En los últimos años, muchos países y regiones de todo el mundo han apostado rápidamente por los coches eléctricos. Solo en 2023 se matricularon unos 14 millones de coches nuevos, un aumento anual del 35% que eleva el total mundial a más de 40 millones. Pero las nuevas tecnologías traen consigo nuevas amenazas. Siempre atentos a nuevas oportunidades de hacer dinero, los grupos delictivos están combinando amenazas físicas y virtuales para robar los datos de pago de los conductores.

Uno de sus últimos trucos, detectado en varios países de Europa, consiste en utilizar técnicas de suplantación de identidad mediante códigos QR, conocidas como "quishing", para espiar o robar datos de pago. De hecho, no es muy diferente de los trucos que utilizan códigos QR falsos en los parquímetros, y los conductores de vehículos eléctricos deben tener cuidado con este tipo de amenaza en las estaciones de recarga.

¿Qué es el quishing y cómo funciona?

El phishing es una de las técnicas más populares y eficaces para que los ciberdelincuentes consigan sus objetivos. Suele ser un precursor de todo tipo de ciberamenazas, que giran en torno al robo de tu información personal e inicios de sesión, o a la instalación encubierta de malware. ¿Por qué funciona tan bien? Porque se basa en nuestra propensión a creer lo que nos dicen personas u organizaciones en posiciones de autoridad.

Existen tantas variantes de phishing que puede resultar difícil para la policía, los equipos de seguridad de las empresas y los organismos gubernamentales mantener al día sus ejercicios de concienciación pública. El quishing es un buen ejemplo. Aunque los códigos QR existen desde los años 90, el quishing como amenaza empezó a aparecer realmente durante la pandemia. Esto se debe a que los códigos QR se convirtieron en una imagen familiar en las calles, como una forma más higiénica de acceder a todo, desde menús hasta formularios médicos.

Los estafadores se pusieron manos a la obra y colocaron códigos QR falsos sobre los auténticos. Cuando se escanean, llevan a las víctimas a un sitio de phishing para recoger sus credenciales/información o descargar malware. Es una táctica especialmente eficaz porque no despierta el mismo nivel de sospecha entre los usuarios que, por ejemplo, las URL de phishing. Además, los dispositivos móviles suelen estar peor protegidos que los portátiles y los ordenadores de sobremesa, por lo que hay más posibilidades de éxito. Un informe de finales del año pasado señalaba un aumento del 51% en los incidentes de quishing en septiembre frente a enero-agosto de 2023.

¿Por qué están en peligro los vehículos eléctricos?

Los delincuentes, siempre llenos de recursos, han encontrado una forma de adaptar la estafa a la nueva moda de los vehículos eléctricos que recorre el mundo. Según informes del Reino Unido, Francia y Alemania, los estafadores están pegando códigos QR maliciosos encima de los legítimos en las estaciones de recarga públicas. El código debe llevar a los usuarios a un sitio web donde pueden pagar la electricidad al operador de la estación (por ejemplo, Ubitricity).

Sin embargo, si escanean el código falso, serán conducidos a un sitio de suplantación de identidad similar que les pedirá que introduzcan sus datos de pago, que serán recopilados por los ciberdelincuentes. Se afirma que el sitio correcto se cargará en el segundo intento, para garantizar que las víctimas puedan finalmente pagar por el cargo. En algunos informes también se afirma que los ciberdelincuentes podrían estar utilizando tecnología de interferencia de señal para impedir que las víctimas utilicen sus aplicaciones de recarga y obligarlas a escanear el código QR malicioso.

Con más de 600.000 puntos de recarga de vehículos eléctricos en Europa, los estafadores tienen muchas oportunidades de pillar desprevenidos a los conductores con este tipo de timos. Se aprovechan del hecho de que muchos propietarios de vehículos eléctricos pueden ser nuevos en la experiencia, y más inclinados a escanear el código en lugar de tratar de descargar la aplicación oficial de carga/pago o llamar a la línea de ayuda. Dado que son varios los proveedores que suministran estas estaciones, los estafadores también pueden intentar aprovecharse del cansancio de los usuarios. Un código QR suele ser una opción más rápida y atractiva que dedicar tiempo a descargar varias aplicaciones de recarga.

Hubo varios casos de estafadores que se dirigen a los conductores mediante códigos QR maliciosos pegados en los parquímetros. En este caso, el conductor desprevenido no sólo puede perder los datos de su tarjeta, sino que también puede recibir una multa del ayuntamiento.

qr code phishing
Advertencia sobre códigos QR falsos en señales de aparcamiento y parquímetros en Southampton, Reino Unido. Los mismos trucos pueden utilizarse en las estaciones de recarga de coches eléctricos. (fuente: página de Facebook del Ayuntamiento de Southampton)

Cómo protegerse del phishing QR

Aunque las estafas actuales parecen limitarse a la recopilación de datos de pago a través de páginas de phishing, no hay ninguna razón por la que no puedan modificar la amenaza para instalar malware que secuestre el dispositivo de la víctima y/o robe otros datos de acceso e información confidencial del mismo. Afortunadamente, hay algunas medidas sencillas que puedes tomar para mitigar el riesgo de quishing mientras estás fuera de casa:

  • Fíjate bien en el código QR. ¿Parece como si estuviera pegado encima de otra cosa, o forma parte del signo original? ¿Es de diferente color o tipo de letra que el resto de la señal, o parece fuera de lugar de alguna otra manera? Pueden ser señales de alarma.
  • Nunca escanees un código QR a menos que aparezca en el propio terminal del parquímetro.
  • Considera la posibilidad de pagar únicamente a través de una llamada telefónica o de la aplicación oficial de recarga del operador correspondiente.
  • Considera desactivar la opción de realizar acciones automáticas al escanear un código QR, como visitar un sitio web o descargar un archivo. Después de escanearlo, mira la URL para comprobar que se trata de un dominio legítimo asociado al servicio, en lugar de una URL sospechosa.
  • ¿El sitio web al que te lleva el código QR contiene errores gramaticales u ortográficos, o hay algo que te parezca extraño? Si es así, puede tratarse de un sitio de phishing.
  • Si algo no te parece correcto, llama directamente al operador del cobro.
  • Muchos parquímetros, por ejemplo, ofrecen múltiples formas de pago, como tarjeta de crédito, pagos NFC o monedas. Si no se siente cómodo escaneando un código QR, considere la posibilidad de utilizar una de estas alternativas para evitar el riesgo de interactuar con un código fraudulento.
  • Si crees que te han estafado, congela tu tarjeta de pago y denuncia el posible fraude a tu banco/proveedor de tarjetas.
  • Compruebe su extracto bancario en busca de transacciones sospechosas, si le preocupa haber sido víctima de quishing.
  • Utilice la autenticación de dos factores (2FA) en todas las cuentas que le ofrezcan una capa adicional de seguridad. Esto ayuda a proteger su cuenta incluso si un estafador consigue redirigirle a un sitio web fraudulento y robar sus credenciales.
  • Asegúrese de que su dispositivo móvil tiene instalado un software de seguridad de un proveedor de confianza.

Las noticias sobre la última campaña de QR quishing no harán sino aumentar las peticiones para que se prohíban los códigos en lugares públicos. Pero mientras tanto, vale la pena ser precavido.