La pandemia ha cambiado los hábitos de los ciudadanos y ha potenciado el uso de herramientas tecnológicas para llevar a cabo operaciones sin contacto (tanto económicas como en otros ámbitos). Muchas empresas han respondido a esta necesidad con el uso de códigos de respuesta rápida (QR), que se han generalizado en estos dos últimos años.

Un código QR es un código de barras bidimensional que puede almacenar 7.089 dígitos o 4.296 caracteres. Puede escanearse con un escáner o lector de códigos QR, que está integrado en las cámaras por defecto de la mayoría de los dispositivos móviles, para descifrar los datos que están codificados en él. Se trata básicamente de una cadena de texto, y suele ser una URL o un enlace a un sitio web o a la cuenta oficial de un comerciante en un sistema de pago.

Sin embargo, esta popularidad también ha creado un terreno fértil para que los ciberdelincuentes aderecen su kit de ‘malware’ de códigos QR para robar no solo información personal, sino también activos que son imposibles de recuperar una vez perdidos. De hecho, las amenazas relacionadas con los códigos QR se han vuelto tan frecuentes y astutas que incluso el FBI ha emitido recientemente una advertencia al respecto.

SALTO DEL MUNDO DIGITAL AL FÍSICO

Mientras que a menudo se piensa que la ciberdelincuencia se produce enteramente en el espacio digital, las amenazas relacionadas con los códigos QR son diferentes, ya que pueden tener lugar parcialmente en el ámbito físico. Un ejemplo de estafa con códigos QR que se basa en el ámbito físico es el que consiste en que actores maliciosos impriman pegatinas con códigos QR y las coloquen físicamente sobre los auténticos.

Por lo general, la gente asume que los letreros o carteles con códigos QR en las tiendas y los espacios públicos son seguros, y por lo tanto podrían no ser conscientes de que los actores maliciosos podrían sustituir los códigos QR legítimos por otros falsos como parte de sus esquemas fraudulentos”, explica José de la Cruz, director técnico de Trend Micro Iberia.

Este fue el caso de un sistema de pago por el uso compartido de bicicletas en China. Al parecer, los actores maliciosos sustituyeron los códigos QR que los usuarios debían escanear para pagar por el uso de las bicicletas antes de poder desbloquearlas. Como resultado, los pagos de los usuarios desprevenidos se transfirieron a las cuentas de los actores maliciosos, sin que los usuarios pudieran desbloquear las bicicletas para su uso.

Hace poco, las fuerzas de seguridad de varias ciudades de Estados Unidos alertaron sobre un esquema similar, en el que actores maliciosos habían pegado sus códigos QR fraudulentos en los legítimos de los parquímetros para engañar a los usuarios con el fin de que introdujeran sus credenciales de pago en sus sitios web de ‘phishing’.

En el ámbito digital también se sufren este tipo de estafas. Se sabe que los estafadores incorporan códigos QR en sus ataques de ‘phishing’, una práctica conocida como ‘quishing’. Lo hacen principalmente para poder eludir las soluciones de seguridad tradicionales que pueden marcar las URL maliciosas cuando aparecen en los correos electrónicos, pero no cuando están vinculadas a (o escondidas detrás de) los códigos QR.

CONSEJOS DE LOS EXPERTOS

Aunque los esquemas comentados son preocupantes, los usuarios pueden mantener a raya las estafas con códigos QR siguiendo buenas prácticas, según los expertos de Trend Micro, que recomiendan -en primer lugar- asegurarse de que el sitio web enlazado de una agencia gubernamental u otro proveedor de servicios oficial es legítimo antes de proporcionar información personal. Un truco puede ser comprobar si hay algún error ortográfico en la propia URL.

Piénsalo dos veces antes de escanear un código QR que se encuentre en los correos electrónicos que te envíen, aunque parezcan proceder de organizaciones o personas que conozcas. Activa la autenticación multifactor con tus cuentas bancarias, empresariales y de otro tipo para evitar el robo de credenciales de acceso”, añade la nota.

En el caso de hacer una transacción en el local de un comerciante o proveedor de servicios, los expertos en ciberseguridad también instan a asegurarte de que el código QR no está pegado sobre uno original y legítimo, así como utilizar este sistema “para pagar solo cuando se realicen transacciones directas con comercios de confianza, proveedores de servicios o personas conocidas”.

De la misma forma, desde Trend Micro aconsejan utilizar la aplicación de cámara predeterminada del ‘smartphone’ para escanear códigos QR en lugar de descargar una aplicación para ello. “Para obtener otra capa de protección, puedes utilizar Trend Micro QR Code Scanner para Android o Trend Micro Mobile Security para iOS y Android para analizar los códigos QR y detectar si tienen enlaces a sitios web potencialmente peligrosos”, concluye la compañía.