Ataques

Cómo un simple código QR puso en jaque BiciMAD; ¿podría volver a repetirse?

El ataque al servicio de bicicletas del Ayuntamiento de Madrid ha precipitado la ejecución de otros posteriores ciberataques contra sistemas de transporte público, generando desconfianza entre los usuarios ante el posible robo de dinero y datos.

Bicimad, estafa, pegatinas, códigos QR, ciberataque, libras esterlinas, movilidad, patinetes eléctricos,

El éxito de la estafa radica en su sencillez, al igual que en un uso ‘avispado ‘ingenioso’ de la ingeniería social. ¿Quién esperaría que el código QR de una bicicleta del Ayuntamiento de Madrid pudiese redirigirte a una pasarela de pago falsa? Pues podemos pensar -acertadamente- que un turista o cualquier despistado no lo tendría ni siquiera en cuenta.

No nos equivocamos al pensar que este ataque va a sentar precedentes para futuros ataques, sobre todo para aprovechar el auge de los códigos QR que estamos viviendo tras la pandemia. Anuncios, paradas de autobuses o incluso las cartas de los restaurantes se han sumado a la fiebre de poder acceder a todo lo que ofrecen a través de las cámaras de nuestros móviles.

Patinetes y bicicletas: movilidad con un clic

Desde hace prácticamente cinco años, los núcleos urbanos de las grandes urbes españolas se llenaron de patinetes eléctricos que acercaban una movilidad limpia -aunque con sus riesgos- a la gran mayoría de los ciudadanos.

Todas sujetas al mismo proceso: descarga de la app de la marca, inclusión de tu tarjeta de crédito como método de pago y escaneo del código QR del patinete que iba a ser desbloqueado. De la misma forma funcionan las bicis del Ayuntamiento de Madrid.

Si algo podemos sacar en claro de esta estafa, es que servirá como inspiración para próximos ciberdelincuentes, que se preocuparán por desarrollar métodos más sofisticados. Evitarán cometer el error de divisa -recordemos que, en la estafa de BiciMAD, te redirigían a una pasarela de pago donde se pagaba en libras esterlinas- y crearán estafas similares para cualquier otro sistema de transporte compartido que funcione mediante QR, creando códigos falsos que puedan resultar aún más convincentes. Al igual que podrían buscar vulnerabilidades en las interfaces de pago de las propias ‘apps’.

Ane Miren Parrilla puso de manifiesto el incidente en la red social X -Twitter-.

Sistema de transporte público en el punto de mira

Esto sería quedarnos en la superficie del problema. El verdadero dilema lo provoca descubrir la facilidad con la que se puede acceder a la inmensidad de datos personales y financieros; con los que cuentan los sistemas de transporte público de los ciudadanos y saber que puede ponerse no solo su reputación en riesgo, sino también su integridad física.

Este caso pone en bandeja a ‘crackers’ inexpertos una forma de conseguir dinero y datos -la moneda más valiosa en Internet-, tan solo creando una pasarela de pago falsa y unas cuantas pegatinas; no imaginemos lo que podría hacer una mente privilegiada del ‘cracking’.

Como bien adelantaron algunos de nuestros expertos durante la última temporada de entrevistas de HackerCar, la digitalización de los transportes compartidos y públicos acarrean un riesgo que es, en potencia, incontrolable. “Un único ataque de denegación de servicio -colapso de las webs- podría provocar el caos en una ciudad”.

EN rusia, unos ‘crackers’ inhabilitaron y colapsaron el tráfico de una ciudad, dirigiendo a todos los taxis hacia la misma ubicación

Si quieres conocer todas las últimas noticias y la más amplia base de datos relacionada con ciberataques en el sector de la automoción, visita la sección ‘Casos Reales’ de EUROCYBCAR.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.