A raíz del covid-19, una de las tecnologías que más han incrementado su uso, han sido los códigos QR, por ejemplo, en las cartas de los restaurantes. Sin embargo, este aumento en su utilización tampoco ha pasado desapercibido para los ciberdelincuentes, quienes están aprovechando los escaneos de estos códigos para acceder a los terminales móviles y a los datos que estos contienen, como cuentas bancarias, fotos, etc... A continuación, analizamos la situación y damos unos consejos para evitar los fraudes:
Antes de comenzar, aunque la mayoría conocemos qué son los códigos QR, vamos a realizar una breve descripción. Los códigos QR o de respuesta rápida (Quick Response), son códigos a través de módulos en dos dimensiones, que son capaces de almacenar una gran información y al ser escaneados nos redireccionan directamente a un contenido, el cual, debe estar almacenado en una url o página web. Estos códigos son creados a través de un software o programa estandarizado según la norma Iso/Iec 18004/2015.
Hoy en día, prácticamente todos los teléfonos móviles o smartphones, cuentan con aplicaciones de escáner de QR.
¿Cuáles son los peligros?
El peligro consiste en la suplantación del código QR por un ciberdelicuente, que sustituye o reemplaza el código original, por ejemplo, pegando el código fraudulento encima del original de la carta de un restaurante. Consiguiendo que cuando se escanee el mismo, pueda acceder a tus datos y, esto último puede conseguirse de distinta forma.
¿Cómo lo hacen?
Una vez que se ha escaneado el código QR fraudulento por error, nos redireccionará hacia el verdadero peligro, en donde se nos tratará de engañar para permitir el acceso a datos o directamente solicitárnoslos. Por ejemplo, descargando automáticamente una aplicación, la cual al ser abierta (pensando que es la carta del restaurante para continuar con el ejemplo anterior), accede a los datos de nuestro móvil, como contactos, fotos, etc…
El mayor peligro sucede cuando el código QR suplanta una web aparentemente de confianza, como la del propio restaurante, y nos solicita datos, como por ejemplo nº de cuenta para pagar. O incluso, nos redirige hacia una supuesta pasarela o mecanismo de pago o web de nuestro banco, para introducir el usuario y contraseña de nuestra cuenta bancaria.
Es decir, el verdadero riesgo no consiste en escanear el código QR en sí, puesto que este simplemente nos va a llevar a la verdadera trampa y es aquí, con nuestras propias acciones (descargar, permitir o introducir datos) cuando estamos siendo engañados.
¿Cómo protegernos?
Aunque puedan parecer muy básicos, por ser de lógica, funcionan, ya que, como acabamos de decir, el verdadero peligro somos nosotros mismos en nuestra reacción en el lugar a donde nos lleve el código QR. Algunos consejos para evitar ser engañados son:
• No escanear códigos QR que estén ubicados en lugares en los que no se puede conocer su procedencia y, en su caso, preguntar al establecimiento que aparente sea el titular, si efectivamente es su código QR.
• Utilizar aplicaciones de escaneo que antes de entrar en el enlace nos permita visualizar la dirección (la cual, para webs seguras como las de entidades bancarias o mecanismos de pago, comenzará con https).
• Corroborar que la url o dirección de la web se corresponde con el establecimiento o finalidad para la que estamos escaneando el código.
