En Maldita.es ya os hemos contado cómo funcionan los códigos QR y también que es posible que nos cuelen un virus o archivos maliciosos cuando escaneamos uno. Esto no quiere decir que tengamos que dejar de usarlos o que esto nos vaya a pasar siempre que hagamos uso de ellos, pero sí que debemos andar con cuidado, sobre todo con qué escaneamos.
En este artículo, explicamos cómo podrían intentar timarnos con códigos QR y cómo podemos evitarlo. *
Las actividades fraudulentas que los ciberdelincuentes llevan a cabo a través de códigos QR
Los códigos QR, esos que son parecidos a los de barras pero cuadrados, existen desde hace años, pero sin duda experimentaron un auge en su uso durante los meses de la pandemia de coronavirus, cuando los empezamos a usar en restaurantes, aeropuertos, a la entrada de conciertos, teatros, etc.
La Policía Nacional en Málaga advirtió en 2021 de que es posible llevar a cabo estafas a través del escaneo de estos códigos, cuyo objetivo es "hacerse con datos personales o bancarios de las víctimas". Como ya explicó nuestro maldito Miguel Calvo, experto en ciberseguridad y privacidad, este tipo de códigos es una de las posibles entradas de programas maliciosos a nuestros dispositivos.
El Instituto Nacional de Ciberseguridad (INCIBE) enumera los riesgos a los que podemos exponernos al escanear un QR: posibles casos de phishing, la técnica que intenta hacerse con nuestros datos personales, bancarios o con nuestro dinero; la descarga de malware o inyección de código malicioso; y qrljacking o secuestro de sesión.
Si no habéis oído este último término antes, el qrljacking consiste en secuestrar una cuenta que acepta un inicio de sesión a través del escaneo con QR. Es, por ejemplo, el caso de WhatsApp Web. Para poder iniciar sesión en una pestaña de nuestro navegador, escaneamos un código desde nuestro smartphone y la sesión se inicia automáticamente. Lo que hacen los ciberdelincuentes aquí es engañar a las víctimas para que escaneen un código que suplanta al original y, al hacerlo, capturan las credenciales de la sesión de la víctima y acceden de forma encubierta a la información que hay dentro de su cuenta.
Cuidado con los códigos desconocidos que encontramos por la calle
Con esto no estamos diciendo que haya que desconfiar de todos los códigos QR o que haya que dejar de usarlos, sino que hay que prestar atención a qué es lo que escaneamos. Según la policía, uno de los casos en los que hay que tener especial cuidado es en aquellos en los que veamos que el código está pegado encima de otro cartel. Por ejemplo, imagina que se trata de una publicidad de una marca conocida y que el único elemento de ese cartel que sobresale es el QR. Ojo porque es posible que debajo esté el de la marca y que ese haya sido superpuesto por ciberdelincuentes.
Por atractivos que parezcan, desconfía también de anuncios de supuestos premios, regalos, promociones, etc., que encuentres por la calle. Estas promesas de conseguir un premio tan sólo escaneando un QR podrían tener detrás otras intenciones. Y no te fíes tampoco de los que encuentres solos, sin ningún tipo de información.
Consejos para evitar que nos cuelen virus al escanear un QR
Para evitar ser víctima de uno de estos casos de estafa, Miguel Calvo nos da una serie de recomendaciones, empezando por lo más básico: tener instalado un antivirus o un antimalware en nuestro dispositivo. También es importante prestar atención a qué escaneamos, dónde y por qué. Y si vamos a escanear uno, configuremos nuestro lector de QR para que no vaya directamente a la URL, sino que nos permita verla antes de acceder. Así podremos comprobar que se trata del sitio web al que queremos ir.
Lo mismo deberíamos hacer con las descargas de archivos. Si el ciberdelincuente pretende que nos descarguemos un archivo malicioso, será mejor que no permitamos las descargas directas al escanear. Y además, hay que tratar de no rellenar ningún formulario de la web a la que accedemos. Si tenemos que hacerlo, es mejor dirigirnos nosotros mismos a ese formulario accediendo manualmente a la web que seguir un enlace de dudosa procedencia.
Cómo protegerte de posibles ataques si eres el creador de un QR
El INCIBE también ofrece una serie de consejos para los usuarios que generan esos QR como puede ser el caso si tienes un negocio, por ejemplo. ¿Qué puedes hacer para prevenir estos ataques? Comprobar frecuentemente que tus QR no han sido cambiados ni modificados por otras personas. Ojo también a la hora de elegir el generador de este código: usa un servicio que ofrezca las suficientes garantías de seguridad.
En resumen, ya seas propietario de un negocio o un usuario, puedes seguir estos consejos y recomendaciones para evitar en la medida de lo posible ser víctima de un ataque a través de un código QR:
- Ten instalado un antivirus o un antimalware en tu dispositivo.
- Desconfía de los supuestos regalos, promociones y ofertas que encuentres por la calle y a las que podrías acceder tan sólo escaneando un QR: pueden ocultar otras intenciones.
- Asegúrate de que el código que vas a escanear no ha sido pegado encima de otro.
- Configura tu lector de códigos QR para que no pueda acceder directamente a la URL antes de entrar en ella y asegúrate de que es una web en la que puedes confiar.
- No permitas las descargas directas de archivos al escanear un código QR.
- Si tienes un negocio y vas a ofrecer un QR a tus clientes, usa un generador de este servicio que ofrezca todas las garantías de seguridad y comprueba frecuentemente que no ha sido modificado ni cambiado por terceras personas.
- *Este artículo ha sido actualizado el 12/09/2023
Primera fecha de publicación de este artículo: 08/10/2021