0
0
En un mundo donde un simple laberinto pixelado reemplaza contraseñas, menús y hasta boletos de avión, una nueva epidemia de estafas ha encontrado su camino perfecto. Los códigos QR, (Quick Response o Respuesta Rápida en español), esos símbolos de la modernidad que prometían conveniencia, luego del encierro por la pandemia de Covid-19, se han convertido en la carnada preferida de ciberdelincuentes que operan en el espacio físico.
La trampa te espera pegada en la mesa del restaurante, dentro de paquetes que nunca pediste, o incluso en carteles públicos que invitan a escanear por curiosidad o por “ganar”, siendo la única verdad: robar nuestros datos, nuestro dinero y nuestra identidad. Los QR son representaciones gráficas de datos digitales que pueden imprimirse y luego escanearse con un teléfono inteligente u otro dispositivo.
El fraude te espera en la mesa
Una escena cotidiana es llegar a un restaurante, sentarse, y en lugar de ver un menú físico te encuentras con un código QR plastificado en la mesa. Lo escaneas sin pensar, esperando ver la carta digital. Pero en lugar de los platos y bebidas del día, tu teléfono te lleva a una página que te pide:
“Actualizar” para ver el menú. Ingresar datos personales para “acceder a ofertas exclusivas” y Pagar por adelantado para “agilizar el servicio”.
Sin embargo, sucede que has caído en el “Quishing” (QR + phishing), una estafa donde delincuentes superponen etiquetas falsas sobre códigos legítimos. No necesitan hackear sistemas complejos: solo imprimen un adhesivo y lo pegan en segundos de descuido.
¿Cuál es el error fatal?, sencillo, creer que “si está en el restaurante, es seguro”. Los estafadores aprovechan precisamente esa confianza depositada en el mobiliario y la normalidad del entorno.
La voz de los usuarios
En un sondeo para Grupo Cantón, los siguientes testimonios reflejan la conciencia del riesgo y los hábitos de precaución que han desarrollado:
María, joven estudiante comparte lo siguiente: “…no tener conocimiento a donde te está llevando, creo que es un poco riesgoso… Yo las [facturas] rompo, en completo las rompo, porque al final toda la información viene ahí… creo que pone en riesgo mi privacidad”.
Por otro lado, Fernando, también estudiante, señala que: “facilita mucho por ejemplo cuando te van a compartir internet o a veces un número o algo… pero más que nada yo siempre lo utilizo así en lugares donde sé para qué es, no cualquier cosa escaneo”.
¿Qué hacer si escaneas un QR sospechoso?
- Desconecta internet de tu dispositivo inmediatamente (modo avión)
- No cierres la página ni la App que se abrió (para análisis posterior)
- No introduzcas más datos, aunque te amenacen con “bloqueo de cuenta”
- Cambia todas tus contraseñas desde otro dispositivo seguro (computadora de confianza)
- Contacta a tu banco para alertar sobre posible fraude y monitorear transacciones
- Revisa Apps instaladas recientemente y desinstala cualquier cosa desconocida
- Verifica tus cuentas de email para ver si tus datos están filtrado
- Formatea tu teléfono si sospechas de malware (respaldando solo datos esenciales)
Los paquetes fantasmas
Mientras el “quishing” opera en espacios públicos, otra variante más insidiosa llega directamente a tu hogar. Se llama “brushing” o estafa de cepillado, y fun- ciona como un juego perverso de ajedrez donde tú eres el peón sin saberlo.
El mecanismo es sencillo en su malicia:
- Un vendedor de productos falsificados o de baja calidad obtiene tu dirección (de filtraciones de datos, de tu basura, o de listas que circulan en foros).
- Crea una cuenta falsa en Amazon, Mercado Libre o similares.
- “Compra” su propio producto y lo envía a tu dirección.
- Escribe una reseña de 5 estrellas a nombre de tu dirección, inflando artificialmente su reputación.
Pero aquí viene el giro moderno: Esos paquetes no solicitados frecuentemente incluyen un código QR adicional que invita a escanear “para verificar autenticidad”, “activar garantía” o “calificar el producto”.
- Premio por caer en la trampa: malware, robo de datos e inicio de un robo de identidad
La basura que habla
Existe un tercer frente, menos tecnológico pero igualmente peligroso: el “trashing” (robo de datos en la basura). Cada caja o sobre de paquetería que tiras sin destruir la etiqueta es un regalo envuelto para los delincuentes. En ella encuentran:
- Tu nombre completo
- Tu dirección exacta
- Tu número de teléfono (a veces)
- Correo electrónico
Lo que hacen con esa información:
- Verifican direcciones activas para enviar paquetes de brushing
- Inician procesos de suplantación de identidad
- Realizan estafas telefónicas más personalizadas
Lo novedoso es que muchas de estas etiquetas de paquetería ahora incluyen códigos QR de seguimiento. Un delincuente no solo obtiene tus datos, sino que puede escanear ese código para conocer el historial completo del envío, incluyendo fechas, horarios, y hasta la firma de quien lo recibió.
¿Qué pasa cuando escaneas el código equivocado?
La magia negra de estos ataques reside en su simplicidad. Un código QR es esencialmente un enlace físico, un atajo que lleva a una URL. El problema es que no puedes ver a dónde va hasta que ya llegaste.
Tres niveles de ataque:
NIVEL 1: EL PHISHING DIRECTO El código lleva a una página que imita perfectamente tu banco, Amazon, PayPal, o cualquier servicio que uses. Te pide “actualizar datos”, “verificar identidad” o “solucionar un problema”. Cada campo que completas es un dato que entregas voluntariamente.
NIVEL 2: LA DESCARGA ENMASCARADA El QR inicia la descarga de un archivo APK (en Android) o un perfil de configuración (en iOS). Parece inofensivo: “Actualización de Adobe Flash” o “Reproductor de video necesario”. Una vez instalado, el malware puede: •Leer tus SMS (incluyendo códigos de verificación bancaria) •Grabar tus pulsaciones de teclado •Acceder a tus contactos •Activar micrófono y cámara.
NIVEL 3: EL SECUESTRO DE SESIÓN El código QR lleva a una página que automáticamente inicia sesión en tu WhatsApp Web, Telegram, o incluso correo electrónico, vinculando tu cuenta a un dispositivo controlado por el atacante. En segundos, tienen acceso a todas tus conversaciones y pueden suplantarte para pedir dinero a tus contactos.
Señales de un QR sospechoso
De peligro inmediato:
- El QR está pegado encima de otra superficie.
- Los bordes están despegados o mal cortados.
- La URL previa (que algunos teléfonos muestran antes de abrir) contiene errores ortográficos o dominios extraños (ej: “amaz0n-offers.com” en lugar de “amazon.com”).
- Te pide permisos excesivos (acceso a contactos, ubicación, archivos) para una acción simple.
Durante la navegación:
- La página no tiene candado de seguridad en el navegador.
- Te pide datos bancarios para acceder a contenido gratuito.
- Solicita instalar Apps de tiendas no oficiales.
- Los logos están pixelados o desalineados (señal de copia rápida)
Después del escaneo:
- Tu teléfono se pone lento.
- Aparecen Apps que no instalaste.
- La batería se agota más rápido de lo normal.
- Ves anuncios invasivos incluso fuera del navegador.
Las plataformas como Amazon, Mercado Libre, y las grandes cadenas de restaurantes están implementando medidas. Amazon sanciona a miles de vendedores fraudulentos anualmente. Las policías cibernéticas desarticulan redes cada mes. Pero el eslabón más débil sigue siendo el mismo: el ser humano que, por curiosidad, prisa o confianza excesiva, escanea sin pensar.
