Com detectar que un codi QR és maliciós? Les estafes es dupliquen en dos anys

Durant la pandèmia es van fer imprescindibles per evitar el contacte físic, per exemple, amb les cartes dels restaurants. Però actualment continuen molt presents en les nostres vides quan comprem entrades per al cinema o el teatre, o per obtenir les targetes d'embarcament dels avions. Els codis QR, però, com tots els avenços tecnològics, també són utilitzats pels estafadors.

Segons dades de l'Agència de Ciberseguretat de Catalunya avançades per "El matí de Catalunya Ràdio", les estafes a través de codis QR s'han duplicat en els últims dos anys. Si comparem les 63 estafes amb aquest mètode detectades enguany amb les que hi va haver l'any passat, l'augment ha estat d'un 23%. Sigui com sigui, queda clar que l'aliat durant la pandèmia s'ha convertit en un sospitós més dins del món d'enganys cibernètics en què vivim.

En què consisteix l'estafa?

QR són les sigles de Quick Response, resposta ràpida, perquè justament ens permet això: accedir de forma ràpida a una pàgina web sense haver de teclejar l'adreça al navegador. La majoria de telèfons mòbils poden escanejar fàcilment aquests codis QR a través de les càmeres de fer fotos o utilitzant diverses aplicacions que hi ha per fer-ho.

El problema arriba quan escanegem un codi QR creat per ciberdelinqüents pensant-nos que es tracta d'un QR real vinculat a un establiment o empresa amb finalitats legítimes. Quan la víctima l'escaneja, la redirigeixen a un web fraudulent que li roba les dades personals o bancàries. 

Selva Orejón, experta en ciberseguretat i identitat digital, subratlla que és fàcil caure en aquest parany precisament per la immediatesa i la rapidesa que ens demana la societat en què vivim. A més, això es veu reforçat amb missatges que actuen de crida:

"D'alguna manera, els ciberdelinqüents hackegen el nostre cervell posant missatges com ara 'oferta' al costat dels codis QR"

Missatges que ens poden empènyer a treure el mòbil i escanejar sense pràcticament haver pensat, com un acte reflex. El perill està en el fet que escanejar un codi QR és el mateix que clicar directament un enllaç fraudulent: "el navegador s'obre i vas a la pàgina dels dolents sense temps material per veure on t'estan portant", com descriu Selva Orejón. 

En qualsevol cas, se'ns han de disparar totes les alertes si el lloc web on ens dirigeix el codi sol·licita informació personal o financera sense cap motiu.

Com podem evitar que ens estafin?

La primera recomanació passa per això que comenta aquesta experta en ciberseguretat: evitar les presses, que mai són bones conselleres. A partir d'aquí, el mantra que hauríem de seguir en qualsevol operació de compravenda és tenir clar que "les gangues no existeixen".

Hi ha, però, una mesura que Orejón creu que és molt important: tenir instal·lat al mòbil o a l'ordinador un detector de contingut maliciós, el que anomenen "antimalware":

"Així, si estem clicant pàgines no segures, automàticament ens sortirà un avís. Aquests antimalware han de ser sempre de pagament."

I és que Selva Orejón considera que hi ha poques mesures gratuïtes de seguretat de les quals et puguis refiar completament.

Com podem detectar que un codi QR és fraudulent?

Els indicis que ens poden fer sospitar són, per exemple, que el QR es trobi en una ubicació inusual, com ara un fanal o una paret. Alerta també a les taules de les cafeteries perquè sovint es troben QR fraudulents enganxats a sobre del codi QR legítim del bar. En aquest sentit, ens hem de fixar si el codi QR sembla imprès amb mala qualitat o està deteriorat.

Què hem de fer si hi hem caigut?

Des de l'Agència de Ciberseguretat de Catalunya recomanen seguir aquests passos si creiem que ens han estafat a través d'un codi QR:

-Modificar les credencials d'accés als comptes bancaris i altres serveis.

-Informar ràpidament l'entitat bancària per bloquejar transaccions sospitoses.

-Executar una anàlisi de seguretat per detectar i eliminar possibles amenaces.

Si tenim clar que ja ens han estafat, cal denunciar-ho davant dels Mossos d'Esquadra.