Todo el mundo anda entusiasmado con los códigos QR. Pero hay que evitar escanearlos a la ligera

Security Awareness
3 abril 2022
qr-code

Si hasta hace unos años apenas habíamos oído hablar de los códigos QR ni estábamos totalmente familiarizados con su diseño, hoy los conoce todo el mundo y parece que no se puede prescindir de ellos. Es más, hay quien se los tatúa en la piel para llevarlos siempre consigo.

¿Qué es exactamente un código QR?

Es un código de barras cuadrado y bidimensional cuya función principal es archivar información y datos. Un solo código puede contener hasta 7089 caracteres numéricos y 4296 caracteres alfanuméricos.

QR quiere decir «quick response», es decir, «respuesta rápida». Esto se debe a que el código se caracteriza por la velocidad con que proporciona la información que descodifican los dispositivos móviles. Por tanto, para acceder a cualquier archivo de información (que puede ser hasta el menú de un restaurante), basta con enfocar el código con la cámara de fotos del teléfono móvil y, en menos que canta un gallo, se nos abrirá la página deseada.

Su creación se remonta a comienzos de los noventa, cuando un ingeniero de la empresa Denso Wave ideó un método para hacer seguimiento de los componentes de los vehículos de la industria automovilística durante su ensamblaje. Para ello, se inspiró en las mesas que se usan en el tradicional juego chino go, empleado también en el desarrollo de la inteligencia artificial AlphaGo de DeepMind (Google).

Su uso se extendió inicialmente por Japón, donde se usó principalmente en la publicidad de los periódicos y las revistas y de las vallas publicitarias. En Europa y Estados Unidos, este tipo de tecnología 2D se extendió a finales de los años dos mil, impulsada por la expansión del mercado de los teléfonos inteligentes. De hecho, estos últimos son la herramienta ideal para transmitir la información inteligente de los códigos QR.

Los códigos QR se han convertido hoy en día en una herramienta de uso común que permite transmitir información de cualquier tipo. Hasta la escalada final del certificado COVID digital de la UE. Un código QR capaz de incluir nuestra información sanitaria y que nos permite acceder a diversos servicios públicos y privados.

«Qishing», los riesgos que esconden los códigos QR

Sin embargo, esta herramienta, que, como cualquier otra tecnología, puede facilitar la vida del día a día y permitir acceder a numerosos servicios, debe manejarse con cuidado porque también tiene un lado oscuro.

Tanto es así que, en un informe reciente, McAfee incluyó el «qishing», es decir, el abuso y el uso malicioso de los códigos QR, en la lista de las cinco principales amenazas de los próximos años. La técnica utilizada es más o menos esta. Las víctimas escanean códigos QR maliciosos y acaban visitando sitios web fraudulentos. Para acceder a ellos, casi siempre hay que proporcionar datos «esenciales», como el nombre de usuario, la contraseña y los datos de pago. Ni que decir tiene que, obviamente, toda esta información acaba en manos de ciberdelincuentes. En otros casos, basta con escanear el código QR para que se descargue un programa de malware en el dispositivo.

Este problema ha ido volviéndose cada vez más preocupante, hasta el punto en que el pasado enero el FBI recomendó a los estadounidenses con una advertencia que tuvieran mucho cuidado con este tipo de ataques. En particular, que prestasen mucha atención a los códigos QR empleados como herramienta de pago. El FBI llamó la atención sobre el hecho de que los delincuentes pueden robar dinero a víctimas confiadas simplemente redirigiendo los pagos hacia sitios maliciosos.

Una advertencia recibida poco después de que la Policía del Estado de Massachusetts hiciera público que algunos códigos QR usados en parquímetros habían redirigido a los usuarios a sitios de pago fraudulentos. En lugar de pagar por el aparcamiento, la víctima acababa enviando la información de pago a los estafadores.

¿Qué podemos hacer para protegernos del «qishing»?

Como sabemos que en la red son los errores humanos los que allanan el camino a los delincuentes, cuando sabemos a qué atenernos, como en este caso, con una tecnología nueva y muy extendida, debemos prestar aún más atención y ser más conscientes. El hecho de que la mayor parte de los usuarios está poco informada sobre los peligros de usar códigos QR, facilita, de hecho, las cosas a los piratas informáticos, que siempre están buscando nuevas formas de cometer su delito preferido.

Por tanto, en general, cualquier código QR debería considerarse sospechoso y, antes de escanearlo, deberíamos asegurarnos de su fiabilidad.

En su advertencia, el propio FBI indica una serie de medidas para evitar sorpresas desagradables. Son buenas prácticas que podemos seguir, como estas:

  • Después de escanear un código QR, comprobar la URL para asegurarnos de que estemos en el sitio previsto y de que sea auténtico. Un nombre de dominio fraudulento puede parecer similar al de uno auténtico, pero contener errores de ortografía o letras fuera de lugar.
  • Prestar siempre mucha atención antes de introducir datos sensibles, personales o financieros, en un sitio. Y prestar más atención aún si, para acceder al sitio, hemos usado un código QR.
  • Antes de escanear un código QR, asegurarse de que el código no se haya manipulado. Por ejemplo, con una pegatina colocada sobre el código original.
  • Evitar descargar aplicaciones por medio de códigos QR. Para descargarlas de forma más segura, debemos usar las tiendas de aplicaciones oficiales.
  • Desconfiar siempre que alguien nos pida efectuar un pago mediante un código QR. Sobre todo, si se trata de una compra realizada recientemente cuyo pago parece no haberse completado. En estos casos, debemos ponernos en contacto directamente con la empresa que reclama el pago para solicitar aclaraciones usando únicamente los canales oficiales.
  • Recordar que no es necesario descargar ninguna aplicación para escanear códigos QR. La mayor parte de los teléfonos móviles disponen de un escáner integrado en su cámara de fotos. Esto reduce el riesgo de descargar aplicaciones maliciosas en nuestro dispositivo.
  • También, cuando un código QR parezca proceder de una fuente desconocida, debemos comprobar su procedencia real antes de usarlo.
Formación y preparación para evitar escaneos inconscientes

Teniendo en cuenta que el «qishing» es hoy en día uno de los principales riesgos informáticos, queda claro que debe incluirse, sin lugar a dudas, en los programas de formación corporativa de concienciación sobre ciberseguridad. Una formación eficaz sobre los riesgos derivados del uso de estas herramientas, puede garantizar que los empleados, en particular los que usan dispositivos corporativos para fines personales, adquieran los conocimientos necesarios y sean conscientes, y que se lo piensen dos veces antes de hacer clic o escanear códigos QR.

Más información sobre los itinerarios formativos de Cyber Guru

Artículos relacionados