No todos los códigos QR son maliciosos, pero es importante ser consciente de los peligros potenciales, especialmente cuando te solicitan introducir información financiera.
Un código QR es la abreviatura de código de respuesta rápida, es decir, un código de barras bidimensional que pueden leer los teléfonos inteligentes. Su origen se remonta a 1994, cuando estos códigos fueron creados por la compañía japonesa Denso Wave, una subsidiaria de Toyota, aunque su adopción masiva fue resultado de la pandemia.
La tecnología QR funciona de manera bidimensional con una matriz diseñada a base de cuadrados pequeños en los que se almacena información codificada. Su diseño no es aleatorio, sino que cuanto mayor es el número de cuadrados, mayor será la cantidad de información que almacena el QR. Además, aunque cada uno es distinto, todos tienen una estructura común: forma cuadrada con tres cuadrados más pequeños en las esquinas superiores e inferior derecha.
Hemos observado casos en los que las víctimas escaneaban códigos QR en bicicletas de alquiler o máquinas de aparcamiento, pero los códigos QR eran sustituidos por uno malicioso que conducía a un sitio web de phishing, técnica de ingeniería social que suplanta la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario.
Esto ocurre sin que el usuario sea consciente, ya que piensa que está pagando por el servicio deseado. El sitio web de destino suele presentar un formulario que el usuario debe rellenar con sus datos de pago. A continuación, se cobra al usuario una suscripción, en muchos casos exorbitante, llegando a ser de más de 50 euros a la semana. Otra posibilidad es que los ciberdelincuentes roben los datos de pago del usuario y los utilicen para realizar pagos fraudulentos.
Sin embargo, el phishing no es el único peligro que puede acechar a los códigos QR maliciosos. Los ciberdelincuentes también han utilizado códigos QR para enviar aplicaciones maliciosas a sus víctimas, con la intención de hacerse con el control del dispositivo móvil. Esto puede tener varios objetivos, como el de extraer dinero de la cuenta del usuario o como el de espiar su ubicación, sus fotos y robar su información personal.
Al ser una tecnología cómoda, los códigos QR son utilizados por empresas y particulares de todo el mundo. A menudo facilitan pagos, servicios de alquiler de bicicletas o menús en restaurantes, por citar algunos ejemplos. Los códigos pueden estar en lugares públicos donde los ciberdelincuentes pueden sustituirlos y así redirigir a las víctimas y conseguir que les envíen el dinero a ellos. También pueden enviarse digitalmente con la intención de engañar al usuario para que pague o comparta información de acceso.
No todos los códigos QR son maliciosos, pero es importante ser consciente de los peligros potenciales, especialmente cuando te solicitan introducir información financiera. A continuación, algunos consejos para protegerse mejor y evitar este tipo de códigos QR maliciosos:
- Comprueba la URL cuando escanees un código QR. Asegúrate de que se trata del sitio web deseado y de que parece auténtico. Los sitios maliciosos utilizan a menudo el ‘typo squatting’ para parecer similares al sitio web real.
- Extrema las precauciones cuando introduzcas información financiera o de acceso en sitios a los que hayas accedido a través de un código QR. En caso de duda, ponte en contacto con la empresa o entra en su sitio web manualmente.
- Comprueba si hay signos de manipulación en un código QR físico antes de escanearlo.
- Evita descargar aplicaciones desde códigos QR. Es más seguro utilizar las tiendas de aplicaciones oficiales.
- Evita descargar aplicaciones desde códigos QR. Es más seguro utilizar las tiendas de aplicaciones oficiales.
- Si un miembro de tu familia o alguien que conoces te envía un código QR solicitando un pago, verifica con ellos directamente si realmente han enviado el código QR.
Fuente: Jakub Vávra (Threat Operations Analyst & Threat Operations de Gen Digital)
Si necesitas ayuda o tienes cualquier duda, no dudes en contactar con nosotros
