Los códigos QR ofrecen una forma rápida y sencilla de acceder a información, realizar pagos e interactuar con contenido digital. Sin embargo, su comodidad también conlleva importantes riesgos de seguridad, especialmente cuando los encontramos en redes sociales y lugares públicos.
Riesgos de seguridad de los códigos QR
El principal problema de los códigos QR es que no siempre se puede verificar la fuente antes de escanearlos. Dado que pueden enlazar a sitios web o aplicaciones, los estafadores pueden ocultar enlaces peligrosos o malware.
Esta técnica difiere de las estafas de phishing tradicionales en la forma en que se envía el enlace malicioso.
En lugar de insertar un enlace en un correo electrónico, o mensaje de texto, los atacantes lo integran en un código QR.
Cuando la futura víctima escanea el código, su dispositivo lee la URL incrustada y lo dirige al sitio web, fraudulento, o a la descarga de un archivo malicioso.
La manipulación de códigos QR legítimos en lugares públicos como parquímetros, o carteles pegados en la calle, para sustituirlos por códigos fraudulentos, es una estafa que ha ido en aumento en los últimos años.
Muchas veces, basta con pegarlos encima del auténtico.
Por ejemplo, según la BBC, los delincuentes colocaban códigos QR de aspecto profesional en parquímetros.
Los ciudadanos desprevenidos, que pretendían pagar el estacionamiento con sus teléfonos móviles, eran redirigidos a un portal de pago fraudulento.
Cómo funcionan las estafas con códigos QR
Básicamente, estas estafas se aprovechan de la capacidad del código QR para ocultar la URL de destino.
Al escanear un código QR, no se ve la dirección web subyacente, lo que lo convierte en una herramienta ideal para el engaño.
El proceso de un ataque Quishing típico implica los siguientes pasos:
- Creación de un código QR fraudulento: Los estafadores crean un código QR que enlaza a un sitio malicioso. Este sitio suele estar diseñado para imitar un sitio web legítimo, lo que dificulta que los usuarios detecten el fraude.
- Ubicación en un contexto de confianza: El código QR fraudulento se coloca en un contexto donde es probable que la gente lo escanee.
- La estafa: cuando una persona escanea el código QR, se le redirige al sitio web del estafador. Allí, podrían solicitarle que ingrese información personal, realice un pago o, sin saberlo, descargue malware en su dispositivo.
Lo que hace que las estafas con códigos QR sean particularmente peligrosas es su sutileza.
Como hemos dicho antes, a diferencia de las estafas de phishing tradicionales, que a veces pueden mostrar una URL que no concuerda con la página oficial, o una dirección de correo electrónico sospechosa, los códigos QR no ofrecen estas pistas visuales.
Esta falta de transparencia facilita que los estafadores engañen incluso a los más precavidos.
- Nunca pagues facturas mediante un código QR.
- En su lugar, accede al sitio web del emisor mediante un navegador y comprueba si realmente hay una factura pendiente de pago
- No utilices una aplicación de terceros para escanear códigos QR.
- Las cámaras de los teléfonos con Android e iOS tienen esta funcionalidad incorporada.
- Después de escanear el código, QR, utiliza siempre la vista previa de la URL antes de abrirla en el navegador.
- Si algún enlace te parece sospechoso, llama al emisor para comprobar su autenticidad.
- Un banco nunca te hará llegar un código QR para que operes con la entidad.
Sin duda, los códigos QR falsos son una creciente amenaza de seguridad, de la que todo el mundo necesita ser consciente.
Pueden conducir a estafas de phishing, robo de identidad, infecciones de malware, y a la merma de nuestra cuenta corriente.