Un código QR es la abreviatura de código de respuesta rápida, es decir, un código de barras bidimensional que pueden leer los teléfonos inteligentes. Su origen se remonta a 1994, cuando estos códigos fueron creados por la compañía japonesa Denso Wave, una subsidiaria de Toyota, aunque su adopción masiva fue resultado de la pandemia.
Jakub Vávra
- Threat Operations Analyst & Threat Operations de Gen Digital
La tecnología QR funciona de manera bidimensional con una matriz diseñada a base de cuadrados pequeños en los que se almacena información codificada. Su diseño no es aleatorio, sino que cuanto mayor es el número de cuadrados, mayor será la cantidad de información que almacena el QR. Además, aunque cada uno es distinto, todos tienen una estructura común: forma cuadrada con tres cuadrados más pequeños en las esquinas superiores e inferior derecha.
Cualquier usuario de smartphone puede leer códigos QR con la cámara de su dispositivo. El usuario abre la aplicación de la cámara para leer el código y entonces aparece una notificación en la que puede hacer clic para entrar en la página o documento a la que redirija el QR. El problema viene a la hora de llegar a la página de destino. Algunos actores maliciosos se están aprovechando de la fiabilidad y popularidad que tienen los códigos QR para hacer de las suyas. Así, manipulan los códigos QR sustituyendo los códigos legítimos por otros maliciosos.
Hemos observado casos en los que las víctimas escaneaban códigos QR en bicicletas de alquiler o máquinas de aparcamiento, pero los códigos QR eran sustituidos por uno malicioso que conducía a un sitio web de phishing, técnica de ingeniería social que suplanta la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario.
Esto ocurre sin que el usuario sea consciente, ya que piensa que está pagando por el servicio deseado. El sitio web de destino suele presentar un formulario que el usuario debe rellenar con sus datos de pago. A continuación, se cobra al usuario una suscripción, en muchos casos exorbitante, llegando a ser de más de 50 euros a la semana. Otra posibilidad es que los ciberdelincuentes roben los datos de pago del usuario y los utilicen para realizar pagos fraudulentos.
Sin embargo, el phishing no es el único peligro que puede acechar a los códigos QR maliciosos. Los ciberdelincuentes también han utilizado códigos QR para enviar aplicaciones maliciosas a sus víctimas, con la intención de hacerse con el control del dispositivo móvil. Esto puede tener varios objetivos, como el de extraer dinero de la cuenta del usuario o como el de espiar su ubicación, sus fotos y robar su información personal.
Al ser una tecnología cómoda, los códigos QR son utilizados por empresas y particulares de todo el mundo. A menudo facilitan pagos, servicios de alquiler de bicicletas o menús en restaurantes, por citar algunos ejemplos. Los códigos pueden estar en lugares públicos donde los ciberdelincuentes pueden sustituirlos y así redirigir a las víctimas y conseguir que les envíen el dinero a ellos. También pueden enviarse digitalmente con la intención de engañar al usuario para que pague o comparta información de acceso.
No todos los códigos QR son maliciosos, pero es importante ser consciente de los peligros potenciales, especialmente cuando te solicitan introducir información financiera. A continuación, algunos consejos para protegerse mejor y evitar este tipo de códigos QR maliciosos.
- Comprueba la URL cuando escanees un código QR. Asegúrate de que se trata del sitio web deseado y de que parece auténtico. Los sitios maliciosos utilizan a menudo el ‘typo squatting’ para parecer similares al sitio web real.
- Extrema las precauciones cuando introduzcas información financiera o de acceso en sitios a los que hayas accedido a través de un código QR. En caso de duda, ponte en contacto con la empresa o entra en su sitio web manualmente.
- Comprueba si hay signos de manipulación en un código QR físico antes de escanearlo.
- Evita descargar aplicaciones desde códigos QR. Es más seguro utilizar las tiendas de aplicaciones oficiales.
- No es aconsejable descargar aplicaciones de escáner de códigos QR, ya que a veces pueden contener malware o adware. Lo más probable es que tu teléfono disponga de un escáner de códigos QR integrado.
- Si un miembro de tu familia o alguien que conoces te envía un código QR solicitando un pago, verifica con ellos directamente si realmente han enviado el código QR.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios