Expertos en ciberseguridad advierten sobre nueva modalidad de estafa a través de Códigos QR: "Está creciendo por las billeteras digitales"

El pago a través de códigos QR es hoy una de las formas más usadas para realizar pagos en Perú tras la creciente influencia de aplicaciones como Yape o Plin, que facilitan las transacciones del día a día. Sin embargo, las billeteras digitales afrontan graves retos, especialmente por una nueva modalidad de estafa que afecta a millones de usuarios en el mundo y está creciendo con rapidez en el país: el ‘QRishing’.  

Desde 2022, el uso de códigos QR ha experimentado un aumento significativo debido a la necesidad de alternativas al dinero en efectivo durante la pandemia de Covid-19. Según QR Tiger, ese año se registraron unos 26.95 millones de escaneos, lo que representa un aumento del 433% respecto al 2021. Este crecimiento ha abierto un nuevo espacio para la delincuencia digital. Durante la Cyber Security Week 2024, Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina de Kaspersky, reveló que en la región se registraron más de 697 millones de ataques, lo que equivale a casi 2 millones de ataques diarios, es decir, 1326 por minuto. La situación en Perú no es muy diferente.

PUEDES VER: Suplantan identidad de estudiante peruano para estafar en Marketplace y roban más de S/20.000: "Me han demandado"

¿Qué es el ‘QRishing’?

En 2024, en Perú se registraron alrededor de 91 millones de ataques de phishing, representando un 360% más respecto al año anterior; en otras palabras, 173 por minuto. Según Julio Núñez Ponce, doctor en Derecho y experto en Derecho y Tecnología, el ‘QRishing’ es una subespecie del phishing, que aprovecha las características técnicas de los códigos QR para la suplantación de interfaces y manipulación del funcionamiento del sistema informático para cometer delitos.

Roger Menéndez, experto en Ciberseguridad, aclaró que a diferencia del phishing, que usa como medio de estafa el correo electrónico, para dirigir a las víctimas a sitios fraudulentos donde les pide que llenen información o descarguen programas maliciosos, el ‘QRishing’ usa códigos QR para acceder al dispositivo del usuario.

“Los ciberdelincuentes crean códigos QR falsos que, al ser escaneados, redirigen a páginas web fraudulentas que imitan sitios legítimos, como bancos o tiendas online”, indicó Núñez para La República y agregó que esta modalidad de fraude informático está creciendo con rapidez en los últimos años en el Perú debido al crecimiento del uso de las billeteras digitales y a los pagos por Yape o Plin, que utilizan códigos QR que pueden ser alterados con facilidad.

Menéndez detalló que los estafadores usan stickers o banners que pegan en lugares de alto tránsito como paraderos, centros comerciales e incluso dentro de establecimientos, cerca de bancos o entidades financieras. En internet, los delincuentes operan a través de plataformas como WhatsApp, donde difunden los códigos QR. “No basta con que solamente lo coloquen en la calle, sino lo van a complementar con algún engaño como decir que participes de algún sorteo, que descargues una información, que llenes tus datos para algún sorteo (…). Van a copiar logos de bancos, de marcas conocidas, usar diseños idénticos, dominios parecidos. El enlace al cual te va a llevar ese código QR va a ser el más realista posible", agregó.

¿Qué penas pueden afrontar quienes cometen el delito de ‘QRishing’?

El artículo 8 de la Ley de Delitos Informáticos 30096 establece que quienes, de manera deliberada e ilegítima, procuren un provecho ilícito en perjuicio de un tercero mediante diversas acciones como diseño, introducción, alteración, borrado o manipulación de datos informáticos, entre otros, pueden enfrentarse a una pena privativa de libertad de entre cuatro y ocho años, con una multa de 60 a 120 días.

“También se aplica el Convenio de Ciberdelincuencia y su investigación está a cargo de la Divindat (División de Investigación de Delitos de Alta Tecnología) y la Fiscalía de Delitos informáticos”, agregó Núñez.

¿Qué señales debo identificar antes de escanear un código QR para evitar ser estafado?

Núñez, quien también es vicepresidente de la Federación Iberoamericana de Asociaciones de Derecho e Informática (FIADI), destacó que las medidas de ciberseguridad, como el uso de páginas seguras y certificados de autenticidad, son fundamentales para prevenir riesgos en el ámbito digital. Además, advirtió que, en el caso de los pagos presenciales mediante códigos QR, estos deberían contar con mecanismos de seguridad y autenticidad respaldados por el establecimiento o comercio que los ofrece, una práctica que actualmente no es común.

Asimismo, detalló que, para proteger a los usuarios frente al ‘QRishing’, las empresas, bancos o administraciones públicas deben tomar medidas de seguridad tanto en los espacios presenciales como en internet:

“En el ámbito digital, las medidas y protocolos de seguridad y autenticidad, así como las políticas de protección de datos y prevención de la suplantación de identidad son aplicables. En el lado presencial, las impresiones deben tener mecanismos de seguridad y de verificación periódica de autenticidad del QR que se ofrece y del contenido de la información. En el documento de seguridad que se exige en el marco de la Ley de Protección de Datos Personales puede incluirse disposiciones al respecto”, refirió.  

Por su parte, Menéndez recomendó verificar si el código QR se ha publicado por la entidad original, a través de la página oficial de la institución o sus redes sociales, de manera digital. De forma física, el especialista señaló que observaría si el QR se encuentra dentro de las instalaciones de la entidad. "Hace unos pocos meses hubo un caso en Argentina y otros países, donde comenzaron a pegar códigos QR en estacionamientos y paraderos donde había autos estacionados y les indicaban que era del control de tránsito, que habían generado una multa y debían entrar al código QR para ver más información. El QR los llevaba a un sitio fraudulento”, sentenció.