Con la gran fama y uso que está ganando poco a poco el código QR, que cada vez vemos más a menudo en cartas de restaurante, alquiler de patinetes eléctricos o lecturas de pdf, parece más que lógico que consigo también lleguen los problemas de nuevos hackeos y robo de datos privados.

Para contextualizar, los códigos QR son esas imágenes cuadradas con una serie de códigos en blanco y negro que vemos en periódicos, cartas de restaurantes, folletos, Internet...etc. y que al escanearlos nos redirigen a un sitio web, guarda contactos o abre aplicaciones. Normalmente, un código QR almacena una URL y otra información relacionada. 

Tan solo recordemos ese código QR que presentaron a modo de publicidaden las televisiones americanas durante un minuto en la Super Bowl de 2022 que simplemente redirigía a los usuarios a la web oficial de Coinbase, quien pagó 16 millones de dólares. 

Todos, sin miramiento alguno lo escaneó, haciendo caer la web inmediatamente. ¿Qué hubiese pasado si alguien hubiese hackeado ese código con intenciones maliciosas? 

Pues bien, la próxima vez que veas un código QR y tengas la tentación de escanearlo, se precavido. Y es que, a estas alturas, todos hemos oído hablar, hemos conocido a alguien que se ha visto afectado o nos hemos visto afectados por un intento de phishing o algunas de sus versiones.

Pero por si esto no fuera suficiente para preocuparse, ahora tenemos un nuevo actor en la historia, el QRishing, también conocido como quishing, que afecta a quienes leen con su smartphone uno de estos códigos.

• ¿Qué es QRishing?
• ¿Cómo funciona esta nueva estafa y con qué finalidad?
• Cómo evitar el QRishing

¿Qué es QRishing?

El QRishing es la sencilla forma que tienen algunas personas de aprovechar un código QR para robar información privada, instalar software malicioso en un dispositivo o dirigir a una persona a un sitio webno seguro con bastantes malas intenciones. El QRishing se traduce a lo que ya todos conocemos como Phishing pero con el uso de los códigos QR.

Por ejemplo, el atacante puede dejar panfletos en una parada de autobús, en mesas de restaurantes o incluso vía correo electrónico. Cuando una persona escanee el código QR con su teléfono móvil, pensando que se trata de algo interesante que consultar o un menú, se mostrará una URL, una imagen o un mapa con instrucciones para llegar a un lugar, entre otras cosas.

A partir de aquí, los estafadores ya dependen de sus capacidades tecnológicas para engañar a las víctimas para que compartan datos delicados. El truco es que estos saben a la perfección qué técnicas usar para llamar tu atención y que caigas.

Y es que, a diferencia de los hipervínculos, al pasar por encima de un código QR no se muestra la URL de destino, por lo que, por ejemplo, es fácil para un estafador decirle a una víctima potencial que escanee un código QR para tener la oportunidad de ganar algo, por ejemplo.

Guía para comprar en AliExpress en 2024: encuentra las mejores ofertas y evita estafas y malas experiencias

¿Cómo funciona esta nueva estafa y con qué finalidad?

No hace falta ni decir que no todo el mundo escanearía un código QR al azar sin un incentivo o una razón para ello. Es por esto que los ciberdelincuentes suelen encontrar formas llamativas de despertar el interés de la gente. Y es que, la razón para creer en la autenticidad del código es el lugar donde se ha colocado. 

Estos suelen actuar cogiendo, por ejemplo, un folleto aparentemente fiable como puede ser el de una institución o empresa y cambian el código QR pero manteniendo todo tipo de detalles y diseño que hacen que parezca real. El objetivo de estos ataques puede ir desde el robo de información personal hasta la publicidad o el fraude económico.

Cómo evitar estafas en Airbnb: los 5 engaños más comunes

También suelen emplear el envío masivo de mensajes vía WhatsAppcon código que saben que van a ser compartidos o los correos electrónicos. 

Este último caso suele formar parte de los métodos ya conocidos de phishing por correo electrónico. A diferencia de los hipervínculos acortados que ya hemos visto, al pasar tu teléfono por encima de un código QR no se muestra la URL de destino, por lo que, por ejemplo, es fácil para un estafador decirle a una víctima potencial que lo escanee por el motivo que sea.

Por ejemplo, los atacantes suelen distribuir anuncios ofreciendo descuentos en Amazon u otras empresas muy reconocidas a quienes escaneen los códigos QR proporcionados. Este tipo de estafa no se basa en la curiosidad o la necesidad de obtener información, sino en esa búsqueda de ahorro.

Cómo evitar el QRishing

Escanear y leer un código QR requiere principalmente dos cosas: una cámara y un navegador para adentrarse a la información del código QR. Al ser tan simple, significa que también es sencillo evitar ser víctima.

Por un lado, se recomienda echar un vistazo a dónde está insertado ese código QR, ¿por qué?, básicamente porque muchos vienen en algún tipo de funda de plástico o cristal sobre la que se inserta el código falso,como puedes ver en la imagen de mas abajo.

Los especialistas afirman que los atacantes pueden sustituir los códigos QR de empresas de renombre colocando una pegatina encima de sus carteles o sustituyendo carteles o folletos enteros por sus propias reimpresiones. 

Por otro lado, al igual que ocurre con otros tipos de estafas online, evita abrir una URL que esté acortada, así que si es así, es mejor evitarlas. En relación a este aspecto ten cuidado también antes de introducir tus credenciales. Asegúrate que la dirección web, si no está acortada, empiece por 'https://'. 

Lógicamente uno de los grandes consejos es el de mantener siempre actualizado el software de tu dispositivo. Ya se sabe que los piratas informáticos pueden aprovechar las vulnerabilidades del software de tus aplicaciones o del sistema operativo de tu teléfono sin que lo sepas. 

5 cursos online de seguridad informática que te abrirán nuevas oportunidades de trabajo

Por supuesto, no metas tus credenciales en ninguna URL que te lo pida. Estos suelen estar insertados para aportar información, por lo que, si no estás 100 %, evita meter contraseñas, correos, nombres...etc.

Con todo esto y ya sabiendo que esta estafa existe, mantente escéptico con cualquier código QR que veas, que te llegue vía WhatsApp o por correo y sobre todo por la calle o en lugares públicos. Esta forma de phishing es relativamente nueva, y no mucha gente la conoce, lo que significa que cualquiera puede caer fácilmente en ella.