Pagas con QR y te vacían la cuenta?

JADM 22 agosto, 2024
Posteo

Se publican noticias en la web y las vemos en TV. Nos comparten posteos de víctimas, amigos de víctimas, parientes de esos amigos de las víctimas y las historias se van amplificando y mutando a medida que viajan de lector a lector.

Últimamente, como alerta de tsunami, se empezaron a propagar versiones de víctimas que cuentan que con sólo haber pagado mediante el escaneo de un QR, momentos despues encontraron sus cuentas vacías.



Sin querer caerle a las víctimas pero advirtiendo tambien que no voy a entrar en la hipócrita corrección política, valga decir que no es tan así. Aunque por la adrenalina del mal momento pueda uno creer que no cometió ningún error de seguridad y sólo escaneó un QR aparentemente confiable, es seguro que algo más sucedió antes, durante o despues y en el mejor de los casos no lo está recordando.

Es importante tener en cuenta estas cosas porque las noticias mal comunicadas, carentes de un poco de sustento técnico y desparramadas así nomás, tienden a crear la sensación de que no importa lo que hagamos, nos pueden vaciar las cuentas y no hay nada que podamos hacer al respecto, cuando la realidad es bastante diferente.

Es cierto que no hay sistemas infalibles y que nadie está excento de que, Dios no lo permita!, alguna vez seamos víctimas de estafadores. Pero, salvo en los casos de asaltos por fuerza bruta, siempre hay de por medio un engaño, una trampa previa, una distracción creada para hacernos trastabillar y caer en algún tipo de trampa que permite el acceso a nuestras cuentas.



La infraestructura QR

Ese dibujito que llamamos QR es un código de barras cuadrado. Y cómo esas etiquetas que vemos en los productos, contienen datos: una dirección WEB o un teléfono, podrían contener simplemente un texto o, en el caso que nos ocupa, datos de una cuenta monetaria que será el destino de un pago, depósito o transferencia.

En Argentina la principal red sobre la que viajan las operaciones fue creada y es gestionada y mantenida por Mercado Pago. Tan mala e insegura no debe ser, toda que vez que TODAS las instituciones financieras y bancarias estuvieron largo tiempo presionando para que finalmente el Banco Central obligara a Mercado Pago a permitir que cualquier empresa pueda operar aprovechando su infraestructura ya existente. Eso significa que hoy podés abonar escaneando cualquier QR con cualquier billetera virtual o aplicación bancaria y usando los fondos desde cualquier cuenta virtual, bancaria o de tarjeta de crédito.

Es una red segura y encriptada y, al menos hasta hoy, no se conocen agujeros de seguridad que hayan sido explotados por delincuentes para interceptar y desviar una transacción al vuelo. Quiero decir que si escaneás el QR de mi cuenta personal, al hacer la transferencia ese dinero no puede ser interceptado en el camino y llevado a otro destino que no sea mi cuenta personal. De nuevo: al menos por el momento, esto no parece ser posible.

Entonces no me pueden robar si pago con QR? Sí, pero de otras formas.



Estafas con QR

Códigos QR falsos

Se están popularizando bastante. El delincuente remplaza el QR original de un comercio (cambiando el cartel o pegando otro QR sobre el real) por otro que contiene los datos de otra cuenta. El cliente realiza el pago y el comerciante no lo recibe, porque el dinero fué a la cuenta del ladrón. Si el cliente y el comerciante no están demasiado despistados, como mucho podrán caer un par de clientes en la trampa hasta que descubran que el QR fue alterado, pero el dinero está perdido. Esto podría evitarse muy fácil: siempre que hagas un pago, en el primer paso, la aplicación, cualquiera sea la que uses, te mostrará los datos de la cuenta de destino: preguntar y confirmar con el comerciante o destinatario real de tu pago que esa es la cuenta correcta antes de continuar el pago, ES IMPRESCINDIBLE. Lo mismo cuenta para transferencias a CBU, CVU o Alias: confirmar los datos antes de pagar.

En la misma familia de QR falsos, hay una segunda modalidad que es que el QR contenga una dirección web que te lleva a un sitio falso que simula ser una ventana de tu aplicación de pago, en la que se te solicita, antes de proseguir con la operación, que verifiques tus datos de seguridad. Allí te piden ingresar tu usuario, clave de seguridad y probablemente algún otro dato adicional. Esos datos van a parar inmediatamente a manos de un estafador que, mientras vos perdes tiempo tratando de entender porqué no lográs pagar las medialunas, está ingresando a tu cuenta y haciendo con ella lo que se le antoja.

Me sorprende tener que repetir estas cosas siendo que estas modalidades de pago llevan entre nosotros un tiempo suficiente, pero parece necesario: ante la más mínima diferencia con la operatoria habitual, lo prudente es no continuar con el pago y revisar minuciosamente que es lo que está sucediendo. Si de pronto aparece una ventana que nos pide datos de seguridad cuando habitualmente esto no sucede, revisemos que esa ventana corresponda a la aplicación de pago y que no es una ventana del navegador que se abrió sin que lo pidamos. Es de esperar que al menos sepas usar el teléfono para ver que aplicaciones estan abiertas. Si no, mi consejo es que antes de seguir usando tu dispositivo como herramienta financiera, te familiarices mucho con sus funciones más básicas o estarás exponiéndote a riesgos innecesarios.

Estos QR fraudulentos no sólo podes encontrártelos en lugares y comercios públicos. Estan apareciendo adheridos a cajeros automáticos, se distribuyen en correos que simulan provenir de empresas o instituciones conocidas, WhatsApp, redes sociales… pululan por todos lados.

Llamadas, mensajes, correos y aplicaciones peligrosas

A estas alturas no debería quedar ningún usuario de dispositivos que no esté al tanto de que existen organizaciones que se dedican a contactarnos disfrazados de instituciones oficiales o empresas y que, con los mas diversos argumentos, intentan convencernos de que les entreguemos algun dato de seguridad relevante o ese código secreto que vamos a recibir y debemos comunicarles para completar el trámite que sea que hayan inventado. Ya no hay excusas para no estar atentos a menos que vivas en una nube de gas. No existe ninguna razón para entregar algún dato a nadie sino contactar a la institución o empresa directamente por los canales oficiales y no por dónde el interlocutor de turno nos dice. Otra vez, no es por caerle a la víctima, pero la pereza, falta de tiempo, negligencia o lo que sea que te inventes como justificación, no sirve para nada: te van a robar.

Los correos llenos de dádivas o amenazas de infracciones, multas o cancelaciones de cuentas o hasta las amenazas extorsivas tampoco pueden sorprenderte a menos que hayas caído en el mundo digital recien hoy a la mañana y hasta este momento hibernaste congelado en un iglú del Ártico. En esos correos no dás clicks en sus links, no seguís sus instrucciones, no los repondes. Está claro?

Y por último, esas aplicaciones gratuitas maravillosas con las que atiborrás la memoria de tu celu porque te permiten hacer todas esas cosas fabulosas y que tres minutos despues olvidaste pero allí quedaron, instaladas… tenés idea de quien las programó y exactamente que hacen? Se te ocurrió preguntarte porqué semejante herramienta te llega tan generosamente gratis? Vamos, che! Un poco de sentido común tampoco es pedir tanto!!

Es cierto que aún si dejaras un diamante en la mesa de un bar, nadie tendría porqué tomarlo y que es injusto que sea la gente de bien la que deba vivir cuidándose la espalda mientras los delincuentes pueden hacer lo que sea. Tenés razón y quizás un día vivamos esa fantástica utopía en la que esas cosas no sucedan. Pero si mientras tanto no te cuidás, te pueden pasar cosas desagradables.

La doble autenticación

Bancos, billeteras, Gmail, Microsoft, WhatsApp… casi todo nuestro universo de aplicaciones nos bombardean constantemente con comunicaciones respecto a mantener nuestras contraseñas seguras y cambiarlas periódicamente no usándo la misma en más de un servicio. Y pidiéndonos, rogándonos y hasta exigiéndonos que activemos la doble autenticación: que ademas de la clave, haya un segundo factor de seguridad para acceder a nuestras cuentas. Este segundo factor puede ser la huella, el reconocimiento facial, un PIN adicional o una aplicación de autentificación que genere un token de un único uso. Cada aplicación tiene su propio instructivo para activar y usar esta doble autenticación y nunca es demasiado complicado. No haberlo hecho suma otro item a la lista de méritos que te ascienden en la pirámide de potenciales víctimas de estafa, porque aún si por un engaño o descuido anterior han obtenido tu usuario y clave de acceso a la billetera, el segundo factor de autenticación agrega un escollo casi insalvable, al menos en lo inmediato, para que el daño no sea mayor e incontenible. Ante cada intento de operación, el banco o billetera en cuestión pedirá la llave que abre ese segundo candado y el delincuente no la tiene.

Google Authenticator

En Mercado Pago, se agregó una nueva capa de seguridad. Entrando a tu perfil, en la configuración de Seguridad, veras la nueva opción Google Athenticator. Tenes que activarla y, en tu celular, descargar desde el Play Store la aplicación Google Authenticator. Asegurate que la que elijas sea la que proviene de Google LLC, que es la original, porque ya aparecen algunas otras de orígenes dudosos. Sólo tenes que seguir los pasos que te va mostrando hasta finalizar la configuración. Lo que hace esta combinación entre Mercado Pago y Google Authenticator es que cada vez que se intente a ingresar a tu cuenta desde un nuevo dispositivo, te va a exigir que ingreses el código de 6 dígitos que sólo genera Google Authenticator en tu teléfono. Obviamente ese código JAMAS SE LO VAS A PASAR A NADIE no importa cual sea el motivo por el que te lo esten pidiendo. Es el mismo caso que el código de activación de WhatsApp que te llega por SMS (y dice NO COMPARTAS ESTE CÓDIGO), por ejemplo.

Bancos y billeteras, no son responsables de nada?

Pese a que en casi todos los casos la brecha de seguridad la genera el propio usuario y es aprovechada por un delincuente oportunista, hay cuestiones a revisar. Cosas que llaman la atención, por lo menos.

  • Vos, para abrir una simple caja de ahorro y hacer tu primera transferencia, tuviste que llevar al banco poco menos que la decodificación completa de tu ADN, documentos, servicios a tu nombre, alguna certificación de domicilio. Tenes que respetar topes, límites y horarios. Para mandar una transferencia relativamente pequeña a un nuevo destinatario es necesario que completes datos, verifiques la operación y la valides mediante diversos sistemas de seguridad. Ni hablar de la montaña de papeles, documentos y verificaciones necesarias para obtener un préstamo… Sin embargo, quien te estafó abrió una cuenta con un documento robado, con domicilio inexistente y en apenas un par de horas obtuvo el crédito que a vos te negaban y lo pudo transferir a una docena de cuentas tambien creadas con datos apócrifos. Que onda?
  • Las billeteras son tal vez un poco mas seguras, pero tambien se dan situaciones que, de mínima, dan lugar a algún que otro cuestionamiento. Cómo es que yo al abrir la cuenta tuve que escanear mi documento, esperar cierta operación de verificación de datos para validar con la autoridad competente que ese documento corresponde a mi persona y luego tomarme una veintena de fotos (y reintentarlo otra veintena de veces hasta obtener la precisión requerida) para que el sistema verifique que la cabeza que tengo sobre el cogote corresponde a la foto del documento escaneado???. Pero Juan Perez abrió la cuenta con el documento de una tía muerta y allí anda él, transfiriéndose nuestros fondos sin problemas. Raro, no?

No todo está perdido

Los medios y redes abundan en casos de estafas relacionadas con billeteras virtuales. Mercado Pago es el candidato ideal no sólo por ser la más usada en nuestras pampas sino porque que mencionar a Galperín en un tropiezo es garantía de trending topic. Sin embargo pasa con absolutamente todas las billeteras y, dato importante, viene pasando desde mucho antes de que las billeteras y sus aplicaciones existieran.

Los estafadores y sus artimañas para vaciar cuentas ajenas no nacieron con la era digital, sino con los bancos. Es más, a veces creo que fueron los primeros malandrines exitosos los que pergeñaron la idea del negocio y crearon los primeros bancos, pero esas son ideas mías.

Así y todo no hay que perder las esperanzas. Aunque denunciar e iniciar acciones legales contra estafadores que se pierden como arena en el viento o bancos y fintechs poderosas con más poderosos estudios de abogados pareciera sólo una pérdida de esfuerzo, tiempo y más dinero, cada tanto se dá una buena.

Días atrás un banco provincial fue sentenciado a indemnizar a una víctima de estafa virtual, por no haberse asegurado, el banco, de estar controlando sus protocolos de seguridad financiera como corresponde. Y no ha sido el único caso. Basta con googlear un poco para encontrar una sorprendente cantidad de situaciones parecidas.

Cómo sea, el mal momento vivido no te lo cura nadie. Así que es menester tomar precauciones y estar atentos para no caer como chorlitos. Porque, si te van a robar, por lo menos que les cueste.

Salute!

Gracias por compartir!

Más historias

Phishing con Booking.com y la técnica ClickFix: así te pueden engañar

Phishing con Booking.com y la técnica ClickFix: así te pueden engañar

JADM 10 enero, 2026
Mejores Antivirus 2026: Microsoft Defender sigue siendo la mejor opción

Mejores Antivirus 2026: Microsoft Defender sigue siendo la mejor opción

JADM 6 enero, 2026
Estafas digitales: correos falsos que simulan ser de Mercado Libre

🚨 Estafas digitales: correos falsos que simulan ser de Mercado Libre

JADM 28 diciembre, 2025

Te pueden interesar

ablet Chuwi UBook XPro: no todo lo de China es Temu

📦 Tablet Chuwi UBook XPro: no todo lo de China es Temu

JADM 31 enero, 2026
No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

JADM 28 enero, 2026
Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

📰 Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

JADM 24 enero, 2026
Ya no podés descargar correos de otras cuentas en Gmail

📩 Ya no podés descargar correos de otras cuentas en Gmail

JADM 22 enero, 2026
Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

🖥️ Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

JADM 21 enero, 2026