El código QR, un arma de doble filo para los usuarios de la web

Security Awareness
27 noviembre 2023
QR code scam concept - scanning a fraudulent QR code can lead to phishing websites or malware apps.

No podemos vivir sin él, ¡pero cuidado con su uso!

A todos nos ha pasado sentarnos a la mesa de un restaurante y no encontrar ningún menú impreso sobre la mesa, sino solo una miserable hojita, tal vez plastificada, con un extraño código cuadrado: es la nueva puerta de entrada a la lista de nuestros platos favoritos que se puede leer directamente en nuestro teléfono móvil.

Podríamos partir de aquí para decir que el mundo actual está dividido en dos, entre quienes responden a la falta de papel en la mesa del restaurante con cierta sensación de vacío, consternación y nostalgia de tiempos pasados. Por otro lado, están quienes, en cambio, no ven la hora de encuadrar ese extraño dibujo en blanco y negro para tener acceso a toda la información que desean en ese momento.

Hablamos del Quick Response Code, código QR para los amigos, una herramienta que se ha vuelto casi indispensable para muchas operaciones de la vida cotidiana.

De hecho, el código hace que la información contenida en un sitio o aplicación sea fácilmente accesible sin la necesidad de escribir una dirección web, pero también se utiliza para acceder a determinados servicios, o para verificar la identidad digital. Todos recordamos, por ejemplo, el Green Pass, que permitía, a través del Código QR, tener acceso a nuestra información sanitaria y, en consecuencia, nos permitía llevar a cabo nuestras actividades durante la pandemia.

Sin duda, incluso en el caso de esta tecnología, las ventajas y el ahorro de tiempo son múltiples.
Por poner un ejemplo, basta pensar en la movilidad: los billetes en papel para trenes y aviones son un recuerdo lejano y quienes aún los sacan de sus maletas, en lugar de mostrárselos al revisor del tren o del aeropuerto con un código en su teléfono, pueden parecer alienígenas nostálgicos reacios a la modernidad.

Pero, como con cualquier herramienta tecnológica, el código QR también tiene sus lados oscuros, que no se deben subestimar en absoluto.

El Qishing

De hecho, estamos viendo una rápida difusión de las estafas relacionadas con el código QR, conocidas como qishing.
Funciona más o menos así: al escanear sin saberlo algunos códigos QR preparados «ad hoc» por los ciberdelincuentes, se nos dirige a páginas web peligrosas. En otros casos, en cambio, se instala directamente en el dispositivo un malware que compromete su correcto funcionamiento o roba los datos almacenados en ese dispositivo. Y todo esto sin que la víctima ni siquiera se dé cuenta, hasta después de algún tiempo, cuando ya es demasiado tarde.

Según el Team Harmony Email de Check Point el aumento de este tipo de ataques se situaría muy por encima del 500 %, un número desorbitado que revela un problema muy grave.

¿Cómo defenderse?

También para este tipo de estafa hay precauciones que siempre es bueno tener en cuenta.

  • En general, es recomendable no escanear códigos QR de fuentes desconocidas. También es importante prestar atención a las contraseñas que se utilizarán, cambiándolas periódicamente y variando entre las distintas cuentas disponibles.
  • Para escanear códigos QR es mejor utilizar una aplicación fiable y segura. De esta manera, el dispositivo te pedirá que confirmes la operación antes de escanear el código. Tanto en dispositivos Apple como en aquellos con sistema operativo Android, la cámara es capaz de reconocer códigos QR.
    Después de escanear y antes de proceder a la apertura, la mayoría de los escáneres muestran la operación realizada o la página a la que se va a dirigir. Comprueba siempre esta información.
  • Nunca introduzcas datos de acceso en un sitio web que hayas abierto a través de un código QR.
  • Antes de escanear un código QR, míralo y tócalo para asegurarte de que no es una pegatina pegada sobre el original.
  • También es aconsejable utilizar el reconocimiento óptico de caracteres OCR que convierte las imágenes en texto.
  • Por último, es importante saber que las grandes empresas nunca solicitarán escanear dichos códigos para obtener nuestros datos personales. Así que… ¡ojo con el remitente!.

La defensa más fuerte es el conocimiento

Sin embargo, como siempre, el conocimiento del problema es el primer paso para defenderse de esta nueva estafa.

De hecho, los ciberdelincuentes buscan continuamente nuevas formas de acceder a nuestra información y a nuestros dispositivos, pero, sobre todo, están a la caza de fallos generados principalmente por errores humanos. Viven de las distracciones, las prisas, los nervios y el escaso conocimiento del mundo digital.

Para combatirlos y evitar que causen daños, que pueden ser muy graves, el único camino es adoptar una actitud digital correcta. Solo podremos forjarla mediante un curso serio de conocimientos y formación que ofrezca contenidos permanentemente actualizados sobre los últimos riesgos y la seguridad, además de incluir ejercicios continuos adaptados al nivel de preparación de cada persona.

Suscríbete al boletín

Artículos relacionados