Hoy en día, casi todos tienen un smartphone. Muchos de los modelos recientes ya cuentan con un escaner de códigos QR integrado, pero cualquiera puede descargar una aplicación que lea todos los códigos QR.
Para escanear un código QR, el usuario solo abre la aplicación de escaner y apunta la cámara del teléfono hacia el código. La mayoría del tiempo, el smartphone te indicará ir a cierto sitio web o descargar una aplicación. Sin embargo, existen otras opciones, de las que hablaremos más adelante.
Los escaneres especializados utilizan un conjunto específico de códigos QR. Puedes encontrar estos códigos en un señalamiento de un árbol importante en un parque, por ejemplo. En este caso, escanear el código con la aplicación oficial del parque podría comenzar un tour guiado, mientras que un escaner estándar solo abriría una descripción en el sitio web del parque.
Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red de Wi-Fi para invitados, o información bancaria.
¿Cómo los cibercriminales utilizan los códigos QR?
De acuerdo con Kaspersky, los códigos QR son solo una versión más avanzada de los códigos de barras.
Enlaces falsos
Un código QR creado por cibercriminales podría dirigirte a un sitio de phishing que se parezca a la página de inicio de sesión de una red social o banco en línea. Por eso siempre debes revisar los enlaces antes de seguirlos. Un código QR, sin embargo, no da esa accesibilidad. Además, es común que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno falso cuando el smartphone solicita la confirmación.
Comandos con cifrado QR
Más allá de vincular a un sitio web, un código QR puede incluir un comando para realizar ciertas acciones:
-Añadir un contacto
-Hacer una llamada
-Redactar un borrador de correo electrónico y rellenar los campos de destinatario y asunto.
-Enviar un mensaje de texto.
-Compartir tu ubicación con una aplicación.
-Crear una cuenta en un medio social.
-Programar un evento en el calendario.
-Añadir una red de Wi-Fi preferida con credenciales para conexión automática.
Es por esto que los códigos QR son campo fértil para la manipulación. Por ejemplo, los defraudadores podrían agregar su información de contacto en tu libreta de contactos con el nombre “Banco” para ganar credibilidad en una llamada para intentar estafarte; o podrían hacer una llamada por cobrar a tu costa; o podrían encontrarte.
¿Cómo los cibercriminales enmascaran códigos QR?
Para poder dañarte con un código QR, los atacantes primero tienen que persuadirte para escanearlo:
-Fuentes maliciosas. Los cibercriminales pueden colocar un código QR con un enlace a su sitio web, en un banner, en un correo electrónico, o incluso en un anuncio en papel. En general, el objetivo es que la víctima descargue una aplicación maliciosa. En muchos casos, colocan los logotipos de Google Play y App Store junto al código, para darle mayor credibilidad.
-Sustitución. No es inusual que los atacantes se aprovechen del trabajo y la reputación de partes legítimas al reemplazar un código QR real en un cartel o señalamiento con un falso.
Los códigos QR se ven con frecuencia en recibos de pago de servicios, panfletos, letreros en oficinas, y casi en cualquier otro lado en donde esperarías encontrar información o instrucciones.
Cómo evitar problemas con los códigos.
-No escanees códigos QR de fuentes sospechosas obvias.
-Pon atención a los enlaces que se muestran al escanear el código. Ten cuidado si la URL está acortada, porque con los códigos QR no hay razón suficiente como para acortar los enlaces.
-Haz una revisión física rápida antes de escanear un código QR de un cartel o señalamiento para asegurarte de que el código no está pegado sobre la imagen original.
Los códigos QR también incluyen información valiosa como números de boletos electrónicos, así que nunca publiques documentos con códigos QR en redes sociales.
cj