Es común ver códigos QR en muchos lugares, ya sea en el menú de una pizzería o en artículos de una tienda de ropa. Sin embargo, hay más en estos códigos aparentemente inofensivos de lo que parece, ya que pueden generar riesgos significativos para la seguridad del dispositivo y tus datos.

En los últimos años, ha aumentado el uso de códigos de respuesta rápida (QR), desde pagar en una estación de servicio hasta vincular una aplicación de mensajes a tus dispositivos. Es precisamente este uso masivo lo que los hace propensos a ser explotados por piratas informáticos, quienes buscan oportunidades para distribuir malware y recopilar información confidencial.

Por lo tanto, es vital que los usuarios reconozcan estos riesgos y tomen las medidas necesarias para protegerse.

¿Qué son los códigos QR?

Representan una cadena de texto, números o caracteres alfanuméricos que los negocios dan a sus clientes y les permite acceder a diferentes servicios. Como su nombre lo indica (Quick Response), fueron diseñados para ser descifrados y leídos rápidamente.

Para usarlos, tienes que escanear el código con una función integrada en la cámara del teléfono (también se pueden utilizar aplicaciones en caso que el dispositivo no cuente con esta función integrada). El escáner descifrará el código conformado por barras y cuadrados (generalmente en blanco y negro) y llevará al usuario a la cuenta o sitio web oficial del negocio.

Los códigos QR son efectivos para mejorar la experiencia del usuario, los clientes no necesitan ingresar manualmente largas URL para ver un menú o realizar el pago de servicios.

Entonces ¿Qué tan seguros son estos códigos?

Desde hace décadas estos códigos están presentes a nuestro alrededor y cada vez son más utilizados para almacenar información variada.

Debido a su conveniencia, se pueden encontrar prácticamente en cualquier lugar en estos días: desde estaciones de servicio hasta revistas y desde menús de restaurantes hasta tarjetas de presentación. Sin embargo, dentro de la comodidad que ofrecen, los riesgos de usar códigos QR a menudo se pasan por alto o se desconocen.

De hecho, a medida que aumentó el uso de códigos QR con la pandemia, los estafadores aprovecharon la oportunidad para hacer fraude electrónico y embaucar a miles de usuarios. El informe de amenazas elaborado por HP Wolf Security a finales del año pasado revela un incremento significativo de estafas en línea:

“El uso de códigos QR es una forma eficaz de forzar al objetivo a cambiar de un ordenador a un dispositivo móvil, que puede estar protegido por mecanismos de defensa y detección de phishing más débiles”.

Los códigos QR se han convertido en una de las amenazas de seguridad informática más serias en la actualidad, ya que los delincuentes tienen la posibilidad de extraer información de tarjetas de crédito y débito, así como datos personales.

Riesgos más comunes de los códigos QR

Ataques de Phishing

Se trata de una modalidad de estafa que no difiere mucho del típico fraude por Internet. Es una táctica diseñada para engañar y conseguir que reveles tus datos financieros, información personal o credenciales de inicio de sesión.

Los delincuentes pueden enviarte un correo electrónico, un folleto, una carta o un mensaje en las redes sociales que contenga un código QR. El estafador introduce un enlace malicioso en el código, una vez escaneado, te lleva a una página que solicita el ingreso de datos y permite al atacante robar la información.

El phishing de código QR puede ocurrir en línea o fuera de línea. En el ámbito físico, los estafadores reemplazan los códigos auténticos en establecimientos de acceso masivo (shoppings, por ejemplo) y negocios (restaurantes, hoteles, etc.).

Descarga “silenciosa” de Malware

El uso de códigos QR en lugares públicos puede ser peligroso para ti, los ciberdelincuentes tienen la capacidad de incorporar sigilosamente enlaces fraudulentos. Las personas que escanean estos códigos podrían convertirse en víctimas de malware, de hecho, una visita al sitio web podría resultar en una descarga inadvertida.

El malware afecta de maneras diferentes, podría abrir “puertas traseras” con acceso al sistema operativo y permitir más infecciones o robar silenciosamente la información. A veces, estas infecciones pueden incluso ser ataques de ransomware o secuestro de datos, por lo tanto tomarían tu información como rehén para pedir un rescate.

Estafas mediante pagos y transacciones electrónicas

Desde hace un buen tiempo, el uso de QR en pagos y transacciones ha permitido agilizar las operaciones comerciales. En la actualidad, están presentes en prácticamente cualquier comercio, no obstante, los delincuentes pueden intercambiar el código legítimo por uno falso para extraer información que pueda servir para robar tus fondos.

Aunque la mayoría de las aplicaciones móviles solicitan al cliente que verifique los detalles del pago después de escanear el código, los usuarios incautos pueden aprobar un pago fraudulento cuando no han prestado mucha atención al proceso.

¿Cómo protegerse de las estafas al usar un código QR?

Los riesgos de los códigos QR han ido en aumento, por lo que es importante reconocerlos y prevenirlos. La base para evitar estas estafas es nunca escanear un código QR en el que no se confíe. Aparte de eso, las medidas de seguridad preventivas dependen del fraude al que te enfrentás:

Instalá un software antivirus confiable

Al igual que ocurre con las notebooks y desktops, los dispositivos móviles deben tener instaladas y en funcionamiento aplicaciones de seguridad confiables. El software protege al dispositivo contra el malware y los virus que pueden transmitir los códigos QR maliciosos (y otras fuentes potencialmente peligrosas).

Verificá la URL

Cada vez que escaneás un código QR con la cámara de tu teléfono, notarás que aparece un mensaje en la pantalla con información relacionada al código. Este mensaje de confirmación mostrará la URL que estás a punto de visitar, pero antes de ingresar, verificá que la URL no presenta signos sospechosos (una dirección no relacionada con el servicio o la información que necesitás). En otras palabras, si la dirección web no parece coincidir con el nombre del negocio, podría tratarse de una estafa.

Hacé clic en la dirección solo si tiene certificado SSL (dispone de https:// delante del enlace). El certificado garantiza la autenticidad y encripta la información que sale e ingresa del sitio web.

Además, es importante verificar el dominio. Los estafadores manipularán los dominios para que parezcan algo que no son, por ejemplo: http://google.com.pro_login.ia, el dominio es pro_login.ia, no google.com.

Revisá el código QR si estás en un lugar público

Antes de escanear un código QR que se encuentre en un lugar público, examiná cuidadosamente en busca de signos de manipulación, como la colocación de una etiqueta adhesiva sobre el original. Si no parece encajar con su fondo, entonces deberías abstenerte de escanearlo. Además, no es recomendable escanear códigos QR de sitios web, carteles, volantes o revistas desconocidos a menos que estés seguro de que el destino es legítimo.

Generalmente los restaurantes son uno de los lugares más comunes que utilizan códigos QR. La mayoría lo hace para que sus clientes puedan ver el menú o incluso pagar la comida. Sin embargo, los estafadores pueden sustituir estos códigos y redirigir a un sitio web de phishing para robar tu información personal.

Si alguna vez tienes dudas, preguntá al mozo o al encargado del negocio sobre la dirección del sitio web. Para estar más seguro, ingresá la dirección manualmente desde el navegador de tu teléfono.

Evitá el uso de aplicaciones de terceros para escanear el código

Las aplicaciones de escaneo de QR son muy populares, pero esto las convierte en los principales sistemas de distribución de malware. Los piratas informáticos ocultan códigos peligrosos en estas aplicaciones con el objetivo de robar fondos, secuestrar tu información personal o incluso hacerse con el control del dispositivo.

La mayoría de los teléfonos inteligentes tienen un escáner de códigos QR en la cámara, es tan fácil como tomar una foto y te mostrará la URL del sitio a ingresar.

Utilizá un administrador de contraseñas

Al igual como ocurre con muchos intentos de phishing, los códigos QR fraudulentos suelen dirigir el tráfico a sitios web falsos que intentan imitar a los reales para obtener las credenciales del usuario. En muchos casos, el administrador de contraseñas será capaz de reconocer un sitio sospechoso, en este caso, la aplicación evitará a su vez que se introduzca automáticamente información sensible sobre el nombre de usuario y la contraseña.

Conclusiones finales

El uso de códigos QR puede representar ciertos riesgos de seguridad digital, como el redireccionamiento a sitios web maliciosos para extraer fondos de tu cuenta bancaria o incluso la descarga de malware. En ese sentido, es importante seguir buenas prácticas, como verificar la URL, asegurarse de que se escanee desde la cámara del dispositivo y disponer de un software antivirus actualizado. Al tomar estas precauciones, puedes minimizar los peligros de compartir información personal al realizar pagos o consultar información de servicios.

Por otro lado, los dueños de negocios tienen un papel importante en la prevención de estafas mediante códigos QR. Es esencial que implementen medidas de seguridad para proteger a sus clientes, además de brindarles la confianza necesaria cuando realizan pagos o ingresan al sitio web oficial, por ejemplo:​

• Utilizar un generador de código QR que cumpla con la Ley de protección de datos personales.
  
  
• Diseñar un código personalizado que incorpore algunos aspectos de la marca en relación a los colores y estilo.
  
  
• Educar a los usuarios sobre los peligros de ciberseguridad asociados con el escaneo de códigos QR.
  
  
• Contar con certificación SSL en el sitio web.
  

​