Desde la pandemia, los QR se han popularizado para usos como acceder al pasaporte Covid-19, descargar aplicaciones sanitarias o acceder a los menús de restaurantes; pero tienen muchas más utilidades, como enviar tarjetas de visita, compartir perfiles de redes sociales como LinkedIn, WhatsApp, Instagram o Twitter, mostrar mensajes promocionales o realizar pagos sin contacto.
En ciberseguridad es bien sabido que: "hecha la herramienta, hecho el ataque".
Los códigos QR no son una excepción. En enero de 2022, los delincuentes colocaron falsos códigos QR en parquímetros de Texas y otras ciudades de Estados Unidos para robar datos de pago de las víctimas. Esta técnica de engaño se llama ‘QRishing’, o lo que es lo mismo, ‘phishing’ a través de códigos QR: al escanear el código, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad, suscribir a la víctima a servicios de pago…).
El ‘phishing’ no para de reinventarse, demostrando que es capaz de adaptarse con éxito a cualquier canal: correo electrónico, teléfono, SMS y, ahora, códigos QR.
Como no todos los QR llevan a buen puerto, estos consejos protegen a los usuarios de códigos maliciosos:
• Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
• Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo. Así se puede revisar la dirección antes de acceder al contenido o introducir información.
• No escanear códigos QR de dudosa procedencia: verificar la identidad del autor (persona o entidad), confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
• En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
• Si el código QR está en el mundo físico, por ejemplo, en el expositor de alguna tienda o impreso en un vaso, un truco de los delincuentes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real. Si lo detectamos, informar al responsable del establecimiento.
• En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido falseados.
• Y si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.
Los ciberdelincuentes se aprovechan de la confianza de los usuarios, de la práctica masiva de escanearlos y de la dificultad de distinguir un código QR legítimo de uno malicioso. Para hacer caer en la trampa a la víctima recurren a técnicas de ingeniería social.
El ‘QRishing’ no es el único peligro de estos códigos, que también pueden comprometer la privacidad. Algunos documentos con información sensible llevan un código QR insertado; es el caso de certificados o citas médicas, comprobantes bancarios, boletos de sorteos o entradas de eventos. Su objetivo es facilitar el acceso o la verificación de la información. Nunca se debe compartir ese código ni enviar fotos del documento a nadie; hay que mostrarlo solo en caso.
¡Be a cybersecurity key player!
