Los códigos QR están por todos lados, desde envases de yogurt hasta exhibiciones en museos, recibos de servicios o boletos de lotería. Las personas los utilizan para abrir sitios web, descargar aplicaciones, recolectar puntos de programas de lealtad, hacer pagos y transferir dinero, e incluso para donar a organizaciones benéficas. La tecnología accesible y práctica es conveniente para muchos, incluidos, como siempre, los cibercriminales, quienes ya han desplegado múltiples estrategias basadas en QR. Te decimos qué puede salir mal con esos cuadritos blanco y negro omnipresentes y cómo utilizarlos sin miedo.
Qué son los códigos QR y cómo se utilizan
Hoy en día, casi todos tienen un smartphone. Muchos de los modelos recientes ya cuentan con un escaner de códigos QR integrado, pero cualquiera puede descargar una aplicación que lea todos los códigos QR, o elegir una especial, por ejemplo, para un museo.
Para escanear un código QR, el usuario solo abre la aplicación de escaner y apunta la cámara del teléfono hacia el código. La mayoría del tiempo, el smartphone te indicará ir a cierto sitio web o descargar una aplicación. Sin embargo, existen otras opciones, de las que hablaremos más adelante.
Los escaneres especializados utilizan un conjunto específico de códigos QR. Puedes encontrar estos códigos en un señalamiento de un árbol importante en un parque, por ejemplo. En este caso, escanear el código con la aplicación oficial del parque podría comenzar un tour guiado, mientras que un escaner estándar solo abriría una descripción en el sitio web del parque.
Asimismo, algunas aplicaciones pueden crear códigos QR para ofrecer cierta información a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contraseña de tu red de Wi-Fi para invitados, o información bancaria.
¿Cómo los cibercriminales utilizan los códigos QR?
Los códigos QR son solo una versión más avanzada de los códigos de barras, ¿qué podría salir mal? Pues resulta que muchas cosas. Los humanos no pueden leer los códigos QR o revisar por adelantado lo que pasará al escanearlos, de manera que dependemos de la honestidad de sus creadores. Tampoco podemos saber todo lo que el código QR incluye, incluso cuando creamos nuestro propio código. Por tanto, el sistema puede explotarse con facilidad.
Enlaces falsos
Un código QR creado por cibercriminales podría dirigirte a un sitio de phishing que se parezca a la página de inicio de sesión de una red social o banco en línea. Por eso siempre recomendamos revisar los enlaces antes de seguirlos. Un código QR, sin embargo, no nos da esa accesibilidad. Además, es común que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno falso cuando el smartphone solicita la confirmación.
Estrategias similares se utilizan para engañar a los usuarios con errores de descarga de aplicaciones, por ejemplo, al descargar malware en lugar del juego o herramienta previstos. En este punto, el cielo es el límite; el malware puede robar contraseñas, enviar mensajes maliciosos a tus contactos y más.
Comandos con cifrado QR
Más allá de vincular a un sitio web, un código QR puede incluir un comando para realizar ciertas acciones. Una vez más, la posibilidades son vastas. Aquí solo algunas:
- Añadir un contacto.
- Hacer una llamada.
- Redactar un borrador de correo electrónico y rellenar los campos de destinatario y asunto.
- Enviar un mensaje de texto.
- Compartir tu ubicación con una aplicación.
- Crear una cuenta en un medio social.
- Programar un evento en el calendario.
- Añadir una red de Wi-Fi preferida con credenciales para conexión automática.
El denominador común es la automatización de acciones cotidianas. Por ejemplo, al escanear un código QR, puedes agregar información de contacto de una tarjeta de negocios, pagar por el estacionamiento, u otorgar acceso a una red de Wi-Fi para invitados.
Es por esto que los códigos QR son campo fértil para la manipulación. Por ejemplo, los defraudadores podrían agregar su información de contacto en tu libreta de contactos con el nombre “Banco” para ganar credibilidad en una llamada para intentar estafarte; o podrían hacer una llamada por cobrar a tu costa; o podrían encontrarte.
¿Cómo los cibercriminales enmascaran códigos QR?
Para poder dañarte con un código QR, los atacantes primero tienen que persuadirte para escanearlo. Para este fin, tienen un par de trucos.
Fuentes maliciosas. Los cibercriminales pueden colocar un código QR con un enlace a su sitio web, en un banner, en un correo electrónico, o incluso en un anuncio en papel. En general, el objetivo es que la víctima descargue una aplicación maliciosa. En muchos casos, colocan los logotipos de Google Play y App Store junto al código, para darle mayor credibilidad.
Sustitución. No es inusual que los atacantes se aprovechen del trabajo y la reputación de partes legítimas al reemplazar un código QR real en un cartel o señalamiento con un falso.
Asimismo, las jugarretas con los códigos QR no están limitadas a los cibercriminales; los activistas sociales sin escrúpulos han comenzado a utilizarlos y sustituirlos para divulgar sus ideas. En Australia, por ejemplo, recientemente un hombre fue arrestado por presuntamente tratar de alterar los códigos QR en señalamientos de registro en los centros de COVID-19 para llevar a los visitantes a un sitio web antivacunas.
Nuevamente, las posibilidades son prácticamente infinitas. Los códigos QR se ven con frecuencia en recibos de pago de servicios, panfletos, letreros en oficinas, y casi en cualquier otro lado en donde esperarías encontrar información o instrucciones.
Cómo evitar problemas con los códigos.
Cuando utilices códigos QR, sigue estas simples reglas de seguridad:
- No escanees códigos QR de fuentes sospechosas obvias.
- Pon atención a los enlaces que se muestran al escanear el código. Ten mucho cuidado si la URL está acortada, porque con los códigos QR no hay razón suficiente como para acortar los enlaces. En su lugar, utiliza un motor de búsqueda o tienda oficial para encontrar lo que estés buscando.
- Haz una revisión física rápida antes de escanear un código QR de un cartel o señalamiento para asegurarte de que el código no está pegado sobre la imagen original.
- Utiliza un programa como QR Scanner de Kaspersky (disponible para Android y iOS) que busque contenido malicioso en los códigos QR.
Los códigos QR también incluyen información valiosa como números de boletos electrónicos, así que nunca publiques documentos con códigos QR en los medios sociales.