Con la adopción de coches eléctricos, los ciberdelincuentes han encontrado nuevas maneras de atacar a los conductores. En particular, se ha identificado un aumento de ataques mediante códigos QR falsos en las estaciones de recarga, una técnica conocida como "quishing".
Este fenómeno ha ido en aumento a medida que más personas optan por vehículos eléctricos; en 2023, se matricularon alrededor de 14 millones de coches eléctricos nuevos, lo que representa un aumento del 35% en comparación con el año anterior, elevando el total mundial a más de 40 millones de unidades.
El quishing es una variante del phishing, una técnica ampliamente utilizada por los ciberdelincuentes para robar información personal y financiera. Mientras que el phishing tradicional suele involucrar correos electrónicos engañosos, el quishing se centra en el uso de códigos QR falsos que redirigen a sitios web maliciosos.
Esta técnica ha ganado popularidad, especialmente durante la pandemia, cuando los códigos QR se volvieron omnipresentes como una forma más higiénica de acceder a información y servicios.
Los estafadores colocan códigos QR falsos sobre los auténticos en lugares como estaciones de carga. Cuando un conductor escanea el código malicioso, es dirigido a un sitio de suplantación de identidad que solicita sus datos de pago. Este método es particularmente efectivo porque las personas tienden a confiar en los códigos QR, lo que reduce la sospecha en comparación con las URL de phishing.
La infraestructura de recarga para vehículos eléctricos ha proporcionado un terreno fértil para los delincuentes. En países como el Reino Unido, Francia y Alemania, se han reportado casos de códigos QR falsos en estaciones de recarga públicas.
Estos códigos a menudo imitan los legítimos que permiten a los usuarios pagar por la electricidad que consumen. Si un conductor escanea el código malicioso, es llevado a un sitio que aparenta ser auténtico, donde se le solicita ingresar sus datos de pago.
Lo que es aún más insidioso es que algunos estafadores utilizan tecnología para interferir con las señales, impidiendo que los usuarios accedan a las aplicaciones oficiales de recarga y forzándolos a escanear el código malicioso. Esto representa un riesgo significativo para los conductores, que pueden ser nuevos en el uso de estas estaciones y más propensos a confiar en el código QR en lugar de buscar métodos de pago más seguros.
Los incidentes de quishing han aumentado notablemente, con un informe de finales del año pasado que muestra un aumento del 51% en los incidentes de este tipo.
Con más de 600,000 puntos de recarga en Europa, los estafadores tienen numerosas oportunidades para atacar a conductores desprevenidos. La falta de familiaridad con el proceso de carga y la necesidad de una solución rápida pueden llevar a los usuarios a escanear códigos QR sin dudarlo, aumentando el riesgo de caer en la trampa.
Además de perder datos financieros, los conductores que caen en esta estafa podrían enfrentarse a multas o cargos adicionales, lo que hace que la situación sea aún más desalentadora. Se han documentado casos similares en parquímetros, donde los códigos QR falsos no solo comprometen la información financiera, sino que también pueden resultar en multas por estacionamiento.
La amenaza del quishing en las estaciones de carga de vehículos eléctricos subraya la importancia de la educación y la precaución entre los conductores. A medida que la adopción de coches eléctricos sigue creciendo, también lo hace la necesidad de estar alertas ante posibles fraudes.
Es esencial que los usuarios verifiquen siempre la autenticidad de los códigos QR, utilicen aplicaciones oficiales y estén atentos a cualquier señal de irregularidad en el proceso de carga. La concienciación es clave para protegerse de este nuevo tipo de estafa.
Aunque las estafas actuales parecen centrarse en la recopilación de datos de pago a través de páginas de phishing, no hay razón para pensar que los delincuentes no puedan modificar sus tácticas para instalar malware que secuestre el dispositivo de la víctima o robe información confidencial. Afortunadamente, hay varias medidas sencillas que puedes tomar para mitigar el riesgo de quishing mientras estás fuera de casa:
1. Inspecciona el código QR: Observa atentamente el código. ¿Parece que está pegado sobre otro código o forma parte de la señal original? ¿El color o el tipo de letra son diferentes al resto de la señal? Estas pueden ser señales de advertencia de que el código no es legítimo.
2. Escanea solo en lugares seguros: Evita escanear códigos QR a menos que estén claramente visibles en el terminal del parquímetro o en el dispositivo de recarga. Si no estás seguro, es mejor no hacerlo.
3. Opta por métodos de pago seguros: Considera realizar pagos únicamente a través de una llamada telefónica o mediante la aplicación oficial de recarga del operador correspondiente. Esto puede ofrecer una mayor seguridad que escanear un código.
4. Desactiva acciones automáticas: Si es posible, desactiva las acciones automáticas que ocurren al escanear un código QR, como visitar un sitio web o descargar archivos. Siempre revisa la URL después de escanear para asegurarte de que se trata de un dominio legítimo y no de uno sospechoso.
5. Verifica la calidad del sitio web: Si el sitio al que te lleva el código QR contiene errores gramaticales o ortográficos, o cualquier cosa que te parezca inusual, desconfía. Esto podría indicar que se trata de un sitio de phishing.
6. Confirma con el operador: Si algo no parece correcto o si tienes dudas, llama directamente al operador del servicio de pago para verificar la autenticidad del código QR.
7. Considera otras formas de pago: Muchos parquímetros y estaciones de recarga ofrecen varias opciones de pago, como tarjetas de crédito, pagos NFC o monedas. Si no te sientes cómodo escaneando un código QR, utiliza una de estas alternativas para evitar el riesgo de interactuar con un código fraudulento.
8. Reacciona ante posibles fraudes: Si sospechas que has sido víctima de una estafa, congela tu tarjeta de pago y notifica a tu banco o proveedor de tarjetas sobre el posible fraude.
9. Revisa tus transacciones: Mantén un ojo en tu extracto bancario en busca de transacciones sospechosas. Si te preocupa haber caído en quishing, es crucial revisar tus movimientos financieros con regularidad.
10. Utiliza autenticación de dos factores (2FA): Activa la autenticación de dos factores en todas las cuentas que ofrezcan esta opción. Esto añade una capa extra de seguridad y ayuda a proteger tu cuenta incluso si un estafador logra redirigirte a un sitio web fraudulento.
11. Instala software de seguridad: Asegúrate de que tu dispositivo móvil tenga instalado un software de seguridad confiable que pueda ayudar a detectar y bloquear amenazas.