Los códigos QR forman ya parte de nuestras vidas. Especialmente de los que frecuentamos bares y restaurantes. Aunque existían desde hace mucho tiempo atrás, fue a raíz de la pandemia cuando su uso se popularizó en los locales de restauración de nuestro país. Un método sencillo y gratuito de leer la carta, que evitaba los entonces innecesarios contactos físicos y que hoy, por su simplicidad y eficacia, forma parte del paisaje de los miles de bares y tabernas esparcidos por nuestra geografía.
No solo en bares, claro. Los podemos encontrar también en juguetes o electrodomésticos (sustituyendo a los manuales de instrucciones), en paradas de autobuses, en prendas de ropa o como sustituto de las tradicionales entradas de papel a conciertos y espectáculos. Su uso creció un 323% entre 2021 y 2023 y, aunque ya parece haber tocado techo, no se observan por el momento indicios de que vaya a reducirse en los próximos años.
Todo ello a pesar del riesgo que comporta su utilización. Los códigos QR se han convertido en una superficie de ataque más para los cibermaleantes, que aprovechan cualquier resquicio para sacar provecho de lo ajeno. Vemos ejemplos de ello a diario: pasarelas de pago falsas; QRs que conducen a una web falsa para el pago de una sanción; instalación de malware; enlaces a webs que suplantan páginas reales (web spoofing) o incluso pegatinas encima del código QR real en un establecimiento comercial.
Según José Luis Ardisana, analista de inteligencia del centro de operaciones de seguridad de Seresco, “el auge de este tipo de ingeniería social se debe a que los códigos QR permiten un acceso rápido a información variada, como enlaces a sitios web, menús en restaurantes, pagos sin contacto o seguimiento de productos. De este modo, debido a la facilidad de uso, la accesibilidad a través de dispositivos móviles y su capacidad para brindar información instantánea su uso se ha democratizado entre la ciudadanía sin tener en cuenta las posibles amenazas”.
Ello ha propiciado el desarrollo y proliferación del QRishing, una técnica que consiste en la manipulación de códigos QR para engañar a la víctima y hacer que acceda a enlaces o aplicaciones maliciosas, para así obtener su información privada o empujarla a llevar acciones no consentidas. Sin embargo, no tenemos por qué caer en estos engaños. La aplicación de estos simples trucos, apuntan desde la compañía española Seresco, puede ser suficiente para evitar los peligros de un sistema que, bien utilizado, tiene muchas más ventajas que inconvenientes.
7 trucos para identificar el QRishing
1. Verifica la fuente. Antes de escanear un código QR, hay que asegurarse de que provenga de una fuente de confianza. Evita escanear códigos QR de fuentes desconocidas, como pegatinas en lugares públicos o mensajes no solicitados, ya que estos están más expuestos y son más sencillo de manipular.
2. Inspecciona el código. Analiza el QR antes de escanearlo. Si parece haber sido alterado o parece sospechoso, evita leerlo. Algunos códigos QR maliciosos pueden contener errores o redireccionar a URL sospechosas que, si se está atento, pueden ser reconocidos y hacer saltar las alarmas.
3. Utiliza una app de confianza. Asegúrate de utilizar una aplicación de escaneo de códigos QR de confianza, preferiblemente descargada desde fuentes oficiales como la App Store, Google Play o Google Lens, que se integra en las cámaras de muchos dispositivos. Algunas aplicaciones de terceros podrían no ser seguras y comprometer la integridad de tu dispositivo.
4. Mantén tu software actualizado. Actualiza regularmente tu teléfono y las aplicaciones que utilizas, ya que las actualizaciones suelen contener parches de seguridad que pueden protegerte de posibles vulnerabilidades.
5. Desconfía de las solicitudes de información sensible. Suena obvio, pero no proporciones información personal sensible después de escanear un código QR, a menos que estés seguro de la autenticidad del sitio web al que te redirige.
6. Usa una solución de seguridad. Considera la posibilidad de utilizar soluciones de seguridad en tu dispositivo, como aplicaciones antivirus o antimalware, para detectar amenazas potenciales que puedan surgir de los códigos QR.
7. Reporta actividad sospechosa. Si encuentras un código QR o una actividad sospechosa, notifícalo a las autoridades pertinentes o a la compañía responsable para que puedan tomar medidas lo antes posible.
Los daños económicos que puede producir un ataque de QRishing son considerables. No en vano, se trata de una de las técnicas más sofisticadas dentro del phising. Es más fácil convencer a una persona de que escanee un código QR, que por definición no sabes a que web te dirige, de que pinche en un link donde si puede observar alguna irregularidad (como a la ausencia del protocolo https).
Por ello, herramientas como la desarrollada por la compañía Armatum, que permiten conocer de antemano los costes económicos de cualquier ciberataque, pueden ser de especial interés para cualquier compañía interesada en salvaguardar sus datos, su reputación y sus activos económicos. Al fin y al cabo, como podríamos decir ya a estas alturas del partido, más vale prevenir que escanear.