Estafas, suplantación y hackeo; los delincuentes usan el QR para robar

“Pagué con QR, pero el dinero no le llegó a la vendedora”, “El técnico me dijo que tenía un malware”, “Me mostró un voucher del pago, pero había sido falso”, “Con un QR trucado pidieron dinero a mis familiares, muchos cayeron” y “Me estafaron con un QR”.

Este tipo de denuncias se presentan cada vez con más frecuencia en la Policía, en las redes sociales o en instituciones que trabajan en temas de ciberdelitos. Y es que por su uso masivo, ahora los delincuentes utilizan estos códigos para robar por medio de estafas, hackeos y suplantaciones.

“Al momento no existen estadísticas oficiales de este tipo de delito; sin embargo, se registra el incremento en noticias publicadas en medios de prensa sobre este tipo de estafas digitales utilizando QR bancarios, por lo que se puede inferir que hay un incremento de la comisión del delito”, indicó el experto en temas de derecho y tecnología Mario Durán.

Sin embargo, aunque los casos van en aumento, el 91% de las víctimas no denuncian, según un estudio del Ministerio de Gobierno. Los motivos son la desconfianza en las autoridades y el desconocimiento del tema por parte de estas para atender los casos. A todo esto se suma la falta de una normativa específica en el país.

“(Respecto a los) ciberdelitos, el tema no está claro en el ámbito penal; mientras que en el ámbito financiero, si vas a denunciar a la ASFI oa un banco sobre alguna transacción hecha por estafa, te dicen que fue hecha de forma voluntaria y, por tanto, legal. Así uno está indefenso”, dijo el oficial de Economía Digital de Internet Bolivia Hugo Miranda.

¿Qué es un código QR?

Los códigos Quick Response (respuesta rápida) o QR por sus siglas en inglés, representan una cadena de texto, números o caracteres alfanuméricos que al ser escaneados permiten al usuario acceder a diferentes servicios. Como su nombre lo indica fueron diseñados para ser descifrados y leídos rápidamente.

Eso hace que su uso se haya vuelto muy común en todo tipo de actividades económicas, culturales y educativas, etc. Puede buscars para ver el menú de una cafetería, para ver el catálogo o las características de los artículos de una tienda, para acceder a un formulario, para transferir dinero o para ingresar a un sitio web.

Lee también: Bolivia, el país con mayor crecimiento en usuarios de billeteras digitales en la región

Para usarlos, es necesario escanear el código con una función integrada en la cámara del teléfono móvil o por medio de una aplicación. El escáner descifra el código conformado por barras y cuadrados y llevará al usuario a la cuenta o sitio web incrustado en QR. Así, los usuarios ya no necesitan ingresar manualmente URL largas.

Sin embargo, la comodidad que ofrecen, también genera que el usuario sea menos consciente ante los riesgos.

De estafas y estafadores

“Yo me encontré con el estafador en persona. Se supone que estaba comprando un celular en caja sellada. La abrió y vi el aparato, habíamos acordado que el pago sería por QR. Él generó el código por medio de una billetera móvil y hasta que yo lo escanee y pague me cambió la caja. Se fue y cuando abrí la caja el celular era uno viejo y roto. Me hicieron el cuento del tío y además me estafaron con el QR”.

Durán señaló que en algunos casos, el QR bancario es un medio para la comisión de delitos, porque se utiliza para transferir dinero proveniente de actividades ilícitas, entre estas la recepción de dinero que proviene de las estafas digitales.

“Como las 'supuestas compras' de electrodomésticos, muebles, televisores, etc., que se ofrecen en redes sociales a costos menores; el pago de 'supuestos costos' de transporte aéreo para la 'adopción' de mascotas de raza; la compra y venta de productos, de dólares y un largo etcétera. Todas estas estafas digitales tienen un denominador común, el ciberdelincuente solicita un depósito bancario vía QR a su víctima; una vez recibido el dinero, bloquea cualquier contacto y la víctima pierde su dinero”, explicó.

Algo similar se ha presentado en la compra de criptoactivos, según explicó Miranda. Y es que tras la autorización de su uso en el país, muchas personas empezaron a interesarse en el tema y se han convertido en víctimas.

“Binance es una plataforma donde uno puede comprar criptoactivos como bitcoins y USDT, etcétera. La forma más fácil de hacerlo es a través del P2P que significa 'peer-to-peer' o 'entre iguales'. Si un usuario quiere comprar, puede hacerlo por QR. Lo que está pasando es que el vendedor le envía un QR, pero de un tercero y cuando se hace el depósito este se va a otra cuenta y te roban el dinero”, señaló.

Añadió que el gran problema es cuando se va al banco a reclamar. “Se trata de una transacción legítima y asume que no te están estafando. Ya sea que vayan a Defensa al Consumidor oa la ASFI, no hay respuestas”.

Pero quienes delinquen no solo se hacen pasar por vendedores, sino también por clientes. Para ello se encargan de crear, con la ayuda de aplicaciones digitales, todo tipo de vales falsos.

“El cliente escaneó mi QR y me mostró el recibo. Vi el nombre del negocio, el monto, pero no me fijé la fecha. Le saqué una foto antes de que se vaya; cuando fui a preguntar al banco por qué no había llegado el depósito, ellos vieron que la fecha era pasada, el voucher era falso. A varios negocios les han hecho así”, cuenta don René, dueño de una tienda de autopartes.

Durán aclaró que la estafa se encuentra tipificada en el artículo 335 del Código Penal de Bolivia y se caracteriza por causar un perjuicio patrimonial a través de engaños. Para la configuración de este delito, es necesario que exista un engaño, un error por parte de la víctima y una disposición patrimonial en perjuicio de ella.

Suplantar QR y personas

Hace un mes, Miriam compró unos zapatos en la popular calle Tumusla. Pagó con QR, pero la vendedora nunca recibió el depósito, aunque en la cuenta de Miriam sí vio el retiro. Intentó de nuevo y notó que la cuenta a la que el QR le dirigió le pertenecía a otra persona.

“Ese rato revisamos el QR de la vendedora y el código estaba pegado sobre el original. La vendedora negó responsabilidad y me quedó sin dinero y sin zapatos”, relató.

Aunque la mayoría de las aplicaciones móviles solicitan al cliente que verifique los detalles del pago después de escanear el código, los usuarios, cómodos con la rapidez del QR, suelen aprobar un pago fraudulento.

“Hay personas que se aprovechan y pegan o superponen sus propios QR en los de otros, para que -por medio de este engaño- los depósitos no vayan a los propietarios, sino a las cuentas del ladrón. Los estafadores hacen todo un estudio del negocio para hacer esta suplantación. Les está pasando incluso a los transportistas; por ser innovadores ponen el QR en el respaldo de su asiento”, dijo Miranda.

Pero no es la única forma de suplantación en la que el dinero es robado por QR.

La semana pasada, la presentadora Anabel Angus contó en sus redes sociales cómo su mamá sufrió el hackeo de su WhatsApp. Por esta plataforma, los delincuentes solicitaron dinero a varios de sus conocidos, incluido a Angus, por medio de un QR de una tercera persona. Sin dudarlo, ella transfirió el dinero.

“Les juro que en otro momento que yo hubiera estado más lúcida, más tranquila, menos ajetreada, hubiera analizado y pensado en ¿por qué mi mamá me está pidiendo Bs 2.100 a un QR que no es el de ella?, pero la noté tan angustiada y era el chat de mi mamá y transferí”, contó en sus redes sociales.

Lo mismo le pasó a Rodrigo Q. Hace dos meses le hackearon su WhatsApp. Los delincuentes pidieron dinero a su nombre con la foto de un QR, en el que lo único original era el código. Los datos que lo acompañaban eran trucados. Uno de sus amigos se dio cuenta al ver que el dato del QR enviado no coincidía con el que reportaba la transacción, pero no faltó quien cayó.

Quishing, la nueva amenaza

En el mundo entero los códigos QR se convirtieron en una de las amenazas de seguridad informática. Su uso masivo los hace propensos a ser explotados por piratas informáticos, quienes buscan oportunidades para distribuir malware y recopilar información confidencial.

“Usarlo es súper fácil, para todo, no solo para pagar. Yo vi uno en la calle, quería ver qué era e infecté mi celular con un malware”, dijo un universitario.

Esta nueva modalidad de delito cibernético se denomina quishing; un tipo de fraude muy parecido al phishing. La diferencia entre ellos es la forma de engañar a los usuarios para robarles la información almacenada en sus equipos.

El nombre viene de la fusión de las palabras QR y phishing, porque el robo funciona mediante estos códigos. Para obtener la información los delincuentes alojan en el contenido del QR un enlace que, al ser escaneado, lo derivan a un sitio web malicioso para robar toda su información personal o descargar un virus que logra perjudicar su dispositivo.

Este denominado “ataque cibernético” puede hacerse pasar por una entidad bancaria con el objetivo de robar las contraseñas y los códigos únicos de las tarjetas de los usuarios, y así poder robar dinero.

Los estafadores pueden colocar estos códigos en correos electrónicos, mensajes de texto, volantes, carteles públicos o incluso en superficies físicas en lugares concurridos como cafeterías, estaciones de transporte o eventos públicos.

Solo el 8,9% denuncia

Del total de víctimas de ciberdelitos, incluidos los que están relacionados al uso de QR, solo el 8,9% realiza una denuncia. El dato corresponde al “Estudio Nacional de Victimización y Percepción en Seguridad Ciudadana”, del Observatorio Boliviano de Seguridad Ciudadana del Ministerio de Gobierno.

“El tipo de ciberdelito más recurrente fue el hackeo de cuentas (68,5%), seguido de ciberacoso (29,3%) y, por último, suplantación de identidad (28,9%)”, detalla el documento.

Los resultados de la encuesta realizada para este estudio muestran que tan solo el 8,9% de las víctimas denunciaron el ciberdelito, mientras que el 91,1% no lo hizo. De estos últimos se observa que las mujeres tienen ligeramente mayor reticencia a denunciar (51,6%) que los hombres (39,5%).

“Se observó que las víctimas no denunciaron principalmente porque lo resolvieron a su manera/conocían al autor (34,1%), pensaron que las instituciones correspondientes no hubieran hecho nada (32,1%), y/o pensaron que era cosa de poca importancia (20,5%). En el grupo de otros se destaca que las víctimas no sabían que esta situación era un delito”, se detalla.

Respecto a la insatisfacción que tuvieron las víctimas cuando realizó la denuncia, se observó que entre los principales motivos se encuentran: no se interesaron (67,3%), no supieron qué hacer con su denuncia (42,9%) y/o no encontraron o no detuvieron al autor (20,1%).

El estudio señala que considerando como base los lineamientos de la Unodc (2015), los ciberdelitos serán considerados como aquellos que quebrantan la ley y que se realizan utilizando tecnologías de la información y la comunicación, para atacar las redes, sistemas, datos, sitios web. o para facilitar un delito.

Este acto ilegal es realizado por un ciberdelincuente en el espacio digital a través de las redes informáticas y diversos dispositivos electrónicos.

La norma, las mulas digitales y los cambios.

El experto Mario Durán explica que si bien existe normativa penal, el procedimiento es complejo, costoso e insume tiempo. Afirma que se deben hacer cambios en el Código Penal que vayan acorde a los nuevos delitos.

“En algunos casos, los ciberdelincuentes utilizan un grupo de cuentas bancarias para las transferencias electrónicas de dinero; es decir, si la estafa digital es cometida en Santa Cruz, el dinero proveniente de la estafa es transferido a cuentas en otros departamentos, aspecto que dificulta la investigación policial. Incluso se utilizan personas que asumen el rol de mulas digitales que pueden no sospechar que son cómplices del delito y se convierten en intermediarios de la transferencia de dineros mal habidos”, sostiene.

Esta forma de operar se vio hace algunos meses en un operativo en el que la Policía logró aprehender a 130 personas que trabajaban en una red estafas digitales desde Santa Cruz. La empresa ficticia Legend Global operaba mediante un “call center” por el que se contactaba con sus víctimas.

Ante esto, afirma que se requieren algunas medidas de política pública.

Sugiere que la Autoridad de Supervisión del Sistema Financiero (ASFI) implemente un procedimiento administrativo rápido que permita el bloqueo de cuentas bancarias utilizadas en la estafa digital, previa denuncia en la Policía. Además, propone la creación de listas negras de personas que utilizan estas cuentas para las estafas digitales.

“Asimismo, se debe modificar el Código Penal, incluyendo la tipificación de delitos cometidos por medios digitales con los agravantes correspondientes en función al número de víctimas y la persistencia de la comisión del delito”, aseveró.