Los códigos QR no solo están siendo utilizados por numerosos negocios en casos como, por ejemplo, para mostrar el menú de comidas en un restaurante.
Los código QR también permiten abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos.
Sin embargo, como suele suceder con cualquier tecnología que se vuelve popular, también captó la atención de los cibercriminales, quienes los utilizan con fines maliciosos.
La empresa ESET, compañía especializada en detección proactiva de amenazas, advirtió sobre las cinco formas en las que los estafadores engañan a sus víctimas mediante el uso de los QR.
Mucho cuidado
“Dada la versatilidad de los códigos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio.
“Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más”, explicó Cecilia Pastorino, investigadora de Seguridad Informática de ESET Latinoamérica.
OBSERVE MÁS: MEP exigirá a adultos presentar código QR, carné de vacunas o EDUS para ingresar a centros educativos
ESET detalló algunos ejemplos de acciones maliciosas que podrían realizar los cibercriminales:
1. Redirigir al usuario a una web maliciosa para robarle información: Al igual que los atacantes emplean técnicas de malvertising o BlackHat SEO para dirigir a sus víctimas a sitios fraudulentos, podrían hacer lo mismo con los códigos QR.
Especialmente si estos se encuentran en publicidades en la vía pública o en las áreas de atención al cliente de entidades financieras.
Recientemente en Estados Unidos delincuentes colocaron en parquímetros públicos ubicados en distintas ciudades, calcomanías con falsos códigos QR que llevaban a las potenciales víctimas a un falso sitio para supuestamente realizar el pago con el objetivo de robar los datos financieros, indicó ESET.
2. Descargar un archivo malicioso en el equipo de la víctima: Muchos bares y restaurantes utilizan códigos QR para que el usuario descargue un archivo PDF con el menú. O instalen una aplicación para realizar el pedido.
En este y otros contextos similares, un atacante podría fácilmente alterar el código QR. Esto con el fin de llevar al usuario a descargar un PDF malicioso o llevarlo a instalar una aplicación fraudulenta.
3. Realizar acciones en el dispositivo de la víctima: Los códigos QR pueden generar acciones directamente en el dispositivo lector. Estas acciones dependerán de la aplicación que los esté leyendo por lo que hay que prestar atención a las falsas apps de lectores de QR.
4. Desviar un pago o realizar solicitudes de dinero: La mayoría de las aplicaciones financieras digitales actuales permite realizar pagos a través de códigos QR que contienen los datos del receptor del dinero.
Muchas tiendas dejan estos códigos a la vista de sus clientes para facilitar la operación. Un atacante podría modificar este QR con sus propios datos y recibir así los cobros en su cuenta.
También podría generar códigos con solicitudes de cobro de dinero para engañar a compradores. Esto le ocurrió a algunos usuarios que denunciaron que fueron estafados con el envío de un falso código QR para realizar un pago.
5. Robar la identidad del usuario o el acceso a una aplicación: Muchos códigos QR se utilizan como un certificado para verificar información de una persona, como el documento de identidad o los pases sanitarios.
En estos casos los códigos QR contienen información tan sensible como la que se encuentra en un documento de identidad o historia clínica. Un atacante podría obtener fácilmente escaneando el código QR.
Por otro lado, muchas aplicaciones (como WhatsApp, Telegram o Discord) utilizan códigos QR para autenticar la sesión de un usuario y permitirle acceder a su cuenta.
Tal como ya ha ocurrido con WhatsApp, los ataques como QRLjacking pueden engañar a un usuario al suplantar la identidad de un servicio. Y, aún peor, provocar que la persona escanee el QR proporcionado por el atacante.
“En la mayoría de los casos identificados, el atacante deberá crear un código QR malicioso. Y luego lo reemplazará por el código original para que la víctima escanee. Es decir, que muchos de estos riesgos se basan en la ingeniería social y en lograr engañar a la víctima”, agregó Pastorino de ESET.
Los consejos
- En el caso de los pagos con QR y operaciones financieras, verifique siempre que la transacción se haya realizado con éxito. Confirme la operación tanto en el dispositivo del comprador como en el del vendedor. Y asegúrese de haber recibido el dinero correctamente.
- Si se tienen códigos QR al alcance del público compruebe regularmente que no hayan sido adulterados.
- A la hora de generar un código QR utilice un servicio de confianza para hacerlo. Además, verifique que el QR obtenido por el servicio esté correcto y que realice la acción deseada.
- Deshabilite la opción de realizar acciones automáticas al leer un código QR. Entre ellas: acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi.
- Verifique siempre la acción antes de realizarla. Revise que el URL sea correcto. Y también que el archivo descargado y los datos obtenidos sean los esperados.
- No comparta códigos QR con información sensible. Por ejemplo: los que se utilizan para acceder a aplicaciones o los que se incluyen en documentos y certificados de salud.