Escanear códigos QR, la manera más fácil de caer en la trampa de los ciberdelincuentes

A continuación explicamos cómo evitar caer en este tipo de estafas que buscan robar nuestros datos

Estos contenidos pueden llevar a sitios falsos y ser tan peligrosos como un correo no deseado. (Unsplash)

Una tendencia reciente entre los ciberdelincuentes es la creación de ataques a través de códigos QR. Aprovechando lo inofensivo que pueden aparentar este tipo de interacciones, los atacantes ocultan amenazas que buscan robar dinero a los usuarios.

Según expertos en ciberseguridad, estos códigos generan una alta confianza por su novedad y el uso frecuente para realizar pagos, acceder a páginas web o descargar contenido. Sin embargo, escanear un QR desconocido puede ser tan peligroso como abrir un archivo adjunto en un correo no solicitado o extraño.

Así son las estafas con códigos QR

Uno de los modos de estafa es conocido como QR Code Jacking o el secuestro de códigos QR. Este método implica que los atacantes coloquen un código falso sobre uno genuino.

Por ejemplo, un QR falso podría ser colocado en un parquímetro, una estación de carga eléctrica o incluso en el menú de un restaurante. El usuario escanea el código para acceder a lo que cree que es un sitio web legítimo para pagar el estacionamiento, cargar su vehículo eléctrico o realizar un pedido en el restaurante.

A estos se le suma que la página es una copia bien hecha de la original y al momento en que la persona ingresa sus datos bancarios para hacer el pago, la información no termina haciendo la transacción, sino que los datos caen en manos del ciberdelincuente.

Estos contenidos pueden llevar a sitios falsos y ser tan peligrosos como un correo no deseado. (Unsplash)

Un incidente de este tipo ocurrió en la Isla de Wight, en Inglaterra, el año pasado, donde conductores cayeron en esta modalidad de fraude. Un código QR falso fue adherido a los parquímetros en un estacionamiento municipal. El código redirigía a los propietarios de vehículos a un sitio web falso que solicitaba sus datos para pagar por el estacionamiento. Pero los pagos fueron desviados hacia los estafadores.

Otra modalidad de estafa, conocida como Quishing, involucra el envío de correos electrónicos que contienen códigos QR falsos, supuestamente provenientes de organizaciones legítimas como bancos, autoridades fiscales o minoristas en línea.

Los estafadores inventan una situación para alentar a los usuarios a escanear el contenido, como puede ser la participación en un concurso, aprovechar una oferta exclusiva o comprar un producto.

Sin embargo, una vez que la víctima escanea el código QR, es redirigida a un sitio web falso donde cualquier información personal que ingrese es recolectada por el estafador. Un ejemplo es cuando los atacantes se hacen pasar por un banco y afirman que están actualizando su sistema de seguridad.

Otro caso ha sido la falsificación de códigos en los procesos de entregas de paquetes. Por ejemplo, cuando un envío no puede ser entregado, las empresas suelen dejar una nota con un código QR para programar una nueva entrega.

Sin embargo, los delincuentes también han ideado formas de explotar esta tendencia falsificando los códigos para que vayan a sitios web fraudulentos, que recopilen datos simulando un envío al usuario.

Estos contenidos pueden llevar a sitios falsos y ser tan peligrosos como un correo no deseado. (Unsplash)

Finalmente, los ciberdelincuentes también han desarrollado formas de utilizar los códigos QR para descargar malware en computadoras y celulares. Este contenido malicioso, similar a un virus informático, puede utilizarse para robar información personal.

Cuando se descarga una aplicación relacionada con un código QR, es importante tener precaución si se solicita instalar una “actualización” de software después de escanearlo. Si hay alguna duda sobre su legitimidad, se recomienda rechazar la instalación y cerrar cualquier página web que el código QR haya abierto.

Cómo diferenciar un QR falso de uno real

Stephen Burke, director de producto en la empresa de ciberseguridad Titan HQ, señala que un vistazo cuidadoso a la colocación del código puede ofrecer pistas sobre su autenticidad. “Siempre hay que observar de cerca cualquier código QR para ver si muestra signos de haber sido superpuesto en uno genuino, quizás en papel diferente o despegado. Examinar minuciosamente los sitios web a los que se accede a través de un código antes de ingresar información personal”, aseguró.

Además, sugiere que los usuarios presten atención a indicios de fraude, como gráficos de mala calidad o errores de ortografía. También enfatiza la importancia de verificar que los sitios web comiencen con “https” en la dirección, ya que esto indica un mayor nivel de seguridad contra la piratería.

Siempre que exista alguna duda, se recomienda cerrar la página web a la que se accedió y buscar el sitio web directamente escribiendo la dirección correcta en el navegador.