QRishing: Què és, com reconèixer l'estafa del codi QR i evitar ser víctima

  • El QRishing és una estafa digital creixent que utilitza codis QR falsos per robar dades, suplantar identitat o instal·lar codi maliciós en dispositius.
  • La prevenció es basa a verificar la font dels codis QR, analitzar l'URL abans d'accedir i utilitzar aplicacions d'escaneig segur i protecció antivirus.
  • El QRishing afecta tant usuaris particulars com empreses, per la qual cosa la formació, la conscienciació i la vigilància contínua són claus per evitar ser víctima.
Lorena Figueredo

6 minuts

què és el QRishing i com evitar-ho

Els codis QR han esdevingut una eina universal per accedir a menús digitals, iniciatives comercials, pagaments, sorteigs i tot tipus de serveis. Això ha portat comoditat i rapidesa a la vida diària, però també ha obert la porta a noves amenaces. Una de les més creixents i perilloses és el QRishing o QR Code Phishing. Conèixer els riscos i aprendre com protegir-se d'aquesta estafa és fonamental per a qualsevol usuari, empresa o professional digital.

Què és el QRishing o Quishing?

QRishing phishing QR

El QRishing, També conegut com Quishing (combinació de QR i phishing), és un tipus de suplantació d'identitat digital mitjançant codis QR. Consisteix que els ciberdelinqüents generen codis QR aparentment legítims que, en ser escanejats, dirigeixen les víctimes a llocs web fraudulents, descarreguen malware o sol·liciten dades confidencials com contrasenyes, credencials bancàries o informació personal.

Aquests codis poden estar distribuïts a gairebé qualsevol lloc: cartells a la via pública, taules de restaurants, campanyes publicitàries, factures, correus electrònics, missatgeria instantània i fins i tot targetes de visita. Aprofiten, especialment, la confiança que sol dipositar-se en els codis QR, ja que visualment no diferencien entre un de legítim i un de maliciós.

El QRishing és especialment perillós perquè:

  • No es pot veure l'enllaç al qual s'adreça un codi QR abans d'escanejar-lo a simple vista.
  • La majoria de persones confia en els codis QR pel seu ús quotidià i la seva aparença neutral.
  • Les URL poden ser escurçades o disfressades, dificultant la identificació de llocs fraudulents fins i tot després d'escanejar el codi.
  • El phishing per QR és molt eficaç tant al món físic com en campanyes digitals.

Com funciona un atac de QRishing?

com evitar QRishing codis QR estafa

  1. Creació del codi QR fraudulent: L'atacant genera un codi QR programat per redirigir una URL falsa o maliciosa. Aquesta pàgina pot ser una còpia idèntica d'un banc, botiga o qualsevol altre servei.
  2. Distribució física o digital: El codi s'imprimeix en adhesius, es col·loca sobre codis QR legítims (per exemple, en parquímetres, bicicletes públiques, menús o campanyes publicitàries), s'envia per correu electrònic, xarxes socials o fins i tot WhatsApp.
  3. Engany a la víctima: L'usuari escaneja el codi pensant que accedirà a un servei legítim. No hi ha cap alerta visual que indiqui el perill.
  4. Robatori o manipulació: Es pot sol·licitar a la víctima que introdueixi dades personals, se'l pot induir a instal·lar un fitxer maliciós o simplement redirigir-lo a llocs dissenyats per cometre fraus financers, suplantació d'identitat o infectar el dispositiu.

En alguns casos s'utilitzen tècniques més sofisticades, com ara afegir el codi QR en comunicacions oficials, factures o formularis que aparenten provenir d'empreses reals. Fins i tot, és possible que l'atac estigui dirigit a captar dades empresarials, accedir a sistemes corporatius o robar credencials d'empleats.

Tipus de codis QR i ús en atacs

Hi ha principalment dos grans tipus de codis QR:

  • Estàtics: Aquests contenen informació fixa, és a dir, el contingut no es pot modificar després de crear-se el codi. Per exemple, un enllaç a la web dun restaurant o una adreça de correu.
  • Dinàmics: El contingut al qual apunta el codi es pot canviar sense modificar l'aspecte físic del QR. Això és especialment útil per a campanyes de màrqueting, però també pot ser explotat per atacants, ja que poden modificar l'URL original a una fraudulenta després d'haver distribuït el codi.

Els codis QR dinàmics representen un major risc si no es gestionen correctament, ja que, després de la distribució, la destinació pot ser canviada per un tercer amb accés maliciós, sense que l'usuari ho noti.

Principals escenaris i exemples de QRishing

Els atacs de QRishing evolucionen i s'adapten a entorns nous. Els escenaris més comuns inclouen:

  • Adhesius sobre codis QR originals: Molt freqüent a pàrquings, estacions de transport, bicicletes públiques i restaurants. L'atacant col·loca un adhesiu amb el seu QR maliciós a sobre de l'oficial.
  • Fraus en publicitat o promocions: Es reparteixen fullets, cartells o flyers amb codis QR atractius que prometen descomptes, sorteigs o regals per atraure l'atenció.
  • Emails i missatgeria instantània: Correus fraudulents que inclouen un QR per “verificar el teu compte”, “descarregar un fitxer” o “optar a una oferta urgent”.
  • Factures falses: Especialment a l'entorn empresarial, s'envien factures o avisos de pagament amb codis QR fraudulent per “fer el pagament” o “reclamar un bo”.
  • Phishing invers o “sol·licitud de diners”: En lloc de portar la víctima a un lloc maliciós, el QR pot estar manipulat perquè, mitjançant una app de pagaments, l'usuari acabi enviant diners a l'estafador creient que està fent un pagament legítim.

Cas real: A diverses ciutats s'han reportat casos en què persones han perdut quantitats significatives de diners després d'escanejar QRs en parquímetres manipulats. Els atacants van col·locar un adhesiu amb el codi sobre l'original, i els usuaris van acabar introduint les seves dades en una web falsa.

Conseqüències de ser víctima de QRishing

Les repercussions d'un atac de QRishing poden ser tan greus com qualsevol altre tipus de phishing o fins i tot més, ja que combinen tècniques d'enginyeria social amb la dificultat de detectar visualment el frau.

  • Robatori de credencials: Accés a comptes bancaris, xarxes socials, emails, plataformes empresarials, etc.
  • Pèrdua econòmica: Pagaments falsos, transferències no autoritzades, compres a llocs fraudulents.
  • Instal·lació de malware: Un QR pot iniciar la descàrrega automàtica d'un fitxer o app maliciosa, especialment si es permet al dispositiu.
  • Suplantació d'identitat: Les dades robades poden ser usades per cometre altres delictes, fraus, compres o obrir comptes a nom de la víctima.
  • Danys a la reputació: Tant a nivell personal com empresarial, si les dades acaben sent utilitzades o filtrats a la xarxa o la dark web.

Xifres i creixement del QRishing

El QRishing creix exponencialment i els informes de ciberseguretat internacionals alerten sobre milers d'atacs diaris. Firmes com Barracuda han registrat pics de fins a 1.100 atacs de QRishing per dia al món, amb xifres en augment constant. A més, moltes empreses han reportat grans pèrdues econòmiques per estafes d'aquest tipus.

Segons especialistes en ciberseguretat, més del 70% de les estafes actuals en entorn físic i digital utilitzen codis QR com a esquer principal.

Per què és tan difícil detectar un QR maliciós?

La dificultat per identificar codis QR falsos rau en què:

  • Visualment, un codi QR legítim i un altre de fraudulent són idèntics per a l'usuari comú.
  • L'enllaç al qual apunta el QR no es pot veure a simple vista, i moltes vegades els navegadors mòbils no mostren prou informació de la URL o aquesta està escurçada.
  • Els atacants solen fer servir campanyes d'enginyeria social per augmentar la urgència o la confiança en l'acció (pagaments, promocions, urgències bancàries).
  • La seguretat en dispositius mòbils i la formació en ciberseguretat és, en general, més baixa que en altres entorns empresarials.

Com protegir-se del QRishing: Estratègies i consells efectius

És possible protegir-se del QRishing si s'adopten hàbits de seguretat i se segueixen bones pràctiques tant a nivell personal com empresarial. Aquí tens les recomanacions més completes i actualitzades:

  • Verifica sempre la font del codi QR: Si el codi està en un lloc públic, enganxat sobre un altre, en un fullet sospitós o enviat per un contacte desconegut, desconfia abans d'escanejar-lo.
  • Observa possibles manipulacions: Abans d'escanejar, revisa si el QR és un adhesiu col·locat sobre el codi original o presenta danys, taques o signes de manipulació.
  • Activa la previsualització de la URL: La majoria de dispositius mostren l'adreça web abans d'obrir-la. Atura't a analitzar si la URL sembla legítima, conté errors ortogràfics, noms estranys o subdominis sospitosos.
  • Mai introduïu dades personals o credencials després d'escanejar un QR: Si una web demana informació sensible i hi vas arribar des d'un QR, verifica que el domini sigui l'oficial i busca el cadenat de “https://”. Si tens dubtes, no completis el formulari.
  • Evita descàrregues automàtiques de fitxers .apk o similars: Els fitxers que es descarreguen després d'escanejar poden contenir codi maliciós (malware). Instal·la aplicacions només des de botigues oficials (Google Play, App Store, etc.).
  • Utilitza aplicacions d'escaneig segures i reputades: Hi ha apps que analitzen la URL i bloquegen l'accés si detecten riscos coneguts. Exemples són els escàners integrats en suites de seguretat com Panda Dome o solucions específiques validades.
  • Mantingues el teu dispositiu actualitzat: Aplica totes les actualitzacions del sistema operatiu i de les apps, ja que solen incloure pegats de seguretat que dificulten l'explotació de vulnerabilitats.
  • Instal·la i actualitza programari de protecció antivirus: Un antivirus actualitzat pot detectar enllaços sospitosos, descàrregues de codi maliciós i fins i tot escanejar la destinació d'un QR abans d'obrir-lo.
  • Desconfia de les ofertes massa atractives: Promocions, sorteigs o regals “massa bons per ser veritat” solen ser ganxos per captar dades o diners.
  • Desenvolupa una cultura de seguretat digital: Informa i educa els qui t'envolten sobre els riscos del QRishing, comparteix bones pràctiques i ajuda'ls a identificar amenaces.

Com protegir el teu negoci davant del QRishing

  • Revisa i mantingues els QR físics fora de perill: Si utilitzeu codis QR impresos en cartells, menús o promocions, verifica diàriament que no hagin estat reemplaçats per etiquetes fraudulentes.
  • Utilitza generadors i escàners QR certificats: És fonamental emprar eines que ofereixin garanties de ciberseguretat, xifrat de dades i protecció davant de modificacions no autoritzades.
  • Xifra i protegeix amb HTTPS totes les URL de destinació: Apunta sempre a adreces segures (HTTPS) i intenta personalitzar el domini per generar confiança.
  • Capacita els teus empleats: Inclou formació específica sobre QRishing als programes de conscienciació de ciberseguretat. El personal ha de saber identificar canvis o manipulacions als codis.
  • Implementa autenticació multifactor (MFA): Especialment recomanable si els QR apunten a portals daccés interns, sistemes o serveis financers. Afegir una segona capa d‟autenticació dificulta l‟èxit d‟un atac.
  • Evita l'exposició innecessària: No utilitzis codis QR en dades o accessos crítics si no és imprescindible per al negoci.

Què fer si has estat víctima de QRishing

  • No entris en pànic: Actua amb rapidesa però amb cap.
  • Canvia immediatament totes les contrasenyes associades als serveis on vas introduir dades després d'escanejar el QR.
  • Contacta amb el teu banc o entitat financera: Informa de l'incident i demana el bloqueig o monitorització dels teus comptes.
  • Elimina aplicacions o fitxers sospitosos: Si vas descarregar alguna cosa després d'escanejar, esborra'l i executa una anàlisi de codi maliciós al dispositiu.
  • Denuncia el frau: Informa les autoritats pertinents, l'empresa on va ser suplantada la identitat i comparteix la teva experiència per advertir-ne d'altres.

Les preguntes més freqüents sobre QRishing i codis QR

  • És segur escanejar qualsevol codi QR? No, només heu d'escanejar codis QR de fonts fiables, revisant sempre que no hagi estat manipulat o col·locat en ubicacions sospitoses.
  • Com puc saber si un codi QR és maliciós? Analitza l'URL que mostra després d'escanejar i utilitza un lector segur; si la web et sembla sospitosa o et sol·licita informació confidencial, tanca la pàgina i no tiris endavant.
  • Quina informació busquen els atacants? Principalment credencials d'accés, dades bancàries, informació personal i, a nivell empresarial, accés a sistemes interns o dades d'empleats.
  • Es pot instal·lar un virus només per escanejar un codi QR? El QR per si mateix només conté informació, però pot redirigir-te a un lloc o iniciar una descàrrega de codi maliciós (malware). Mai instal·leu fitxers .apk no verificats fora de botigues oficials.
  • El QRishing afecta només mòbils? No, qualsevol dispositiu amb càmera i accés a internet pot ser vulnerable, incloent tauletes, ordinadors portàtils i descriptori, si sutilitza un sistema descaneig QR.

Eines i recursos útils per a una protecció avançada

  • Aplicacions d'escaneig segur: Utilitza apps reconegudes amb funcions danàlisi denllaços en temps real.
  • Serveis en línia d'anàlisi d'enllaços: Abans d'accedir a la URL, la podeu copiar i analitzar a VirusTotal o altres serveis similars.
  • Gestors robusts de contrasenyes: Utilitza gestors que generin i emmagatzemin contrasenyes segures, per evitar l'ús de claus repetides a diferents plataformes.
  • Escàners de la dark web: Eines especialitzades permeten detectar si les teves credencials han estat exposades després d'un atac.
  • Actualitzacions automàtiques i sistemes de seguretat integrats: Configura els teus dispositius per rebre actualitzacions i analitza periòdicament el teu sistema a la recerca de vulnerabilitats.

Seguretat QRishing QR

L'avenç del QRishing és un reflex de com els ciberdelinqüents evolucionen adaptant-se als hàbits digitals i físics de la societat. El que va començar com a solució innovadora per a pagaments, identificació o informació pública és avui també una porta d'entrada per al frau i les pèrdues econòmiques. Per això, més enllà de comptar amb les millors eines, la prevenció i leducació juguen un paper fonamental.

No cal renunciar a la tecnologia QR, sinó adaptar-se i ser prudent. Comprova sempre la procedència del QR, mantingues els teus dispositius al dia, desconfia d'ofertes massa atractives i, sobretot, no comparteixis dades privades a la lleugera. Com que estem atents i actuem de manera proactiva, reduïm al mínim el risc de ser víctimes d'aquest tipus d'estafes.

El QRishing ha arribat per quedar-se, però amb informació, educació i bones pràctiques és possible gaudir dels avantatges dels codis QR sense exposar-nos a un perill innecessari.