La pandemia popularizó, casi de la noche a la mañana, el uso de los códigos QR. Muchos establecimientos (restaurantes, museos, tiendas…) utilizaron este sistema como alternativa a los soportes físicos, para poder dar información a los clientes sobre sus servicios evitando el contacto con superficies potencialmente contaminadas. Pasada la tormenta sanitaria, estos pequeños códigos en blanco y negro (aunque también los hay en color) siguen en boga. Su sencillez de uso es su punto fuerte: solo requieren de un teléfono inteligente o un dispositivo portátil (una tableta, por ejemplo) equipado con una cámara. Pero no todo son ventajas, y los ciberdelincuentes han visto su gran potencial. A través de QR ilegítimos, introducen malware y roban contraseñas y datos a los usuarios. Es lo que se conoce como QRishing o phishing a través de códigos QR. Por eso, antes de escanear cualquier código QR conviene tomar ciertas precauciones. Hacerlo de manera fiable y segura nos evitará grandes problemas. Te explicamos cómo.

Qué es y cómo se lee un código QR

QR son las iniciales de Quick Response, “respuesta rápida” en español. Llevan utilizándose desde hace más de un cuarto de siglo. Fueron creados por Danso Wave, fabricante de componentes para la automoción subsidiaria de Toyota.

Estos cuadrados, por lo general blanquinegros, emplean un sistema de almacenamiento de información en una matriz de puntos. Técnicamente son conocidos como códigos de barra bidimensionales. De hecho, son una evolución de los códigos de barras, que tienen codificación unidimensional. Sin embargo, aunque ambos sirven para almacenar información, los QR tienen una capacidad mayor: pueden almacenar un total de 7.089 dígitos, lo equivalente a 4.296 caracteres. Además, permiten trabajar con contenidos y acciones.

Tipos de códigos QR

Hay dos tipos de códigos QR:

  • Estáticos. Los llamados códigos de respuesta rápida. No permiten ser editados.
  • Dinámicos. Conocidos como códigos de respuesta inmediata. Pueden ser editados: permiten modificar y cambiar la información a la que redirigen sin necesidad de volver a imprimir o crear el código QR.

Cómo se lee un código QR

Para leer un código QR solo es necesario activar la cámara del smartphone o del dispositivo móvil y dirigirla al cuadradito. No hace falta contar con un lector especial: casi el cien por cien de los aparatos inteligentes integran esta funcionalidad.

Para qué sirven los códigos QR

Los códigos QR almacenan información y la hacen más accesible a los usuarios. Pueden redirigir a una página web o permitir la descarga de un documento. Se utilizan con muchos fines. La Oficina de Seguridad del Internauta (OSI), organismo dependiente del Instituto Nacional de Ciberseguridad (INCIBE), enumera los siguientes usos como los más frecuentes:

  • Ingreso a una página web, descarga de aplicaciones o acceso a recursos (cartas de restaurantes o información turística, por ejemplo).
  • Acceso a información actualizada de las compras realizadas por Internet.
  • Forma de conexión o de información de una red wifi.
  • Utilización de servicios como WhatsApp Web.
  • Obtención de información de los productos de los supermercados.
  • Configuración de métodos de protección adicionales en nuestras cuentas. Por ejemplo, en aplicaciones móviles de doble autenticación, como Google Authenticator o Microsoft Authenticator.
  • Forma de pago a través del móvil.
  • Generador de tarjetas de fidelización de supermercados y tiendas.
  • Acceso a zonas de ocio o a sistemas de transporte, como aviones, metros o trenes.

Los peligros de los códigos QR

 

Los ciberdelincuentes han aprovechado la popularidad de los QR para sacar su propio provecho. Mediante el uso de códigos ilegítimos, instalan malware en el dispositivo que los escanea. Este software fraudulento no solo es capaz de infectar el aparato con virus, también puede hacerse con información sensible de su propietario.

Además, los hackers suplantan la identidad de la URL original creando un dominio falso. Esta técnica de ingeniería social se conoce como QRishing (derivado de la combinación de los conceptos phishing y código QR) o phishing a través de códigos QR.

Al escanear el código, el usuario es dirigido a un sitio web falso donde se le piden datos personales o contraseñas con el fin de suplantar su identidad o realizar suscripciones o pagos a ciertos canales. Hace unos meses los parquímetros de Texas (EE. UU.) amanecieron con falsos códigos QR que hicieron ricos a un puñado de ciberdelincuentes.

Cómo evitar el fraude

Para evitar caer en la trampa de un QR ilegítimo, la OSI da estos consejos:

  • ​Si a primera vista la URL parece sospechosa, no accedas.
  • ​En los QR colocados en sitios públicos de fácil acceso (un restaurante, por ejemplo), comprueba que no haya ningún otro código pegado encima.
  • Asegúrate de que la web a la que quieres acceder cumple con estándares de protección y navegación segura. Por ejemplo, cerciórate de que tenga HTTPS.
  • ​Conviene hacer uso de analizadores de enlaces, como VirusTotal y URLVoid. De esta manera, antes de abrir la web, podrás comprobar que no se trata de ningún ataque de ingeniería social.
  • Utiliza aplicaciones de seguridad antes de activar un código QR. Kaspersky QR Scanner, disponible en Android e iOS, es una buena propuestas para realizar este chequeo.
  • No proporciones ningún dato privado o contraseña a páginas web a las que se haya accedido a través de un código QR. La visita a las páginas de bancos o tiendas online en la que se proporcionen datos de la tarjeta bancaria deben hacerse siempre desde la URL completa o a través de su aplicación propia.

 

Fuente: Sonia Recio, Erosky Consumer

Newsletters

Súscribete a nuestra Newsletter y recibe información de interés y promociones