Estafas con códigos QR: el nuevo anzuelo invisible

El QR que te saca de la app segura

El código QR se ha normalizado para todo: pagos, acceso a webs, verificación de identidad. Los estafadores lo usan para redirigirte a un clon bancario o descargar una app maliciosa. El engaño: un cartel en la sucursal pegado encima del original, un QR en un email “oficial” o en un chat “de soporte”.

Caso realista

A Noa le llegó un email “del banco” con un QR “para validar su identidad desde otro dispositivo”. Al escanearlo, abrió una web idéntica a la oficial. Introdujo claves y luego aprobó en su móvil “una verificación”. Eran dos transferencias a beneficiarios nuevos. El banco negó: “autorizaciones válidas”.

Lo que exige la normativa

Bajo PSD2 y Directrices EBA, si hay beneficiario nuevo, dispositivo/IP desconocido o importe atípico, la entidad debe elevar fricciones: aprobación en app con destinatario/importe visibles, retardo en primeros envíos, verificación reforzada. Además, la mensajería debe ser inequívoca: un OTP aprueba pagar a X por Y €; no “verifica seguridad”.

Ciberinvestigación que te protege

En INTELISOC preservamos el QR, la URL de destino, certificados y huella técnica del clon, y exigimos logs de la entidad (IP, dispositivo, alta de beneficiario, plantillas de mensajes). Conectamos los hechos con PSD2/EBA para mostrar falta de controles.

Jurisprudencia

Cuando la experiencia inducía a confusión razonable y no se acreditaron fricciones/alertas adecuadas, los tribunales han ordenado reintegros.

Conclusión

El QR no es mágico: es un enlace disfrazado. Si te llevó a “verificar” y terminaste pagando, hay base para reclamar con apoyo de ciberinvestigación.

Artículos relacionados

• 52. Autenticación reforzada (SCA)
• 53. Estafa de inversión (I): penal archivada, civil al banco
• 54. Phishing por anuncios