“Visto en Plaza Benavente, QRs falsos encima del QR de las bicis que te llevan a una plataforma de pago falsa”. Esto afirma una publicación de una usuaria de Twitter (ahora X) que denunció haber visto códigos QR falsos pegados encima de los QR de las bicicletas de Bicimad, el servicio de bicis públicas eléctricas de Madrid. Desde EMT Madrid afirman a Maldita.es que han detectado la presencia de un adhesivo con un código QR en algunas bicis de Bicimad “que remite a una web para realizar pagos por horas”. La empresa asegura que se están retirando todas las pegatinas y que se ha denunciado el caso ante la Policía Nacional “porque podría tratarse de una estafa”.
Desde Maldita.es hemos probado a escanear el código QR de la foto publicada por la usuaria desde la cámara de un teléfono móvil, y nos dirigen a una web fraudulenta que pide el pago de 5 euros. A través de un tuit, Bicimad ha recomendado a los usuarios escanear siempre los códigos QR de las bicicletas desde su aplicación oficial para evitar webs fraudulentas.
Este 13 de septiembre, el Ayuntamiento de Madrid ha asegurado a Maldita.es que la situación ya está controlada y no se han detectado más pegatinas. *
Se han detectado códigos QR falsos en las bicicletas de Bicimad
Este 11 de septiembre, una usuaria de Twitter denunció haber encontrado códigos QR falsos en bicicletas de Bicimad ubicadas en la Plaza Jacinto Benavente de Madrid.
En un tuit posterior, la usuaria aseguró haber encontrado más códigos falsos en la calle Lavapiés. Y, en respuesta al primer tuit, otro usuario afirmó haber visto códigos QR falsos en Pirámides y La Latina.
Desde EMT Madrid, empresa responsable del servicio de Bicimad, aseguran a Maldita.es que se “ha detectado la presencia de un adhesivo con un código QR en algunas bicicletas de Bicimad que remite a una web para realizar pagos por horas”. Desde la compañía afirman que se “están retirando todas las pegatinas” y que ya se ha denunciado el caso ante la Policía Nacional “porque podría tratarse de una estafa”. Y añaden: “Desde el servicio, la valoración es que la incidencia ha sido mínima”.
Este 13 de septiembre, desde el área de Gobierno de Urbanismo, Medioambiente y Movilidad del Ayuntamiento de Madrid han indicado a Maldita.es que la situación está resuelta. "El problema está solucionado gracias a la rápida actuación de la EMT. Se detectó la presencia de adhesivos con el QR fraudulento en cinco vehículos. Se puso en conocimiento de Policía Nacional y no se han vuelto a detectar más pegatinas", aseguran. *
El código QR falso dirige a una web fraudulenta que pide un pago por el supuesto alquiler de la bici
La usuaria de Twitter aseguró que el código QR falso que vio lleva a una “plataforma de pago falsa”. También desde EMT Madrid afirman que los códigos “remiten a una web para realizar pagos por horas”.
En Maldita.es ya os hemos contado cómo pueden colárnosla al escanear códigos QR. En este caso, si escaneamos el código QR de la foto que publicó la usuaria desde la cámara de nuestro móvil, nos dirigen a la web “alquileres.fun”—que ahora mismo no funciona—. En su tuit de alerta, Bicimad también ha publicado una foto de esta web fraudulenta.
Este sitio web falso nos pide, en inglés, que seleccionemos el tiempo de alquiler de la bici (1 hora, 2 horas…). Si seleccionamos una hora, supuestamente tendremos que pagar 5 euros.
Si hacemos click en el botón “To Pay”, nos redirigen a la plataforma de pago SumUp para que realicemos un pago de 5 libras (5,80 euros, aproximadamente).
Bicimad recomienda a los usuarios utilizar siempre la aplicación oficial
A través de un tuit, Bicimad ha recordado a los usuarios que deben utilizar siempre la app oficial para escanear los códigos QR de las bicis. “Si lo haces fuera de la app y el QR es falso, pueden redirigirte a webs fraudulentas”, ha asegurado el servicio.
En cambio, si se escanea el código QR falso desde la aplicación oficial, la app nos avisa de que el código “no se corresponde con ninguna bici de BICIMAD”.
Desde EMT Madrid también indican a Maldita.es que se está informando a los usuarios de que siempre utilicen la app de Bicimad para escanear los códigos de las bicis. A través de la app oficial de Bicimad, se ha lanzado una notificación para alertar de los adhesivos con QR falsos. *
Además, no es la primera vez que desde Maldita.es alertamos de códigos QR que se encuentran en la calle. En diciembre de 2022, el Ayuntamiento de Madrid advirtió de que se estaban colocando fotocopias que simulaban ser multas de tráfico en los parabrisas de algunos vehículos de la ciudad y que incluían un código QR.
Cómo evitar timos al escanear códigos QR
Ya seas propietario de un negocio o un usuario, puedes seguir estos consejos y recomendaciones para evitar en la medida de lo posible ser víctima de un ataque a través de un código QR:
- Ten instalado un antivirus o un antimalware en tu dispositivo.
- Desconfía de los supuestos regalos, promociones y ofertas que encuentres por la calle y a las que podrías acceder tan sólo escaneando un QR: pueden ocultar otras intenciones.
- Asegúrate de que el código que vas a escanear no ha sido pegado encima de otro.
- Configura tu lector de códigos QR para que no pueda acceder directamente a la URL antes de entrar en ella y asegúrate de que es una web en la que puedes confiar.
- No permitas las descargas directas de archivos al escanear un código QR.
- Si tienes un negocio y vas a ofrecer un QR a tus clientes, usa un generador de este servicio que ofrezca todas las garantías de seguridad y comprueba frecuentemente que no ha sido modificado ni cambiado por terceras personas.
Maldito Timo cuenta con el apoyo de:
* Este artículo se ha actualizado el 13/09/2023 para incluir la notificación lanzada por la aplicación de Bicimad y la respuesta del Ayuntamiento de Madrid.