Por Manuel Filomeno
Los códigos QR (Quick Response) se han convertido en los últimos años en una parte importante de la economía en el país. A través de ellos se realizan millones de transacciones anualmente y, poco a poco, están reemplazando al dinero en efectivo; sin embargo, este método de pago tiene vulnerabilidades que están siendo explotadas por ciberdelincuentes y estafadores para robar dinero e información a través del “quishing”, una técnica que ha cobrado relevancia en los últimos meses.
De acuerdo a un reporte de la Asociación de Bancos Privados de Bolivia (ASOBAN), en 2023 se registraron transacciones electrónicas por 500 millones de bolivianos, de las cuales el 80% fueron vía QR.
“Las personas que utilizan este medio de pago deben estar atentas a posibles estafas, mediante la manipulación, el uso de códigos modificados o inversos”, explica Henry Vargas Grillo, docente de la carrera de Ingeniería de Sistemas de la Universidad Franz Tamayo, Unifranz.
El quishing (de las palabras QR y phishing) consiste en el robo de información bancaria sensible, la cual puede ser utilizada posteriormente para realizar estafas o sustraer sumas de dinero.
Esta técnica consiste en la manipulación de códigos QR con la finalidad de engañar a las víctimas mediante la suplantación de páginas webs o aplicaciones a las que se accede al escanear el código QR el cual tiene asignado un link fraudulento utilizado con la finalidad de obtener información privada de las víctimas.
De este modo, al escanear un código QR fraudulento, se redirige al usuario a una página web que suplanta a la web auténtica, pero que a simple vista no es detectable ya que tiene la misma apariencia que la original. Por tanto, si el usuario no verifica la URL de la página web y cree que está en el sitio web correcto, puede proporcionar datos personales los cuales podrían ser utilizados de forma maliciosa por el ciberdelincuente.
A través de esta modalidad, los ciberdelincuentes pueden utilizar códigos QR manipulados para robar información o tomar el control de los dispositivos que los escanean.
“Existen aplicativos y herramientas que los ciberdelincuentes pueden utilizar para generar códigos o páginas fraudulentas que simulan ser legítimas y que pueden instalar malware en los dispositivos, ya sea para robar información o para tomar el control, haciendo que las aplicaciones de los bancos u otras sean vulnerables”, expresa el Vargas.
Mario Duran, experto en seguridad en RRSS indica que, actualmente se registra, a través del monitoreo de medios y redes sociales, aproximadamente una denuncia relacionada con el uso de códigos QR cada tres días y que al realizar una transacción por QR se entregan, al menos, tres datos importantes, el nombre de la persona que solicita o realiza el pago, el número de cuenta y el nombre del banco.
“Cuando una persona publica su QR le estamos dando cierta información a la persona que recibe ese código, el banco, el número de cuenta y el nombre del titular, si a eso hacemos un rastreo de qué otros datos hay, se puede obtener el carnet de identidad, la fecha de nacimiento y eso implica un riesgo, porque al momento de querer bloquear la tarjeta de débito o las transacciones bancarias lo que piden los bancos es comprobación y a través de los QR los delincuentes tienen el nombre y la fecha de nacimiento y la persona, valiéndose de subterfugios accede a los datos de tu cuenta, entonces puede autorizar transacciones. Hay que tener mucho cuidado al momento de compartir un código QR”, apunta Durán.
Ante esto, Vargas señala que la población siempre debe estar atenta a los pagos que realiza y tomar ciertas precauciones.
“Es importante que las personas que utilizan estos códigos verifiquen siempre la fuente de los códigos antes de escanearlos. Escanee únicamente códigos de fuentes de confianza o de comercios de pago verificados, además es imperativo que, antes de escanear el código QR, se compruebe si hay signos evidentes de manipulación, como pegatinas despegadas o desalineadas”, explica.
Durán, por su parte, agrega que otra capa de protección es siempre verificar las transacciones en las aplicaciones del banco y no fiarse de capturas o fotografías de comprobantes.
De la misma manera, recomienda a la población contar con dos cuentas bancarias, una principal y otra destinada a hacer pagos.
“Lo que se sugiere es tener dos cuentas una principal donde esté el dinero, a la que solo podamos acceder nosotros y la usemos como principal y otra cuenta secundaria a través de la cual podamos recibir y hacer pagos, de esta manera protegemos la cuenta principal. Todos tenemos que cuidar nuestra billetera, con las cuentas digitales tenemos que tener el mismo cuidado, la clave y la contraseña no la tenemos que anotar en ningún lado, sino que tiene que estar resguardada en nuestra memoria”, agrega.
Otras estafas
Además del quishing, Durán advierte de otro tipo de estafas que involucra el uso de códigos QR, como la manipulación de comprobantes y de códigos.
En el primer caso, el modus operandi es el siguiente, una persona realiza una compra en un negocio para obtener datos de la plataforma de pagos QR que utiliza, una vez hecho esto, puede fraguar comprobantes de pago y estafar a los vendedores.
“El tema aquí es que muchas veces los bancos toman tiempo en comprobar los pagos y esto es aprovechado para mostrar capturas fraguadas que comprueban un pago que no se ha hecho”, expresa.
En el segundo caso, los malhechores cambian los códigos QR de los negocios, reemplazandolos por los suyos propios, en este caso todos los pagos realizados a este negocio van a la cuenta del delincuente.
“Esto se ha visto en el caso de taxis, que normalmente tienen el letrero con el código a sus espaldas, estafadores pegan otros códigos sin el conocimiento del taxista y los pagos que se realizan van a parar a otras cuentas”, acota.
Durán opina que el aumento en la popularidad del uso del QR, si bien es beneficioso para la sociedad, puede tener algunos riesgos que es bueno abordar.
“La sociedad boliviana está utilizando con mayor frecuencia los QR para realizar desde pagos complejos, como servicios, hasta los sencillos en el mercado. Las caseras ya tienen su letrero para aceptar pagos por QR. Estas compras y ventas también han dado pie a estafas digitales de diferentes tipos, desde aquellas que involucran pagos simbólicos para separar productos hasta el robo de información sensible”, concluye el experto.