Desde el cierre de establecimientos de restauración, comercios, teatros,… durante la pandemia, las pequeñas cuadrículas en blanco y negro que conforman los códigos QR se han puesto de moda.

Desde menús de restaurantes hasta cupones de tiendas y anuncios en estaciones de metro, la verificación del estado de vacunación en los aeropuertos y estaciones de tren, durante la pandemia, los QR reemplazaron el papel por dar información sin contacto.

No hay mejor manera, sin poner en peligro la salud por contagio táctil, que ofrecer los productos y servicios de las empresas y organizaciones que presentando el código QR a través del cual vamos a la página web de la empresa u organización en cuestión y dónde podemos leer las características de los productos y servicios que ofrecen.

Los ciberdelincuentes eso lo saben y por ello sus fechorías no han parado de proliferar.

Cuando entras en un web al que te dirige el código QR, en principio no sabes si es una web segura y por lo tanto tiene una URL https o no está segura y tan solo es una http.

A menos de que dispongas de una herramienta que impida entrar en webs inseguras puedes caer en la trampa que te hayan puesto.

Este tipo de ciberataque está ocurriendo con mucha frecuencia en todo el planeta. Accesibles y fáciles de producir, los códigos QR son también el vehículo perfecto para que los ciberdelincuentes se apoderen de tu información personal.

Algunos ejemplos:

• Filtraciones y falsificación de claves privadas para firmar pasaportes Green Pass de la UE en otoño pasado se vendieron en pocos días en la Dark Web.
• Falsificación de multas de aparcamiento con códigos QR que facilitaban su pago colocadas en el parabrisas de los coches aparcados en la calle en China.
• Un código QR falso, utilizó una función legítima de una app de banca digital para estafar a los clientes del banco, en los Países Bajos
• Hubo un envío de correos electrónicos falsos que contenían códigos QR a clientes de banca electrónica y los dirigían a sitios web maliciosos en Alemania.

CyberArk facilita, en un artículo, consejos sobre lo que debes saber antes de escanear en un código QR. Los reproducimos a continuación.

7 formas de evitar que los códigos QR roben tus datos

1. Reduce la velocidad. Antes de escanear cualquier código QR, pregúntate “¿estoy segura /o de que no ha sido manipulado?”, “¿tiene sentido usar un código QR en esta situación?”

2. ¡No lo escanees! Si notas algo raro, no escanees el código QR. Dirígete directamente al sitio web real, que debe tener una URL asociada y que permita consultarla directamente. Si no está, ¡alerta!

3. Inspecciona las URL de los códigos QR. Antes de escanear el código QR, consulta la URL a la que lo dirige antes de continuar. ¿Coincide el nombre de la empresa asociado al código QR?, ¿parece sospechoso o incluye errores ortográficos extraños o errores tipográficos? Otra posibilidad es realizar una búsqueda rápida en la web de la URL para confirmar que el código QR es fiable.

4. Busca signos de manipulación física. En lugares donde los códigos QR se utilizan mucho, como en los restaurantes, eso es muy importante. ¡No te fíes, si ves una etiqueta de código QR adherida sobre otro código!

5. No descargues nunca aplicaciones desde códigos QR. Los ciberdelincuentes pueden clonar y falsificar sitios web fácilmente. Por eso aconsejamos acudir, siempre, al marketplace de aplicaciones oficial para el sistema operativo de tu dispositivo y descarga desde allí las aplicaciones.

6. No realices pagos electrónicos a través de códigos QR. Usa la aplicación nativa o dirígete al dominio oficial e inicia sesión allí.

7. Activa la autenticación multifactor (MFA).  Con otra capa de autenticación implementada, un delincuente cibernético no puede acceder a tus datos con solo tu nombre de usuario y contraseña y proteges las apps bancarias, el correo electrónico y las redes sociales.

Usa siempre el sentido común. Los códigos QR se han convertido en uno de los métodos de Phishing favoritos de los atacantes.

Actuar con precaución y aplicar los mismos criterios de seguridad que con cualquier otra actividad en el ámbito digital, es lo más aconsejable.