Sólo necesitas salir de casa para encontrar un código QR. Están en anuncios, en restaurantes, gimnasios, agencias de viajes, cafeterías, supermercados, hospitales y puntos de servicio, bueno, hasta en la farmacia. La pandemia del COVID-19 revivió esta forma de ofrecer información y nos hizo sentir seguros.
Los Códigos QR son un tipo de código de barras bidimensional que contiene datos, a menudo para un localizador, identificador o rastreador. Un teléfono inteligente u otro dispositivo equipado con cámara puede leer fácilmente y convertirse en información útil para el usuario final, como una URL para un sitio web o una aplicación.
En los últimos dos años, los consumidores aumentaron su actividad digital y aprendieron a cuidarse de fraudes en páginas de internet y en correos electrónicos, lo que hizo que los estafadores buscaran nuevas maneras de delinquir. La modalidad estaba, literalmente, sobre la mesa, los Códigos QR.
No sólo sirven para conocer los servicios o platillos que vamos a adquirir, sino que también se utilizan para efectuar pagos y cobros. Incluso son un medio de identificación gubernamental para saber cuáles y cuántas dosis de vacunación hemos recibido.
¿Por qué son peligrosos?
Debido a que los códigos QR son algo simple de generar y de utilizar hace que los consumidores no se detengan a considerar el riesgo que pueden significar para su seguridad. Esta simplicidad hizo que los ciberdelincuentes los utilicen para tener acceso a nuestros teléfonos inteligentes, información personal y hasta bancaria.
En enero de 2022, el FBI emitió una advertencia de que los atacantes cibernéticos estaban manipulando códigos QR legítimos para redirigir a las víctimas a sitios maliciosos que roban información financiera y de inicio de sesión. A las pocas semanas de la advertencia, durante el partido de futbol americano más importante del año, más de 20 millones de personas escanearon un solo código QR misterioso en un comercial de una empresa no identificada en el lapso de un minuto.
Así, los estafadores pueden crear sitios falsos donde te digan que, para tener internet público 30 minutos, por ejemplo, debes llenar un formato con tu correo electrónico y tu fecha de nacimiento. El que te pidan esos datos, hará que pienses que se trata de un sitio serio, sin embargo, estás entregando la información de tu teléfono inteligente.
Con algunos trucos adicionales de ingeniería social, el atacante podría llevar las cosas aún más lejos. Al usar phishing en el dispositivo, podrían falsificar el portero de contraseña en el dispositivo de la víctima. Después de que la víctima ingrese su nombre de usuario y contraseña, el atacante podría obtener acceso a la caja fuerte de contraseñas completa del usuario. Se acaba la historia.
¿Cómo protegerte?
Es por ello que Len Noe, evangelista técnico y hacker de sombrero blanco en CyberArk, recomienda estas siete maneras de protegerte.
1. ¡No lo escanees! Si presientes que algo está mal, no escanees el código QR. Simplemente ve al sitio web real directamente. Cualquier código QR legítimo debe tener una URL asociada debajo, dando a los usuarios la opción de navegar allí directamente. Si falta, ten cuidado.
2. Reduce la velocidad. Antes de escanear cualquier código QR, pregúntate: ¿Sé quién puso el código QR allí? ¿Confío en que no ha sido manipulado? ¿Tiene sentido usar un código QR en esta situación?
3. Inspecciona de cerca las URL de los códigos QR. Después de escanear el código QR, consulta la URL que te dirige antes de continuar. ¿Coincide con la organización asociada con el código QR? ¿Parece sospechoso o incluye errores ortográficos extraños o errores tipográficos? Por ejemplo, en las estafas de parquímetros de Texas, parte de la URL utilizada era “passportlab.xyz”, claramente no es un sitio web oficial del gobierno de la ciudad. También puedes hacer una búsqueda web rápida de la URL para confirmar que el código QR es legítimo.
4. Busca signos de manipulación física. Esto es especialmente importante en lugares donde los códigos QR se usan comúnmente, como los restaurantes. Si ves una etiqueta de código QR adherida a una página sobre otro código, sé muy escéptico.
5. Nunca descargues aplicaciones desde códigos QR. Los malos actores pueden clonar y falsificar sitios web fácilmente. Siempre ve al mercado oficial de aplicaciones para el sistema operativo de tu dispositivo y descarga sus aplicaciones desde allí.
6. No realices pagos electrónicos a través de códigos QR. Usa la aplicación nativa o dirige un navegador al dominio oficial e inicia sesión allí.
7. Activa la autenticación multifactor (MFA). Esto ayudará a proteger tus cuentas confidenciales, como las aplicaciones bancarias, de correo electrónico y de redes sociales. Con otra capa de autenticación implementada, un delincuente cibernético no puede acceder a sus datos solo con tu nombre de usuario y contraseña.
Cuando se trata de códigos QR, el mejor consejo es usar siempre el sentido común. Si fuera un correo electrónico, ¿harías clic en él? Los códigos QR se están convirtiendo en uno de los métodos de phishing favoritos de los atacantes, y se aplican las mismas reglas. Procede con precaución y aplica el mismo escrutinio de seguridad como lo harías con cualquier cosa en el ámbito digital.
Escanea de forma segura, o mejor aún, ¡no escanees en absoluto!