La Policía alerta de una estafa con las tarjetas de 'El juego del calamar'

La inventiva de los ciberdelincuentes no conoce límites. Aprovechando el tirón de 'El juego del calamar' (serie que supera los 111 millones de espectadores en todo el mundo), han comenzado a repartirse por las grandes urbes misteriosas tarjetas inspiradas en la producción surcoreana.

El objetivo de los malhechores, una vez captada la atención de las víctimas, es que éstos abran la cámara de sus teléfonos móviles y escaneen el código de marras. Craso error. Podría tratarse del enlace encubierto a una página web maliciosa, desde la que los atacantes tomen el control de nuestro dispositivo para sustraer información sensible o, directamente, nos vacíen la cuenta bancaria.

Así lo ha reportado la Policía a través de su perfil en Twitter: «Si escaneamos un código y no sabemos si es de confianza puede llevarnos a sitios infecciosos y poner en peligro nuestros dispositivos. Desconfía si aparecen en solitario y colgados en sitios públicos».

El Instituto Nacional de Ciberseguridad (INCIBE) ha hecho especial hincapié en los riesgos aparejados a los códigos QR dispuestos en espacios públicos. Identifica tres tipos de amenazas principales: el 'qrishing' es una variante del cacareado 'phishing', donde el código de turno dirige a una web que suplanta a la de una empresa o institución con el único propósito de que introduzcamos nuestros datos personales (nombre de usuario, contraseña...).

Por su parte, el 'Qrljacking' es un tipo de ataque basado en el secuestro de nuestra cuenta de usuario en aquellos servicios que permitan iniciar sesión a través del escaneo de códigos QR: «Los delincuentes tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original. Al hacerlo, acceden de forma encubierta a la información contenida dentro de la cuenta», lo que pudo verse hace un tiempo en el servicio WhatsApp Web.

Finalmente, los códigos QR pueden enlazar a webs diseñadas para la descarga automática de aplicaciones maliciosas ('malware'): «Este tipo de software puede realizar múltiples acciones maliciosas, como filtrar información confidencial, suscribirse a servicios premium, obtener acceso a diferentes elementos del dispositivo (micrófono, cámara…), acceder a los datos del navegador o enviar correos electrónicos». Todo lo anterior de forma silenciosa; sin que seamos conscientes por acontecer en segundo plano.

La recomendación primera pasa por utilizar el sentido común: nunca se ha de escanear un código sito en lugares públicos sin mayores indicaciones. De hecho, aún cuando nos encontremos sentados a la mesa de un restaurante o en la parada de un autobús, no está de más comprobar que los respectivos códigos QR no han sido manipulados (algunos atacantes pegan sus propios códigos encima).

Por su parte, el INCIBE ofrece estos consejos:

■ Comprobar que el código QR redirige a la página indicada: «Para ello usaremos apps de lectura que permitan consultar la URL antes de abrirla».

■ Deshabilitar la apertura automática de enlaces al escanear un código QR: «De esta manera se podrá comprobar la dirección a la que enlaza el código. Solo se abrirá en el caso de que demos permiso para acceder».

■ Chequear que la URL es de un sitio confiable y coincide con la que se indica en la carta, tríptico o anuncio.

También es importante no publicar en internet «los códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas», lo que facilitará su manipulación a los ciberdelincuentes.

Temas

• Netflix
• Ciberseguridad