Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tras escanear un código QR malicioso se suscribe a un servicio no deseado

Fecha de publicación 22/10/2024
Tras escanear un código QR malicioso se suscribe a un servicio no deseado

¿Qué ha ocurrido?

Se puso en contacto a través del canal telefónico 017 del servicio Tu Ayuda en Ciberseguridad, una mujer de mediana edad en busca de ayuda tras haber sido, aparentemente, víctima de un fraude tras escanear un código QR. 

Nos comentó que había adquirido un reloj inteligente en una tienda online a un precio muy bajo. Cuando lo recibió, junto con el dispositivo y el manual de instrucciones, venía un folleto muy llamativo donde se promocionaban una serie de ventajas adicionales.

Para poder disfrutar de estos beneficios, era necesario escanear un código QR y cumplimentar un pequeño formulario

Decidió escanear el código y cubrir el formulario para disfrutar de la promoción, en concreto le pidieron sus datos identificativos y los de su tarjeta bancaria

Pasados unos días, comprobó que no existían los beneficios que la habían argumentado, y tras revisar su cuenta bancaria, se dio cuenta que, realmente, lo que había hecho era activar una suscripción

Nos llamó solicitándonos ayuda para saber cómo podía acabar con el problema y quedar totalmente tranquila.

¿Qué pautas le hemos dado?

Por nuestra parte la indicamos que, tal y como sospechaba, al haber escaneado el código QR podría haberla llevado a una página fraudulenta.

Le explicamos que los QR maliciosos pueden llevar asociados dos tipos de ataques o fraudes:

  • Infectar el dispositivo con algún tipo de malware.
  • Redirigir al usuario a una web fraudulenta.

A continuación, y dado que se había activado de forma fraudulenta una suscripción, le recomendamos acceder a la página web de la suscripción y en los “Términos y condiciones” o “Condiciones de contratación” buscar la información sobre el derecho de desistimiento y la vía para darse de baja.

Además, le informamos que todos los usuarios disponen de un plazo de 14 días para desistir una suscripción, siempre y cuando no se haya hecho uso de ella, que incluso se podría ver aumentado a 12 meses si no se informa debidamente sobre el derecho al desistimiento.

A continuación, y puesto que había sufrido un daño económico, le dimos las siguientes recomendaciones reactivas:

  • Contactar con su entidad bancaria y contarles la situación para que puedan tomar las medidas de precaución convenientes, como, por ejemplo, anular la tarjeta bancaria.
  • Recopilar todas las evidencias posibles.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
  • Si no logra desistir la suscripción y recuperar el dinero, reclamar en la entidad bancaria, aportando una copia de la denuncia para tratar de recuperar el importe defraudado.
  • En el caso de que la entidad bancaria no le facilite una solución, efectuar la reclamación ante el Banco de España.
  • Puesto que había proporcionado datos personales en la web fraudulenta, practicar egosurfing periódicamente, apoyándose en el recurso de Google Dorks. En caso de localizar cualquier tipo de información:
    • Solicitar la retirada de información en el sitio web.
    • Ejercer los ARSOPOL (acceso, rectificación, supresión, oposición, portabilidad, derecho a no ser objeto de decisiones individualizadas y limitación del tratamiento).
    • En caso necesario, denunciar ante la AEPD (Agencia Española de Protección de Datos) u organismos autonómicos similares.

De forma preventiva, le explicamos las pautas que debía seguir a la hora de escanear códigos QR para evitar ser víctima de este tipo de fraude:

  • No escanear códigos QR sin estar segura de su procedencia y su finalidad.
  • Comprobar que el código QR no sea una pegatina colocada sobre el QR original.
  • Activar la función de previsualización de la URL a la que redirecciona antes de acceder a ella.
  • Sospechar si la URL no pertenece al dominio de la empresa o servicio.
  • Hacer uso de analizadores de enlaces, como VirusTotal.
  • Sospechar si solicita descargarse un archivo, especialmente si es .apk.
  • En caso de duda, nunca facilitar datos personales ni bancarios.
  • Mantener las herramientas de protección de los dispositivos activadas y actualizadas.

Por último, le recordamos que podía volver a contactar con  el servicio  Tu Ayuda en Ciberseguridad de INCIBE en caso de tener más dudas o alguna otra consulta sobre ciberseguridad, todos los días del año desde las 8 de la mañana hasta las 11 de la noche.

Tu Ayuda en Ciberseguridad

Etiquetas