¿Alguna vez ha escaneado un código QR en un evento masivo, en una conferencia, en lugares públicos como hoteles o aeropuertos o en sitios web desconocidos? Si la respuesta es sí, es importante conocer los riesgos de esta práctica y saber por qué usted podría convertirse en víctima de manos malintencionadas.
Los códigos QR son módulos cuadrados con barras bidimensionales en los que se almacenan datos codificados, que normalmente son enlaces a un sitio web. Con una aplicación o usando herramientas incorporadas en algunos teléfonos, se escanean estos códigos para abrir un enlace en segundos.
-[‘E-whoring’, el engaño en internet con fotos de desnudos]
-[En un año más de 900 mil usuarios fueron afectados por videojuegos que contenían malware]
Es un recurso muy útil, pero también se ha convertido en un gancho fácil que usan los cibercriminales para engañarlo, robarle información o estafarlo. “La gente generalmente no pregunta si ese código QR redirecciona al sitio que de verdad nos están prometiendo”, dice el coronel de la Policía Fredy Bautista, experto en cibercrimen y exdirector del Centro Cibernético de la Policía para el diario El Tiempo de Colombia.
Los atacantes tendrían la opción de incorporar una página fraudulenta que al abrirla instala un malware en su dispositivo. Según Bautista, algunos de estos códigos maliciosos se pueden usar para realizar escaneos e identificar las versiones de los sistemas operativos o de las aplicaciones instaladas.
“Eso se hace porque hay un sinnúmero de vulnerabilidades identificadas y publicadas en sitios web, muchas de ellas de uno o dos años atrás, pero que siguen sin ser parchadas. Al ver esto, ya se sabe qué ataque le pueden dirigir a la víctima y cuáles son las fallas que se pueden explotar de sus dispositivos”, explica el oficial.
El objetivo con este tipo de redireccionamientos es lograr una captura de datos de la información que podría servir para futuros ataques.
Los ciberdelincuentes también aprovechan la popularidad de apps que usan códigos QR entre sus servicios como método para registrarse. La compañía de ciberseguridad Eset Latinoamérica advirtió de una modalidad conocida como QRLJacking, que permite, por medio de ingeniería social, robar datos de este tipo de plataformas. Por ejemplo, para acceder a su versión web, WhatsApp solicita el escaneo de un código QR mediante la app. La firma especializada señala que los atacantes suplantan estos códigos para robar la sesión de las víctimas y acceder a sus conversaciones.
El ataque funciona de la siguiente manera, según Eset: los cibercriminales desarrollan una herramienta que captura y almacena la imagen del código QR generado por WhatsApp, y crean uno nuevo que es falso. Pueden hacerles llegar ese código a sus víctimas por medio de una página de anuncios fraudulentos o simulando el sitio de WhatsApp. Al escanearlo, el atacante almacena la sesión en su computador y puede utilizarla como desee sin que el usuario lo note, pues no se causa ningún tipo de interrupción en la app.
Según Daniel Barbosa, especialista en seguridad informática de Eset Latinoamérica, esta misma técnica se puede utilizar en otros servicios que realicen validaciones mediante códigos QR. Por ejemplo, pueden crear una publicidad falsa que supuestamente ofrece un año gratis de algún servicio y para acceder al beneficio se debe escanear un código QR. Se corre el riesgo de que se instale inmediatamente un malware en su dispositivo.
Aunque es importante que los desarrolladores de aplicaciones tomen medidas de seguridad, como crear otros métodos de validación, resulta vital que como usuario usted se proteja. La recomendación principal es que al escanear un código QR siempre verifique el enlace al que será redireccionado antes de ser escaneado. “Hay que seguir unos pasos muy sencillos. Simplemente, pararse en el código y presionar ver detalle, y ahí se muestra el enlace hacia donde redirecciona”, señala Bautista.
De otro lado, sin importar la marca o el servicio, sospeche si algún anuncio publicitario solicita que debe escanear un código QR a cambio de algún beneficio o como parte de un proceso de validación. Cerciórese de usar las páginas oficiales de las compañías y tenga en cuenta que WhatsApp solo ofrece el servicio de códigos QR para ingresar a la plataforma desde su computador.
Si escaneó un código para acceder a un supuesto servicio de esta app de mensajería, lo más seguro es que haya caído en las redes de un cibercriminal. La recomendación es ir al menú principal de la aplicación, seleccionar la opción ‘WhatsApp web’ y cerrar todas las sesiones que fueron iniciadas. De esta forma, el criminal perderá cualquier acceso.
Por último, no olvide realizar siempre actualizaciones constantes de las apps y servicios que utilice, pues con ellas se corrigen algunos problemas de seguridad.
Con información de:
GDA
El Tiempo – Colombia