El protagonista de nuestra historia, Federico, socio de AUVE y orgulloso propietario de un Renault Megane E-Tech Electric, vivió una experiencia inusual la semana pasada. Viajando con su familia, decidió experimentar la opción que ofrece Tesla de cargar vehículos de otras marcas en sus Superchargers, específicamente en el de Plaza Mayor, en Málaga. Siguiendo instrucciones aparentemente «oficiales» presentes en un QR, acabó cediendo datos personales y bancarios a malechores, ganando ansiedad y un disgusto en lugar de una carga rápida.
Como novato en el proceso de uso de los Supercargadores, Federico se acercó al poste del carga y se topó con un QR que invitaba a ser escaneado con la leyenda “escanéame para cargar”. Hasta ese momento, todo parecía normal. Federico escaneó el QR, lo que le llevó a una página que imitaba la web oficial de Tesla. Desde allí, fue redirigido a la Google Play Store para descargar una supuesta app de Tesla. Después de descargar la aplicación, intentó iniciar el proceso de carga, ingresando sus datos personales y de tarjeta de crédito, pero sin éxito.
Minutos más tarde, ya en un restaurante con su familia, Federico descubrió que había sido inscrito en un servicio de streaming llamado Pulsler, con un costo de 39 euros mensuales. Esta situación es un ejemplo clásico de una estafa por phishing.
El Proceso Detallado
Efectivamente, Federico había escaneado un QR fraudulento, colocado en cada poste de un supercargador de Tesla. Este QR lo redirigió a una página falsa que imitaba a Tesla, que a su vez lo llevó a descargar una aplicación falsa, llamada Tesla Supercharger Map (ATENCIÓN, EL ENLACE LLEVA A UNA APLICACIÓN FRAUDULENTA), creada por una entidad desconocida, Walabok LLC. Dicha aplicación, aún disponible en Google Play, ha acumulado más de 10.000 descargas y curiosamente tiene deshabilitadas las opciones de valoración y comentario.
Una vez instalada la aplicación, los estafadores lograron obtener los datos personales y la contraseña de Federico, lo que les abre puertas a posibles ataques de fuerza bruta en varios servicios online utilizando su correo electrónico y variantes de su contraseña. La primera tarjeta que introdujo Federico, una virtual de prepago, fue rechazada, lo que lo llevó a usar una tarjeta bancaria real, que más tarde tuvo que cancelar por seguridad. Esto proporcionó a los atacantes información valiosa para ser potencialmente vendida en la dark web.
En la aplicación, el proceso de estafa fue diseñado para operar en un área gris legal. Federico recuerda haber visto una opción para desistir de una suscripción, y la marco. El servicio de Pulsler comenzó con una preautorización discreta de 1 euro en lugar de un cargo inmediato de 39 euros.
Como resultado, Federico no solo no pudo cargar su coche, sino que también su almuerzo fue arruinado y tuvo que lidiar con la preocupación de su información circulando por internet.
La Opinión de Autofácil…
El caso de Federico es un ejemplo clásico de phishing. Estas estafas, independientemente de su complejidad, buscan engañar al usuario aprovechando un momento de estrés donde es fácil pasar por alto detalles importantes.
Si consideramos que las 10.000 descargas de la aplicación fraudulenta han llevado a suscripciones de 39 euros con un índice de éxito del 10%, estamos hablando de una considerable ganancia ilícita. Este esquema, replicado con otros operadores de carga, podría representar un negocio ilegal significativo.
Para evitar caer en estos engaños, es esencial prestar atención y disponer de tiempo. La página a la que accedió Federico probablemente no era segura o no contaba con un certificado de Tesla. La aplicación descargada no era popular (la oficial de Tesla tiene un millón de descargas, 32.000 reseñas y una puntuación de 3,7). El proceso incluía mensajes sospechosos sobre suscripciones adicionales.
No todos tenemos la capacidad de detectar estas trampas, y muchos operadores de carga utilizan códigos QR. ¿Cómo podemos defendernos? Una opción sería el pago directo con tarjeta en los cargadores. Los operadores deberían realizar un mantenimiento preventivo para detectar estos problemas rápidamente. En Autofácil, hemos contactado a Tesla para conocer su postura y acciones al respecto, y nos han confirmado que este martes pasado procedieron a eliminar todos los QR fraudulentos del Supercargador afectado y nos actualizaran con el resto de medidas que adopten.
Finalmente, debemos asumir que cualquier QR podría ser fraudulento hasta que se demuestre lo contrario, lo que implica escanearlos solo desde la aplicación oficial del operador.
Spring
Enfrentamos al Dacia Spring, tercer eléctrico más vendido de Europa, con el recién llegado Leapmotor T03. ¿Su cualidad común? Ambos se sitúan por debajo...
C3 Aircross
En este vídeo te mostramos todo sobre la nueva generación del Citroën C3 Aircross, que ofrece calidades correctas y buena habitabilidad en una dimensión...
NX
En este vídeo ponemos a prueba la versión híbrida enchufable del Lexus NX, con acabado Luxury. Un todocamino que combina la fiabilidad y frugalidad...
