El QR que te saca de la app segura
El código QR se ha normalizado para todo: pagos, acceso a webs, verificación de identidad. Los estafadores lo usan para redirigirte a un clon bancario o descargar una app maliciosa. El engaño: un cartel en la sucursal pegado encima del original, un QR en un email “oficial” o en un chat “de soporte”.
Caso realista
A Noa le llegó un email “del banco” con un QR “para validar su identidad desde otro dispositivo”. Al escanearlo, abrió una web idéntica a la oficial. Introdujo claves y luego aprobó en su móvil “una verificación”. Eran dos transferencias a beneficiarios nuevos. El banco negó: “autorizaciones válidas”.
Lo que exige la normativa
Bajo PSD2 y Directrices EBA, si hay beneficiario nuevo, dispositivo/IP desconocido o importe atípico, la entidad debe elevar fricciones: aprobación en app con destinatario/importe visibles, retardo en primeros envíos, verificación reforzada. Además, la mensajería debe ser inequívoca: un OTP aprueba pagar a X por Y €; no “verifica seguridad”.
Ciberinvestigación que te protege
En INTELISOC preservamos el QR, la URL de destino, certificados y huella técnica del clon, y exigimos logs de la entidad (IP, dispositivo, alta de beneficiario, plantillas de mensajes). Conectamos los hechos con PSD2/EBA para mostrar falta de controles.
Jurisprudencia
Cuando la experiencia inducía a confusión razonable y no se acreditaron fricciones/alertas adecuadas, los tribunales han ordenado reintegros.
Conclusión
El QR no es mágico: es un enlace disfrazado. Si te llevó a “verificar” y terminaste pagando, hay base para reclamar con apoyo de ciberinvestigación.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.