Mucho ojo si recibes un paquete inesperado junto a un código QR sospechoso. En Estados Unidos, varios departamentos de policía están alertando de un método de estafa conocido como brushing, que consiste en que los ciberdelincuentes, suplantando la identidad de compañías como Amazon, te mandan un paquete a casa con un artículo de “regalo” y un código QR para escanear. Al escanearlo, la víctima le da acceso a los timadores a su teléfono.
En España, desde la Guardia Civil indican que, hasta el momento, no se han recibido denuncias sobre este modus operandi. Por su parte, desde el Instituto Nacional de Ciberseguridad (INCIBE) explican a Maldita.es que, a través de un código QR malicioso, los ciberdelincuentes pueden redirigir a la víctima a una página web fraudulenta que intentara, por ejemplo, descargar una aplicación maliciosa en el móvil. Asimismo, afirman que, de momento, no han recibido consultas relacionadas con este método de timo a través del 017, su línea de ayuda en ciberseguridad.
En cualquier caso, para evitar fraudes con códigos QR, el organismo recomienda no escanear códigos QR que no sabemos de dónde provienen y desconfiar si al escanearlo te solicitan que te descargues una aplicación.
Los timadores te envían un paquete misterioso a casa con el objetivo de que escanees un código QR fraudulento
En varias ciudades de EEUU se está alertando de este nuevo método de timo a través de códigos QR en paquetes inesperados, como en Denver (Colorado), Morrow (Georgia), Palm Beach (Florida) o Akron (Ohio). El Departamento de Policía de Palm Beach explica en su web que el paquete contiene la dirección del destinatario, pero no información del remitente. “Cuando se abre el paquete, habrá un código QR que se recomienda escanear para averiguar quién envió el regalo”, explican. Además, advierten: “Si se escanea el código QR, el destinatario puede enviar información sin saberlo a un estafador, comprometer su teléfono o ser dirigido a un sitio web malicioso”.
A través de su perfil de Facebook, el Departamento de Policía de Akron afirma que el paquete puede contener artículos pequeños de “regalo”, como bisutería o altavoces, junto al código QR malicioso. “Una vez se ha escaneado el código, toda la información de ese teléfono se envía a los estafadores, quienes reciben acceso total al teléfono”, aseguran. De esta manera, según la policía, los timadores obtienen “la información personal y financiera y, habitualmente, las cuentas bancarias de las víctimas son vaciadas”.
Según indican los departamentos de policía, a esta estafa se la conoce como brushing y consiste en que los ciberdelincuentes utilizan tus datos personales para enviarte un paquete que no has solicitado a tu casa. Para ello, los timadores podrían suplantar la identidad de empresas como Amazon. El objetivo del timo puede variar. Además de enviarte códigos QR maliciosos, la intención también podría ser escribir falsas reseñas positivas a tu nombre y, de este modo, aumentar las ventas de un determinado vendedor, según indica la Better Business Bureau (BBB), organización de consumo estadounidense.
La Guardia Civil y el INCIBE no tienen constancia de reportes por este método de timo en España
Desde la Guardia Civil aseguran a Maldita.es que, de momento, no se han recibido denuncias por este modus operandi en concreto. Además, explican que en este tipo de métodos de timo “normalmente no te roban los datos directamente sólo por escanear el QR”, sino que “este escaneo te deriva a una dirección web donde está alojada una página web falsa controlada por los ciberdelincuentes”. En esa página web fraudulenta, “mediante engaño, te invitan a poner los datos a robar (credenciales de pago, nombre, apellidos, teléfono, correo electrónico, etc.)”.
En esta misma línea, desde el INCIBE indican a Maldita.es que el código QR sospechoso podría redirigir a una web fraudulenta que intentara, por ejemplo, descargar una app maliciosa en el móvil de la víctima. También señalan que, de momento, no han recibido consultas relacionadas con este método de timo en el 017, su línea de ayuda en ciberseguridad. Hemos contactado también con el equipo de prensa de la Policía Nacional y actualizaremos este artículo en caso de recibir respuesta.
Cómo es posible que los timadores tengan nuestro nombre y nuestra dirección
Para enviarnos un paquete inesperado, los timadores tienen que tener algunos de nuestros datos personales de antemano. Pero, ¿cómo lo consiguen? El INCIBE explica que esto puede deberse a diferentes motivos, como el uso de contraseñas débiles que den acceso a algún servicio online donde, entre otros datos, esté nuestra dirección postal. También puede ser por una “mala configuración de privacidad de algún servicio que permita el acceso a esta información” o una fuga de datos de algún servicio en la que se hayan filtrado datos personales de los usuarios. En este artículo encontrarás más pistas.
Cómo evitar que te la cuelen con códigos QR
Los ciberdelincuentes pueden utilizar códigos QR para intentar ejecutar malware (programa diseñado para ser malicioso) en el dispositivo del usuario o redirigirlo a un sitio web fraudulento. Para evitar estos riesgos, el INCIBE recomienda lo siguiente:
No escanees códigos QR si no sabes quién lo ha generado y para qué fin.
Antes de abrir la web, utiliza un analizador de enlaces como URLVoid o VirusTotal.
Sospecha si la URL de la página a la que te redirige el QR no se corresponde con el nombre de la empresa a la que se supone que estás accediendo.
Mucho cuidado si el enlace que esconde el QR es una URL acortada.
Desconfía si al escanear el código QR te solicitan que descargues un archivo con extensiones como .apk. Podría ser una aplicación maliciosa.
No proporciones información personal o bancaria si no estás seguro de la autenticidad del sitio que visitas.
*Este artículo se ha actualizado el 04/10/2024 para incluir la respuesta de la Guardia Civil.
