O código QR converteuse no tecido conxunto das nosas cidades intelixentes. Xa sexa para consultar o menú dun bistró, pagar o aparcadoiro ou acceder a un servizo público, este pequeno cadrado de píxeles en branco e negro ofrece unha comodidade sen igual. Con todo, esta simplicidade agocha unha gran vulnerabilidade: o “quishing”. Código QR a trampa invisible das nosas beirarrúas
Como expertos, observamos unha paradoxa fascinante. Mentres que os usuarios de internet desenvolveron unha desconfianza reflexiva cara aos correos electrónicos sospeitosos, esta vixilancia esváese en canto unha ligazón toma forma física nun soporte tanxible. Un quiosco de aceiro ou un sobre de cartón inspiran unha confianza que a comunicación dixital por si soa xa non posúe. É precisamente esta vulnerabilidade da enxeñaría social a que os ciberdelincuentes están a explotar agora.
“Quishing”: Cando o mundo físico desarma a túa vixilancia
A suplantación de identidade mediante códigos QR (unha combinación de código QR e phishing) despraza o campo de batalla da túa caixa de entrada á esfera pública. O perigo reside na opacidade do medio: a diferenza dunha hiperligazón sobre a que se pode pasar o cursor para inspeccionar o contido, a información contida nun código QR permanece ilexible a simple vista antes de escanealo.
Esta transición do dixital ao físico é formidable porque neutraliza os nosos sesgos cognitivos protectores.
“O noso cerebro baixa a garda por completo… Por exemplo, se estás diante dun parquímetro metálico instalado pola cidade, instintivamente pensarás que é oficial, que é seguro.”
Esta confianza instintiva amplifícase polo que chamamos sobrecarga cognitiva ligada á urxencia. Xa sexa fame mirando o menú dun restaurante ou o estrés de perder unha cita mentres intenta pagar o aparcamento, o usuario prioriza a velocidade sobre a seguridade. Nestes momentos de vulnerabilidade, analizar a estrutura da URL convértese nun luxo mental que poucos poden permitirse.
A mecánica da dobre acción: o ataque físico de “home no medio”
A sofisticación técnica destas estafas é particularmente cruel. O estafador non se limita a redirixirte a unha páxina de erro despois de roubar os teus datos; senón que configura un sistema de redirección verdadeiramente fluido.
Cando un usuario escanea o código malicioso, chega a unha copia visualmente perfecta do sitio web obxectivo. Cando introduce os seus datos bancarios, o pirata informático actúa como un “intermediario”: intercepta os datos na súa propia base de datos mentres os transmite simultaneamente ao servizo de pagamento lexítimo. O resultado? A transacción valídase, emítese a multa de estacionamento e a vítima marcha co que viña a buscar. Só unhas semanas despois, ao comprobar os seus extractos, descobren a magnitude do roubo.
Ten en conta que estas prácticas non son meras “bromas”. O sistema xudicial francés está a tratar estes casos con cada vez maior severidade: os autores arriscanse a ata 5 anos de prisión e unha multa de 375.000 €.
A estafa das multas de tráfico falsas: o estrés como palanca de conversión
En París, unha variante particularmente insidiosa ten como obxectivo os condutores mediante multas de tráfico falsas (PV) colocadas nos parabrisas. Estes documentos imitan á perfección os deseños administrativos oficiais: o logotipo da República Francesa, a tipografía oficial e os códigos de cores institucionais.
O truco baséase nun incentivo financeiro inmediato. O documento ofrece pagar unha multa reducida de 35 € mediante un código QR, mentres ameaza cunha sanción que aumentará a 135 € en 48 horas. Baixo esta presión, o pensamento crítico desaparece. Con todo, o goberno francés advertiu oficialmente sobre esta fraude nas súas plataformas de prevención: en realidade, as multas de tráfico chegan exclusivamente por correo e nunca inclúen un código QR para o pago directamente no parabrisas.
O cabalo de Troia postal: a ausencia dun cortafuegos físico
Unha das estratexias máis audaces consiste en atacar directamente o teu buzón. Os estafadores envían cartas que se fan pasar pola AP-HP (Asistencia Pública – Hôpitaux de París) para esixir o pago por supostas consultas non remuneradas, a miúdo arredor de 25 €.
A eficacia deste método baséase en detalles de credibilidade física:
- Soporte Premium: Uso de cartolina de alta calidade.
- Elementos gráficos: Presenza dun “selo PHP” e logotipos oficiais.
- Sen filtro: Este é o punto crítico. Mentres que os teus correos electrónicos pasan por filtros de spam e un software antivirus eficaz, o teu buzón físico non ten cortafuegos. O correo en papel benefíciase dunha autoridade “histórica” que desactiva a análise de URL, xa que o URL adoita estar ofuscado ou moi diferente dos dominios oficiais.
Restaurantes e servizos urbanos: o risco do “código estático”
En restaurantes ou en servizos móbiles como PayByPhone, o código QR adoita ser só unha simple pegatina. É trivial para un atacante superpoñer a súa propia pegatina fraudulenta sobre a lexítima.
O exemplo da aplicación Twint en Suíza é un caso práctico importante: un estudante alí malversou decenas de miles de francos suízos simplemente substituíndo os códigos QR das caixas rexistradoras dunha cafetería polos seus propios.
Máis alá do voo directo, existe o risco de persistencia da sesión. O código QR dunha mesa de restaurante é estático; non cambia despois de marchar. Un atacante remoto que posúa o URL pode potencialmente supervisar os pedidos en curso nesa mesa ou interceptar pagamentos de clientes posteriores, convertendo un simple adhesivo nunha xanela para ver as transaccións do establecemento.
Conclusión: Un protocolo de seguridade para espazos urbanos
Ante a invisibilidade da “quishing”, debemos adoptar unha nova hixiene dixital urbana. Para recuperar o control, apliquemos este protocolo de verificación sistemática:
- Inspección física: Antes de escanear, pasa o dedo pola superficie. Se notas algunha zona elevada, o bordo dunha etiqueta ou unha etiqueta que se está a despegar, non uses o código.
- Análise do dominio: Unha vez aberto o sitio, examina o dominio de nivel superior. Se o URL parece “estraño” ou non se corresponde co sitio oficial (por exemplo, unha cadea de caracteres incoherentes en lugar de paybyphone.fr), detente inmediatamente.
- Preferencia de software: Prioriza sempre o uso de aplicacións oficiais descargadas de tendas (App Store, Google Play) en lugar de recorrer a través dun navegador mediante un código QR público.
Os espazos públicos xa non son santuarios alleos á ciberdelincuencia. Aínda que os códigos QR son unha marabilla de comodidade, tamén son o principal vector de ataques físicos a grande escala. A cuestión xa non é se a tecnoloxía é fiable, senón se estamos dispostos a renunciar á nosa vixilancia por un fugaz momento de comodidade. Seguirás escaneando o seguinte código que atopes sen dubidalo un intre?
