Por aquí hemos hablado del phishing a través de correos fraudulentos, del envío de facturas falsas, del smishing o del vishing, así que por seguir con los «ings» toca hablar del QRishing, palabro que no tengo ni idea de cómo se pronunciaría y que viene a ser una combinación de QR y phishing.

Los códigos QR (abreviatura del inglés Quick Response, que vendría a ser Respuesta Rápida en castellano) fueron creados por Toyota a mediados de los 90 para gestionar sus inventarios de repuestos y se popularizaron rápidamente en Japón, expandiéndose por Europa durante la primera década de los 2000 y alcanzando su mayor aceptación durante la pandemia de 2020, cuando los locales de hostelería comenzaron a usarlos para enlazar urls con sus cartas al no poder utilizar una carta en papel. Cada vez más en los últimos años se están convirtiendo en una alternativa a los tradicionales códigos de barras, pues permiten almacenar información más compleja.

Su popularización en los últimos tiempos, cuando se han vuelto un recurso casi omnipresente y todos los teléfonos traen ya un lector de QR incorporado, ha llevado a que también se utilicen para el cibercrimen. El QRishing consiste en engañar a la víctima para que lea un código QR creyendo que le llevará a un sitio legítimo y conducirle realmente a uno fraudulento, para allí intentar robar sus credenciales de acceso a algún servicio o incluso colarle un falso pago (fue muy sonado un caso en Texas en el que se usaron códigos QR falsos para engañar a la gente que quería pagar los tickets del parking). Os podría contar un gracioso troleo que realicé sirviéndome de estos códigos el verano pasado (una acción entre activismo, pedagogía y un poco de cabronería también), pero prometí contárselo a un amigo y si lo lee aquí luego perderá su gracia cuando lo hablemos entre birras.

¿Cómo nos protegemos?

Bueno, primero vamos con las medidas técnicas: yo diría que es importante que la aplicación que usemos no abra directamente la URL escaneada en el código sino que, en lugar de eso, nos muestre la dirección a la que va a llevarnos y nos pregunte antes si queremos ir. Un simple gesto que nos hará perder un par de segundos a cambio de ganar mucho en seguridad.

Más allá de tener una app un poco más segura el resto dependerá de nuestro proceder, como en todo lo que podamos considerar fraude o estafa: habría que comprobar que el código viene de una fuente fiable, si nos piden credenciales de acceso ver que la página sea legítima y si tiene sentido que nos lo pidan, si es para realizar un pago habrá que andarse con mi ojos y ver tanto que la plataforma sea legítima como que el receptor del pago sea el correcto y comprobar finalmente en la página de nuestro banco que la transacción haya sido correcta. Si tomamos como ejemplo la estafa de los aparcamientos en Texas, añadiría que también hay que fijarse que el código que vamos a escanear no haya sido manipulado, si hay una pegatina con un código colocada encima de otro es mejor desconfiar y alertar a la entidad o negocio que debería gestionarlo por si fuera un intento de estafa.