Los códigos de respuesta rápida o QR ganaron popularidad en la pandemia del coronavirus como una alternativa para acceder a diferentes contenidos y realizar trámites sin contacto. Menús en restaurantes, tiquetes de avión, recibos de servicios públicos, boletos de cine, entre otros, ya cuentan con esta tecnología.
Aunque este mecanismo no es nuevo, porque fue creado por el ingeniero Masahiko Hara, de la empresa Denso Wave en 1994 como una alternativa más eficaz a los códigos de barras, su uso se ha ampliado en la última década a diferentes sectores y permite abrir sitios web, descargar aplicaciones, hacer pagos y transferir dinero.
La adopción de esta herramienta ha hecho que los ciberdelincuentes en todo el mundo busquen nuevas técnicas para engañar a los usuarios por medio de este mecanismo. "Los códigos QR se utilizan como enlaces web, es por esto que utilizarlos de cierta manera expone a los mismos riesgos que hay en internet, es decir que estas simples URL también pueden ser modificadas para redirigir a un usuario a otra página web con fines maliciosos. Esta es una técnica de ingeniería social muy utilizada y en la que el usuario entiende que ingresó a una página segura, pero fue reemplazada por una maliciosa ocasionando que pueda ser una potencial víctima de phishing o de algún malware", explicó Sol González, experta en ciberseguridad de la empresa Eset Latinoamérica.
Entre las posibilidades que tienen los atacantes al hacer uso de códigos QR están la de elevar los permisos del administrador en el teléfono e instalar un software o aplicación con virus en el dispositivo. También pueden enviar al usuario a una página falsa para robar códigos de acceso o ingresar a las aplicaciones de pago del celular y realizar transacciones que deriven en robos.
Una de las modalidades que ha cobrado fuerza es el QRLjacking, un ataque en el cual un usuario de WhatsApp es víctima del secuestro de su cuenta en la plataforma. "Este es un engaño que se destaca por secuestrar la sesión a través de ingeniería social, para ello suplantan servicios como el de WhatsApp Web, con referencia al ‘Inicio de sesión con código QR’. Se reemplaza el código QR original, y se inserta un código QR que le posibilita al atacante robar las credenciales de la sesión del usuario y acceder a la cuenta", explicó González, citada por el diario colombiano El Tiempo.
A esto se suma otra técnica por medio de la cual el usuario al escanear el código QR malicioso carga e inicia automáticamente una llamada telefónica a un número que ya está predefinido y es de los atacantes.
Esto permite que el delincuente se quede con la información del identificador de llamadas, algo que puede generar otros ataques como el SIM Swapping, a través del cual se genera un duplicado de la tarjeta SIM y el atacante se queda con el acceso a la línea celular de la víctima.
También se han observado modalidades de phishing o envío de correos maliciosos que explotan esta herramienta. En este caso, detalló Roberto Martínez, analista sénior de ciberseguridad de la empresa Kaspersky, el delincuente lleva al usuario a través del código QR que está en el correo a un sitio web falso en donde se solicita el inicio de sesión de una red social o una sucursal virtual bancaria.
"Es común que los atacantes utilicen enlaces cortos, por lo que es más difícil detectar uno falso cuando el smartphone solicita la confirmación", agregó, citado por el mismo medio colombiano.
Pero esta no es la única modalidad, también se ha observado –destacó el experto de Kaspersky– que por medio de esta tecnología los "defraudadores pueden agregar información de contacto en la libreta de la víctima con el nombre ‘Banco’ para ganar credibilidad en una llamada con el fin de estafar; podrían también hacer una llamada por cobrar, o simplemente pueden saber la ubicación de la persona en caso de que quieran realizar otra acción criminal".
Para prevenir cualquiera de estos ataques es importante que desconfíes siempre de los códigos que vas a escanear y tomes medidas antes de acceder a ellos. "Antes de escanear se debe comprobar la URL al ingreso, esto se puede realizar deshabilitando, en el caso de los dispositivos móviles, la apertura automática de los enlaces al escanear estos códigos", dijo Sol González.
Hacé uso de herramientas como Google Lens, que permite visualizar el enlace antes de ingresar. Hay aplicaciones gratuitas de reconocidas compañías de antivirus que permiten revisar los códigos en el teléfono para descartar que se trate de un ataque. Por último, use antivirus en tu celular, lo que le permitirá bloquear cualquier vulneración en la seguridad.