Los ciberdelincuentes han perfeccionado sus tácticas y ahora emplean una estafa multas tráfico código QR a través de mensajes SMS, suplantando a juzgados estatales de EE.UU. para robar información personal y financiera. Esta nueva variante, detectada en las últimas semanas, presiona a los receptores para que escaneen un código QR incrustado en una falsa «Notificación de Incumplimiento», dirigiéndoles a una página de phishing que solicita un pago de 6,99 dólares.
Puntos clave de la nueva campaña de phishing
- Los ataques suplantan a juzgados y organismos oficiales (como el Departamento de Vehículos Motorizados) mediante SMS.
- Utilizan imágenes con códigos QR en lugar de enlaces directos, lo que dificulta el análisis automático.
- Incluyen CAPTCHAS en sitios intermedios para evadir herramientas de seguridad y investigadores.
- El objetivo final es robar datos personales completos (nombre, dirección, teléfono, email) y detalles de la tarjeta de crédito.
- Se han reportado casos en múltiples estados, incluyendo Nueva York, California, Texas y Virginia.
Cómo funcionan las estafas de multas de tráfico con códigos QR
💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.
La campaña representa una evolución significativa respecto a los fraudes de peajes y paarquímetros no pagados del año pasado. En lugar de incluir un enlace, el mensaje de texto contiene una imagen que simula una notificación judicial oficial. El texto, por ejemplo, puede alegar ser del «Tribunal Penal de la Ciudad de Nueva York» y afirmar que el destinatario tiene una multa pendiente que debe pagarse de inmediato para evitar una comparecencia judicial. estafa multas tráfico código QR es clave para entender el alcance de esta amenaza.
La evolución técnica: de enlaces a códigos QR y CAPTCHAS
El uso de códigos QR no es casual. Esta técnica ofrece varias ventajas a los atacantes. En primer lugar, muchos filtros anti-spam y soluciones de seguridad están optimizados para detectar y bloquear URLs maliciosas en texto plano. Un código QR embebido en una imagen pasa más fácilmente estos filtros. Además, el código redirige primero a un sitio intermediario que presenta un CAPTCHA. Este paso, aparentemente inocuo, sirve como barrera para los sistemas automatizados de análisis de amenazas y para los investigadores de seguridad, ralentizando la toma de contramedidas.
Qué información roban los ciberdelincuentes y para qué la usan
Una vez superado el CAPTCHA, la víctima llega a una página de phishing que imita con detalle la web oficial de la DMV (Departamento de Vehículos Motorizados) del estado correspondiente. Allí se indica un saldo pendiente de 6,99 dólares. Si el usuario hace clic para pagar, se le lleva a un formulario que solicita nombre, dirección, número de teléfono, dirección de correo electrónico y, finalmente, los datos de la tarjeta de crédito.
Esta información constituye un botín de gran valor. Según nuestro análisis de ciberinteligencia, estos datos pueden utilizarse para múltiples actividades delictivas posteriores: desde fraudes financieros directos y robo de identidad hasta el lanzamiento de campañas de phishing más personalizadas (spear phishing). Es común que estos registros se vendan en foros clandestinos de la dark web a otros grupos amenazadores, amplificando el riesgo para la víctima original.
Dominios fraudulentos y señales de alarma
En los ejemplos analizados, los dominios utilizados para suplantar al estado de Nueva York eran «ny.gov-skd[.]org» o «ny.ofkhv[.]life». La estructura intenta imitar a un dominio oficial (.gov) pero incluye guiones o sufijos extraños (.life, .org), una señal clara de fraude. Ninguna entidad gubernamental legítima utiliza este tipo de dominios para gestionar pagos.
Cómo protegerte de los ataques de phishing con códigos QR
La regla de oro es la desconfianza. Si recibes un mensaje de texto de un número desconocido que exige el pago urgente de una multa o factura, ignóralo. Las agencias gubernamentales y las instituciones judiciales, tanto en EE.UU. como en España y el resto de Europa, no solicitan pagos ni datos personales sensibles a través de SMS no solicitados.
Te recomendamos seguir estas prácticas:
- Verifica siempre por canales oficiales: Si tienes dudas sobre una posible multa, accede directamente a la web oficial del organismo (introduciendo la URL manualmente en el navegador) o contacta por teléfono usando un número obtenido de una fuente fiable.
- Nunca escanees códigos QR de fuentes no verificadas: Un código QR es simplemente un enlace físico. Trátalo con la misma precaución que harías con un link en un email sospechoso.
- Habilita la verificación en dos pasos (2FA) en todos tus servicios bancarios y de pago online. Esto añade una capa de seguridad que protege tu cuenta incluso si filtran tus credenciales.
- Mantén tu software actualizado: Tanto el sistema operativo de tu móvil como las aplicaciones, especialmente el navegador, deben tener las últimas actualizaciones de seguridad instaladas.
Desde nuestro punto de vista como analistas, esta estafa multas tráfico código QR demuestra la constante adaptación de los grupos de ciberdelincuencia. Ante la mayor efectividad de los filtros anti-phishing, migran a técnicas que les permitan eludir la detección automatizada. La combinación de ingeniería social (creando un sentido de urgencia y autoridad) con estas barreras técnicas (QR + CAPTCHA) hace que la campaña sea particularmente insidiosa. La defensa, como casi siempre, reside en la concienciación y el escepticismo del usuario final.
Recursos y fuentes oficiales:
¿Sabrían tus empleados detectar un ataque de phishing real?
En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.