¿Para qué sirven los códigos QR y cómo podemos ser estafados?
Los códigos QR llevan activos en el mundo tecnológico desde el año 2009. Sin embargo, lo que en un primer momento debía tener la misma funcionalidad que un código de barras, a día de hoy se está convirtiendo en un recurso indispensable en nuestro día a día. No solo como código que permite obtener más información sobre productos, sino también como recurso para consultar o contratar determinados servicios.
Lo encontramos en restaurantes (carta digital), aeropuertos (pasaporte, visado o certificado de vacunación) e, incluso, en anuncios publicitarios de televisión. Pero las autoridades han vuelto a alertar recientemente sobre el preocupante incremento de las ciberestafas a través de códigos QR.
El ciberdelincuente suele aprovechar lugares públicos, donde es habitual encontrarnos con este recurso informativo. El ciberataque comienza por poner una pegatina con un QR diseñado por el cibercriminal y que en caso de escanearlo nos dirige a una página web falsa (Pharming; ciberataque comentado en TIPs anteriores) o se descarga algún archivo o aplicación, aparentemente inofensiva, pero que puede causar mucho daño a nuestro dispositivo o facilitar datos personal o de pago a ese tercero sin que seamos conscientes de ello.
¿Cómo podemos evitar esto?
- Antes de usarlo, piensa si realmente es indispensable y no existen otras alternativas de información: es muy posible que no sea del todo necesario utilizarlo. Especialmente si no estamos seguros de la autenticidad del mismo. Así en caso de duda, será preferible seguir consultando la información por otros medios (página web oficial, folletos informativos y demás).
- Asegúrate de que el código QR es el correcto: antes de escanear un QR en la terraza de un restaurante, en un cartel publicitario, en un folleto, en una parada de autobús, debemos comprobar que no ha sido manipulado. En ocasiones los ciberdelincuentes sobreponen una pegatina con su QR falso, tapando el QR real. En caso de duda o si se detecta un posible fraude de este tipo, es preferible alertar de la manipulación y consultar esa misma información por otros medios (trabajadores del establecimiento, página web, etc.).
- Sospecha de la autenticidad del QR si ves que la página web a la que enlaza no tiene relación, no es segura (tiene un candado o lleva una «S» al final de https) o es muy poco informativa: la función de los QR es principalmente publicitaria e informativa. Lo habitual es que redirijan a un mapa de localización, un correo electrónico, la carta de un restaurante, una página web o un perfil en una red social. Sin embargo, si la petición es introducir datos personales, bancarios o de pago o, incluso, descargar un archivo, una aplicación o pinchar en un enlace en una página en blanco, podríamos estar ante una posible técnica de ciberestafa.
NOTA IMPORTANTE: Si crees que has podido ser víctima de este ciberataque, en el ámbito laboral avisa de ello al Dpto. de IT, CISO o DPO y en el ámbito personal denúncialo ante la autoridad policial.