Al igual que otros elementos tecnológicos, los códigos QR (Respuesta Rápida por sus siglas en inglés) se popularizaron tras la pandemia por facilitar la interacción sin contacto físico con otras personas. Sin embargo, esto ha sido una ventana de oportunidades para los ciberdelincuentes.
Contrario a lo que se podría pensar, los códigos QR tienen una vulnerabilidad que los piratas informáticos están aprovechando para engañar a sus víctimas y cometer fraude.
En los códigos QR se puede almacenar hasta 4296 caracteres alfanuméricos, aunque los de uso público general suelen ser matrices más pequeñas para ser capturadas fácilmente desde la cámara del teléfono para posteriormente abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre otras cosas.
“Dada la versatilidad de los códigos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio. Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más.”, menciona Cecilia Pastorino, Investigadora de Seguridad Informática de ESET, compañía de ciberseguridad.
Cómo cuidarse ante posibles ataques
Debido a su versatilidad los ciberdelincuentes los usan para estafar a las personas, usando sus claves bancarias o de redes sociales, por lo que para estar protegido se pueden tomar en cuenta las siguientes cosas:
- En el caso de los pagos con QR y operaciones financieras, verificar siempre que la transacción se haya realizado con éxito. Confirmar la operación tanto en el dispositivo del comprador, como en el del vendedor y asegurarse de haber recibido el dinero correctamente.
- Si se tiene códigos QR al alcance del público, comprobar regularmente que no hayan sido adulterados.
- A la hora de generar un código QR utilizar un servicio de confianza para hacerlo. Además, verificar que el QR obtenido por el servicio este correcto y que realiza la acción deseada.
- Deshabilitar la opción de realizar acciones automáticas al leer un código QR, como acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi.
- Verificar siempre la acción antes de realizarla. Revisar que la URL sea correcta, que el archivo descargado, los datos obtenidos o la acción realizada sea la esperada.
- No compartir códigos QR con información sensible, tales como los que se utilizan para acceder a aplicaciones o los que se incluyen en documentos y certificados de salud. Evitar sacarle fotos, no compartirlos y almacenarlos de forma segura.
- Por supuesto, mantener siempre los dispositivos protegidos, contar con herramientas de seguridad y actualizar las aplicaciones. De esta forma, le será mucho más difícil a un cibercriminal comprometer la información.
Es de subrayar que en caso de escanear un código QR malicioso, el usuario puede ingresar a un sitio web fraudulento que le podría robar información o dinero, por ejemplo, recientemente en Estados Unidos, delincuentes colocaron en parquímetros públicos ubicados en distintas ciudades, calcomanías con falsos códigos QR que llevaban a las potenciales víctimas a un falso sitio para supuestamente realizar el pago.
Asimismo, esos códigos los pueden llevar a descargar un archivo malicioso y hasta instalar una aplicación que el ciberdelincuente usará para espiar y obtener información personal como contraseñas. Por todo lo anterior es que los usuarios deben de tener cuidado antes de escanear un código QR.