Presta atención a estas 'red flags' cuando vayas a escanear un código QR

Fernando AnayaNOTICIA06.08.2023 - 08:00h
Esa comodidad de escanear un código QR y que se realice directamente una compra en un comercio podría allanar el camino a estafadores.
El auge del uso de los códigos QR también ha supuesto un incremento de las estafas que usan esta tecnología.
El auge del uso de los códigos QR también ha supuesto un incremento de las estafas que usan esta tecnología.
David Dvořáček vía Unsplash
El auge del uso de los códigos QR también ha supuesto un incremento de las estafas que usan esta tecnología.

Los códigos QR se han convertido en un recurso extendido en la vida cotidiana para acceder rápido a información de páginas web desde el móvil, y su uso podría incorporarse a servicios de pago. 

Fernando Anaya

Fernando Anaya

  • Country manager de Proofpoint para España y Portugal

No obstante, esa comodidad de escanear un código QR y que se realice directamente una compra en un comercio podría allanar el camino a estafadores que quieran aprovechar esta oportunidad para extorsionar a nuevas víctimas.

Estos escaneos de códigos QR derivarían a los usuarios a sitios web de phishing y podrían instalar malware sin saberlo el usuario, pudiendo quedar datos personales o credenciales bancarias en manos de los estafadores

Entre las tácticas que pueden seguir los atacantes estarían pegar un código QR falso cerca o directamente encima de uno legítimo en los mostradores o puntos de venta de establecimientos; crear anuncios en aplicaciones de terceros que escanean QR y piden al usuario que se haga una cuenta, o suplantar la identidad de organizaciones y sustituir los códigos por otros con malware

Y no es complicado caer en estas trampas: el año pasado, uno de cada tres usuarios efectuó alguna acción peligrosa, como hacer clic en un enlace fraudulento o descargar archivos maliciosos, al enfrentarse a un ciberataque.

Cuando se vaya a escanear uno de estos códigos, conviene prestar antes atención por si hay alguna que otra 'red flag' o señal de alarma:

  • Comprobar si se ha podido manipular el QR o hay alguna incoherencia en su diseño.
  • Encontrar errores ortográficos y caracteres de más o de menos en las direcciones de una URL escaneada.
  • Evitar descargar aplicaciones de terceros a partir de códigos QR, ya que podrían contener programas maliciosos.
  • No escanear ningún QR enviado a través de mensajes no solicitados o de remitentes desconocidos.
  • Si la información que promete ese código QR, como una oferta u otro reclamo, suena demasiado bien para ser verdad, lo más probable es que se trate de una estafa.

Dentro de un panorama de amenazas en constante evolución en el que no dejan de aparecer nuevos métodos y contenidos, si hay algo que se prueba y funciona de forma fiable, los ciberdelincuentes seguirán utilizándolo y perfeccionándolo hasta que ya no sea eficaz y se descarte. 

La similitud entre QR hace que sea difícil detectar si se han intercambiado los códigos, lo que, unido al pirateo de sitios de web de empresas para cambiar sus códigos por otros maliciosos, aumenta las probabilidades de engañar y explotar la confianza de usuarios.

Las personas representan la variable más crítica en las ciberamenazas actuales, que combinan peligrosamente tecnología y psicología para hacer efecto. Según el Foro Económico Mundial, el 95% de los incidentes de seguridad se debe a errores cometidos por usuarios. Pero hay que tener en cuenta que los mismos ciberdelincuentes son personas, por lo que un enfoque en el factor humano será clave también para la ciberdefensa. 

Si las personas están preparadas para detectar un ataque inesperado, podrán romper la cadena de ataque, aunque la página de phishing o la distribución de malware sean de lo más perfectas.

En la concienciación está la prevención

Además de mostrar cautela ante ciertas señales y evitar solicitudes sospechosas, al escanear un QR con la cámara del smartphone, aparecerá una ventana emergente en la pantalla con la URL a la que se dirige el usuario: hay que verificar esa URL y continuar con la navegación solo si está cifrada por SSL, es decir, que el enlace empiece por https://. 

Debe tener mucho cuidado si se decide por introducir credenciales directamente en la web a través de este tipo de códigos, evitando compartir información sensible de manera innecesaria; y, como plus, actualizar regularmente el sistema operativo del móvil para asegurar que está al día con los últimos parches de seguridad.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.