La Secretaría de Seguridad y Protección Ciudadana (SSPC) emitió una alerta nacional ante un creciente esquema de fraude que involucra códigos QR falsos. Esta modalidad delictiva, conocida como “QRishing”, se ha detectado principalmente en Baja California, Jalisco, Nuevo León y Morelos, donde ciberdelincuentes instalan estos códigos en lugares públicos frecuentados por la población.
El QRishing, una variante del phishing, utiliza códigos QR como señuelo para redirigir a las víctimas a sitios web fraudulentos o descargar software malicioso en sus dispositivos. Estas plataformas fraudulentas imitan sitios legítimos, engañando a los usuarios para que ingresen información confidencial como números de tarjetas de crédito, contraseñas o datos bancarios.
El incremento de QRishing enciende las alertas
De acuerdo con la SSPC, los ciberdelincuentes aprovechan la creciente popularidad de los códigos QR como herramienta tecnológica para realizar transacciones, acceder a información o pagar servicios, lo que ha facilitado que los criminales coloquen códigos maliciosos en espacios públicos como paradas de autobuses, restaurantes y tiendas de autoservicio.
Asimismo, el monitoreo realizado por la Dirección General de Gestión de Servicios, Ciberseguridad y Desarrollo Tecnológico de la SSPC reveló un patrón alarmante en la operación de estos fraudes: los códigos QR maliciosos suelen ser colocados encima de los originales o en superficies estratégicas, donde las víctimas los escanean sin sospechar que están siendo dirigidas a portales diseñados para robar su información personal.
“Los códigos QR se han popularizado como una herramienta para acceder de manera rápida a información y servicios digitales; sin embargo, esta misma acción ha llamado la atención de los ciberdelincuentes, quienes han encontrado formas de utilizarlos para robar información sensible de los usuarios”
— Dirección General de Gestión de Servicios, Ciberseguridad y Desarrollo Tecnológico de la SSPC
Las graves implicaciones de escanear códigos QR falsos
Además de los riesgos inmediatos de robo financiero, el QRishing tiene implicaciones más amplias. Los expertos advierten que los dispositivos comprometidos podrían ser utilizados para ataques más sofisticados, como el robo de identidad o la instalación de software espía que vigile las actividades del usuario a largo plazo. Esto convierte al QRishing en una amenaza de seguridad integral que no solo afecta las finanzas personales, sino también la privacidad digital.
Para mitigar este riesgo, la SSPC recomendó que los ciudadanos verifiquen cuidadosamente los códigos antes de escanearlos. Esto incluye observar si han sido sobrepuestos o manipulados, así como verificar que las direcciones web a las que redirigen coincidan con las fuentes legítimas.
Cibercriminales innovan para robar datos de sus víctimas
Aunque el fenómeno del QRishing no es nuevo, su reciente proliferación en México ha generado preocupación entre las autoridades. En otros países, esta técnica ha evolucionado hasta convertirse en una herramienta común entre ciberdelincuentes, quienes encuentran en los códigos QR una forma discreta y efectiva de alcanzar a un gran número de víctimas sin ser detectados fácilmente.
La SSPC subrayó que la población debe ser consciente de los riesgos asociados con los códigos QR, especialmente en lugares públicos. Aunque estos elementos tecnológicos han simplificado muchas actividades cotidianas, su manipulación por parte de criminales demuestra cómo cualquier avance puede ser utilizado de forma maliciosa.
Recomendaciones generales de la SSPC ante el alza del QRishing
- Verificar la autenticidad del código QR antes de escanearlo, asegurándose de que no haya sido manipulado o sobrepuesto.
- Evitar escanear códigos QR recibidos en correos electrónicos o mensajes no solicitados.
- Comprobar que la URL a la que dirige el código es legítima y coincide con el sitio web esperado.
- Utilizar aplicaciones de escaneo de códigos QR con funciones de seguridad.
- Mantener actualizados el sistema operativo y el software de seguridad de los dispositivos.
- No ingresar información personal o financiera en sitios web sospechosos.
