Escanear los códigos QR tiene ventajas, pero podemos abrir enlaces a sitios fraudulentos, y dejarnos expuestos al robo de datos.
Un ciberdelincuente podría pegar un falso código QR para dirigir al usuario hacia una URL maliciosa, encima de un código bueno que esté en la mesa de la terraza de un restaurante, o junto a un cajero automático, simulando que es el acceso para entrar a los datos de la aplicación de una entidad bancaria, según informa la UOC.
Mediante un código QR se han secuestrado cuentas de mensajería instantánea, accediendo a los contactos, archivos y conversaciones de sus usuarios, ya que el uso de esta aplicación en un ordenador requiere emplear un símbolo de este tipo que los cibercriminales utilizan para robar los datos, indican también desde la UOC.
“Los códigos QR, formados por puntos negros dispuestos en un cuadrado sobre fondo blanco y con cuadrados fijos en tres de sus esquinas, se han hecho más populares a partir de la pandemia de Covid-19”, según Jordi Serra Ruiz, profesor de Estudios de Informática, Multimedia y Telecomunicación en la Universitat Oberta de Catalunya (UOC) en Barcelona (España).
“Ya se utilizaban, pero no lo hacía tanta gente o, al menos, no con tanta frecuencia”, según este experto, quien considera que la gran ventaja de este sistema es su facilidad de uso sin requerir un contacto físico, por medio de un teléfono inteligente, que escanea o fotografía el código con su cámara, siendo luego procesado y ejecutado mediante una app.
Este sistema lo desarrolló en 1994 el ingeniero Masahiro Hara, de la empresa japonesa Denso Wave, una filial de Toyota, inspirándose en la disposición de las fichas blancas y negras sobre el tablero durante una partida de Go, un juego de estrategia originario de China y muy popular en Asia.
Sin embargo, su auge global comenzó años más tarde, a partir de 2002, cuando se comercializaron en Japón los primeros “smartphones” con lector de códigos QR incorporado, y las empresas comenzaron a lanzar los primeros códigos QR orientados al consumidor, según la filial para América Latina de la compañía de ciberseguridad Kaspersky.
Cada imagen de un QR encierra un conjunto de caracteres codificados que puede ser leído y decodificado mediante la cámara y una aplicación del teléfono móvil, llevando de inmediato al usuario a una dirección URL, una aplicación, un mapa de localización, un correo electrónico, un perfil en una red social o una descarga de un archivo desde la web.
Mediante estos códigos “podemos consultar las comidas y bebidas en un bar, acceder a ofertas de un establecimiento; registrarnos en una página web cuyo contenido nos interesa; o llegar a una plataforma de pago de una compra”, según Serra.
“Los datos avalan que los bares y restaurantes, seguidos de los comercios, son los lugares en los que más se utilizan estos códigos”, puntualiza.
“Pero escanear con el celular estos códigos también puede dar lugar a estafas o a robos de datos”, advierte Serra.
“Por ejemplo, los ciberdelicuentes podrían crear una web falsa para que el público compre entradas en línea a un concierto o a un acto y generar un código QR malicioso, que pegarían sobre el cartel oficial del evento, para hacer creer a la gente que es el código oficial”, indica el experto.
“Si utilizamos el código QR malicioso y entramos a la web falsa, estaríamos adquiriendo entradas falsas con nuestra tarjeta de crédito, y sus datos podrían ser utilizados por los ciberdelincuentes”, según este experto.
“Los códigos QR fraudulentos pueden redirigirnos a páginas web de entidades bancarias también fraudulentas, que son copias de las reales, y obtienen nuestros datos para poder entrar y robar dinero, o llevarnos a redes sociales, en las que pueden suplantarnos y pedir un rescate a cambio de devolvernos el control de nuestras cuentas”, alerta este docente.
Uso seguro y correcto del código QR para evitar el robo de datos
“Como se ve, un código QR puede dirigirnos a una URL (dirección de internet) que podría ser problemática, por lo que hay que ser cuidadosos al usarlos y desconfiar si no estamos seguros de que ha sido generado por el propietario del local o la entidad correspondiente”, advierte Serra, quien para evitar ser víctima de un engaño ofrece unos consejos:
1.- Analizar donde se encuentran estos símbolos.
“Hay que desconfiar por completo de los que están en lugares accesibles a todo el mundo, ya que los ciberdelincuentes pueden haber puesto allí un QR malicioso fácilmente”, explica el profesor de la UOC.
2.- Comprobar la superficie donde está impreso.
“Esto permitirá descartar que hayan pegado o colocado un papel con otro código encima del original”, según Serra.
3.- Configurar los dispositivos adecuadamente.
El profesor Serra recomienda configurar el móvil para que no abra directamente los enlaces de los códigos QR y poder ver antes qué dirección de internet está detrás de sus símbolos o qué información tiene codificada.
4.- Establecer una pregunta de seguridad.
El docente recuerda que se puede establecer que el móvil pregunte al usuario antes de abrir el contenido del código QR para poder ver la dirección. “Si vemos que la URL no es la correcta o que su código de país no es el habitual, no debemos abrir el contenido”, recomienda.
5.- Tener cuidado con las URLs acortadas.
En los casos en los que la dirección web ha sido acortada con un reductor de URLs y no se puede saber adónde lleva esa URL, hay verificar que el código QR sea legítimo. Hay sitios web que convierten las direcciones cortas de internet en las reales”, según Serra.
Los códigos QR son accesibles y fáciles de producir, pero también son el vehículo perfecto para que los ciberdelincuentes se apoderen de nuestra información personal, según los expertos de CyberArk, compañía especializada en ciberseguridad de la identidad y la información.
En China se descubrió una red que falsificaba multas de estacionamiento, con códigos QR para facilitar el pago de la infracción, y los colocaba en los coches estacionados en la calle.
Y en Alemania se enviaron a clientes de banca electrónica unos correos electrónicos falsos que contenían códigos QR, que dirigían al usuario a sitios web maliciosos, según esta fuente.
Otras medidas de protección:
Para protegerse de los ciberataques de código QR, que según CyberArk, están ocurriendo en todo el mundo con una frecuencia alarmante, desde esta compañía aconsejan:
a) Reducir la velocidad.
Antes de escanear un QR con el teléfono, conviene preguntarse “¿estoy seguro de que no ha sido manipulado?”, “¿tiene sentido usar un código en esta situación…?”.
b) Buscar signos de manipulación física.
Esto es especialmente importante en lugares donde los códigos QR se usan mucho, como los restaurantes. Si ve una etiqueta de código QR adherida a una página sobre otro código, ¡no se fíe de ese código!
c) Evite descargar aplicaciones desde códigos QR.
Los ciberdelincuentes pueden clonar y falsificar sitios web con facilidad, por lo que se aconseja descargar siempre las aplicaciones desde una tienda o ‘marketplace’ oficial.