Te sientas en la terraza, disfrutas del sol y sacas el móvil para escanear ese código QR que promete decirte cuánto cuestan las cañas y las tapas. Es un gesto que hemos interiorizado tras la pandemia, un automatismo moderno donde confiamos ciegamente en la tecnología que tenemos delante sin hacernos demasiadas preguntas sobre su procedencia real. Sin embargo, ese pequeño cuadrado pixelado podría ser la puerta de entrada a una pesadilla financiera que vacíe tu cuenta corriente antes de que lleguen las aceitunas.
Lo que parece una herramienta inofensiva del restaurante puede ser, en realidad, una trampa física colocada por un ciberdelincuente minutos antes. La estafa es tan sencilla como aterradora, pues consiste en pegar una etiqueta falsa sobre la original para redirigir al cliente a una web fraudulenta. Mientras tú esperas ver el menú en PDF, tu teléfono está entregando tus credenciales o descargando software malicioso sin que te des cuenta, en lo que los expertos llaman "Quishing".
Pegatinas sobre pegatinas: la ingeniería social más tonta y efectiva
Lo que hace que este fraude sea tan peligroso no es una tecnología compleja, sino su ridícula simplicidad operativa al alcance de cualquiera. Los estafadores no necesitan hackear los servidores del bar, ya que solo requieren imprimir un adhesivo en su casa y pegarlo en un descuido de los camareros. Aprovechan el ajetreo del servicio o las mesas apartadas para superponer su código sobre el que el establecimiento había plastificado con toda su buena intención en la mesa.
Una vez que la víctima apunta con la cámara, la trampa se cierra de forma invisible y silenciosa en su pantalla. El usuario cree estar navegando por la carta del local, pero en realidad ha aterrizado en una web clonada que imita a la perfección la estética de un servicio de hostelería o de pagos. La barrera de entrada para el criminal es nula y el beneficio potencial es enorme, aprovechándose de nuestra prisa y de esa confianza ingenua que depositamos en el mobiliario urbano.
¿De verdad miras la dirección web antes de pedir las bravas?
El éxito del Quishing radica en que nos pilla con la guardia baja y el estómago vacío, dos factores que anulan el sentido crítico. Cuando estamos en un entorno de ocio y relajación, nuestro cerebro desactiva las alertas de ciberseguridad habituales que sí tendríamos al abrir un correo electrónico sospechoso en la oficina. Nadie piensa que le van a robar los ahorros mientras decide si pide croquetas o calamares, y es precisamente esa falta de malicia la que explotan los ladrones.
A esto se suma el uso generalizado de acortadores de URL que ocultan el destino real al que nos lleva el escaneo. La mayoría de la gente no verifica la barra de direcciones del navegador, y mucho menos sospecha de un enlace extraño si la página carga rápido y tiene fotos de comida. Al no ver la URL completa, es facilísimo que nos cuelen un dominio ruso o una pasarela de pago falsa sin que nos salten las alarmas hasta que es demasiado tarde.
Cuando el código QR deja de ser un atajo y se vuelve un robo
Existen dos variantes principales de este ataque que pueden arruinarte el mes, dependiendo de la sofisticación del grupo criminal que esté detrás. En la versión más directa, la web falsa te pide que realices el pago del pedido por adelantado, y es ahí donde introduces voluntariamente los datos de tu tarjeta creyendo que estás abonando la consumición. No solo te roban el importe de esa supuesta comida, sino que se quedan con la numeración completa para realizar cargos fraudulentos posteriores.
La segunda variante es mucho más sutil y peligrosa a largo plazo, ya que no te pide dinero, sino que te instala algo. Al escanear el código, se inicia la descarga de un archivo malicioso en segundo plano, y este malware se queda latente en tu dispositivo espiando tus movimientos. Puede ser un troyano bancario que espere pacientemente a que abras la aplicación de tu banco legítima para interceptar las claves de acceso y los códigos de confirmación SMS.
La prueba del dedo: vuelve a tocar la mesa
Ante este panorama, la solución más efectiva no pasa por instalar antivirus complejos, sino por recuperar el contacto físico con la realidad. Antes de sacar el móvil, pasa la mano por encima del código, pues si notas un relieve extraño o bordes despegados es muy probable que sea una etiqueta fraudulenta superpuesta. Si el código QR original está impreso en el propio mantel de papel o bajo un metacrilato, es imposible que tenga textura de pegatina.
Si tienes la más mínima duda, o si la web a la que te dirige te pide datos personales extraños para ver una simple carta, aborta la misión inmediatamente. No tengas miedo de parecer antiguo, ya que lo más seguro sigue siendo pedir la carta física al camarero de toda la vida.
