Los usuarios de Twitter se convirtieron en los primeros que alertaron sobre una estafa activa en Madrid, aprovechando el popular servicio público de bicicletas Bicimad. La táctica empleada por los ciberdelincuentes es ingeniosa y efectiva: adhieren pegatinas con códigos QR falsos en bicicletas y patinetes eléctricos, que conducen a una plataforma de pago externa. Esta trama, que se tejió a mediados del verano, ha sido rastreada y proviene de Ucrania, donde un grupo criminal extranjero ha obtenido dinero y datos personales de las víctimas.
En tan solo 24 horas desde que se dieron a conocer las primeras señales de alarma en las redes sociales, el Ayuntamiento de Madrid denunció la aparición de estas pegatinas con códigos QR falsos en patinetes eléctricos y bicicletas Bicimad, a pesar de que este servicio municipal es gratuito hasta el 31 de diciembre.
Borja Carabante, delegado de Urbanismo, Medio Ambiente y Movilidad, informó que hasta el momento se han detectado solo cuatro o cinco de estas pegatinas, catalogando el número como «residual», y señalando que parecen estar dirigidas principalmente a turistas extranjeros.
Las quejas de los usuarios en Twitter sobre este engaño son la base de esta cifra, ya que muchos de ellos alertaron sobre la presencia de códigos QR fraudulentos en vehículos ubicados en lugares como la plaza de Jacinto Benavente y la calle Lavapiés.
Cuando se escanea una de estas pegatinas fraudulentas, los usuarios son redirigidos a la página web «alquileres.fun». Según registros virtuales, este sitio se puso en marcha el 31 de julio de 2023 y estuvo activo hasta el 11 de septiembre, poco después de que se hiciera público el engaño. Este movimiento parece destinado a dificultar el seguimiento de los estafadores.
La web está registrada en el oblast de Kiev, Ucrania, y la empresa detrás de ella lleva el nombre de «Samozanyataya», que significa «trabajador autónomo» en ruso. La plataforma de pago ofrecía descuentos de viaje a 1,50 euros y pases de un día completo por 4,99 euros, según la escasa información recopilada en la caché de los motores de búsqueda. Algunos usuarios denunciaron que la plataforma de pago mostraba precios en libras esterlinas. Sin embargo, más allá de los pagos, los delincuentes buscaban obtener los datos bancarios de las víctimas.
Además de Bicimad, empresas de alquiler de patinetes también se vieron afectadas por esta estafa. El Ayuntamiento ha remitido el caso a la Policía Nacional, que ya está investigando los hechos.
“Los códigos QR son muy útiles en nuestro día a día, pero hay que tener especial cuidado si los escaneamos en espacios públicos, ya que pueden haber sido manipulados o colocados por ciberdelincuentes que intentan hacerse con los datos y el dinero de los usuarios”, explica Marc Rivero, Lead Security Researcher de Kaspersky.
Las autoridades municipales instan a la población a extremar las precauciones y a utilizar siempre las aplicaciones oficiales para reservar este tipo de vehículos compartidos, con el fin de evitar caer en estas trampas cibernéticas.