Cuando un sobre marrón aparentemente proveniente de HM Revenue & Customs llegó al felpudo en abril, Vladimir Gladyshev fue rápido en abrirlo.
Gladyshev, un abogado, dirige un bufete de abogados privado que, al igual que todas las empresas con una facturación superior a £90,000, está registrado para el IVA. La carta decía que si no verificaba su identidad, su registro de IVA sería cancelado. Para hacerlo, decía, simplemente debía seguir el código QR en la carta. Lo que no sabía era que lo llevaría a un sitio web falso dirigido por estafadores.
Un código QR (respuesta rápida) es un tipo de código de barras que puede ser leído por un dispositivo digital, como la cámara de su teléfono inteligente, para llevarlo a una página web u otro enlace. Han existido desde la década de 1990, pero se volvieron comunes durante la pandemia, cuando fueron utilizados por la aplicación NHS Test and Trace y por pubs y restaurantes para pedidos sin contacto.
El código QR en la carta a Gladyshev prometía llevarlo a la puerta de enlace del gobierno, el sitio web oficial que verifica la identidad de más de 30 millones de personas para que puedan utilizar servicios oficiales en línea para pagar o reclamar impuestos, o solicitar un pasaporte.
“La carta parecía muy similar a las cartas que HMRC enviaría a cualquier contribuyente, el sobre marrón era muy similar a uno de HMRC”, dijo Gladyshev, de 65 años, quien vive en el oeste de Londres. “Pero había algunas cosas que no estaban bien. No había letras de HMRC en el exterior y no usaba mi nombre, solo mi dirección. La impresión estaba mal, parecía que se había hecho en papel de baja calidad”.
Esto hizo que Gladyshev sospechara y no siguió el enlace. Si lo hubiera hecho y hubiera ingresado su ID y contraseña de la puerta de enlace del gobierno, su información podría haber sido utilizada por estafadores para acceder a sus detalles fiscales y de beneficios o para solicitar reembolsos de impuestos falsos.
Robert Salter de la firma de contabilidad Blick Rothenberg dijo que el intento de fraude fue un “enfoque muy sofisticado y desagradable”. Dijo: “La carta se parece mucho a una carta legítima de HMRC y la parte inicial de la página web también parece legítima. Está muy bien hecho en términos de hacer que las personas se asusten y hagan cosas.
• Los códigos QR falsos de estacionamiento engañan a los conductores para que paguen a estafadores
“Si su empresa es pequeña, probablemente esté utilizando las mismas contraseñas en todas partes, por lo que si los criminales obtienen su contraseña de la puerta de enlace del gobierno, también podrían acceder a otras cosas”.
El Centro Nacional de Seguridad Cibernética del gobierno dijo que los delincuentes están utilizando cada vez más códigos QR en un intento de hacer que las víctimas visiten sitios web fraudulentos. El número de informes al servicio de denuncia de fraudes Action Fraud que mencionaban un código QR aumentó de 380 en 2022 a 651 el año pasado, aunque la mayoría de las estafas no se denuncian.
Según el consultor de fraudes Jonathan Frost y la empresa de ciberseguridad BforeAI, existen más de 200 sitios web clonados diseñados para parecerse al sitio web oficial del gobierno. Estos sitios web falsos son creados por delincuentes para recopilar detalles bancarios y personales.
Y no solo debes tener cuidado con las cartas “gubernamentales”. A medida que todos nos volvemos más sospechosos de los enlaces de phishing en correos electrónicos y mensajes de texto que buscan que les entreguemos nuestros detalles, los estafadores están recurriendo a los códigos QR, incluso colocando falsos en avisos en estacionamientos y estaciones de tren para engañar a las víctimas y obtener detalles de pago cuando compran boletos. Los firewalls de seguridad que pueden bloquear un correo electrónico con un enlace de phishing pueden no detectar un código QR malicioso.
Frost, quien anteriormente trabajó para la Policía de la Ciudad de Londres, dijo: “Ataques como este demuestran la amenaza persistente que representa el phishing, con los delincuentes pasando de los mensajes de texto a las cartas y el ‘quishing’, donde utilizan códigos QR para obtener tu información”.
La información obtenida mediante phishing se puede utilizar para iniciar sesión en la cuenta bancaria de una víctima o solicitar un reembolso de impuestos falso, o puede contribuir a estafas más sofisticadas como el fraude de pago por empuje autorizado, donde los estafadores convencen a las víctimas de enviarles dinero directamente. Los fraudes de pago por empuje autorizado le costaron a las víctimas £239.3 millones en la primera mitad del año pasado, según el organismo bancario UK Finance.
HMRC dijo que los códigos QR que utiliza en las cartas normalmente llevarán a los destinatarios a la guía en su sitio web y nunca lo llevarán a una página donde se le solicite ingresar información personal. Dijo: “Los delincuentes a menudo imitan los mensajes del gobierno para que parezcan auténticos. Los contactos inesperados como estos deben hacer sonar las alarmas, así que tómese su tiempo y consulte los consejos de HMRC sobre estafas en gov.uk. Nunca se deje apresurar”.
Cómo detectar una estafa
Tenga cuidado con las cartas que llegan de la nada. La carta de Gladyshev estaba dirigida a “Señor/señora” en lugar de usar su nombre, lo cual puede ser una señal de alerta.
Esté atento a errores de ortografía y gramática, un logotipo que no es del todo correcto o la ausencia de un logotipo, que pueden ser señales de un mensaje fraudulento. Verifique que el código lo haya llevado a la dirección correcta del sitio web. El sitio web al que el código QR de Gladyshev lo llevó era companieshouse.cfd en lugar del verdadero sitio de Companies House, que está en gov.uk. HMRC dijo que los códigos QR que envía generalmente lo llevarán a las páginas de consejos en su sitio.
Conozca las reglas. Si está registrado para el IVA, por ejemplo, no le quitarán automáticamente su número, incluso si su facturación cae por debajo del umbral y desea ser eliminado del registro de IVA, será su responsabilidad comunicarse con HMRC.
Reenvíe correos electrónicos sospechosos a [email protected] y mensajes de texto al 60599 para verificarlos.