A medida que aumentan la popularidad y la confianza de los códigos QR, también aumentan los riesgos. Casi dos décadas después de su desarrollo, la pandemia salvó de la extinción al código «Quick Response» (QR). En consecuencia, se han expandido mucho más allá de su alcance original y, si bien muchos usos son legítimos, los ciberdelincuentes ahora aprovechan la tecnología con fines maliciosos.
Inventados en 1994, los códigos QR originalmente brindaban información de seguimiento rápido para piezas de automóviles. Esta tecnología fue adoptada por otras empresas y actualizada para facilitar el acceso a sitios web y otra información.
En 2022, los códigos QR se utilizan para tareas como facilitar pagos, descargar aplicaciones, distribuir documentos y confirmar entradas para eventos. Incluso admiten mecanismos de seguridad, incluido el despliegue de autenticación multifactor.
La pandemia de COVID-19 provocó el uso generalizado de códigos QR para informar los resultados de las pruebas y confirmar el estado de vacunación, pagos rápidos, lecturas de menús en restaurantes, etc. Esta evolución ha persuadido a los usuarios de que se puede confiar en los mecanismos de código QR. Sin embargo, los actores de amenazas están explotando esta confianza para recopilar información confidencial o implementar malware.
¿Cómo se explotan los códigos QR?
Los códigos QR aprovechan las cámaras o los escáneres de los dispositivos móviles para leer un código de barras de matriz. Luego, el dispositivo traduce el código de barras en una acción, como una redirección a un sitio de redes sociales. Si bien los códigos QR no se pueden comprometer directamente, es posible sustituir un código QR por otro, abusar de ellos para distribuir software malicioso o redirigir a las víctimas a un sitio web malicioso.
Los ataques que explotan los códigos QR se conocen como QRishing (phishing de código QR). En enero de 2022, la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió a los usuarios de códigos QR sobre la manipulación y citó un aumento de informes de credenciales robadas y pérdidas monetarias. En marzo de 2022, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) informó sobre una campaña de QRishing que aprovecha una página de restablecimiento de contraseña falsa para robar credenciales.
No seas víctima de QRishing
Si bien no existe una forma concluyente de verificar la legitimidad de un código QR que no sea abrirlo o usar una aplicación de escaneo de códigos QR, te recomendamos que consideres los siguientes pasos cuando interactúas con un código QR:
- Utiliza una aplicación de seguridad en su dispositivo móvil . Muchos proveedores de renombre ofrecen aplicaciones que brindan detección antivirus y otras protecciones de seguridad para dispositivos móviles. Algunas de estas aplicaciones incluyen escáneres QR. Escanear un código QR a través de la aplicación de seguridad podría interceptar códigos QR maliciosos o características sospechosas, agregando otra capa de protección.
- Evalúa la credibilidad del código QR. ¿El contexto y el mensaje del código QR parecen apropiados para el entorno? Por ejemplo, un restaurante que ofrece su menú a través de un código QR es razonable. Sin embargo, los usuarios deben tener cuidado si escanear un código QR genera solicitudes de información que no parece relevante (por ejemplo, un juego que requiere información de identificación personal (PII), una solicitud de credenciales para acceder a un horario de autobús). Si el código QR parece sospechoso, puede intentar verificar su credibilidad poniéndose en contacto con la organización o la persona que lo emitió. Además, es importante evaluar los riesgos potenciales asociados con compartir la información solicitada.
- Utiliza la ruta directa. Los códigos QR se utilizan a menudo para proporcionar acceso directo a un sitio web o descarga de aplicaciones. Es más seguro visitar un sitio web a través de una URL confirmada en un navegador web y descargar aplicaciones de la tienda de aplicaciones oficial. De manera similar, recomendamos encarecidamente interactuar directamente con un banco o proveedor de servicios (por ejemplo, proveedores como empresas de servicios públicos, aplicaciones financieras confiables como PayPal, FPay, CHEK, Rappy Pay, Mercadopago, Khipu, One Pay y otros) en lugar de realizar pagos o transacciones financieras a través de un sitio navegado por un código QR.
- Proteja los códigos QR. Los códigos QR que se vinculan a datos confidenciales, como información de salud, están vinculados específicamente a un individuo. Los usuarios nunca deben compartir estos códigos QR con alguien en quien no confíen. Además, no es recomendable tomar una captura de pantalla y compartir públicamente estos códigos QR con otras personas en las plataformas de redes sociales, ya que alguien podría hacerse pasar por alguien y acceder a información privada.
- Verifica el destino del código QR. El código QR en sí puede no ser malicioso, pero podría redirigir al usuario a contenido malicioso. Lo mejor es evaluar la autenticidad y la seguridad del contenido considerando factores como la validez de la URL , el estado del cifrado y el formato de la página. Si algo no se siente bien, aléjate.
- Minimizar el impacto. Si un usuario escanea un código QR y navega a un sitio web o aplicación que parece malicioso o no confiable, entonces es recomendable cerrar la página o aplicación, borrar las cookies y el caché del sitio del navegador web y eliminar la página o aplicación de su historial del navegador. Si un usuario proporcionó credenciales o información financiera, debe derivar el incidente a la organización adecuada y cambiar su contraseña.
Los dispositivos móviles suelen ser más difíciles de explotar sin la interacción del usuario, pero el uso ampliado de códigos QR puede reducir las defensas de los usuarios. Evaluar la legitimidad de un código QR podría evitar un error costoso, estresante, lento o dañino. La vigilancia es clave.