Els fraus amb codis QR falsos en espais públics estan guanyant terreny i obren una nova via per al robatori de dades bancàries, credencials d'accés i la instal·lació de fitxers maliciosos en telèfons mòbils. Aquesta tècnica, coneguda en l'àmbit de la ciberseguretat com a quishing, es basa a substituir un codi legítim per un altre manipulat que redirigeix a una web fraudulenta.
La mecànica és simple i difícil de detectar a primera vista. Els estafadors col·loquen etiquetes adhesives sobre codis reals en punts d'ús habitual i aconsegueixen que la víctima cregui que està entrant en una plataforma oficial de pagament o de servei. En realitat, acaba lliurant les seves dades a atacants o iniciant la descàrrega de contingut infectat.
Parquímetres, menús i punts de càrrega entre els suports més exposats
Entre els llocs on s'està detectant aquesta pràctica figuren parquímetres, menús digitals de restaurants i tòtems de càrrega. Són entorns d'alta circulació, amb usuaris que actuen amb pressa i que moltes vegades escanegen sense revisar el suport físic ni comprovar el destí real de l'enllaç.
Aquest és un dels principals problemes. A diferència d'un enllaç de text, el codi QR no mostra de manera visible a quina adreça porta abans d'obrir-lo. Aquesta opacitat facilita l'engany i dona marge als delinqüents per camuflar pàgines de pesca de dades o de suplantació d'identitat.
A més, els atacants recorren a enllaços escurçats per ocultar adreces sospitoses. Aquest sistema no només dificulta que l'usuari identifiqui una URL anòmala, també complica la resposta d'alguns filtres automàtics de seguretat dissenyats per bloquejar pàgines associades al robatori d'identitat.
Risc per a comptes bancaris, mòbils i també entorns de treball
L'impacte no es limita al buidatge de comptes o a l'ús indegut de targetes. Després d'escanejar un QR manipulat, l'usuari pot ser induït a introduir credencials bancàries o a descarregar fitxers amb virus. En escenaris més greus, l'obertura del lloc fraudulent pot activar una descàrrega silenciosa de programari maliciós capaç de seguir l'activitat del dispositiu de forma remota.
L'abast del problema va més enllà de l'àmbit financer. Un mòbil pot acabar concedint permisos d'accés a la càmera, al micròfon o a la llista de contactes després d'interactuar amb una pàgina maliciosa. Això converteix el frau en una porta d'entrada tant per a dispositius personals com per a xarxes corporatives si el terminal afectat està vinculat a l'entorn de treball.
Com detectar una manipulació abans d'escanejar
La primera mesura de precaució passa per inspeccionar físicament el codi abans d'usar-lo. Una etiqueta superposada sobre una altra, una impressió de baixa qualitat o un adhesiu mal col·locat són senyals d'alerta que poden indicar una manipulació.
També convé utilitzar l'aplicació de càmera nativa del telèfon, ja que en molts casos ofereix una vista prèvia de l'enllaç abans d'obrir el navegador. Aquest pas permet revisar l'adreça i frenar l'acció si el domini resulta estrany o no coincideix amb el servei esperat.
La recomanació és clara. No fer pagaments ni introduir dades sensibles a través de codis QR situats en llocs públics molt transitats i sense supervisió. Si hi ha dubtes sobre l'autenticitat, el més prudent és escriure manualment al navegador l'adreça oficial de l'empresa o del servei.
Un altre indici rellevant és la sol·licitud immediata de credencials o contrasenyes després de l'escaneig. Les empreses legítimes poques vegades demanen aquest tipus d'informació de manera directa tot just accedir mitjançant un QR, per la qual cosa aquesta petició ha de fer saltar les alarmes.
Més controls tecnològics i protecció física
Les plataformes de seguretat comencen a incorporar escàners de QR capaços d'analitzar en temps real la reputació del lloc de destinació. És una capa addicional de defensa, tot i que no substitueix la verificació visual ni la cautela de l'usuari.
En paral·lel, entitats financeres i establiments comercials estan sent orientats a implantar codis amb sistemes extra de verificació o cobertes protectores que dificultin la manipulació física. La clau continua sent combinar mesures tècniques amb prevenció bàsica, perquè en un gest tan quotidià com escanejar per pagar o consultar un menú pot amagar-se una estafa difícil de detectar si no es revisa abans l'entorn i l'enllaç al qual condueix.