Ese momento en el que recoges el correo y, de paso, miras el móvil para ver si ha subido la gasolina, es tan cotidiano como respirar. Ahora imagina que dentro del sobre hay un simple cuadrado de cuadros negros (sí, un código QR) que promete facilitarte la vida. Lo escaneas por pura comodidad y, zas, adiós a tus ahorros: el troyano “Coper” se instala en tu teléfono y vacía tu saldo en un abrir y cerrar de ojos.
Esta “estafa del cartero”, detectada por el Centro Nacional Suizo de Seguridad Cibernética (NCSC) y replicada ya en Italia, convierte un gesto rutinario en una pesadilla bancaria. ¿Lo peor? Los delincuentes copian incluso los QR de tu banco de toda la vida, esos que parecen tan oficiales como el sello de Correos. Así que, si pensabas que el phishing era la cumbre del engaño digital, agárrate, porque el QR-truco viene pisando fuerte.
¿Cómo se cuela la estafa del cartero en tu buzón?
Recibes una carta “aparentemente” legítima con un código QR estampado en grande: podría ser una factura, un supuesto aviso bancario o, en Italia, una pegatina colocada en el parquímetro para pagar el estacionamiento.
En cuanto escaneas el código, el teléfono descarga sin permiso un malware (software malicioso que se instala sigilosamente) llamado “Coper”. El troyano intercepta SMS y roba credenciales bancarias, de modo que los ladrones acceden a tu cuenta y la dejan a cero antes de que tú acabes el café.
Por si fuera poco, las entidades bancarias han detectado clones de sus propios QR en páginas oficiales. El cliente cree que inicia sesión segura, pero realmente está regalando su PIN. La clave de todo: el QR funciona como el viejo código de barras, pero con esteroides digitales. Una vez escaneado, puede redirigirte a webs trampa o descargar apps infectadas, sin levantar sospechas.
¿Por qué los códigos QR son el gancho perfecto para los ciberdelincuentes?
En los años pre‑pandemia, el QR era casi un hipster tecnológico; tras 2020, se convirtió en ubicuo: menús de restaurante, billetes de tren, recibos e incluso la tarjeta de embarque para ver a la abuela. Esa normalización ha creado confianza ciega: vemos un cuadrado pixelado y lo apuntamos con la cámara como quien firma un paquete.
Además, estos códigos son fáciles de falsificar y difíciles de comprobar a simple vista. No necesitas un hacker de película: basta con imprimir una pegatina y colocarla sobre el QR auténtico. El usuario común no distingue el original del pirateado, sobre todo si el contexto parece legítimo como el buzón de casa o la máquina de tickets del aparcamiento.
Pasos para blindarte antes de escanear un QR
Antes de acercar la cámara y poner en juego la nómina, sigue este sencillo protocolo de autoprotección:
- Comprueba siempre la fuente: si viene en un sobre “sospechoso” o pegado sobre otro QR, desconfía y no lo escanees.
- Usa una app de seguridad que analice el enlace antes de abrirlo.
- No compartas códigos de verificación ni claves bancarias por mensaje, ni siquiera “un momento” mientras tu banco “te ayuda”.
- Mantén el móvil actualizado; los parches de seguridad tapan agujeros donde se cuelan estos troyanos.
- Activa la verificación en dos pasos: un ladrón necesitará algo más que tu código QR para vaciarte la cuenta.
Aplicar estos cinco pasos te llevará menos tiempo que buscar un cargador a última hora y, por consiguiente, puede ahorrarte un disgusto de cuatro ceros en el extracto bancario.
El QR que promete comodidad puede salir caro si llega en carta ajena o pegado en plena calle. Revísalo dos veces, actualiza tu móvil y olvida aquello de “el banco nunca se equivoca”: tu mejor antivirus sigue siendo el sentido común.