Los inconvenientes que pueden generar en los usuarios de internet los problemas de ciberseguridad van desde pérdida de cuentas en redes sociales hasta estafas millonarias, y un factor característico de este tipo de ataques es la rapidez con la que se consuman y las diversas estrategias que tienen a su disposición ciberdelincuentes de todo el mundo.
Entre las vías que permiten la proliferación del ciberdelito, durante los últimos años cobró mayor relevancia una que es común encontrarse en diferentes comercios: los códigos QR. Escanearlos permite realizar pagos, acceder a la carta de un local gastronómico o dirigirse a un sitio web que, en algunos casos, puede haber sido diseñado por cibercriminales.
Y aunque no se trata de una tecnología novedosa, cada vez es más común que surjan casos de usuarios estafados a través de estos códigos.
La forma en la que ciberdelincuentes se sirven de estos códigos para estafar gente se basa en la creación de sitios web falsos, o bien direccionando a los usuarios que los escanean a plataformas de pago desde las cuales las víctimas, sin saberlo, les entregan su dinero pensando que están pagando un consumo que hayan realizado.
Un código QR cumple la función de redirigir a quienes lo escanean a una URL determinada. Ese link puede ser el de un sitio oficial o, en los casos de estafa, uno colocado por quien pretende perjudicar a víctimas desprevenidas. Y dado que la práctica de escanear estos códigos se ha vuelto muy frecuente, no es inusual que un usuario no preste mayor atención al sitio al que accede.
Tipos de estafas con QR
Una de las formas más comunes de engañar mediante estos códigos es el llamado Qrishing, un ataque basado en la misma lógica que el phishing. A través de ingeniería social, un ciberdelincuente engaña a la víctima que ingresa en su link para que proporcione sus datos y credenciales mediante el escaneo de un código QR dentro de una página web, correo electrónico o mensaje. Al leer el código, el usuario es redirigido a una web que suplanta a la de la empresa oficial y que solicita información confidencial o bancaria.
El segundo ataque es la descarga de malware. Para ello, cuando la víctima escanea un QR de un sitio web no fiable, su dispositivo se infecta con código malicioso diseñado para explotar las vulnerabilidades del teléfono y abrir paso a diferentes acciones, como la extracción de datos personales, dar de alta suscripciones a servicios premium, ver anuncios de forma silenciosa y acceder a datos del navegador y a diferentes elementos del equipo, como pueden ser la cámara o el micrófono.
El principal problema de todas estas acciones es que suceden en segundo plano, por lo que la víctima no es consciente de ellas. Por último, los hackers también pueden hacer Qrljacking, un ataque que también utiliza la ingeniería social para secuestrar la cuenta de un servicio que acepta la función "Inicio de sesión con código QR", como en el caso de WhatsApp Web.
Para perpetrar este ataque, intentan engañar al usuario para que escanee un QR modificado que suplanta al original, que ha sido capturado previamente por los cibercriminales. De esta forma, cuando la víctima escanea el código QR, el hacker puede copiar las credenciales de inicio de sesión del usuario para acceder de forma encubierta a la información personal que se almacena en dicha cuenta.
Un ejemplo de estafa con QR fue citado por el diario The Sun en un artículo publicado a principios de año, en el que contaron que la víctima escaneó un código en un estacionamiento pensando que iba a pagar su tarifa, pero en realidad entregó credenciales con las que le robaron 16 mil dólares de su cuenta bancaria. Esto fue posible dado que los autores del robo colocaron QR's falsos en las instalaciones de la cochera.
Claves para no caer en estafas con códigos QR
En materia de ciberseguridad, lo más importante sigue siendo informar correctamente a los usuarios para que cuenten con las herramientas de prevensión adecuadas, que son similares en todos los casos.
Particularmente con los códigos QR, se recomienda:
- Prestar atención a los enlaces de códigos repartidos en espacios públicos o sin identificaciones claras
- No escribir datos personales o sensibles en sitios no oficiales