El acto de recoger una carta del buzón es tan inofensivo como peligroso. Todo porque los delincuentes aprovechan cualquier circunstancia para intentar engañar y sacar provecho de aquellos que no desconfían de lo que se encuentran en el correo. Por ejemplo, un sobre en el que hay un simple código QR que promete hacerle la vida mucho más fácil. La persona lo escanea sin pensar que detrás puede estar un troyano, Coper, que se instala en el teléfono móvil y lo que hace es vaciar su saldo en un abrir y cerrar de ojos. Es lo que se conoce como la estafa del cartero, detectada por el Centro Nacional Suizo de Seguridad Cibernética (NCSC).
No sólo se ha dado en Suiza, también se conocen casos en otros países como Italia. En esta pesadilla bancaria, los delincuentes incluso copian los QR de las entidades bancarias, por lo que todo parece oficial. Todo esto hace que haya que estar muy atentos, porque cada vez se dan más casos de este tipo de engaño.
Así se da la estafa del cartero
La persona recibe una carta que a todas luces parece legítima, con un código QR estampado en grande: podría ser una factura, un supuesto aviso bancario o, como ha ocurrido en Italia, una pegatina colocada en el parquímetro para pagar el estacionamiento. En el momento en el que se escanea el código QR, el teléfono descarga sin permiso un malware llamado Coper. El troyano intercepta SMS y roba credenciales bancarias, de modo que los ladrones accede a la cuenta corriente y la deja a cero mucho antes de que el propietario de la misma, y del teléfono, se dé cuenta.
A esto hay que añadir que desde las entidades bancarias han detectado clones de sus propios QR en páginas oficiales. El cliente cree que está iniciando una sesión segura, pero realmente está regalando su PIN. La clave de todo, el QR que funciona como el viejo código de barras. Una vez escaneado puede redirigirte a webs trampa o descargar aplicaciones infectadas, sin levantar sospechas.
Los QR, un gancho perfecto para los ciberdelincuentes
En los años previos a la pandemia, el QR era algo moderno a nivel tecnológico, pero tras 2020 se convirtió en algo habitual para todos: se utilizaba en restaurantes, billetes, recibos y cualquier otra acción. Se normalizó tanto que creó confianza ciega en la ciudadanía. Esto, unido a que son fáciles de falsificar y difíciles de comprobar a simple vista, hacen que no sea necesario ser un experto hacker para engañar: basta con imprimir una pegatina y colocarla sobre el QR de verdad. El usuario común no distingue el original del pirateado, sobre todo si el contexto parece legítimo como el buzón de casa o la máquina de tickets del aparcamiento.
Pasos seguros ante un QR
Antes de acercar la cámara y poner en juego los ahorros bancarios o la privacidad, es necesario seguir una serie de pautas:
- Comprobar siempre la fuente. Si viene de un sobre sospechoso o pegado sobre otro QR hay que desconfiar y no hay que escanearlo.
- Usar una aplicación de seguridad que analice el enlace antes de abrirlo.
- No compartir códigos de verificación ni claves bancarias por mensaje.
- Mantener el móvil actualizado, los parches de seguridad tapan agujeros donde se cuelan estos troyanos.
- Activar la verificación en dos pasos, así un ladrón necesitará algo más que un código QR para conseguir su objetivo.
Aplicar estos cinco pasos puede ahorrar un disgusto tanto a nivel económico y también evitar que accedan a otro tipo de documentos privados.