Con la llegada del COVID-19 se popularizó la tecnología de los códigos QR y, detrás de ésta, los ciberdelincuentes y el QRishing. El uso de esta herramienta digital conlleva al riesgo de ser estafado.
El mes pasado, los delincuentes colocaron falsos códigos QR en parquímetros de Texas y otras ciudades de Estados Unidos para robar datos de pago de las víctimas. Esta técnica de engaño se llama QRishing, o lo que es lo mismo, “Phishing" a través de códigos QR: al escanear el código, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad, suscribir a la víctima a servicios de pago…).
Es decir, con el QRishing solo se establece la puerta de entrada a la estafa con la ayuda del código QR. Lo que puede pasar continuación puede ir desde el robo a tus datos personales y bancarios, hasta la inyección de código para ejecutar cualquier acción.
Como protegernos del QRishing
1- El primer consejo es desactivar que los sitios se abran automáticamente. Generalmente, en Android se muestra una notificación con la dirección y el sistema pregunta si abrirlo. Aquí, debemos estar completamente atentos a si el link es en efecto el que queremos visitar. Esta es la clave para evitar ser víctimas de una estafa a través de un código QR.
2- No escanear códigos QR de dudosa procedencia: verificar la identidad del autor (persona o entidad), confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
3- En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
4- Si el código QR está en el mundo físico, por ejemplo, en el expositor de alguna tienda o impreso en un vaso, un truco de los delincuentes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real. Si lo detectamos, informar al responsable del establecimiento.
5- Y si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.
Otros usos maliciosos del QR
El código QR también sirve para ejecutar comandos, por ejemplo, para agregar, sin revelar, una contraseña de una red de WiFi, añadir un contacto, hacer una llamada, redactar o rellenar formularios, enviar mensajes de texto, compartir la ubicación con una app, crear una cuenta en un sitio, programar un evento, pagar el estacionamiento, entre otras.
Todas estas posibilidades, aunque son útiles para la vida diaria y profesional, también pueden ser utilizadas por la ciberdelincuencia.