‘QRishing’, el ‘phishing’ oculto en códigos QR
Cuando la pandemia impuso la distancia, los códigos QR se acercaron de nuevo a nuestras vidas. Creados en 1994, a principios del siglo XXI estaban por todas partes, pero fueron desplazados por otros sistemas de conexión sin contacto. Y de repente, en marzo de 2020, las restricciones del coronavirus trajeron de vuelta a esos cuadrados blancos y negros que permiten conectar sin contactar. ¿Qué podría salir mal?
Un código QR (del inglés ‘Quick Response’ o de respuesta rápida) es un código de barras mejorado que incluye un enlace a un contenido alojado en internet. Tienen forma cuadrada y pueden ser leídos por la mayoría de los ‘smartphones’ y dispositivos móviles. Se enfoca al código con la cámara y, con una aplicación de lectura de códigos QR, o en ocasiones incluso sin ella, se escanea y se accede a la información.
Desde la pandemia, los QR se han popularizado para usos como acceder al pasaporte Covid-19, descargar aplicaciones sanitarias o acceder a los menús de restaurantes; pero tienen muchas más utilidades, como enviar tarjetas de visita, compartir perfiles de redes sociales como LinkedIn, WhatsApp, Instagram o Twitter, mostrar mensajes promocionales o realizar pagos sin contacto, por ejemplo, en administraciones de Lotería.
QR + Phishing = QRishing
En ciberseguridad es bien sabido que, hecha la herramienta, hecho el ataque. Los códigos QR no son una excepción. En enero de 2022, los delincuentes colocaron falsos códigos QR en parquímetros de Texas y otras ciudades de Estados Unidos para robar datos de pago de las víctimas. Esta técnica de engaño se llama ‘QRishing’, o lo que es lo mismo, ‘phishing’ a través de códigos QR: al escanear el código, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad, suscribir a la víctima a servicios de pago…). El ‘phishing’ no para de reinventarse, demostrando que es capaz de adaptarse con éxito a cualquier canal: correo electrónico, teléfono, SMS y, ahora, códigos QR.
Los ciberdelincuentes se aprovechan de la confianza de los usuarios, de la práctica masiva de escanearlos y de la dificultad de distinguir un código QR legítimo de uno malicioso. Para hacer caer en la trampa a la víctima recurren a técnicas de ingeniería social.
Consejos contra el ‘QRishing’
Como no todos los QR llevan a buen puerto, estos consejos protegen a los usuarios de códigos maliciosos:
- Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
- Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo. Así se puede revisar la dirección antes de acceder al contenido o introducir información.
- No escanear códigos QR de dudosa procedencia: verificar la identidad del autor (persona o entidad), confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
- En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado para comprador y vendedor.
- Si el código QR está en el mundo físico, por ejemplo, en el expositor de alguna tienda o impreso en un vaso, un truco de los delincuentes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegados sobre el código real. Si lo detectamos, informar al responsable del establecimiento.
- En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido falseados.
- Y si el código QR lleva a una página en la que se pide información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante parar a pensar un momento si el contexto lo requiere.
Proteger la privacidad
El ‘QRishing’ no es el único peligro de estos códigos, que también pueden comprometer la privacidad. Algunos documentos con información sensible llevan un código QR insertado; es el caso de certificados o citas médicas, comprobantes bancarios, boletos de sorteos o entradas de eventos. Su objetivo es facilitar el acceso o la verificación de la información. Nunca se debe compartir ese código ni enviar fotos del documento a nadie; hay que mostrarlo solo en caso necesario y guardarlo de forma segura.
Prestar atención a los detalles es clave contra el ‘QRishing’. Protégete y ayuda a los demás advirtiéndoles de los riesgos de estos códigos, que no todo el mundo conoce. ‘Be a cybersecurity key player!’