QR bajo el dominio del ayuntamiento
Si todos los códigos oficiales salen de aj.elmunicipio.cat, el ciudadano tiene una referencia clara. Una pegatina que lleve a otro dominio queda en evidencia.
Es el ejemplo más citado de quishing en España y el más fácil de entender: una pegatina con un código QR falso, colocada encima del código legítimo de un parquímetro. Quien quiere pagar el aparcamiento escanea de buena fe y acaba dejando los datos de la tarjeta en una web que imita la del ayuntamiento. INCIBE lo ha documentado como uno de los vectores más habituales.
El estafador imprime un QR que apunta a una web controlada por él y la coloca justo sobre el código legítimo del parquímetro. Visualmente es indistinguible.
El código lleva a una página que copia la apariencia del ayuntamiento o de la pasarela de pago, con el logo y los colores correctos.
El conductor «paga el aparcamiento» y entrega, sin saberlo, los datos de la tarjeta. El pago real del estacionamiento ni siquiera llega a hacerse.
El mismo patrón se ha visto, según INCIBE, en terrazas y cargadores eléctricos: cualquier lugar donde un QR invita a pagar es un objetivo.
El Instituto Nacional de Ciberseguridad ha alertado del fraude con códigos QR y ha señalado este como el vector más común en España: pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores eléctricos, suplantando webs de ayuntamientos y pasarelas de pago. Usamos la fuente institucional a propósito: es una constatación de un organismo público, no una cifra de un proveedor de seguridad.
INCIBE — códigos QR fraudulentos ↗ · INCIBE — aviso de campaña de quishing ↗
Empecemos por lo que es honesto: nadie puede impedir físicamente que alguien pegue una pegatina. Lo que sí se puede cambiar es quién puede demostrar qué es legítimo.
Si todos los códigos oficiales salen de aj.elmunicipio.cat, el ciudadano tiene una referencia clara. Una pegatina que lleve a otro dominio queda en evidencia.
Con un QR firmado, el técnico municipal, el periodista o el ciudadano preocupado pueden comprobar con un verificador público que el código legítimo es del ayuntamiento. La pegatina falsa no pasa la comprobación.
Explicar a los ciudadanos que los códigos se pueden verificar y revisar periódicamente el mobiliario urbano para detectar pegatinas superpuestas. La tecnología acompaña; no sustituye la vigilancia.
Digámoslo claro: un QR firmado no impide el ataque —el estafador siempre podrá imprimir su propio código—, pero impide que el ataque se haga pasar por el ayuntamiento ante quien se moleste en comprobarlo. Es una capa de confianza y de respuesta al incidente, no un antivirus.
El estafador imprime una pegatina con un código QR y la coloca sobre el QR legítimo del parquímetro. Quien quiere pagar el aparcamiento escanea el código falso, llega a una web que imita la del ayuntamiento o la pasarela de pago, e introduce los datos de la tarjeta, que acaban en manos del defraudador.
INCIBE ha alertado del fraude con códigos QR y ha señalado su vector más común en España: pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores eléctricos, suplantando webs de ayuntamientos y pasarelas de pago.
No: nadie puede impedir físicamente que alguien pegue una pegatina. Lo que aporta un QR firmado y bajo el dominio del ayuntamiento es que el ciudadano, el técnico o el periodista pueden comprobar que el código legítimo es del ayuntamiento, y que la pegatina falsa no lo es.
Publicar todos los QR del espacio público bajo su propio dominio, firmarlos para que sean verificables, comunicar a los ciudadanos que se pueden comprobar y revisar periódicamente el mobiliario urbano para detectar pegatinas superpuestas.
Del problema a la respuesta operativa.
Firmados, bajo el dominio del ayuntamiento y con verificador público. Es la respuesta a las pegatinas falsas de los parquímetros: no impide el ataque, pero impide que suplanten a la administración sin que se note.