El nuevo timo con códigos QR para estafar a padres incautos a la puerta del colegio

Imagina la situación. Llegas corriendo por la mañana a llevar a tus hijos al cole. En menos de media hora tienes reunión en el trabajo. Al salir, ves un cartel en el tablón oficial de anuncios del centro. "Escanea este QR para inscribirte en las actividades extraescolares". ¡Se te había olvidado! Es ahora o nunca, será un minuto. Sacas el móvil, escaneas el QR, te piden tus datos, incluido el número de tarjeta de crédito, y rellenas todo. No sospechas, es un anuncio oficial del cole y la inscripción en extraescolares obliga a formalizar un pago. Hecho. Sin embargo, hay un problema: sin saberlo, acabas de ser estafado. Ni te has dado de alta en las extraescolares ni ese enlace pertenecía al cole. Salvo que anules de inmediato tu tarjeta, una empresa desconocida comenzará a cobrarte cada mes decenas de euros sin tu consentimiento.

Esta secuencia es justo la que les ha ocurrido estos días a varios padres y madres de al menos seis colegios públicos, concertados y privados de la Comunidad de Madrid, tal y como ha podido confirmar este diario. "Vi el cartel, iba con prisa, hacía días que quería formalizar las extraescolares de mi hijo y escaneé el QR. Todo me pareció normal, pero poco después de enviar los datos, recibí un cargo de un euro en mi cuenta corriente. Ahí ya me saltó la alarma. Luego recibí un e-mail muy raro de confirmación dándome la bienvenida a una especie de servicio de streaming de películas. Fue entonces cuando supe que había sido estafada y llamé inmediatamente al banco para dar de baja la tarjeta", relata una de las madres afectadas. Como ella, varios padres de diversos centros se han visto en la misma situación.

TE PUEDE INTERESAR

La trifulca vecinal que te espera: el del 4º ha instalado una cámara y me está grabando

Manuel Ángel Méndez

Esta estafa es solo una más de las múltiples que llevan circulando desde hace años con códigos QR. Diversos organismos, desde la Policía Nacional al Ministerio de Interior o el Banco de España, llevan tiempo avisando del peligro de las ciberestafas al usar estos códigos. El más reciente y sonado se produjo hace un par de semanas en el servicio de bicicletas públicas de Madrid, BiciMad, cuando pegaron QR falsos sobre los auténticos que lleva cada bicicleta. Al escanearlo con el móvil, el QR redirigía a una pasarela de pago falsa donde introducías tus datos bancarios. Miles de personas picaron. Esta nueva estafa detectada en colegios madrileños, sin embargo, es mucho más sutil, ya que ni siquiera es necesario superponer QR falsos sobre los auténticos.

La clave está en los servicios gratuitos de creación de QR, como ME QR, el usado en esta ocasión. Hay decenas de webs de este tipo que permiten crear QR en segundos y totalmente gratis. Todo el mundo las usa, desde particulares a empresas. En este caso, la compañía externa que gestiona las extraescolares de media docena de colegios en Madrid decidió usar ME QR para crear un código con el Google Docs en el que los padres tenían que apuntar a sus hijos. Imprimieron un cartel con el QR y lo colgaron en el tablón de anuncios. En varios centros, el tablón es acristalado, es decir, es imposible físicamente pegar un código falso sobre el auténtico, como ocurrió con BiciMad.

El problema llega en el momento de escanear. Al hacerlo, salta directamente una pantalla con este mensaje: "Escanea correctamente el código QR". Debajo, un enorme botón verde reza: "Empieza aquí". Arriba del todo aparece el logo de la empresa de QR, ME QR, así que todo parece en orden. Si quien está haciendo este proceso va con prisa o no se fija, hará clic directamente en el botón verde, y ya habrá caído en la estafa. Este redirige a la página de otra empresa que pide tus datos, incluido el número de tarjeta. El usuario cree que está inscribiéndose en las extraescolares, cuando en realidad está dándose de alta en un supuesto servicio de streaming que comenzará a cobrarle cuotas de hasta 39 euros por darse de alta. ¿Qué está pasando?

"La pantalla que ves tras escanear el QR es en realidad un anuncio. Pero está tan bien diseñado que no lo parece. Hay un botón de "Saltar anuncio", pero está en gris, muy disimulado y bajo unas líneas que lo separan del botón verde, que es el que destaca. Es muy fácil picar, sobre todo si no estás al tanto de estas cosas", explica a El Confidencial Sergio de los Santos, especialista en ciberseguridad y jefe de innovación y laboratorio en Telefónica Tech. "Es una estafa muy ingeniosa, tanto a nivel psicológico como técnico. Sin necesidad de modificar el QR consigues redireccionar al usuario. Y mezcla dos timos en uno. Las webs falsas de streaming llevan tiempo operando, pero aquí le añade además la capa del QR".

Quien está colando el anuncio de forma engañosa es una empresa fantasma llamada Pulsler. Supuestamente, ofrece servicios de streaming de música, películas videojuegos y audiolibros. En realidad, es un fraude que solo busca dar de alta a usuarios para luego dificultar su baja lo máximo y cobrar así una o varias cuotas de varias decenas de euros.

"Es una estafa muy ingeniosa, tanto a nivel psicológico como técnico. Sin necesidad de modificar el QR logras redireccionar al usuario"

"Escaneé el QR y esa misma madrugada me cobraron un euro. A los tres días me lo volvieron a ingresar. No le di ninguna importancia. Unos días más tarde, me cobraron 39 euros, y a los dos meses siguientes me hicieron el mismo cargo. He tenido que poner una denuncia para llevarla al banco y que giren todos los recibos y bloqueen futuros cobros", explica un español en un foro online. Como él, otras 180 personas en diversos países europeos denuncian haber sido víctimas de la misma práctica de Pulsler. "Yo escaneé un código QR. Mi sorpresa fue cuando he visto que me han cobrado un euro y hoy un cargo de 39 euros. Me he ido al banco a dar de baja mi tarjeta. Son unos ladrones y unos estafadores", publica Mónica Fernández.

En su página web, Pulsler muestra un único número de contacto en el extranjero (con código de Francia) y avisa que solo ofrece soporte en inglés. Al llamar, un agente pregunta tus datos. En realidad trabaja para la empresa World Beyond Inc, con sede en Florida, que "da atención al cliente a muchas webs de streaming y citas", asegura el operador al otro lado de la línea. Señala también que Pulsler es en realidad una marca de otra empresa, Content Heathens. Esta tiene su sede en Chipre, ofrece también streaming de deportes, películas y música, su web es un calco a la de Pulsler y depende de otra, Niori Holding Ltd, compañía de, sorpresa, atención al cliente con sede en Chipre. Se trata de un entramado casi infinito de empresas fantasma en múltiples países que hace casi imposible su persecución legal por parte de las autoridades de un país.

"Muchas de estas organizaciones están alojadas en países con una legislación fiscal y penal muy laxa. Se mueven en una zona gris. Captar a gente con estas tácticas en España puede ser delito, pero no en el país donde operan", explica Josep Albors, ingeniero y especialista en ciberseguridad.

Este experto coincide en que, usando un sistema "poco sofisticado, tiran de una trampa muy inteligente capaz de engañar a mucha gente. En el contexto de un colegio, bajas la guardia, crees que todo lo que recibes allí es seguro, viene del cole, no lo vas a poner en duda. Es muy fácil picar", explica. "Además, con esta misma técnica y el mismo mensaje, pueden cazar a cualquiera. Esto no está pensado solo para colegios, le puede aparecer a todo el que use la plataforma ME QR u otras que sean gratuitas", señala Albors.

La gratuidad de estas webs de creación de QR es su punto débil. Al ganar dinero a través de la publicidad, si alguien logra colar un anuncio malicioso como ese en el paso justo anterior a usar su producto, bingo. "Estas empresas tienen muy estudiado cómo aparecer ahí. Usan la red de anuncios de Google, compran palabras clave, rastrean las cookies de los usuarios y acaban apareciendo siempre que escanees un QR. Técnicamente, no es difícil, y tienes la ventaja de que llegas a muchísima gente", dice Sergio. Entre los estafados hay de todo: gente que escaneó el código en un concierto, en una tienda tras comprar una pulsera electrónica, en un gimnasio...

"Muchas veces, te redirigen a una página que es calcada a la original que ibas a visitar, pero solo varía una letra en el dominio. Compruébalo"

Consultados sobre los casos de estafa en colegios madrileños, fuentes policiales aseguran no haber recibido aún ninguna denuncia. La compañía organizadora de las extraescolares en media docena de coles en Madrid, creadora de los QR con la página ME QR, explica que ya ha avisado a todos los centros y posibles afectados para evitar que el problema se extienda. "La verdad que no teníamos ni idea de que algo así podría ocurrir", explica a este diario uno de sus responsables.

¿Cómo evitar caer en este tipo de trampas? Sergio de los Santos da algunas claves. Primero, lo más básico: evitar usar páginas gratuitas para crear estos códigos. "Su modelo va a ser siempre enseñarte publicidad, y por ahí van a intentar cazar a la gente". Segundo, asegurarte de que el QR que vas a escanear no es una suplantación, es decir, no la han pegado físicamente por encima del auténtico. Tercero, una vez escaneas, comprobar bien la URL del sitio al que te lleva. "Muchas veces, te redirigen a una página que es visualmente calcada a la original que ibas a visitar, pero solo varía una letra en el dominio. Compruébalo", avisa de los Santos. "Lo digo siempre, no basta solo con aplicar el sentido común. Para que no te estafen es fundamental adquirir una mínima base técnica".