Hoy es común que se encuentre en comercios, restaurantes opciones de menús e información para ver a través de códigos QR. Estos ha tenido aún mayor difusión durante la pandemia en parte porque contribuye a reducir la necesidad de contacto con superficies que puedan haber sido manipuladas por terceros, lo cual disminuye los contagios.
Para leer códigos QR en el teléfono celular se necesita una aplicación especial para leer la imagen del código, en la gran mayoría de los casos, la cámara del teléfono móvil actúa como escáner o en el navegador ya hay un escáner integrado. También podría instalar una aplicación externa conocida como QR scanner, QR readeres, QR Code o lector de código.
Los QR Readers (apps) puede instalarlos de forma gratuita. Luego que descargas el lector de códigos QR se utiliza la cámara para escanear el código. El software interpreta el código y el teléfono celular mostrará el texto o pedirá permiso para ir al navegador y mostrar la página web especificada.
Algunos riesgos
Sin embargo, como suele suceder con cualquier tecnología que se vuelve popular, también captó la atención de los cibercriminales que los están utilizando con fines maliciosos. La compañía ESET advierte de qué forma pueden ser aprovechados los códigos QR por los estafadores para engañar a sus víctimas.
Como se explicó a partir de un código QR se puede: abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre muchas otras. Los códigos QR son muy versátiles, se pueden personalizar, incluir logotipos e incluso hay versiones dinámicas que permiten cambiar el contenido o acción del QR en cualquier momento.
“Dada la versatilidad de los códigos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio. Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más”, menciona Cecilia Pastorino, investigadora de Seguridad Informática de ESET Latinoamérica.
La agencia estadounidense de investigación criminal FBI advierte que los códigos de píxeles cuadrados también pueden ser manipulados o incluso ya haber sido creados desde el inicio con intenciones fraudulentas.
El FBI explica que, con la ayuda de códigos QR, los ciberdelincuentes intentan guiar a sus víctimas a sitios web falsos. Allí roban datos de acceso a servicios y cuentas, así como información financiera sensible, o bien desvían pagos, como las transacciones de criptomonedas.
También es posible que los códigos QR desencadenen la descarga e instalación de malware, a través del cual los piratas informáticos obtienen acceso al dispositivo y a los datos del usuario.
Por otro lado, muchas aplicaciones (como WhatsApp y Telegram) utilizan códigos QR para autenticar la sesión de un usuario y permitirle acceder a su cuenta. Tal como ya ha ocurrido con WhatsApp, los ataques como QRLjacking pueden engañar a un usuario suplantando la identidad de un servicio y provocar que escanee el QR proporcionado por el atacante.
“En la mayoría de los casos identificados, el atacante deberá crear un código QR malicioso que luego reemplazará por el código original para que la víctima escanee. Es decir, que muchos de estos riesgos se basan en la ingeniería social y en lograr engañar a la víctima”, agrega Pastorino de ESET.
Una ruta más segura
Así que para evitar caer en estas trampas se recomiendan algunos consejos para tener una navegación más segura a través de los códigos QR:
- A la hora de generar un código QR utilice un servicio de confianza para hacerlo. Además, verifique que el QR obtenido por el servicio esté correcto y que realice la acción deseada.
- Al escanear un código, se recomienda comprobar que sea el sitio web esperado el que se abra y que este sea auténtico: la dirección debe ser correcta y no debe contener errores de ortografía o letras incorrectas.
- Si un sitio web solicita la introducción de datos de acceso, información personal o datos relativos a transacciones monetarias y financieras, hay que ser especialmente cuidadoso si se accede a la página a través de un código QR.
- En la medida de lo posible, se aconseja no realizar ningún pago en sitios web a los que se haya accedido mediante un código QR. En su lugar, es mejor introducir manualmente la respectiva dirección de internet (conocida y familiar) si hay que pagar algo en este.
- En el caso de los códigos QR físicos, es decir, impresos, siempre hay que asegurarse de que un código original no esté cubierto por otro. Recientemente en Estados Unidos delincuentes colocaron en parquímetros públicos ubicados en distintas ciudades, calcomanías con falsos códigos QR que llevaban a las potenciales víctimas a un falso sitio para supuestamente realizar el pago con el objetivo de robar los datos financieros.
- Si es posible, no iniciar la descarga e instalación de aplicaciones a través de códigos QR, sino hacerlo desde las tiendas oficiales.
- En el caso de haber recibido un código QR de un supuesto amigo o conocido, o bien de que una empresa reclame un supuesto pago fallido y ahora exija un nuevo pago mediante un código QR, lo mejor es preguntar directamente si el mensaje es auténtico. En este caso, se recomienda no utilizar el número de teléfono que figure en el correo electrónico que se ha recibido, ya que este podría ser falso, sino ir a la página web de la empresa a través de un motor de búsqueda y buscar un número de contacto.
- Cuide la información y no comparta los códigos QR. Muchos códigos QR utilizan como un certificado para verificar información de una persona, como el documento de identidad o los pases sanitarios. En estos casos los códigos QR contienen información tan sensible como la que se encuentra en un documento de identidad o historia clínica, la cual un atacante podría obtener fácilmente escaneando el código QR.
- Deshabilitar la opción de realizar acciones automáticas al leer un código QR, cómo acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi.