Párate y piensa las veces que utilizas los códigos QR en tu día a día… En cualquier situación… Y piensa también que la facilidad de su uso los ha hecho un aliado interesante para delincuentes que los pueden utilizar para robar datos, acceder a información sensible o transacciones fraudulentas. Por ello, te pedimos que repases en este artículo cómo los códigos QR pueden darnos más de un dolor de cabeza y cómo podemos evitarlo.
¿Cuántas veces has utilizado un código QR para acceder a la carta de un restaurante? También se suelen utilizar para acceder a servicios de pago, catálogos, conectar a redes WiFi-públicas, generar tarjetas de fidelización en tiendas, con nuestros relojes inteligentes, acceder a eventos como conciertos, museos… Si te paras a pensar, el uso de este tipo de códigos está muy extendido.
Enfocar la cámara y voilà. Tan sencillo y, también, tan peligroso si no se tienen las precauciones necesarias. Son recurrentes los avisos de fraude que nos advierten del uso de códigos QR para el robo de información, acceso a pagos fraudulentos o la descarga de programas maliciosos en nuestros dispositivos.
Cómo evitar riesgos
No nos vamos a dejar llevar por la comodidad, vamos a repasar algunos de estos riesgos y cómo podemos actuar para evitarlos:
- Qrishing es un tipo de phishing que utiliza códigos QR. A través de una página web, un correo electrónico o mensaje, los delincuentes consiguen que el usuario escanee un código que le redirige a una página fraudulenta que, generalmente, pide información de carácter confidencial.
- Descarga de código malicioso o malware en el dispositivo móvil de la víctima tras escanear un código. Se aprovechan las vulnerabilidades del teléfono para realizar diversas acciones, por ejemplo, filtrar información almacenada, suscripción a servicios de pago, envío de correos electrónicos… En algunos casos, la víctima ni siguiera es consciente de lo que ocurre, pero puede notar que el dispositivo se ralentiza en exceso.
- Qrljacking o secuestro de sesión, consiste en secuestrar la cuenta de un servicio que utilice la función de inicio con código QR. Escaneando un código QR modificado, el usuario accede a una cuenta que suplanta a la original y en la que se capturan sus credenciales permitiendo, así, el acceso a la información de su cuenta. Una de las últimas alertas del Incibe (Instituto Nacional de Ciberseguridad) avisaba de este tipo de delito con cuentas de Microsoft. También ha ocurrido con el servicio del servicio de WhatsApp web.
Antes de escanear hay que pensar
El propio Incibe nos aporta algunas recomendaciones para no caer en estos engaños:
- Lo primero es asegurar el origen del código que queremos escanear y que este redirige a la página correcta. Para facilitar esta labor podemos deshabilitar la apertura automática de código QR en el navegador y usar aplicaciones que nos permitan ver a qué URL redirige el código antes de abrirlo. Esto puede ayudarnos a detectar que dicha página puede ser fraudulenta.
- Si el código QR está en el mundo físico, es un restaurante o en un expositor, la fórmula que utilizan los delincuentes es poner una pegatina sobre el código. Es importante mirar detenidamente y no escanear si nos surgen dudas.
- No proporcionar ningún dato privado ni ninguna contraseña a páginas web que hayamos accedido a través de un código QR.
Y recordarte, antes de utilizar un código QR, piensa.