En los últimos años, numerosos países y regiones alrededor del mundo han adoptado rápidamente los coches eléctricos. En 2023, se registraron aproximadamente 14 millones de nuevos vehículos, lo que representa un incremento anual del 35% y eleva el total global a más de 40 millones. Sin embargo, las innovaciones tecnológicas también presentan nuevos riesgos. Siempre en busca de oportunidades para lucrar, los grupos criminales están fusionando amenazas físicas y virtuales para obtener los datos de pago de los conductores.

Uno de sus métodos más recientes, observado en varios países europeos, utiliza técnicas de suplantación de identidad a través de códigos QR, conocidas como «quishing», para espiar o robar información de pago. En realidad, no se diferencia mucho de las estafas que emplean códigos QR falsos en los parquímetros, por lo que los conductores de vehículos eléctricos deben estar alerta ante esta amenaza en las estaciones de carga.

¿Qué es el quishing y de qué manera opera?

El phishing se ha convertido en una de las técnicas más comunes y efectivas que utilizan los ciberdelincuentes para alcanzar sus metas. Frecuentemente, actúa como un paso previo a diversas ciberamenazas, enfocándose en el robo de información personal y credenciales, o en la instalación encubierta de malware. ¿Cuál es la razón de su efectividad? Se debe a nuestra tendencia a confiar en lo que nos comunican personas u organizaciones que parecen estar en posiciones de autoridad.

Existen múltiples variantes de phishing, lo que complica la tarea de la policía, los equipos de seguridad empresarial y las entidades gubernamentales al intentar mantener actualizadas sus campañas de concienciación pública. Un buen ejemplo de esto es el quishing. Aunque los códigos QR han estado presentes desde los años 90, la amenaza del quishing realmente comenzó a crecer durante la pandemia. Esto se debe a que los códigos QR se convirtieron en una imagen habitual en las calles, siendo una manera más higiénica de acceder a diversos elementos, desde menús hasta formularios médicos.

Los estafadores han comenzado a actuar, colocando códigos QR falsos sobre los originales. Al escanearse, estos códigos llevan a las víctimas a un sitio de phishing para robar sus credenciales o información, o para descargar malware. Esta táctica es especialmente efectiva, ya que no genera el mismo nivel de sospecha que, por ejemplo, las URL de phishing. Además, los dispositivos móviles suelen contar con una protección inferior en comparación con laptops y computadoras de escritorio, lo que aumenta las posibilidades de éxito. Un informe de finales del año pasado reveló un aumento del 51% en los incidentes de quishing en septiembre, en comparación con el período de enero a agosto de 2023.

¿Por qué corren riesgo los vehículos eléctricos?

Los delincuentes, siempre ingeniosos, han descubierto una manera de adaptar sus estafas a la creciente popularidad de los vehículos eléctricos en todo el mundo. Según reportes provenientes del Reino Unido, Francia y Alemania, los estafadores están colocando códigos QR maliciosos sobre los legítimos en las estaciones de carga pública. Este código debería dirigir a los usuarios a un sitio web donde pueden abonar la electricidad al operador de la estación, como es el caso de Ubitricity.

Sin embargo, si escanean el código QR falso, serán dirigidos a un sitio de suplantación de identidad que les solicitará sus datos de pago, los cuales serán recolectados por los ciberdelincuentes, se dice que el sitio legítimo se cargará en el segundo intento, con el fin de asegurar que las víctimas puedan completar el pago. Además, algunos informes indican que los ciberdelincuentes podrían estar empleando tecnología de interferencia de señal para bloquear el acceso de las víctimas a sus aplicaciones de recarga, obligándolas a escanear el código QR malicioso..

Con más de 600,000 puntos de recarga para vehículos eléctricos en Europa, los estafadores tienen numerosas oportunidades para sorprender a los conductores con este tipo de fraudes. Se aprovechan del hecho de que muchos propietarios de vehículos eléctricos pueden ser nuevos en esta experiencia, lo que los hace más propensos a escanear un código en lugar de descargar la aplicación oficial de carga/pago o contactar a la línea de ayuda. Además, dado que existen varios proveedores de estas estaciones, los estafadores pueden intentar beneficiarse del cansancio de los usuarios. Escanear un código QR suele parecer una opción más rápida y atractiva que dedicar tiempo a descargar múltiples aplicaciones de recarga.

Se han reportado numerosos casos de estafadores que atacan a los conductores utilizando códigos QR maliciosos adheridos a los parquímetros. En esta situación, el conductor inocente no solo arriesga la información de su tarjeta, sino que también podría enfrentarse a una multa impuesta por el ayuntamiento.

Imagen 1. 

Advertencia sobre códigos QR fraudulentos en señales de estacionamiento y parquímetros en Southampton, Reino Unido. Los mismos métodos pueden aplicarse en las estaciones de carga para vehículos eléctricos.

(Fuente: página de Facebook del Ayuntamiento de Southampton)

¿Cómo resguardarse del phishing a través de códigos QR?

A pesar de que las estafas en la actualidad parecen enfocarse en la recopilación de datos de pago a través de páginas de phishing, no hay razón para descartar que puedan evolucionar y utilizar amenazas que instalen malware para secuestrar el dispositivo de la víctima y/o robar otros datos de acceso e información confidencial. Afortunadamente, existen algunas medidas simples que puedes implementar para reducir el riesgo de quishing mientras estás fuera de casa:

  • Observa detenidamente el código QR. ¿Parece que está adherido a otra superficie o es parte del letrero original? ¿Presenta un color o tipo de letra diferente al resto de la señal, o parece desentonar de alguna forma? Estas pueden ser señales de advertencia.
  • Nunca escanees un código QR a menos que esté visible en el propio terminal del parquímetro.
  • Evalúa la opción de realizar pagos exclusivamente mediante una llamada telefónica o utilizando la aplicación oficial de recarga del operador correspondiente.
  • Piensa en desactivar la opción de ejecutar acciones automáticas al escanear un código QR, como acceder a un sitio web o descargar un archivo. Tras escanearlo, revisa la URL para asegurarte de que corresponde a un dominio legítimo vinculado al servicio, en vez de una URL dudosa.
  • ¿El sitio web al que te dirige el código QR presenta errores gramaticales u ortográficos, o hay algo que te resulte sospechoso? Si es así, podría ser un sitio de phishing.
  • Si algo no parece estar bien, no dudes en contactar directamente al operador de cobro.
  • Muchos parquímetros, por ejemplo, proporcionan diversas opciones de pago, como tarjetas de crédito, pagos NFC o monedas. Si no se siente seguro al escanear un código QR, considere utilizar alguna de estas alternativas para minimizar el riesgo de interactuar con un código fraudulento.
  • Si sospechas que has sido víctima de una estafa, congela tu tarjeta de pago y reporta el posible fraude a tu banco o proveedor de tarjetas.
  • Revise su extracto bancario en busca de transacciones inusuales, especialmente si teme haber sido víctima de quishing.
  • Emplee la autenticación de dos factores (2FA) en todas las cuentas que le proporcionen una capa extra de seguridad. Esta medida ayuda a resguardar su cuenta, incluso si un estafador logra dirigirle a un sitio web engañoso y roba sus credenciales.
  • Asegúrese de que su dispositivo móvil cuente con un software de seguridad proveniente de un proveedor confiable.

Las noticias sobre la última campaña de QR quishing no harán sino aumentar las peticiones para que se prohíban los códigos en lugares públicos. Pero mientras tanto, vale la pena ser precavido.

Fuente web: https://www.welivesecurity.com/es/estafas-enganos/ataques-quishing-propietarios-coches-electricos/