Tras su aparición en toda Europa, las autoridades en Latinoamérica han advertido sobre la masificación de un nuevo tipo de estafa electrónica denominada “QR inverso”. Esta es una técnica fraudulenta con que los ciberdelincuentes acceden a los datos personales y bancarios de las víctimas, haciéndoles creer que tras el escaneo de un código QR ingresarán a supuestas promociones de empresas o marcas oficiales o en la descarga de aplicaciones.
“Lo que genera esta acción es que los datos que vaya ingresando el usuario irán a parar a los servidores de los atacantes informáticos, quienes sin ningún problema podrán usarlos para vaciar cuentas bancarias o hacer otro tipo de trámites con la identidad de la víctima”, explica Camilo Mix, analista en Ciberinteligencia de CronUp Ciberseguridad.
«También, los códigos QR son muy populares para que el usuario descargue una aplicación de manera no oficial, es decir, sin pasar por la tienda de aplicaciones. Esto es muy común entre los usuarios de Android. Aunque, tampoco se puede decir mucho de la seguridad de las tiendas de aplicaciones de Google Play o Huawei Store, en especial de este último.»
Pero de partida, ¿qué es un código QR? Es una etiqueta óptica que posee un código de barras bidimensional, el cual permite almacenar información y que es presentado en un formato cuadrado con diversos módulos. Gracias a una técnica de ingeniería social llamada “QR inverso, los ciberatacantes generan sus propios códigos QR para obtener información sensible y privada de los usuarios.
“Actualmente el cibercrimen está empeñado en realizar sus ataques informáticos por este medio. Por eso, es común ver este tipo de códigos en diferentes puntos de la vía pública, o en restaurantes y cines, ya que los ciberdelincuentes se valen de la ignorancia de los usuarios para concretar estas estafas electrónicas”, recalca Mix.
Añade que con este método “es muy común que la gente caiga en la tentación de escanear un código QR con un mensaje bonito o alguna alusión a marcas, empresas o fundaciones, incluso, cayendo fácilmente en la trampa”.
Precisamente para no ser víctimas de esta modalidad de ataque informático, el experto en seguridad informática aconseja poner atención a cualquier código QR que pudiera tener algún tipo de manipulación o superposición con respecto al original. “Si ya escaneaste el código, recomendamos fijarse en la URL que se dirige y revisar si corresponde a un enlace posiblemente malicioso. Para esto existen diversas aplicaciones que entregan información detallada de cualquier URL”, señala.
«De igual modo, los cibercriminales podrían agregar un acortador de enlaces en los códigos QR para evitar que la víctima detecte el enlace malicioso, sí la aplicación para el escaneo de código QR o la misma cámara del teléfono, le resalta a donde será redirigido con el código en cuestión.«
Confirmar que la web a la que se va a acceder cumple con los requisitos mínimos de navegación segura, como por ejemplo el HTTPS, es otra de las opciones a considerar. “También cabe mencionar que hay aplicaciones que generan informes de seguridad antes de que se active el código QR, tanto en dispositivos Android como iOS. Pero, como siempre recalcamos, lo más importante en estos casos es aplicar siempre el sentido común y no caer en la tentación de escanear cualquier código QR que se encuentre en la vía o espacios públicos. Sí vas a escanear un código en un lugar público, además de seguir las recomendaciones básicas de seguridad mencionadas anteriormente y mantener el sentido común en alerta, también verifica que la persona quien te ofrezca el código QR, sea un dependiente del lugar y evitar que personas random te tiente u obligue a escanear cosas que desconoces”, finaliza.
