Hoy en día los códigos QR los podrás encontrar por todos lados: en restaurantes, envases de bebidas, facturas de ciertos servicios, la lotería, etc. Incluso los usuarios los utilizan para abrir sitios web, descargar aplicaciones, recopilar puntos de programas de fidelidad, hacer pagos y transferir dinero e, incluso, para donar a organizaciones benéficas.

Esta tecnología se ha convertido en algo muy accesible y práctico, lo que resulta cómodo y fácil para muchas personas, pero también para los ciberdelincuentes, quienes ya cuentan con múltiples estrategias basadas en los códigos QR.

Para conocer un poco más de este sistema, es necesario saber ¿Qué son los códigos QR? y ¿Cómo se utilizan? Hoy en día, muchos tienen un Smartphone, los cuales incluso cuentan con un escáner de códigos QR incorporado, pero cualquiera puede descargar una aplicación que lea estos códigos o elegir una especial.

Para utilizar un código QR el usuario solo tiene que abrir la aplicación del escáner y apuntar la cámara del teléfono hacia el código. La mayoría de las veces, el smartphone te dirigirá a cierto sitio web o a descargar una aplicación. Pero también existen otras opciones, de las que hablaremos más adelante.

Los escáneres especializados utilizan un conjunto específico de códigos QR. Por ejemplo. En un parque puedes escanear el código con la aplicación oficial del parque y este podría comenzar un tour guiado, mientras que un escáner estándar solo abriría una descripción en el sitio web del parque.

Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red wifi para invitados o información bancaria.

Los códigos QR y los ciberdelincuentes:

En comparación con los códigos de barra, los códigos QR son solo una versión más avanzada. Aunque parezca que nada malo podría pasar, pues resulta que muchas cosas. Los humanos no pueden leer los códigos QR o revisar por adelantado lo que pasará al escanearlos, de forma que dependemos de la honestidad de sus creadores. Tampoco podemos saber todo lo que el código QR incluye, incluso cuando creamos nuestro propio código. Por tanto, el sistema puede explotarse con facilidad.

Enlaces falsos: Un código QR creado por unos ciberdelincuentes podría dirigirte a un sitio de phishing que se parezca a la página de inicio de sesión de una red social o banco online. Por ello es recomendamos revisar los enlaces antes de seguirlos. Un código QR, sin embargo, no nos da esa accesibilidad. Además, es común que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno falso cuando el smartphone solicita la confirmación.

Otra estrategia para engañar a los usuarios son los errores de descarga de aplicaciones, por ejemplo, al descargar malware en lugar del juego o herramienta previstos. En este caso el malware puede robar contraseñas, enviar mensajes maliciosos a tus contactos, etc.

Comandos con cifrado QR: Un código QR no sólo puede dirigirte a un sitio Web, sino también puede incluir un comando para realizar ciertas acciones. Como por ejemplo: Añadir un contacto, hacer una llamada, redactar un borrador de correo electrónico y rellenar los campos de destinatario y asunto, enviar un mensaje de texto, compartir tu ubicación con una aplicación, crear una cuenta en una red social, programar un evento en el calendario, añadir una red wifi preferida, etc.

El denominador común es la automatización de acciones cotidianas. Por ello, los códigos QR son un campo fértil para la manipulación. Por ejemplo, los estafadores podrían agregar su información de contacto en tu libreta de contactos con el nombre “Banco” para ganar credibilidad en una llamada e intentar estafarte; o podrían hacer una llamada a cobro revertido o identificar tu ubicación.

¿Cómo enmascaran los ciberdelincuentes los códigos QR?

Para poder dañarte con un código QR, los atacantes primero tienen que persuadirte para que lo escanees. Para ello, tienen un par de trucos:

Fuentes maliciosas: Los ciberdelincuentes pueden colocar un código QR con un enlace a su sitio web, en un banner, en un correo electrónico o en un anuncio en papel. En general, el objetivo es que la víctima descargue una aplicación maliciosa. En muchos casos, colocan los logotipos de Google Play y App Store junto al código para concederle mayor credibilidad.

Sustitución. No es inusual que los atacantes se aprovechen del trabajo y la reputación de las partes legítimas al reemplazar un código QR real en un cartel o señal con uno falso.

Nuevamente, las posibilidades son prácticamente infinitas. Los códigos QR se ven con frecuencia en los recibos de pago de servicios, panfletos, carteles de oficinas y casi en cualquier otro lado en el que esperarías encontrar información o instrucciones.

¿Cómo evitar problemas con los códigos QR?

Al utilizar los códigos QR, sigue estas simples reglas de seguridad:

-No escanees códigos QR de fuentes sospechosas obvias.

-Presta atención a los enlaces que se muestran al escanear el código. Ten mucho cuidado si la URL está acortada, porque con los códigos QR no hay razón suficiente como para acortar los enlaces. Es mejor utilizar un motor de búsqueda o tienda oficial para encontrar lo que estés buscando.

-Haz una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original.

-Utiliza un programa como QR Scanner de Kaspersky (disponible para Android y iOS) que busque contenido malicioso en los códigos QR.

-Los códigos QR también incluyen información valiosa como los números de entradas electrónicas, por ello nunca debes publicar documentos con códigos QR en las redes sociales.

Fuente: Kaspersky

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *