Con la gran fama y uso que está ganando poco a poco el código QR (Quick Response), que cada vez se ve más a menudo en cartas de restaurantes, alquiler de patinetes eléctricos y bicicletas o lecturas de pdf, parece más que lógico que consigo también lleguen los problemas de nuevos hackeos y robo de datos privados.

Para contextualizar, los códigos QR son esas imágenes cuadradas con una serie de códigos en blanco y negro que ves en periódicos, cartas de restaurantes, folletos, Internet, etc. y que al escanearlos te redirigen a un sitio web, guarda contactos o abre aplicaciones. Normalmente, un código QR almacena una URL y otra información relacionada. 

El QRishing, que es como se conoce la estafa que usa estas imágenes, es la sencilla forma que tienen algunas personas de aprovechar un código QR para robar información privada, instalar software malicioso en un dispositivo o dirigir a una persona a un sitio web no seguro con bastantes malas intenciones. El QRishing se traduce a lo que ya todos conocen como phishing pero con el uso de los códigos QR.

"En relación con las técnicas utilizadas por esta clase de estafadores, cabe señalar que el QRishing se encuentra en auge gracias al uso de tácticas de ingeniería social, dado que el éxito del QRishing depende de cuestiones como la confianza del usuario, la costumbre y masividad con la que se tratan los escaneos de códigos QR y la dificultad que supone distinguir los códigos legítimos de los que no lo son", explican en una entrevista para Computer Hoy Raquel Puebla e Itxaso Reboleiro, analistas de ciberseguridad en Entelgy Innotec Security.

La estrategia más efectiva para responder a un incidente de ciberseguridad: "El tiempo corre contra el defensor"

Por ejemplo, el atacante puede dejar panfletos en una parada de autobús, en mesas de restaurantes o incluso vía correo electrónico. Cuando una persona escanee el código QR con su móvil, pensando que se trata de algo interesante que consultar o un menú, se mostrará una URL, una imagen o un mapa con instrucciones para llegar a un lugar, entre otras cosas.

"Lo más común es que estos códigos se inserten en lugares muy transitados y fácilmente visibles, como farolas y postes en avenidas, ya que la curiosidad podría provocar que las personas accediesen a ellos. También es común su utilización en lugares cuyo escaneo pueda suponer un aliciente para el usuario, como en restaurantes concurridos, vehículos particulares y servicios de transporte público sostenibles, dado que se está popularizando el uso de códigos QR para desanclar bicicletas, entre otros", añaden.

A partir de aquí, los estafadores ya dependen de sus capacidades tecnológicas para engañar a las víctimas para que compartan datos delicados. El truco es que estos saben a la perfección qué técnicas usar para llamar tu atención y que caigas.

"Los principales riesgos relacionados con el QRishing consisten en la recopilación de información de valor utilizando señuelos de interés para el usuario, dado que esta ciberamenaza no deja de ser una vertiente o variante del phishing, que a su vez podría derivar en fraude bancario, suplantaciones de identidad o incluso en extorsiones y chantajes en el caso de accesos a información especialmente sensible (como fotografías íntimas, por ejemplo); así como la instalación de aplicaciones móviles fraudulentas o malware", comentan las expertas.

Por ejemplo, y sin ir más lejos, si vives en Madrid o perteneces a la zona, seguro que has escuchado el escándalo generado precisamente por una estafa relativa a los QR, concretamente con BiciMAD, el servicio de alquiler de bicicletas de la ciudad.

En este caso, algunos códigos QR han sido sustituidos de manera fraudulenta y, en lugar de llevarte a la web oficial, te llevan a una diferente que te pide dinero si quieres alquilar la bicicleta, quedándose con él.

"Otro ejemplo de QRishing bastante conocido es el caso de los parquímetros estadounidenses, pues en 2022 se colocaron en los parquímetros de distintas ciudades de la nación códigos QR falsos que permitían a los cibercriminales robar los detalles de pago de los usuarios de estos dispositivos, con los que posteriormente se podían realizar operaciones bancarias no autorizadas. En 2022, el Mundial de Qatar también sirvió como señuelo para propagar ciberamenazas de QRishing", ejemplifican las expertas.

Que no te la cuelen: las estafas con código QR se pueden evitar

Para protegerse contra las estafas QR, es importante seguir algunas buenas prácticas:

• Verifica la fuente: antes de escanear un código QR, asegúrate de que proviene de una fuente confiable y legítima, aunque ya has visto que aun así te la pueden colar. Asegúrate que la dirección web, si no está acortada, empiece por https://.
• Usa un lector QR seguro: utiliza una aplicación de lector de códigos QR confiable en tu móvil que pueda detectar enlaces maliciosos o sitios web.
• No compartas información personal: ten cuidado al proporcionar información personal o financiera después de escanear un código QR, y asegúrate de que el sitio web sea seguro y auténtico. Estos suelen estar insertados para aportar información, por lo que si no estás 100% seguro, evita meter contraseñas, correos, nombres...etc.
• Actualiza tu software: mantén tu móvil y sus aplicaciones actualizadas para protegerte contra vulnerabilidades conocidas.
• Informa de las estafas: si encuentras un código QR o una campaña de estafa QR, informa a las autoridades o a la empresa que podría estar siendo suplantada.

"Se debe prestar atención a la finalidad que contenga el QR, dado que, por ejemplo, si lo que se desea es visualizar la carta en un restaurante, no tendría sentido que el QR condujese a la descarga de una aplicación. Además, es conveniente desconfiar o incluso rechazar tarjetas y folletos informativos que contengan códigos QR y que sean distribuidos por desconocidos, puesto que es imposible determinar su finalidad real. Del mismo modo, no se debe escanear ningún código QR ubicado en lugares que no deberían albergarlos sin ninguna razón aparente y que sean hallados por el usuario al azar" finalizan Raquel Puebla e Itxaso Reboleiro.