Están solos en la vía pública
El mobiliario urbano no tiene vigilancia continua. Una pegatina falsa puede pasar días sobre un código legítimo sin que nadie se dé cuenta.
Los códigos QR municipales —parquímetros, terrazas, cartelería, puntos de información— son un objetivo de fraude precisamente porque están en la vía pública e invitan a confiar. INCIBE ha documentado el patrón de las pegatinas falsas. Esta guía propone una respuesta realista: no promete detener el ataque, sino hacer que los códigos oficiales se puedan distinguir de una imitación.
El mobiliario urbano no tiene vigilancia continua. Una pegatina falsa puede pasar días sobre un código legítimo sin que nadie se dé cuenta.
Aparcamiento, tasas, servicios: muchos QR municipales llevan a un pago. Es justo lo que busca el defraudador para capturar datos de tarjeta.
Cuando un ciudadano cae, la reputación que se quema es la de la administración. La presión mediática y política recae sobre el ayuntamiento, no sobre el atacante.
Fuente del vector: INCIBE — códigos QR fraudulentos ↗. Usamos la fuente institucional a propósito, no cifras de proveedores.
Que todos los códigos oficiales salgan de un único dominio del ayuntamiento (por ejemplo aj.elmunicipio.cat). Una pegatina que lleve a otro sitio queda en evidencia.
Firmar los códigos para que cualquiera pueda comprobar con un verificador público que son del ayuntamiento. La imitación no pasa la comprobación.
Explicar de forma sencilla que los QR oficiales se pueden verificar y cómo hacerlo. La sensibilización reduce la tasa de éxito del fraude.
Rondas periódicas para detectar pegatinas superpuestas, sobre todo en parquímetros y puntos de pago. La tecnología no sustituye la inspección.
Un procedimiento claro para cuando se detecte un fraude: retirada de la pegatina, aviso público y, si procede, denuncia. Poder decir «nuestro código se verifica así» acelera la respuesta.
Ninguna de estas medidas impide que alguien imprima una pegatina. Lo que consiguen en conjunto es que el fraude sea más difícil, más detectable y mucho más fácil de desmentir.
QR municipales bajo el dominio del ayuntamiento, firmados y verificables por cualquiera con un verificador web público. Códigos que no caducan y cuyo destino siempre controla el ayuntamiento (garantía anti-rehén).
No «detenemos el quishing»: un atacante siempre podrá imprimir su propio QR. No hacemos antifalsificación del objeto físico. La firma no impide el ataque; impide que se suplante al ayuntamiento ante quien verifica.
Porque están en el espacio público, sin vigilancia continua, y a menudo invitan a pagar (aparcamiento, tasas). INCIBE ha documentado que el vector más común en España son pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores, suplantando webs de ayuntamientos y pasarelas de pago.
Publicar todos los QR oficiales bajo el dominio del ayuntamiento, firmarlos para que se puedan verificar, comunicarlo a los ciudadanos, revisar periódicamente el mobiliario urbano y tener un protocolo de respuesta cuando se detecte una pegatina falsa.
No. Nadie puede impedir que alguien imprima y pegue una pegatina falsa. Lo que aporta es que el código legítimo del ayuntamiento se puede verificar: ante un incidente, el ciudadano, el técnico o el periodista pueden comprobar qué es oficial y qué no lo es.
No. La verificación se hace con un verificador web público que se abre en el navegador, sin instalar ninguna aplicación ni crear ninguna cuenta.
El contexto completo del quishing.
Ayudamos a los ayuntamientos a poner todos sus QR bajo su dominio, firmados y comprobables por cualquiera. La respuesta honesta a las pegatinas falsas de los parquímetros.