Policía Nacional explica cómo evitar las estafas mediante código QR: “Es un truco rápido, infalible y fácil de ejecutar”

Llevamos años hablando de estafas: que si el phishing, smishing o el vishing. A día de hoy las autoridades nos recuerdan diariamente de qué hacer para no caer en esta trampas en las que los ciberdelincuentes se intentan hacer con nuestros datos personales y nuestro dinero.

En esta ocasión, la Policía Nacional ha lanzado una nueva advertencia sobre un "fraude silencioso" que gana cada vez más terreno: las estafas mediante códigos QR. En un vídeo difundido en su perfil oficial de TikTok, una agente explica cómo operan los delincuentes y ofrecen una solución sencilla para evitar caer en la trampa. “Es un truco rápido, infalible y fácil de ejecutar”, aseguran. La estafa perfecta no hace ruido y esta no la ves venir”, comienza contando la agente.

El uso masivo de códigos QR impulsado con la pandemia en 2020 para, por ejemplo, consultar la carta en restauración, ha abierto una nueva vía para el fraude digital porque estos ya en casi cualquier parte: en la mesa de un restaurante, en un parquímetro, en el paquete de un pedido y hasta en una supuesta multa que aparece en el parabrisas del coche. “Solo son tres segundos. La cámara detecta el QR, sale un enlace y en un toque estás dentro”, explican desde la Policía Nacional.

Precisamente en esa rapidez reside el peligro. Lo que parece un código legítimo puede haber sido manipulado con una simple pegatina colocada encima del original. Al escanearlo, el usuario es redirigido a una página web falsa que imita con precisión el sitio oficial de una administración pública, una entidad bancaria o una empresa de mensajería. El objetivo es robar los datos personales y bancarias de la víctima.

Sin embargo, para evitar esto la Policía Nacional recomienda una medida preventiva para la que se necesita la configuración en el teléfono móvil. Tanto los dispositivos Android como los iPhone permiten ajustar la cámara para que muestre el enlace completo antes de abrirlo automáticamente. De este modo, el usuario puede comprobar el dominio real al que dirige el código QR antes de acceder. Si la dirección web no coincide exactamente con la oficial conviene no continuar y abandonar la página de inmediato

INCIBE recomienda

Desde el Instituto Nacional de Ciberseguridad (Incibe) explican que estos QR maliciosos pueden derivar en dos tipos de ataques. Por un lado, pueden descargar en el dispositivo algún tipo de malware sin que el usuario sea consciente. Por otro, pueden redirigir a una web falsa diseñada para obtener datos personales o bancarios.

En caso de que el fraude ya se haya llevado a cabo,por ejemplo, mediante la activación no consentida de una suscripción, los especialistas recomiendan actuar con rapidez. El primer paso es acceder a la página donde se formalizó el alta y revisar los apartados de “Términos y condiciones” o “Condiciones de contratación” para localizar la información relativa al derecho de desistimiento y la vía para tramitar la baja.

La normativa reconoce a los usuarios un plazo general de 14 días para desistir de una suscripción, siempre que no se haya hecho uso del servicio. Incluso ese plazo podría ampliarse hasta 12 meses si la empresa no informó correctamente sobre este derecho.

Si además se ha producido un perjuicio económico, Incibe aconseja contactar de inmediato con la entidad bancaria para explicar lo ocurrido y solicitar medidas preventivas, como la anulación de la tarjeta. También es fundamental recopilar todas las pruebas posibles —capturas de pantalla, correos electrónicos o justificantes de pago— y presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

En caso de no lograr la devolución del importe, se recomienda reclamar ante la entidad bancaria aportando copia de la denuncia. Si la respuesta no es satisfactoria, el siguiente paso es acudir al Banco de España. Cuando se hayan facilitado datos personales, los expertos aconsejan realizar búsquedas periódicas en internet para comprobar si esa información se ha difundido y, de ser así, solicitar su retirada y ejercer los derechos de acceso, rectificación o supresión. Si fuera necesario, puede presentarse una reclamación ante la Agencia Española de Protección de Datos.