Utilizar un código QR para obtener información o vincularse a una página web es habitual, pero usarlos tiene su riesgo. Los ciberdelincuentes los utilizan para hacerse con datos y contraseñas privadas. La pandemia popularizó, casi de la noche a la mañana, el uso de los códigos QR. Muchos establecimientos utilizaron este sistema como alternativa a los soportes físicos, para poder dar información a los clientes sobre sus servicios, evitando el contacto con superficies potencialmente contaminadas.

Pasada la tormenta sanitaria, estos pequeños códigos en blanco y negro siguen en boga. Su sencillez de uso es su punto fuerte: solo requieren de un teléfono inteligente o un dispositivo portátil equipado con una cámara. Pero no todo son ventajas, y los ciberdelincuentes han visto su gran potencial.

A través de QR ilegítimos, introducen malware y roban contraseñas y datos a los usuarios. Es lo que se conoce como QRishing o phishing a través de códigos QR. Por eso, antes de escanear cualquier código QR conviene tomar ciertas precauciones. Hacerlo de manera fiable y segura nos evitará grandes problemas.

Que son los códigos QR

QR son las iniciales de Quick Response, “respuesta rápida” en español. Llevan utilizándose desde hace más de un cuarto de siglo, estos emplean un sistema de almacenamiento de información en una matriz de puntos. Técnicamente son conocidos como códigos de barra bidimensionales. De hecho, son una evolución de los códigos de barras, que tienen codificación unidimensional. Sin embargo, aunque ambos sirven para almacenar información, los QR tienen una capacidad mayor: pueden almacenar un total de 7.089 dígitos, lo equivalente a 4.296 caracteres. Además, permiten trabajar con contenidos y acciones.

Los peligros de utilizar un codigo QR

Los ciberdelincuentes han aprovechado la popularidad de los QR para sacar su propio provecho. Mediante el uso de códigos ilegítimos, instalan malware en el dispositivo que los escanea. Este software fraudulento no solo es capaz de infectar el aparato con virus, también puede hacerse con información sensible de su propietario.

Además, los hackers suplantan la identidad de la URL original creando un dominio falso. Esta técnica de ingeniería social se conoce como QRishing (derivado de la combinación de los conceptos phishing y código QR) o phishing a través de códigos QR.

Al escanear el código, el usuario es dirigido a un sitio web falso donde se le piden datos personales o contraseñas con el fin de suplantar su identidad o realizar suscripciones o pagos a ciertos canales.

¿Cómo evitar el fraude?

Para evitar caer en la trampa de un QR ilegítimo, redacte estos consejos los cuales estoy seguro le serán de utilidad:

• Si a primera vista la URL parece sospechosa, no accedas.

• En los QR colocados en sitios públicos de fácil acceso (un restaurante, por ejemplo) comprueba que no haya ningún otro código pegado encima.

• Asegúrate de que la web a la que quieres acceder cumple con estándares de protección y navegación segura. Por ejemplo, cerciórate de que tenga HTTPS.

• Conviene hacer uso de analizadores de enlaces, como VirusTotal y URLVoid. De esta manera, antes de abrir la web, podrás comprobar que no se trata de ningún ataque de ingeniería social.

• Utiliza aplicaciones de seguridad antes de activar un código QR. Kaspersky QR Scanner, disponible en Android e iOS, es una buena propuesta para realizar este chequeo.

• No proporciones ningún dato privado o contraseña a páginas web a las que se haya accedido a través de un código QR. La visita a las páginas de bancos o tiendas online en la que se proporcionen datos de la tarjeta bancaria deben hacerse siempre desde la URL completa o a través de su aplicación propia.

Evite ser víctima

@adogel

t.me/seguridadintegral

Adolfo Gelder

adogel@gmail.com