Cuando un simple código QR puede ser un puente para que te estafen y te roben

Desde el mostrador de un restaurante, en la guantera de un taxi o hasta en los carnet de vacunación, los códigos QR han tomado un papel protagonista en los últimos años.

Sus usos, variados todos, nos facilitan la vida y gracias a ellos podemos realizar diferentes actividades como pagar el viaje del taxi, abrir enlaces, agregar contactos, ver más información de obras en los museos, revisar el catálogo de una tienda y más.

MIRA: Conectarse a una red de WiFi pública es como entrar en una casa abandonada: no sabes qué te puede pasar dentro

Por definición, los códigos QR no suponen un problema para el público, pues se trata de una forma de almacenamiento de datos; pero, abrir un enlace de Internet también es “seguro“, hasta que uno ingresa a uno fraudulento.

Así, los ciberdelincuentes, gracias a diferentes artimañas, aprovechan hasta el error más pequeño para acceder a información privada o tomar el control de nuestros equipos.

En ese sentido, a continuación, una explicación sobre qué son los códigos QR, cuáles son los peligros que presentan y por qué debemos estar atentos para evitar un ciberataque.

MIRA: No conectes tu celular a cualquier puerto USB, podrían robarte todas tus fotos

¿Qué son los códigos QR?

El códigos QR es un tipo de código de barras escaneable que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Su creación data de 1994 y cada uno puede almacenar hasta 4.296 caracteres alfanuméricos.

Sin embargo, los que se utilizan en el día a día suelen contener menos caracteres, lo que permite una fácil identificación con la cámara de un celular, tanto iOS como Android.

Asimismo, gracias a los códigos QR se puede abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi o realizar pagos. En otras palabras, existe un abanico de opciones variado.

MIRA: ¿Cómo te guardaron tus contactos? Los riesgos de entregar toda tu información a aplicaciones sospechosas

¿Los códigos QR suponen un peligro?

Como ya mencionamos, en teoría, los códigos QR son seguros. No obstante, su uso sí puede suponer un riesgo para los usuarios, ya que se ha vuelto un objetivo común de los ciberdelincuentes.

“Dada su versatilidad y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal con los códigos QR es sumamente amplio. Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más“, dijo Sol González, investigadora de seguridad de ESET Latinoamérica.

Cómo los hackers utilizan los códigos QR para hacernos daño

Ya sabemos que los códigos QR pueden ser una herramienta para los hackers, pero ¿cómo lo hacen? El proceso es básico: “estas simples URLs pueden ser modificadas para redireccionar a un usuario a otra página web con fines maliciosos“, dice González. “Es una técnica de ingeniería social muy utilizada, en la que el usuario entiende que ingresó a una página segura, pero fue reemplazada por una maliciosa ocasionando que pueda ser una potencial víctima de phishing o de algún software malicioso“.

Se puede graficar de la siguiente manera: una persona quiere pedir su cena en un restaurant y escanea el código QR para ver el menú, el cual previamente ya ha sido modificado; entonces, abre la URL y al pensar que sigue en la misma web, introduce sus datos de redes sociales (o bancarios) los cuales posteriormente serán robados.

El robot de datos no es la única opción que disponen los cibercriminales, también pueden hacer lo siguiente:

• Elevar permisos de administrador para instalar software malicioso dentro del dispositivo.
• Redirigir al usuario a una página falsa y poder realizar robo de credenciales e información (qrljacking).
• Acceder a las aplicaciones de pago, como pueden ser las aplicaciones de banca móvil.
• Desviar pagos o realizar solicitudes de dinero a través de aplicaciones bancarias.

¿Cómo saber en qué código QR confiar?

Ahora bien, el siguiente punto a tocar es saber cómo diferenciar los códigos QR maliciosos de los seguros. Según la experta de ESET, el punto más importante es corroborar el enlace al cual se nos redirigirá. Luego, al escanear el código se debe verificar que la URL a la que se va ingresar es la original.

En la situación de que se descargue un archivo .apk o .jar, habrá que detener su descarga porque podría tratarse posiblemente de un código malicioso.

González recomienda utilizar la aplicación oficial de Google para identificar códigos QR, la cual se llama Google Lens y nos da la opción de visualizar la URL antes de abrirla.

Ingresé a un código QR malicioso e introduje mis datos: qué hacer

Las técnicas de los ciberdelincuentes cada vez son más finas y son muchas las personas que pueden caer en ellas. Es por eso que aquí te indicamos qué hacer si ya somos víctimas:

“En el caso de que efectivamente el usuario se haya dado cuenta que ingresó a un código QR malicioso y haya brindado sus credenciales, inmediatamente debe cambiar todas las claves de accesos y renovar contraseñas. Si se ha instalado algún software malicioso, en la mayoría de los casos, tiene que reiniciar el dispositivo a su modo fábrica (“hard reset”), de esta manera el dispositivo móvil vuelve a su estado inicial y la amenaza ya no estará presente. Otra forma de eliminar el malware dentro del dispositivo es iniciar el teléfono en modo seguro, ir a la sección de aplicaciones y eliminar aquellas aplicaciones que consideremos sospechosas.

Recomendaciones para quienes usan códigos QR de manera habitual

Los expertos en ciberseguridad aconsejan lo siguiente si es que deseamos evitar caer en las trampas de los hackers:

• En el caso de los pagos con QR y operaciones financieras, verificar siempre que la transacción se haya realizado con éxito. Confirmar la operación tanto en el dispositivo del comprador, como en el del vendedor y asegurarse de haber recibido el dinero correctamente.
• Si se tiene códigos QR al alcance del público, comprobar regularmente que no hayan sido adulterados.
• A la hora de generar un código QR utilizar un servicio de confianza para hacerlo. Además, verificar que el QR obtenido por el servicio este correcto y que realiza la acción deseada.
• Deshabilitar la opción de realizar acciones automáticas al leer un código QR, como acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi.
• Verificar siempre la acción antes de realizarla. Revisar que la URL sea correcta, que el archivo descargado, los datos obtenidos o la acción realizada sea la esperada.
• No compartir códigos QR con información sensible, tales como los que se utilizan para acceder a aplicaciones o los que se incluyen en documentos y certificados de salud. Evitar sacarle fotos, no compartirlos y almacenarlos de forma segura.
• Por supuesto, mantener siempre los dispositivos protegidos, contar con herramientas de seguridad y actualizar las aplicaciones. De esta forma, le será mucho más difícil a un cibercriminal comprometer la información.

Como hemos podido revisar, los códigos QR son herramientas que pueden ser utilizadas por los cibercriminales para apoderarse de nuestros datos, tomar el control de nuestro dispositivo y más. Sin embargo, con los debidos cuidados podremos seguir aprovechando de la versatilidad que nos ofrecen.