Saltar al contenido
🅿️ Caso documentado

El fraude del QR en los parquímetros, explicado

Es el ejemplo más citado de quishing en España y el más fácil de entender: una pegatina con un código QR falso, colocada encima del código legítimo de un parquímetro. Quien quiere pagar el aparcamiento escanea de buena fe y acaba dejando los datos de la tarjeta en una web que imita la del ayuntamiento. INCIBE lo ha documentado como uno de los vectores más habituales.

Fuente: INCIBE Vector real y verificado Respuesta honesta, sin sobrepromesas
El engaño, paso a paso

Cómo desvía el pago una pegatina de dos euros de coste

1

La pegatina falsa

El estafador imprime un QR que apunta a una web controlada por él y la coloca justo sobre el código legítimo del parquímetro. Visualmente es indistinguible.

2

La web clonada

El código lleva a una página que copia la apariencia del ayuntamiento o de la pasarela de pago, con el logo y los colores correctos.

3

Los datos robados

El conductor «paga el aparcamiento» y entrega, sin saberlo, los datos de la tarjeta. El pago real del estacionamiento ni siquiera llega a hacerse.

El mismo patrón se ha visto, según INCIBE, en terrazas y cargadores eléctricos: cualquier lugar donde un QR invita a pagar es un objetivo.

Qué dice INCIBE

No es un caso aislado, es un vector documentado

El Instituto Nacional de Ciberseguridad ha alertado del fraude con códigos QR y ha señalado este como el vector más común en España: pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores eléctricos, suplantando webs de ayuntamientos y pasarelas de pago. Usamos la fuente institucional a propósito: es una constatación de un organismo público, no una cifra de un proveedor de seguridad.

INCIBE — códigos QR fraudulentos ↗ · INCIBE — aviso de campaña de quishing ↗

La respuesta honesta

Qué puede hacer un ayuntamiento (y qué no puede hacer nadie)

Empecemos por lo que es honesto: nadie puede impedir físicamente que alguien pegue una pegatina. Lo que sí se puede cambiar es quién puede demostrar qué es legítimo.

QR bajo el dominio del ayuntamiento

Si todos los códigos oficiales salen de aj.elmunicipio.cat, el ciudadano tiene una referencia clara. Una pegatina que lleve a otro dominio queda en evidencia.

Códigos verificables

Con un QR firmado, el técnico municipal, el periodista o el ciudadano preocupado pueden comprobar con un verificador público que el código legítimo es del ayuntamiento. La pegatina falsa no pasa la comprobación.

Comunicación y revisión

Explicar a los ciudadanos que los códigos se pueden verificar y revisar periódicamente el mobiliario urbano para detectar pegatinas superpuestas. La tecnología acompaña; no sustituye la vigilancia.

Digámoslo claro: un QR firmado no impide el ataque —el estafador siempre podrá imprimir su propio código—, pero impide que el ataque se haga pasar por el ayuntamiento ante quien se moleste en comprobarlo. Es una capa de confianza y de respuesta al incidente, no un antivirus.

Preguntas frecuentes

Dudas habituales

¿Cómo funciona el fraude del QR en los parquímetros?

El estafador imprime una pegatina con un código QR y la coloca sobre el QR legítimo del parquímetro. Quien quiere pagar el aparcamiento escanea el código falso, llega a una web que imita la del ayuntamiento o la pasarela de pago, e introduce los datos de la tarjeta, que acaban en manos del defraudador.

¿Qué ha documentado INCIBE sobre este fraude?

INCIBE ha alertado del fraude con códigos QR y ha señalado su vector más común en España: pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores eléctricos, suplantando webs de ayuntamientos y pasarelas de pago.

¿Un QR firmado impide que peguen una pegatina falsa?

No: nadie puede impedir físicamente que alguien pegue una pegatina. Lo que aporta un QR firmado y bajo el dominio del ayuntamiento es que el ciudadano, el técnico o el periodista pueden comprobar que el código legítimo es del ayuntamiento, y que la pegatina falsa no lo es.

¿Qué puede hacer un ayuntamiento para protegerse?

Publicar todos los QR del espacio público bajo su propio dominio, firmarlos para que sean verificables, comunicar a los ciudadanos que se pueden comprobar y revisar periódicamente el mobiliario urbano para detectar pegatinas superpuestas.

Sigue leyendo

Clúster de seguridad QR

Del problema a la respuesta operativa.

QR municipales que el ciudadano puede verificar

Firmados, bajo el dominio del ayuntamiento y con verificador público. Es la respuesta a las pegatinas falsas de los parquímetros: no impide el ataque, pero impide que suplanten a la administración sin que se note.