme desafío" para las autoridades a nivel mundial. "Hemos visto enormes cantidades en perdidas de esta manera. Algunas personas han visto desaparecer los ahorros de toda su vida, y ese dinero termina financiando a criminales", explica Hart.

En un vídeo de TikTok, María Aperador, experta en ciberseguridad, también alerta de sus peligros. Los códigos QR engañosos también han aparecido en paquetes, correos electrónicos e incluso en televisión, tal y como cuenta el medio. Al escanearlos con el móvil, las víctimas son dirigidas a sitios web controlados por los estafadores, donde son manipuladas para entregar información personal y bancaria.

Según Hart, muchas de las personas que colocan estos códigos fraudulentos probablemente forman parte del nivel más bajo en una jerarquía criminal organizada y puede que ni siquiera sean conscientes de todas las implicaciones de sus actos.

En Genbeta

Esta estafa logra suplantar al propio Google sin hacer saltar las alarmas de GMail: hasta los expertos caen en la trampa

El medio resalta el caso de Milton Haworth, quien utilizó su teléfono móvil para escanear un código QR en un aparcamiento municipal de Castleford, West Yorkshire, Reino Unido. El código le dirigió a descargar una aplicación no autorizada, donde aceptó pagar 90 peniques para verificar sus datos bancarios. Sin embargo, en lugar de pagar por aparcar, se encontró suscrito a un servicio con una tarifa anual de 39 libras sin opción de reembolso.

"Asumí que había pagado por mi aparcamiento, pero me di cuenta de que era una estafa cuando noté al día siguiente que habían sacado 39 libras de mi cuenta", comentó. "El cartel decía que usara el código para aparcar y nunca había oído hablar de que los códigos QR se utilizaran como estafa".

Las víctimas suelen perder pequeñas cantidades inicialmente, mientras los estafadores recopilan los datos necesarios para lanzar un "fraude secundario". "Podrías perder 2,99 libras y mucha gente no denuncia eso y no se da cuenta de que ha pasado su información a una organización criminal", explicó Hart.

"Días o semanas después, reciben una llamada diciéndoles que han sido víctimas de un fraude. Pueden señalar un día específico porque ya tienen toda la información que compartiste anteriormente. Te convencen, usando tácticas muy coercitivas, de que son de tu banco, la policía o servicios de protección al consumidor, y quieren llevarse todo lo que tienes".

En Genbeta

Un SMS te avisa de que te han concedido un crédito bancario. La Guardia Civil te advierte: "No piques, es un estafador"

Una empresa de aparcamientos, National Car Parks, que gestiona 800 aparcamientos en Reino Unido, está considerando eliminar los códigos QR de su señalización. La empresa ya ha introducido un "proceso riguroso" para evitar que sus códigos QR sean comprometidos, con inspecciones diarias de carteles y verificación de códigos.

Esto desbloquea un nuevo miedo: el de ser estafado al escanear un código QR que creemos legítimo. Por ello, siempre debemos mantenernos alerta ante estos casos, sobre todo si tras escanear el código QR nos impulsan a pagar alguna cantidad de dinero o nos redirige a una web sospechosa.

Tal y como señalan desde la Agencia Nacional contra el Crimen y el Centro Nacional de Seguridad Cibernética, afirman que es vital que las personas "se mantengan atentas ante los ciberdelincuentes". Recomiendan verificar siempre la autenticidad de un código QR antes de escanearlo, especialmente cuando implique pagos.

Imagen de portada | Marielle Ursua

En Genbeta | La psicología detrás de los timos: así se aprovechan los estafadores de nuestra debilidad

desde mañana, los ciudadanos españoles podremos llevar nuestro Documento Nacional de Identidad (DNI) en el móvil gracias a la nueva aplicación oficial 'miDNI', desarrollada por la Dirección General de la Policía. La posibilidad de poder identificarse digitalmente puede resultar, sin duda, atractiva...

...pero surgen dudas legítimas sobre la seguridad del sistema, la privacidad de los datos y sobre el control que tienen los usuarios sobre la información compartida. Repasemos todo lo que sabemos al respecto hasta ahora.

¿Qué es miDNI y cómo funciona?

La app miDNI es una app gratuita para iOS y Android que permite portar el DNI en formato digital. Su uso está inicialmente limitado a identificaciones presenciales (por ejemplo, al registrarse en un hotel, abrir una cuenta bancaria o presentarse ante una autoridad pública), y no sustituye completamente al DNI físico, especialmente en controles fronterizos o trámites telemáticos.

El sistema utiliza códigos QR generados temporalmente que contienen parte o toda la información del DNI. El usuario puede decidir qué información compartir, eligiendo entre las tres vistas disponibles:

• DNI Edad: Muestra la foto, número de DNI y si el usuario es mayor de edad.
• DNI Simple: Añade nombre completo, fecha de nacimiento, sexo y fecha de validez.
• DNI Completo: Incluye todos los datos visibles del DNI excepto el número de soporte y el equipo de expedición.

En Genbeta

La Guardia Civil nos avisa del peligro al que nos expone compartir nuestro DNI en Internet: así puedes hacerlo de forma segura

Así, si solo necesitas demostrar que eres mayor de edad, puedes mostrar el 'DNI Edad', minimizando la exposición innecesaria de datos sensibles.

Estos datos no se almacenan permanentemente en el dispositivo móvil: se descargan al momento desde servidores seguros de la Dirección General de la Policía, y el QR generado debe ser escaneado por un validador (como un recepcionista de hotel o un funcionario) para su verificación.

¿Es seguro el sistema?

¿A grandes rasgos? Sí, pero 'el diablo está en los detalles'...

Identificación y validación

Para registrarse en la app, el usuario debe verificar su identidad mediante un código SMS de un solo uso, enviado al número de teléfono móvil registrado. Esto impide, en la mayoría de los casos, que un tercero use la app haciéndose pasar por el titular del DNI.

Pero ciberataques como el 'SIM swapping' y técnicas de estafa basadas en ingeniería social (como las que convencen de enviar a terceros el código SMS) podrían poner en riesgo esta seguridad de la app.

En Genbeta

La nueva app para llevar el DNI en el móvil nace con un problema: tiene un 'rival' que se llama igual

Códigos QR temporales

El sistema no deja expuestos los datos del usuario en el dispositivo: la app genera un código QR de un solo uso, con validez temporal limitada, lo que reduce significativamente el riesgo de duplicación, interceptación o uso fraudulento.

Además, la generación del QR requiere conexión con los servidores de la Dirección General de la Policía, y se realiza sobre una infraestructura propia del Estado, sin intervención de terceros.

No tendremos control de los datos ya cedidos

Una de las mayores preocupaciones de los usuarios, una vez que empiecen a esar esta app, será muy concreta: ¿puedo saber quién ha accedido a mi DNI y, si es así, revocar ese acceso?

Aquí es donde aparecen las limitaciones del sistema: la política de privacidad de la app no da a entender que podamos tener constancia desde la app de con quién se ha compartido la información una vez que se genera y escanea un código QR.

Tampoco no existe, de momento, un panel de control para revocar accesos ya concedidos o consultar el historial de validaciones. En resumen, una vez que un QR es escaneado por un tercero, la app no ofrece forma de impedir que el receptor conserve o reutilice la información.

Esto representa una diferencia importante con otros sistemas como, por ejemplo, algunas 'wallets' digitales o apps de identidad descentralizada (DID), donde los usuarios pueden revocar credenciales o limitar su uso posterior.

• ¿Y qué pasa con los falsos validadores? Mostrar un QR a un tercero implica confiar en que ese tercero usará los datos legítimamente. Si bien el código es de un solo uso, nada impide al receptor tomar una captura de pantalla y conservar la información.

¿Y qué más se puede hacer con los datos a los que accede la app?

Por otra parte, según la propia documentación técnica de la app, ésta no rastrea la actividad del usuario: no hay geolocalización, ni perfilado. La Dirección General de la Policía garantiza que no se almacenan interacciones de uso ni se comparte información con terceros, salvo por requerimiento legal o petición expresa del usuario.

Pero, ¿y si pierdo el móvil o me lo roban?

La app no almacena datos permanentes en el dispositivo. Esto significa que, en caso de pérdida o robo del móvil, los datos del DNI no están expuestos. Para utilizar nuevamente la app en otro dispositivo, el usuario deberá volver a registrarse con su número de teléfono verificado.

Imagen | Marcos Merino mediante IA

En Genbeta | Un hotel me pidió mi DNI escaneado antes de llegar. Lo compartí editando todo esto por seguridad

Los procedimientos de seguridad digital están en constante evolución (como lo están las técnicas de los cibercriminales). Por ello, Gmail, el servicio de e-mail más usado en todo el mundo, ha decidido cambiar los suyos para proteger mejor a sus usuarios... y ha anunciado que reemplazará la autenticación mediante SMS por un nuevo sistema basado en códigos QR.

Un cambio necesario: el adiós a los SMS

Durante años, la verificación en dos pasos a través de SMS ha sido un pilar fundamental en la protección de cuentas online. Sin embargo, este método ha demostrado ser vulnerable a diversas amenazas, como el phishing, el SIM swapping y diversos ataques basados en la ingeniería social.

Ross Richendrfer, portavoz de Gmail, explicó que la autenticación por SMS, si bien es mejor que no contar con ningún método de verificación, presenta demasiados riesgos de seguridad que pueden ser explotados por actores malintencionados.

Es por eso que Google ha decidido abordar estos problemas eliminando progresivamente el uso de mensajes SMS para la autenticación en Gmail: según información revelada por Forbes, la compañía ha confirmado que este cambio se implementará en los próximos meses.

¿Cómo funcionará la autenticación con códigos QR?

El nuevo método de verificación reemplazará el tradicional código de seis dígitos enviado por SMS con un código QR generado en la pantalla de inicio de sesión. Para acceder a su cuenta, el usuario deberá escanear este código con la cámara de su smartphone.

En Genbeta

Qué es el quishing: cuando te estafan usando un código QR fraudulento

Este sistema elimina por completo el riesgo de que los usuarios sean engañados para compartir códigos de acceso, dado que ya no existirán en formato de texto.

Además, esta innovación evita la dependencia de las operadoras de telefonía móvil, cuyas medidas de seguridad pueden ser vulneradas con tácticas de fraude como el SMS spoofing.

También protege a la propia Google de una práctica fraudulenta creciente conocida como "traffic pumping" o "toll fraud", en la que delincuentes generan un alto volumen de mensajes SMS de verificación (por los que la compañía ha de pagar a la operadora de turno)... porque ellos mismos controlan los números a los que van dirigidos, por lo que se lucran con cada mensaje de verificación que solicitan para lucrarse con cada mensaje enviado.

¿Mayor seguridad o sólo un nuevo desafío?

Si bien la autenticación mediante códigos QR representa una mejora significativa en seguridad respecto a los SMS, no está exenta de riesgos. Los códigos QR ya han sido usados en el pasado en ataques de phishing, para redirigir a los usuarios a sitios maliciosos que pueden comprometer sus credenciales.

Dado que Google es consciente de estas amenazas, probablemente implementará capas adicionales de seguridad.

En cualquier caso, es importante destacar que este nuevo método de autenticación no será el único disponible para los usuarios de Gmail: Google ya ofrece diversas alternativas de seguridad, como claves de acceso basadas en hardware y aplicaciones de autenticación, que seguirán estando disponibles para aquellos que deseen una protección aún más robusta.

Imagen | Marcos Merino mediante IA

En Genbeta | La Guardia Civil advierte de que este mensaje no es del 'equipo de soporte de WhatsApp': es un timo que puede robarte la cuenta

Recientemente, el servicio antimalware 'Any.Run' identificó una campaña de phishing que utiliza documentos de Word corruptos para evadir las medidas de seguridad de tu PC y tener acceso a tus datos personales y financieros.

Este sofisticado método, que parece dirigido principalmente contra autónomos, gestorías, bufetes y asesorías, ya está causando alarma entre las potenciales víctimas y es una muestra más de cuánto 'se lo curran' los ciberestafadores.

El modus operandi de los cibercriminales

El ataque comienza con un correo electrónico que aparenta ser enviado desde el departamento de recursos humanos o administración de alguna empresa. Los mensajes suelen incluir asuntos llamativos relacionados con pagos, nóminas o beneficios laborales, como "Bonos anuales para empleados" o "Pagos pendientes".

Cuando el destinatario intenta abrir uno de los archivos .docx corruptos, Microsoft Word detecta el contenido ilegible y ofrece recuperarlo.

Tras aceptar la recuperación, el documento revela un mensaje con un código QR que, al ser escaneado, dirige a una página falsa que simula ser un inicio de sesión de Microsoft. El objetivo final es obtener las credenciales de acceso del usuario.

Pero el uso de códigos QR para suplantar inicios de sesión de Microsoft no tiene nada de novedoso, así que, ¿por qué la alarma con esta nueva campaña?

En Genbeta

Escanear un QR en un lugar público y perder 16.000 dólares: los peligros de la estafa conocida como 'quishing'

Innovación en la evasión de medidas de seguridad

La principal innovación de esta campaña radica en la corrupción intencional de los archivos adjuntos. Este método aprovecha la incapacidad de muchos sistemas de seguridad para analizar correctamente documentos dañados.

Según pruebas realizadas con la herramienta VirusTotal, estos archivos superan los análisis de la mayoría de los antivirus, ya que no contienen código malicioso como tal... hasta que el propio usuario no los recupera.

Esta característica permite que los archivos pasen desapercibidos, incluso en entornos corporativos con medidas de seguridad avanzadas. Una vez abiertos y 'reparados' por Microsoft Word, los archivos ya puede mostrar impunemente su contenido, diseñado específicamente para engañar al usuario.

¿Qué profesionales y negocios son los objetivos?

La campaña está dirigida principalmente contra autónomos, gestorías y bufetes, sectores que suelen manejar datos bancarios y de clientes. A diferencia de las grandes empresas, que cuentan con sistemas de seguridad robustos, estos negocios pequeños suelen ser más vulnerables debido a recursos limitados para invertir en ciberseguridad.

Además, este tipo de organizaciones realiza gestiones que implican el intercambio frecuente de documentos digitales, lo que las convierte en objetivos ideales para este tipo de fraude.

Recomendaciones para protegerse

Los expertos en ciberseguridad subrayan la importancia de la prevención para evitar caer en estas trampas. Entre las medidas clave destacan:

1. Desconfiar de e-mails sospechosos: Eliminar mensajes de remitentes desconocidos, especialmente si contienen archivos adjuntos.
2. Evitar escanear códigos QR de fuentes no verificadas: Aunque son herramientas útiles, los códigos QR son un recurso común en tácticas fraudulentas.
3. Formación en ciberseguridad: Las empresas deberían invertir al menos en capacitación básica para identificar intentos de phishing y otras amenazas.

La deducción fiscal, un respiro para las víctimas

En caso de que un autónomo caiga víctima de esta o cualquier otra estafa cibernética, la Dirección General de Tributos permite deducir las pérdidas económicas derivadas en la declaración de la RENTA. Esta medida, reconocida en el marco del Impuesto sobre la Renta de las Personas Físicas (IRPF), exige que las pérdidas estén documentadas con pruebas como denuncias, movimientos bancarios y otros registros.

Además, esta desgravación sólo sería válida si las pérdidas se integrasen en la base imponible general de la Declaración, y si las pérdidas no estuvieran relacionadas con consumos habituales o transmisiones lucrativas.

Imagen | Marcos Meirno mediante IA

En Genbeta | "Llevamos 45 días esperando que pagues la factura": los correos de estafas se ponen bordes. Y eso ayuda a detectarlos

En los últimos meses, varios departamentos de policía en Estados Unidos han comenzado a emitir advertencias sobre una nueva estafa en auge conocida como 'brushing', basada en el envío de paquetes a personas que no los han solicitado.

No es la primera vez que hablamos de ello, pero es que, en esta última oleada de casos, el 'brushing' viene haciendo tándem con otra técnica de estafa: el 'quishing'.

¿En qué se traduce eso? En que lo más peligroso de los paquetes recibidos no está en su interior, sino en el QR que los acompaña: por su culpa, podemos terminar facilitando a terceros el acceso a nuestra información personal y financiera, e incluso que vacías nuestras cuentas bancarias.

¿En qué consiste la estafa?

El brushing es un método que combina la ingeniería social con tácticas de suplantación de identidad: los estafadores envían un paquete con un artículo 'de regalo', generalmente de poco valor como bisutería o pequeños gadgets. Normalmente, los motivos para esto pueden ser varaidos, desde cosechar reseñas falsas (que los estafadores escribirán en nombre del destinatario) hasta utilizar gadgets infectados para difundir malware.

Genbeta

Compra una tarjeta gráfica por Amazon y le estafan con una caja vacía y sin poder obtener una devolución: no se fijó en un detalle

Sin embargo, estamos ante una vuelta de tuerca de ese tipo de estafa, porque en este caso, el código QR que teóricamente debería permitir al confundido destinatario descubrir el origen del envío, en realidad está diseñado para engañar a la víctima y redirigirla a un sitio web fraudulento, que puede infectar su dispositivo con malware o robar información privada.

Según los departamentos de policía en ciudades como Denver (Colorado), Morrow (Georgia) y Palm Beach (Florida), este tipo de estafa ha comenzado a extenderse rápidamente. En Palm Beach, las autoridades señalan que los paquetes contienen la dirección del destinatario, pero no incluyen información sobre el remitente.

"El regalo puede guardarse o tirarse, pero el código QR NO debe escanearse por ningún motivo. Las estafas con códigos QR no son nada nuevo. Estas estafas aparecen en todos los sitios, incluidos los parquímetros". (Del Facebook de la Policía de Akron, Ohio, EE.UU.)

El código QR dentro del paquete sugiere que, al escanearlo, se podría descubrir quién envió el paquete, pero esto solo fácilita que los estafadores sepan más sobre nosotros. En ocasiones, eso ocurre gracias a que el enlace conduce a la descarga de un fichero .apk, un instalador de aplicaciones Android.

• ¿Cómo consiguen los estafadores los datos de las víctimas? Una de las preguntas clave es cómo los estafadores obtienen los nombres y direcciones de sus víctimas. Como de costumbre en estos casos, la explicación suele estar en fugas masivas de datos personales de plataformas online o de grandes compañías. En otros casos, puede deberse a errores del usuario, que desvela sin querer cierta información en sus redes sociales.
• La situación en España. Aunque este tipo de estafa ha sido más común en Estados Unidos, es probable que llegue a España más pronto que tarde. Por el momento, el INCIBE afirma que no se han recibido consultas relacionadas con el brushing a través de su línea de ayuda en ciberseguridad.

¿Cómo protegerse del quishing?

El INCIBE ha emitido una serie de recomendaciones para evitar caer en fraudes relacionados con códigos QR. Entre los consejos más destacados se encuentran:

1. No escanear códigos QR desconocidos: Si no sabes quién ha generado el código ni con qué propósito, es mejor no interactuar con él.
2. Comprobar la URL: Si al escanear el código te dirige a una web, revisa que la dirección URL coincida con el nombre de la empresa que debería haber enviado el paquete.
3. Sospechar de URLs acortadas: Estas suelen esconder sitios web maliciosos. Evita interactuar con ellas a menos que confíes plenamente en la fuente.
4. Utilizar analizadores de enlaces: Herramientas como VirusTotal pueden ayudar a verificar la autenticidad de los enlaces a los que redirige el código QR antes de abrir la página.
5. No descargar archivos sin verificar: Si te solicitan descargar archivos con extensiones como .apk, puede tratarse de una aplicación maliciosa diseñada para infectar tu dispositivo.
6. Evitar proporcionar información personal o bancaria: Nunca compartas datos sensibles si no estás absolutamente seguro de la autenticidad del sitio.

Vía | Maldito Timo

Imagen | Marcos Merino mediante IA

En Genbeta | Le llegó una carta de Amazon ofreciendo dinero por probar artículos. Pero era experto en fraudes y vio que había gato encerrado

Originalmente desarrollados para rastrear piezas en la industria automotriz, los códigos QR (siglas en inglés de 'Respuesta rápida') han terminado siendo de utilidad para un sinfín de usos: desde facilitar el pago en comercios hasta ser una puerta de acceso a menús digitales en restaurantes, su uso se generalizó, especialmente impulsado por la promoción de alternativas de contacto cero durante la pandemia de COVID-19.

Sin embargo, esta misma ubiquidad ha dado pie a un fenómeno alarmante: el aumento de las estafas basadas en estos códigos. Los estafadores han perfeccionado el arte de camuflar enlaces maliciosos tras códigos QR: al escanear estos códigos fraudulentos, las víctimas son dirigidas a sitios web falsos que imitan a los de entidades de confianza, como bancos, servicios gubernamentales o marcas reconocidas.

Estos sitios solicitan información personal y financiera bajo falsos pretextos, como actualizaciones de seguridad o la necesidad de verificar la identidad del usuario, con el objetivo final de robar datos sensibles o instalar software malicioso en los dispositivos de las víctimas.

Casos: desde infraestructuras a tu e-mail

Los usuarios de infraestructuras urbanas suelen ser objetivos prioritarios de esta clase de estafas. En Estados Unidos se han dado casos como el de un usuario pensó que estaba pagando la tarifa de aparcamiento para estacionar su coche y, tras escanear el código QR pegado en la superficie del parquímetro e introducir la información solicitada, terminó viendo cómo desaparecían 16.000 dólares de su cuenta bancaria.

En Genbeta

La Policía alerta de las estafas con los códigos QR en bares y restaurantes

En otro caso, un residente de Singapur perdió también dinero (una cantidad sensiblemente menor en este caso, sólo 40 dólares) tras usar una aplicación de terceros para escanear un código QR situada en una máquina de reciclaje. El código lo redirigió a un sitio web que le solicitó información de su tarjeta de crédito, prometiendo créditos por reciclar que nunca recibió.

En otros casos, el soporte elegido para distribuir los QRs pueden ser folletos, o e-mails, o incluso la carta vandalizada de algún restaurante.

Qué hacer ante un QR sospechoso

1. Procedencia sospechosa: Desconfía de códigos QR recibidos por correo electrónico, especialmente si provienen de remitentes desconocidos o no solicitados. Revisa minuciosamente la autenticidad de la comunicación, ya que los estafadores a menudo emplean tácticas sofisticadas para simular ser entidades legítimas.
2. Verificación antes de acceder: Utiliza aplicaciones de escaneo de QR que muestren la URL destino antes de abrirla. Esto permite verificar si el enlace parece legítimo y relevante para la acción esperada.
3. Códigos en espacios públicos: Sé especialmente cauteloso con códigos QR en lugares públicos sin una identificación clara de quién los ha colocado. Los estafadores pueden adherir códigos fraudulentos sobre anuncios legítimos o en áreas de alto tráfico para captar víctimas desprevenidas.
4. Solicitudes de información personal: Cualquier solicitud inmediata de información personal o financiera tras escanear un código QR debe ser considerada una señal de alarma. Las entidades legítimas raramente solicitarán datos sensibles de esta manera.

Imagen | Marcos Merino mediante IA

En Genbeta | Cuidado con estos códigos QR de BiciMAD en Madrid. Son falsos y tratan de robarnos nuestro dinero al escanearlos

En el vertiginoso mundo de las ciberestafas, una variante relativamente nueva ha empezado a popularizarse con el auge de los pagos móviles y las tecnologías de escaneo de códigos QR. De hecho, se basa en el uso de estos últimos para engañar a los usuarios, de tal manera que el estafador pueda obtener su información confidencial o incluso acceder a sus cuentas bancarias.

Este método, conocido como 'quishing' (una fusión de las palabras "QR" y "phishing"), ejecuta sus engaños a través de códigos QR falsificados que redirigen a sus víctimas a sitios web maliciosos que imitan a las webs de entidades legítimas, al igual que los enlaces incluidos en los mensajes de phishing.

Así, al creer que el sitio es legítimo, la víctima puede ser engañada para que introduzca información sensible, como datos de acceso o números de tarjeta de crédito.

Los estafadores crean códigos QR fraudulentos y los distribuyen en lugares públicos o a través de mensajes móviles o de correo electrónico, con el objetivo de que las personas los escaneen sin darse cuenta y caigan en la trampa.

En Genbeta

Phishing: qué es y diferentes tipos que existen

Un ejemplo reciente

Hace unos días, un usuario denunciaba en X que le había llegado por correo postal a su casa una postal, decorada con el logo de Amazon, con información sobre los pasos a realizar para poder obtener un cupón de descuento que el usuario pudiera usar en la plataforma de e-commerce... con QR adjunto. El problema es que, claro está, no es Amazon quien lo manda.

vía @newmediaguynyc en X

Aunque, por supuesto, si usas el QR, accederás a una web con el logo de Amazon y apariencia legítima, en la que te piden iniciar sesión, para luego introducir un código que ellos te proporcionan y así poder obtener 'tu premio'. El problema es que realmente el dominio no corresponde a una web de Amazon, y al intentar iniciar sesión, lo que estás haciendo es proporcionarle las credenciales de acceso a los estafadores.

Cómo evitar caer en estafas de quishing

1. Desconfía de códigos QR no solicitados: Si recibes un código QR de forma inesperada o de una fuente no del todo fiable, es mejor evitar escanearlo. Los ciberdelincuentes a menudo confían en la curiosidad de las personas para atraerlas a sus trampas.
2. Verifica la fuente: Antes de escanear un código QR, especialmente si está asociado con alguna operación financiera o el ingreso de información personal, verifica la autenticidad de la fuente. Y por 'fuente' no nos referimos únicamente al folleto o cartel, sino incluso a la pegatina donde viene incluido el QR. Piensa que no es nada difícil poner una pegatina con un código QR falso (a veces, incluso, tapando uno legítimo) en un cartel de un transitado monumento turístico, o en la carta de un restaurante.
3. Utiliza un escáner de QRs con protección de seguridad: Algunas aplicaciones de escáner de códigos QR están equipadas con características de seguridad que pueden detectar enlaces maliciosos y advertirte antes de acceder a ellos. Asegúrate de usar una aplicación de escáner que ofrezca esta protección.
4. Mantén actualizado tu software de seguridad: Asegúrate de que tu dispositivo móvil esté protegido con un software de seguridad actualizado, que pueda ofrecer una capa adicional de protección contra sitios web maliciosos y descargas dañinas.
5. Verifica la URL: Si no has puesto en práctica los cuatro consejos anteriores, habrás recalado en una web que te estará pidiendo que introduzcas tus credenciales de algún servicio web, los datos de tu tarjeta o algo similar. Pero, ¿estás seguro de que el dominio se corresponde con el de la web que supuestamente estás visualizando?

Imagen | Marcos Merino mediante IA

En Genbeta | Esta web te permite cambiar el diseño de tu código QR con inteligencia artificial al estilo de Midjourney: así puedes hacerlo

La lucha contra las ciberestafas es un constante tira y afloja, en el que los malos innovan y los buenos intentan contestar a cada nuevo cambio de estrategia. De modo que ahora, cuando las soluciones de ciberseguridad empiezan a tomar medidas contra los correos de phishing que incluyen enlaces a webs maliciosas, los estafadores empiezan a probar cosas nuevas…

…y ahora, de pronto, ya no son enlaces lo que deben buscar las aplicaciones y extensiones anti-phishing, sino imágenes. Y no cualquier tipo de imágenes.

Y es que un equipo de investigadores de ciberseguridad de la compañía Cofense ha detectado una nueva campaña masiva de phishing que utiliza códigos QR maliciosos con el objetivo de hacerse con las credenciales de Microsoft en varias empresas, incluida una destacada compañía energética estadounidense.

Los códigos QR, masivamente adoptados por el gran público tras la pandemia de COVID-19, se han venido utilizando desde entonces en miles de restaurantes y negocios para reemplazar menús y guías físicas por imágenes que, al ser legibles por máquinas, permiten proporcionar enlaces a páginas web.

Ya en 2021 os hablábamos en Genbeta de esta técnica, conocida como 'QRishing', y pocos meses después hubo un famoso caso en EE.UU. en el que los delincuentes colocaron falsos códigos QR en parquímetros para robar datos de pago de las víctimas.

En Genbeta

Dominios que parecen el mismo… pero no lo son. Estos son los trucos que usan los estafadores para que caigamos en webs maliciosas

Un ejemplo

Cofense ha publicado un nuevo informe identificando los datos de la campaña, que se inició en mayo y se dirigió contra una amplia gama de industrias. Los delincuentes enviaron miles de correos electrónicos que contenían códigos QR maliciosos a empresas, los cuales llevaban a los usuarios a una web fraudulenta que trataba de suplantar una pantalla de login de Microsoft.

Según cuenta el INCIBE (Instituto de Ciberseguridad Español), que también se ha hecho eco de esta amenaza,

"En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.

En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes. En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización".

Lo que llamó la atención de esta campaña fue su crecimiento exponencial, al haber pasado de un número reducido de correos electrónicos a una cantidad considerable que supera los volúmenes típicos de campañas similares. El número de correos electrónicos enviados ha crecido aproximadamente un 270% cada mes, según Raymond.

Los hackers lograron enmascarar los enlaces de phishing dentro de redirecciones, lo que hacía que los códigos QR parecieran legítimos cuando los usuarios escaneaban con sus cámaras.

Problemas y consejos

Los códigos QR permiten a los atacantes ocultar los enlaces maliciosos de manera efectiva, ya que se esconden dentro de la imagen de los mismos, que a su vez están incrustadas en una imagen PNG o un archivo PDF adjunto.

Aunque los códigos QR tienen legítimos propósitos, su uso en campañas maliciosas está en aumento debido a su efectividad en comparación con los enlaces tradicionales en los correos de phishing: los dispositivos móviles no suelen estar regulados por las empresas, lo que los coloca fuera del alcance de los sistemas de seguridad empresariales.

Los expertos animan a los usuarios a no fiarse de ningún e-mail, SMS o similar que le redirija a un sitio web si no están 100% seguros de conocer al remitente. Así, cualquier QR que no parezca fiable no debería ni llegar a ser escaneado… y, aun pareciéndolo, debemos verificar las URLs durante todo el proceso (pues el dominio puede cambiar varias veces con cada clic) y asegurarnos de que coincide con un dominio legítimo.

Imagen | Pixabay

En Genbeta | Esta web te permite cambiar el diseño de tu código QR con inteligencia artificial al estilo de Midjourney: así puedes hacerlo

Hoy día vemos códigos QR en cualquier lugar. Y es que el hecho de que prácticamente todo el mundo tenga un teléfono en la mano ha facilitado las cosas para que los códigos QR sean una de las maneras más comunes para encontrar información adicional sobre un servicio o contenido, e incluso poder iniciar sesión cómodamente en multitud de plataformas. El único "problema" es que generalmente son muy feos. A no ser que sepas personalizarlos a tu gusto.

En este artículo hemos querido ofrecerte una vía muy interesante para poder personalizar el aspecto de tu código QR a tu gusto. Ya sea para tu negocio o para uso personal, nunca más tendrás que lidiar con los aburridos códigos QR cuando te describamos cómo usar QuickQR.art.

Cómo personalizar tu código QR con IA

Para poder personalizar un código QR, lo primero que necesitamos es generar uno con el enlace que le quieras atribuir. Para ello podemos hacer uso tanto de las herramientas que ofrece QuickQR como de cualquier otro sitio web que se preste a generar códigos de este tipo.

Lo bueno de generarlo en QuickQR es que tendrás multitud de herramientas a tu disposición para personalizarlo a tu gusto. Desde la web tenemos la posibilidad de cambiar los bordes, estilizarlo un poco, añadir nuestro logo, y más. Aunque lo mejor viene ahora después, ya que con ayuda de la IA al más puro estilo de Midjourney, podrás personalizar al completo tu código QR.

En Genbeta

Microsoft ahora tiene una alternativa al Administrador de Tareas para monitorizar CPU, GPU o RAM. Y es compatible con widgets

Una vez tengas tu código QR y lo hayas guardado en una imagen PNG, deberás unirte al servidor de Discord de QuickQR. Para ello debes pulsar sobre 'Join beta now', justo en la parte superior de la página en la que has personalizado tu código QR en QuickQR. Si no tienes cuenta en Discord deberás de crearte una, pues tendrás que interactuar con comandos dentro del propio servidor.

Cuando te hayas unido al servidor, te preguntarán qué es lo que quieres hacer. De las tres opciones que se muestran en pantalla nosotros seleccionamos la de crear códigos QR. Una vez hecho esto, nos vamos al canal de texto de 'paste-bin' y pegamos ahí nuestro código QR en formato PNG. Después enviamos el mensaje y acto seguido copiamos el enlace del mensaje.

Tras seguir los pasos mencionados, ahora nos vamos a uno de los canales del bot, como por ejemplo 'pixelml-bot-1' y escribimos el comando '/generate'. Antes de darle a enviar, tras el comando debemos de escribir el prompt que queremos generar y pegar la URL que hemos copiado antes. Cuando lo tengamos todo listo, pulsamos sobre enviar. Si es la primera vez que accedemos, el bot nos pedirá aceptar las condiciones del servicio antes de continuar, así que pulsamos sobre el botón de aceptar en el mensaje generado automáticamente y después volvemos a interactuar con el comando '/generate'. Tras ello, debemos esperar a que el bot trace el diseño por nosotros.

Una vez terminado, el bot nos mencionará para avisarnos de que el proceso ha finalizado y ya podremos guardar la imagen. Si no ha salido como esperábamos, siempre podemos repetirla e incluso modificar el parámetro 'qrw' para mejorar la legibilidad del código. Al tratarse de una IA, será un proceso de ensayo y error hasta que demos con el estilo perfecto.

En Genbeta | Este sencillo truco te permite comprimir imágenes en Google Fotos para liberar espacio de tu cuenta de Google