En las últimas horas, se ha viralizado un mensaje de WhatsApp que alerta sobre un método fraudulento que vincula falsas multas con un código QR. Esta modalidad, que está presente en algunos países como España o Argentina, consiste en un papel que los estafadores dejan en los vehículos estacionados, ya sean autos o camionetas, con el mensaje: “Vehículo en infracción”. Sin embargo, todo esto es una farsa.
El aviso señala: “Usted se estacionó mal. Para ver su multa, escanee el código QR”. Usuarios en redes sociales han advertido que este mensaje es falso y se utiliza para hackear los teléfonos móviles. En estos casos, lo que suele ocurrir es que los delincuentes virtuales se hacen pasar por el propietario del celular y solicitan dinero a través de transferencias a sus contactos.
Además, al escanear el código QR, las víctimas también pueden ser redirigidas a una página web que aparenta ser legítima. En ese sitio, se les solicita ingresar datos personales y bancarios, lo que permite a los estafadores utilizarlos para realizar transacciones no autorizadas, suplantar identidades o llevar a cabo otros fraudes.
Aunque aún no se han presentado denuncias formales en el Perú, expertos en ciberseguridad advierten que estas prácticas ya han sido denunciadas en España y Argentina, donde varios usuarios han sido víctimas de los estafadores. En estos países, las autoridades recomendaron a la población no escanear códigos QR de origen sospechoso y, en caso de encontrar estos carteles, denunciarlos de inmediato a las fuerzas de seguridad.
En el país existe una práctica similar: la de los delincuentes que cambian el código QR de pago de las bodegas o tiendas, sustituyéndolo por uno vinculado a un Yape de otro, con el fin de beneficiarse ilícitamente.
Esta modalidad de estafa se conoce como quishing, o phishing a través de códigos QR. Es un ataque cibernético en el que los atacantes engañan a las personas para que escaneen un código QR falso con su dispositivo. El código QR redirige al usuario a un sitio web malicioso, que puede solicitar información confidencial o descargar malware en el dispositivo.
El quishing se diferencia del phishing tradicional en que, en lugar de utilizar un enlace de texto, se emplea un código QR. Los códigos QR pueden distribuirse en varios formatos, como correos electrónicos, redes sociales, volantes o, como en este caso, en objetos físicos.
Recomendaciones
En una entrevista con El Comercio, el experto en ciberseguridad Gustavo Vallejo explicó cómo la popularización de los códigos QR está facilitando nuevas modalidades de estafa en Perú. Según Vallejo, este tipo de fraude ha ido en aumento debido al uso extendido de los códigos QR por parte de los ciudadanos, que los emplean tanto por necesidad, como en los casos de pagos móviles como Yape y Plin, como por curiosidad, al ingresar en anuncios llamativos. “Este fenómeno está creciendo poco a poco en Perú, por lo que debemos estar alertas”, advirtió.
Vallejo destacó que, debido a la confianza generalizada en los códigos QR, muchos usuarios caen en el error de escanearlos sin validar su autenticidad. El experto subrayó que es fundamental verificar siempre si el código redirige a una página web oficial de la entidad correspondiente, ya que “cada vez será más difícil distinguir si es original o falso”. Según el especialista, los delincuentes están aprovechando esta facilidad que ofrecen los códigos QR en el día a día. “Es mejor evitar el uso del código QR y acceder directamente al sitio oficial”, recomendó.
En caso de haber sido víctima de esta modalidad de estafa, Vallejo sugirió acudir a la División de Investigación de Delitos de Alta Tecnología (Divindat) para denunciar el incidente. “Es fundamental denunciar, ya que estos códigos pueden redirigir a páginas fraudulentas y es necesario investigar el origen de los ataques”, explicó.
Necesidad de una respuesta de las autoridades
Por su parte, Percy Castillo, especialista en seguridad ciudadana, señaló la importancia de que las autoridades como el Ministerio del Interior, el Ministerio de Transportes y Comunicaciones y los municipios comiencen a advertir sobre este tipo de fraudes. “Es esencial que haya una etapa de difusión más allá de las redes sociales para que los ciudadanos estén informados”, afirmó Castillo, quien también recalcó que tanto la Policía Nacional como la Fiscalía deben actuar con urgencia para identificar a los responsables de estas redes criminales emergentes.
Castillo recomendó a los ciudadanos no confiar ciegamente en los códigos QR que reciban y, en su lugar, siempre verificar si provienen de un medio oficial. “Es responsabilidad de la municipalidad, por ejemplo, comunicar de manera clara cómo se emiten las multas y qué distintivos deben reconocer los ciudadanos antes de proceder a escanear”, destacó el especialista. Además, recalcó que solo la policía de tránsito y las municipalidades están facultadas para emitir multas de infracción.
El especialista también instó a las autoridades a tomar medidas preventivas ante esta nueva modalidad de estafa. “Si los ciberdelincuentes adoptan un nuevo método delictivo, es deber de la autoridad informar y educar a la ciudadanía sobre cómo funciona esta modalidad y qué señales identificar para evitar caer en un fraude”, dijo Castillo.
¿Cómo encontrar a los ciberdelincuentes?
En una entrevista con El Comercio, el abogado especializado en derecho digital y nuevas tecnologías Erick Iriarte dijo que esta modalidad no es reciente, sino que ya se ha registrado en países como España. Según Iriarte, la estrategia de los delincuentes es muy efectiva, ya que logran explotar la preocupación de los ciudadanos cuando se encuentran con un cartel que indica que han sido multados. “La gente, al ver este mensaje, se siente preocupada y, en su desesperación, entra al código QR”, explicó el abogado. Esta técnica busca engañar al usuario, haciéndole creer que está interactuando con una plataforma legítima.
“Cuando un usuario escanea el código QR, no está siendo dirigido a la dirección final, sino a una URL acortada, lo que permite a los delincuentes manipular los dominios para que el sitio web luzca auténtico”, detalló. De esta manera, la persona engañada cree que está ingresando a una página oficial de la autoridad competente, lo que aumenta las probabilidades de caer en la estafa.
Iriarte explicó que muchas veces es complicado identificar a los responsables de instalar los códigos QR fraudulentos. “No siempre sabemos quién está detrás de la instalación del QR, ya que los delincuentes dejan pocos rastros visibles”, comentó. Sin embargo, señaló que, aunque no es una tarea fácil, sí es posible rastrear a los culpables, ya que suelen dejar huellas, como el registro de dominios a nombre de usuarios. A pesar de ello, Iriarte enfatizó que este proceso de rastreo es laborioso.
En este sentido, el abogado resaltó la importancia de los acuerdos internacionales en materia de cibercriminalidad. “Es fundamental que Perú siga formando convenios y acuerdos con otros países para mejorar la cooperación transnacional en la lucha contra este tipo de delitos”, indicó. Iriarte también mencionó que, debido a la naturaleza global de los fraudes en línea, muchos de estos casos son transfronterizos y requieren un esfuerzo conjunto para ser resueltos de manera efectiva.
“Si te encuentras con un aviso de multa y no recuerdas haber estacionado mal, deberías sospechar”, advirtió. El abogado instó a la población a no dejarse engañar por mensajes alarmantes o por la apariencia de los códigos QR, y subrayó la importancia de crear una cultura de ciberseguridad. “Los ciudadanos deben tomar medidas para protegerse, investigar las fuentes y ser más conscientes de los riesgos que existen en línea”, concluyó.