Una campaña de phishing está apuntando a personas que viven en muchos estados de EE. UU. al enviar notificaciones falsas de infracción de tráfico a través de mensajes de texto. Estos mensajes contienen códigos QR incrustados que dirigen a las víctimas a robar su información personal y financiera. La campaña ha sido reportada en Nueva York, California, Carolina del Norte, Illinois, Virginia, Texas, Connecticut y Nueva Jersey.

Los mensajes, a diferencia de los textos de fraude por infracción de paso y estacionamiento que circularon ampliamente en 2025, incluyen la imagen de un tribunal ficticio. El formato de la imagen y el código QR incrustado se utilizan para dificultar que las herramientas de seguridad automáticas y los investigadores detecten y analicen la infraestructura de phishing.

¿Cómo Funciona la Estafa de Código QR de Infracción de Tráfico?

Las notificaciones falsas imitan a los tribunales estatales y una de ellas afirma provenir del Tribunal Penal de la Ciudad de Nueva York. El mensaje indica que una infracción de estacionamiento o paso no pagada ha sido oficialmente procesada y dirige al receptor a escanear un código QR para pagar el saldo.

Escanear el código QR redirige a una página intermedia que requiere completar un CAPTCHA para continuar. Una vez que se completa el CAPTCHA, se redirige a un segundo sitio que imita a un DMV estatal o a una agencia correspondiente. En todos los ejemplos revisados por BleepingComputer, el saldo no pagado se indica como $6.99.

Los sitios de phishing que imitan al DMV de Nueva York han utilizado nombres de host como ny.gov-skd[.]org y ny.ofkhv[.]life.

Después de pasar la pantalla de saldo, se presenta un formulario que solicita el nombre, dirección, número de teléfono, dirección de correo electrónico e información de tarjeta de crédito. Estos datos son recopilados por el atacante y pueden ser utilizados para fraude financiero, robo de identidad, phishing posterior o vendidos a otros actores de amenazas.

¿Cómo Reconocer y Evitar la Estafa de Código QR de Infracción de Tráfico?

Las agencias estatales han confirmado que no envían mensajes de texto solicitando información personal o de pago. Cualquier mensaje no solicitado que afirme que hay una multa estatal no pagada y dirija al receptor a escanear un código QR o hacer clic en un enlace debe ser ignorado, sin importar cuán oficial se vea la imagen adjunta.

Si recibe uno de estos mensajes, no escanee el código QR, no complete ningún CAPTCHA y no ingrese ninguna información personal o financiera en la página de destino. La cantidad de $6.99 se utiliza para hacer que la solicitud parezca ordinaria y de bajo riesgo, pero el formulario recopila información completa de la tarjeta de pago.

Los receptores que hayan enviado información deben comunicarse de inmediato con sus bancos o emisores de tarjetas para informar sobre el posible fraude y solicitar un cambio de tarjeta.