QR: ¿qué rápido o qué peligroso?

Te explicamos cómo evitar el fraude en los códigos QR.

Los códigos QR están por todos lados: en restaurantes, envases de yogur, exposiciones de los museos, en las facturas de ciertos servicios o la lotería. Y los usuarios los utilizan para abrir sitios web, descargar aplicaciones, recopilar puntos de programas de fidelidad, hacer pagos y transferir dinero e, incluso, para donar a organizaciones benéficas. Esta tecnología tan accesible y práctica resulta cómoda para muchos, incluidos, como siempre, los ciberdelincuentes, que ya han desplegado múltiples estrategias basadas en los códigos QR. Te contamos qué puede salir mal con estos cuadritos en blanco y negro omnipresentes y cómo utilizarlos sin miedo.

Qué son los códigos QR y cómo se utilizan

Hoy en día, casi todos tenemos un smartphone y muchos de los modelos actuales ya cuentan con un escáner de códigos QR incorporado, pero cualquiera puede descargar una aplicación que lea estos códigos o elegir una especial, por ejemplo, para un museo.

Para escanear un código QR, el usuario solo tiene que abrir la aplicación del escáner y apuntar la cámara del teléfono hacia el código. La mayoría de las veces, el smartphone te dirigirá a cierto sitio web o a descargar una aplicación. Sin embargo, existen otras opciones, de las que hablaremos más adelante.

Los escáneres especializados utilizan un conjunto específico de códigos QR. Puedes encontrar estos códigos en la señal de un árbol históricamente importante de un parque, por ejemplo. En este caso, escanear el código con la aplicación oficial del parque podría comenzar un tour guiado, mientras que un escáner estándar solo abriría una descripción en el sitio web del parque.

Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red wifi para invitados o información bancaria.

¿Cómo utilizan los ciberdelincuentes los códigos QR?

Los códigos QR son solo una versión más avanzada de los códigos de barras, ¿qué podría salir mal? Pues resulta que muchas cosas. Los humanos no pueden leer los códigos QR o revisar por adelantado lo que pasará al escanearlos, de forma que dependemos de la honestidad de sus creadores. Tampoco podemos saber todo lo que el código QR incluye, incluso cuando creamos nuestro propio código. Por tanto, el sistema puede explotarse con facilidad.

Enlaces falsos

Un código QR creado por unos ciberdelincuentes podría dirigirte a un sitio de phishing que se parezca a la página de inicio de sesión de una red social o banco online. Por eso siempre recomendamos revisar los enlaces antes de seguirlos. Un código QR, sin embargo, no nos da esa accesibilidad. Además, es común que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno falso cuando el smartphone solicita la confirmación.

Estrategias similares se utilizan para engañar a los usuarios con errores de descarga de aplicaciones, por ejemplo, al descargar malware en lugar del juego o herramienta previstos. En este punto, el cielo es el límite; el malware puede robar contraseñas, enviar mensajes maliciosos a tus contactos, etc.

Comandos con cifrado QR

Más allá de dirigir a un sitio web, un código QR puede incluir un comando para realizar ciertas acciones. Una vez más, las posibilidades son infinitas. Aquí tenéis algunos ejemplos:

  • Añadir un contacto.
  • Hacer una llamada.
  • Redactar un borrador de correo electrónico y rellenar los campos de destinatario y asunto.
  • Enviar un mensaje de texto.
  • Compartir tu ubicación con una aplicación.
  • Crear una cuenta en una red social.
  • Programar un evento en el calendario.
  • Añadir una red wifi preferida con credenciales para conexión automática.

El denominador común es la automatización de acciones cotidianas. Por ejemplo, al escanear un código QR, puedes agregar información de contacto de una tarjeta de negocios, pagar por el estacionamiento u otorgar acceso a una red wifi para invitados.

Por ello, los códigos QR son un campo fértil para la manipulación. Por ejemplo, los estafadores podrían agregar su información de contacto en tu libreta de contactos con el nombre “Banco” para ganar credibilidad en una llamada e intentar estafarte; o podrían hacer una llamada a cobro revertido o identificar tu ubicación.

¿Cómo enmascaran los ciberdelincuentes los códigos QR?

Para poder dañarte con un código QR, los atacantes primero tienen que persuadirte para que lo escanees. Para ello, tienen un par de trucos:

Fuentes maliciosas. Los ciberdelincuentes pueden colocar un código QR con un enlace a su sitio web, en un banner, en un correo electrónico o, incluso, en un anuncio en papel. En general, el objetivo es que la víctima descargue una aplicación maliciosa. En muchos casos, colocan los logotipos de Google Play y App Store junto al código para concederle mayor credibilidad.

Sustitución. No es inusual que los atacantes se aprovechen del trabajo y la reputación de las partes legítimas al reemplazar un código QR real en un cartel o señal con uno falso.

Asimismo, las jugarretas con los códigos QR no están limitadas a los ciberdelincuentes; los activistas sociales sin escrúpulos han comenzado a utilizarlos y sustituirlos para divulgar sus ideas. En Australia, por ejemplo, recientemente un hombre fue arrestado por tratar de alterar presuntamente los códigos QR en señales de registro en los centros de COVID-19 para llevar a los visitantes a un sitio web antivacunas.

Nuevamente, las posibilidades son prácticamente infinitas. Los códigos QR se ven con frecuencia en los recibos de pago de servicios, panfletos, carteles de oficinas y casi en cualquier otro lado en el que esperarías encontrar información o instrucciones.

Cómo evitar problemas con los códigos.

Cuando utilices códigos QR, sigue estas simples reglas de seguridad:

  • No escanees códigos QR de fuentes sospechosas obvias.
  • Presta atención a los enlaces que se muestran al escanear el código. Ten mucho cuidado si la URL está acortada, porque con los códigos QR no hay razón suficiente como para acortar los enlaces. En su lugar, utiliza un motor de búsqueda o tienda oficial para encontrar lo que estés buscando.
  • Haz una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original.
  • Utiliza un programa como QR Scanner de Kaspersky que busque contenido malicioso en los códigos QR. (NOTA: la app ya no está disponible de forma individual, pero puedes encontrar la funcionalidad dentro de la versión gratuita de Kaspersky Antivirus & VPN para Android y para iOS)

Los códigos QR también incluyen información valiosa como los números de entradas electrónicas, por ello nunca debes publicar documentos con códigos QR en las redes sociales.

Consejos