La pandemia ha cambiado los hábitos de los ciudadanos y ha potenciado el uso de herramientas tecnológicas para llevar a cabo operaciones sin contacto, desde el pago en un supermercado hasta mirar la carta en un restaurante. Muchas empresas han respondido a esta necesidad con el uso de códigos de respuesta rápida (QR), que se han generalizado en los dos últimos años.
Un código QR es un código de barras bidimensional que puede almacenar 7.089 dígitos o 4.296 caracteres. Puede escanearse con un escáner o lector de códigos QR, que está integrado por defecto en las cámaras de la mayoría de dispositivos móviles, para descifrar los datos que están codificados en él. Estos contienen una cadena de texto que suele ser una URL o un enlace a un sitio web o a la cuenta oficial de un comerciante en un sistema de pago.
Sin embargo, esta popularidad también ha creado un terreno fértil para que los ciberdelincuentes aderecen su kit de 'malware' de códigos QR para robar no solo información personal, sino también activos que son imposibles de recuperar una vez perdidos. De hecho, las amenazas relacionadas con los códigos QR se han vuelto tan frecuentes y astutas que incluso el FBI ha tenido que emitir una advertencia al respecto.
Mientras que a menudo se piensa que la ciberdelincuencia se produce enteramente en el espacio digital, las amenazas relacionadas con los códigos QR son diferentes, ya que pueden producirse parcialmente en el ámbito físico. Por ejemplo, una estafa con códigos QR en el ámbito físico consiste en que actores maliciosos impriman pegatinas con códigos QR y las coloquen físicamente sobre los auténticos.
De esta manera, las personas escanearán el código creyendo que se trata de una información o una web de confianza cuando en realidad no es así. Los estafadores se pueden aprovechar de esto para robar datos o dinero, principalmente.
"Por lo general, la gente asume que los letreros o carteles con códigos QR en las tiendas y los espacios públicos son seguros, y por lo tanto podrían no ser conscientes de que los actores maliciosos podrían sustituir los códigos QR legítimos por otros falsos como parte de sus esquemas fraudulentos", explica José de la Cruz, director técnico de Trend Micro Iberia.
Esto sucedió en China, en un sistema de pago por el uso compartido de bicicletas. Al parecer, los actores maliciosos sustituyeron los códigos QR que los usuarios debían escanear para pagar por el uso de las bicicletas antes de poder desbloquearlas. Como resultado, los pagos de los usuarios desprevenidos se transfirieron a las cuentas de estos actores, sin que los usuarios pudieran desbloquear las bicicletas para su uso.
Hace poco, las fuerzas de seguridad de varias ciudades de Estados Unidos alertaron sobre un esquema similar, en el que estafadores habían pegado sus códigos QR fraudulentos en los legítimos de los parquímetros para engañar a los usuarios con el fin de que introdujeran sus credenciales de pago en sus sitios web de 'phishing'.
En el ámbito digital también se sufren este tipo de estafas. Se sabe que los estafadores incorporan códigos QR en sus ataques de 'phishing', más concretamente 'quishing'. Esta práctica se utiliza para poder eludir las soluciones de seguridad tradicionales que pueden marcar las URL maliciosas cuando aparecen en los correos electrónicos, pero no cuando están vinculadas a (o escondidas detrás de) los códigos QR.
Aunque los esquemas comentados son preocupantes, los usuarios pueden mantener a raya las estafas con códigos QR siguiendo buenas prácticas, según los expertos de Trend Micro, que recomiendan, en primer lugar, asegurarse de que el sitio web enlazado de una agencia gubernamental u otro proveedor de servicios oficial es legítimo antes de proporcionar información personal. Un truco puede ser comprobar si hay algún error ortográfico en la propia URL.
"Piénsalo dos veces antes de escanear un código QR que se encuentre en los correos electrónicos que te envíen, aunque parezcan proceder de organizaciones o personas que conozcas. Activa la autenticación multifactor con tus cuentas bancarias, empresariales y de otro tipo para evitar el robo de credenciales de acceso", añade la nota.
En el caso de hacer una transacción en el local de un comerciante o proveedor de servicios, los expertos en ciberseguridad también instan a asegurarte de que el código QR no está pegado sobre uno original y legítimo, así como utilizar este sistema "para pagar solo cuando se realicen transacciones directas con comercios de confianza, proveedores de servicios o personas conocidas".
De la misma forma, desde Trend Micro aconsejan utilizar la aplicación de cámara predeterminada del smartphone para escanear códigos QR en lugar de descargar una aplicación para ello. "Para obtener otra capa de protección, puedes utilizar Trend Micro QR Code Scanner para Android o Trend Micro Mobile Security para iOS y Android para analizar los códigos QR y detectar si tienen enlaces a sitios web potencialmente peligrosos", concluye la compañía.