Es común ver códigos QR en muchos lugares, ya sea en el menú de una pizzería o en artículos de una tienda de ropa. Sin embargo, hay más en estos códigos aparentemente inofensivos de lo que parece, ya que pueden generar riesgos significativos para la seguridad del dispositivo y tus datos.
En los últimos años, ha aumentado el uso de códigos de
respuesta rápida (QR), desde pagar la nafta en una estación de servicio hasta
vincular una aplicación de mensajes a tus dispositivos. Es precisamente este
uso masivo lo que los hace propensos a ser explotados por piratas informáticos,
quienes buscan oportunidades para distribuir malware y recopilar información
confidencial.
Por lo tanto, es vital que los usuarios como tu reconozcan
estos riesgos y tomen las medidas necesarias para protegerse.
¿Qué son los códigos QR?
Representan una cadena de texto, números o caracteres
alfanuméricos que los negocios dan a sus clientes y les permite acceder a
diferentes servicios. Como su nombre lo indica (Quick Response), fueron
diseñados para ser descifrados y leídos rápidamente.
Para usarlos, tienes que escanear el código con una función
integrada en la cámara del teléfono (también se pueden utilizar aplicaciones en
caso que el dispositivo no cuente con esta función integrada). El escáner
descifrará el código conformado por barras y cuadrados (generalmente en blanco
y negro) y llevará al usuario a la cuenta o sitio web oficial del negocio.
Los códigos QR son efectivos para mejorar la experiencia
del usuario, los clientes no necesitan ingresar manualmente largas URL para ver
un menú o realizar el pago de servicios.
Si necesitas aprender más sobre los códigos QR o, incluso
crear uno para tu negocio, puedes conocer todos los detalles en este artículo.
Entonces ¿Qué tan seguros son estos códigos?
Desde hace décadas estos códigos están presentes a nuestro
alrededor y cada vez son más utilizados para almacenar información variada.
Debido a su conveniencia, se pueden encontrar prácticamente
en cualquier lugar en estos días: desde estaciones de servicio hasta revistas y
desde menús de restaurantes hasta tarjetas de presentación. Sin embargo, dentro
de la comodidad que ofrecen, los riesgos de usar códigos QR a menudo se pasan
por alto o se desconocen.
De hecho, a medida que aumentó el uso de códigos QR con la
pandemia, los estafadores aprovecharon la oportunidad para hacer fraude
electrónico y embaucar a miles de usuarios. El informe de amenazas elaborado
por HP Wolf Security a finales del año pasado revela un incremento significativo
de estafas en línea:
“El uso de códigos QR es una forma eficaz de forzar al
objetivo a cambiar de un ordenador a un dispositivo móvil, que puede estar
protegido por mecanismos de defensa y detección de phishing más débiles”.
Los códigos QR se han convertido en una de las amenazas de
seguridad informática más serias en la actualidad, ya que los delincuentes
tienen la posibilidad de extraer información de tarjetas de crédito y débito,
así como datos personales.
Riesgos más comunes de los códigos QR
Ataques de Phishing
Se trata de una modalidad de estafa que no difiere mucho
del típico fraude por Internet. Es una táctica diseñada para engañar y
conseguir que reveles tus datos financieros, información personal o
credenciales de inicio de sesión.
Los delincuentes pueden enviarte un correo electrónico, un
folleto, una carta o un mensaje en las redes sociales que contenga un código
QR. El estafador introduce un enlace malicioso en el código, una vez escaneado,
te lleva a una página que solicita el ingreso de datos y permite al atacante
robar la información.
El phishing de código QR puede ocurrir en línea o fuera de
línea. En el ámbito físico, los estafadores reemplazan los códigos auténticos
en establecimientos de acceso masivo (shoppings, por ejemplo) y negocios
(restaurantes, hoteles, etc.).
Descarga “silenciosa” de Malware
El uso de códigos QR en lugares públicos puede ser
peligroso para ti, los ciberdelincuentes tienen la capacidad de incorporar
sigilosamente enlaces fraudulentos. Las personas que escanean estos códigos
podrían convertirse en víctimas de malware, de hecho, una visita al sitio web
podría resultar en una descarga inadvertida.
El malware afecta de maneras diferentes, podría abrir
“puertas traseras” con acceso al sistema operativo y permitir más infecciones o
robar silenciosamente la información. A veces, estas infecciones pueden incluso
ser ataques de ransomware o secuestro de datos, por lo tanto tomarían tu
información como rehén para pedir un rescate.
Estafas mediante pagos y transacciones electrónicas
Desde hace un buen tiempo, el uso de QR en pagos y
transacciones ha permitido agilizar las operaciones comerciales. En la
actualidad, están presentes en prácticamente cualquier comercio, no obstante,
los delincuentes pueden intercambiar el código legítimo por uno falso para
extraer información que pueda servir para robar tus fondos.
Aunque la mayoría de las aplicaciones móviles solicitan al
cliente que verifique los detalles del pago después de escanear el código, los
usuarios incautos pueden aprobar un pago fraudulento cuando no han prestado
mucha atención al proceso.
¿Cómo protegerse de las estafas al usar un código QR?
Los riesgos de los códigos QR han ido en aumento, por lo
que es importante reconocerlos y prevenirlos. La base para evitar estas estafas
es nunca escanear un código QR en el que no se confíe. Aparte de eso, las
medidas de seguridad preventivas dependen del fraude al que te enfrentas:
Instala un software antivirus confiable
Al igual que ocurre con las notebooks y desktops, los
dispositivos móviles deben tener instaladas y en funcionamiento aplicaciones de
seguridad confiables. El software protege al dispositivo contra el malware y
los virus que pueden transmitir los códigos QR maliciosos (y otras fuentes
potencialmente peligrosas).
Verifica la URL
Cada vez que escaneas un código QR con la cámara de tu
teléfono, notarás que aparece un mensaje en la pantalla con información
relacionada al código. Este mensaje de confirmación mostrará la URL que estás a
punto de visitar, pero antes de ingresar, verifica que la URL no presenta
signos sospechosos (una dirección no relacionada con el servicio o la
información que necesitas). En otras palabras, si la dirección web no parece
coincidir con el nombre del negocio, podría tratarse de una estafa.
Haz clic en la dirección solo si tiene certificado SSL
(dispone de https:// delante del enlace). El certificado garantiza la
autenticidad y encripta la información que sale e ingresa del sitio web.
Además, es importante verificar el dominio. Los estafadores manipularán los dominios para que parezcan algo que no son, por ejemplo: http://google.com.pro_login.ia, el dominio es pro_login.ia, no google.com.
Revisa el código QR si estás en un lugar público
Antes de escanear un código QR que se encuentre en un lugar
público, examina cuidadosamente en busca de signos de manipulación, como la
colocación de una etiqueta adhesiva sobre el original. Si no parece encajar con
su fondo, entonces deberías abstenerte de escanearlo. Además, no es
recomendable escanear códigos QR de sitios web, carteles, volantes o revistas
desconocidos a menos que estés seguro de que el destino es legítimo.
En Argentina, los restaurantes son uno de los lugares más comunes que utilizan códigos QR. La mayoría lo hace para que sus clientes puedan ver el menú o incluso pagar la comida. Sin embargo, los estafadores pueden sustituir estos códigos y redirigir a un sitio web de phishing para robar tu información personal.
Si alguna vez tienes dudas, pregunta al mozo o al encargado del negocio sobre la dirección del sitio web. Para estar más seguro, ingresa la dirección manualmente desde el navegador de tu teléfono.
Evita el uso de aplicaciones de terceros para escanear el
código
Las aplicaciones de escaneo de QR son muy populares, pero
esto las convierte en los principales sistemas de distribución de malware. Los
piratas informáticos ocultan códigos peligrosos en estas aplicaciones con el
objetivo de robar fondos, secuestrar tu información personal o incluso hacerse
con el control del dispositivo.
La mayoría de los teléfonos inteligentes tienen un escáner de códigos QR en la cámara, es tan fácil como tomar una foto y te mostrará la URL del sitio a ingresar.
Utiliza un administrador de contraseñas
Al igual como ocurre con muchos intentos de phishing, los
códigos QR fraudulentos suelen dirigir el tráfico a sitios web falsos que
intentan imitar a los reales para obtener las credenciales del usuario. En
muchos casos, el administrador de contraseñas será capaz de reconocer un sitio
sospechoso, en este caso, la aplicación evitará a su vez que se introduzca
automáticamente información sensible sobre el nombre de usuario y la
contraseña.
Sacado de HP