En todas las formas de comunicación o mensajería que existen, puedes tener la seguridad de que estafadores y hackers intentarán encontrar la forma de aprovecharse de ti, desde emails hasta mensajes de texto o llamadas. Y estas amenazas se extienden también a los códigos QR, del inglés “quick response”: Respuesta rápida.
A principios de este año, una importante compañía energética de Estados Unidos fue hackeada mediante un código QR, y los analistas de seguridad advierten de que estos ataques, denominados quishing, van en aumento.
El quishing es una combinación de los términos “código QR” y “phishing”, donde actores malintencionados “pescan”, a menudo por correo electrónico, información privada y datos personales.
Por si no tuviéramos ya bastante de qué preocuparnos, ahora debemos estar en guardia contra el quishing. La buena noticia es que las prácticas de seguridad, que con suerte ya has implementado, también te servirán en este caso.
Cómo funcionan los fraudes con códigos QR
A estas alturas todos deberíamos estar familiarizados con los códigos QR: Esa cuadrícula en blanco y negro que actúa como una especie de jeroglífico que la cámara de tu teléfono u otro dispositivo es capaz de traducir.
La mayoría de las veces, los códigos QR se transforman en una URL de sitios web, pero también sirven para dirigir a un mensaje de texto sin formato, listados de aplicaciones, ubicaciones y más.
Aquí es donde se cuela el engaño: Los códigos QR remiten a sitios web fraudulentos con la misma facilidad que a los auténticos, y no siempre sabes cuál será antes de visitarlo. Al escanear un código QR suele aparecer una URL que podrás consultar, pero rara vez está claro a primera vista hasta qué punto es segura la dirección de esa página.
Y no necesitas nada especial para crear un código QR. Las herramientas están disponibles de manera generalizada y son fáciles de usar; elaborar uno propio no es mucho más complicado que escanear alguno.
Si quisieras generar un código QR que conduzca a un sitio web con fines maliciosos, solo te llevaría un par de minutos. Y este podría pegarse en una pared, adjuntarse a un email o imprimirse en un documento, listo para que lo escaneen.
Los objetivos de estas páginas web son los mismos de siempre: Conseguir que descargues algo que comprometerá la seguridad de tus cuentas o de tus dispositivos, o que introduzcas unas credenciales de inicio de sesión que luego se transmitirán directamente a los hackers; muy probablemente a través de un sitio falso, configurado para que parezca auténtico y fiable.
Los resultados finales previstos son los habituales, pero el método para llegar a ellos es diferente.
Las medidas de seguridad que ya aplicas en otras situaciones son las mismas que te protegerán contra el hackeo mediante códigos QR.
Al igual que harías con los correos electrónicos o los mensajes instantáneos, no te fíes de los códigos QR si no conoces su procedencia, quizá adjuntos a emails de aspecto sospechoso o en páginas web que no puedas verificar.
En cambio, es muy poco probable que el código QR del menú de tu restaurante local haya sido generado por hackers.
Por supuesto, siempre existe la posibilidad de que las cuentas de amigos, familiares y colegas se hayan visto comprometidas, por lo que nunca tendrás la seguridad al 100 % de que un mensaje con un código QR sea auténtico.
Por lo general, las estafas buscan provocar una sensación de urgencia y alarma, algo como: ‘escanea este código QR para verificar tu identidad’, ‘evita la eliminación de tu cuenta’ o ‘aprovecha esta oferta por tiempo limitado’.