Cómo detectar si un código QR puede esconder una estafa
Abundan en las mesas de restaurantes, para conectarse a Wi-Fi o pagar en comercios, y son muy fáciles de manipular.
Agencias
Están en las mesas de los restaurantes para revisar el menú, sirven para conectarse a Wi-Fi o para revisar el precio y las características de algún producto en un mostrador. Los códigos QR están de moda, mucho más después de la pandemia, pero también son una herramienta fácil de usar para cometer estafas.
Un código QR es un tipo de código de barras escaneable que está diseñado para ser leído e interpretado instantáneamente por un dispositivo digital. Existen desde 1994 y uno puede almacenar hasta 4.296 caracteres alfanuméricos, aunque habitualmente contienen menos caracteres para una fácil decodificación con la cámara de un smartphone.
En la década de los 90, el ingeniero Masahiro Hara, de la empresa Denso Wave, suministradora de componentes para Toyota, quiso mejorar el sistema de etiquetado de las cajas de materiales que se distribuían por la fábrica y creó un nuevo sistema que superaba a los códigos de barra, con puntos blancos y negros que codifican la información en dos dimensiones en lugar de una.
Hoy en día, describen desde la compañía de ciberseguridad ESET, se pueden ver por todas partes y se utilizan para todo, desde mostrar menúes hasta facilitar las transacciones sin contacto.
Cuidado
Las cadenas de texto que se codifican en un QR pueden usarse para abrir webs, descargar un archivo, añadir un contacto e incluso realizar pagos. Esa versatilidad puede ser un arma de doble filo.
Su uso generalizado ha llamado la atención de los estafadores, que los pueden usar con fines malintencionados.
Al igual que los atacantes pueden utilizar anuncios maliciosos y otras técnicas para dirigir a las víctimas a sitios fraudulentos, pueden hacer lo mismo con los QR. Por ejemplo, podrían manipular fácilmente uno para engañar al usuario y hacer que descargue un archivo PDF malicioso o una aplicación móvil fraudulenta, advierten desde ESET.
Asimismo, los delincuentes podrían modificar un QR de una transacción financiera con sus propios datos y recibir pagos en su cuenta, y podrían pegar un código, generado para dirigir hacia una URL maliciosa, encima de un QR bueno que esté en un cartel de algún concierto.
Consejo clave
Por eso, coinciden los expertos, hay que tener sobre todo sentido común y desconfiar de aquello que no veamos claro.
Jordi Serra, profesor de Estudios de Informática en la Universidad Abierta de Cataluña, recomienda configurar los dispositivos para que no abran directamente los enlaces -hay sistemas operativos que ya lo hacen-, para poder ver antes qué URL vas a pinchar.
Además, hay que asegurarse de no introducir datos personales o de que no nos estemos bajando un fichero, por ejemplo.
"A simple vista es muy difícil saber si un QR es malicioso o no. Quizá la primera recomendación sea saber dónde está", resume Fabián Torres, de Sicpa, compañía suiza experta en tintas de seguridad para billetes: "Si es en el interior de un edificio oficial o en un restaurante podemos presuponer que es probable que no sea malicioso".
Por el contrario, "si está en la calle en un sitio donde cualquiera puede colocarlo (fachada, poste) ya debemos empezar a tomar precauciones, especialmente si viene acompañado de una propaganda tremendamente atractiva e inusual".
Además del lugar, hay que tomar todas las precauciones habituales de protección de dispositivos: contraseñas, últimas versiones del sistema operativo y de las aplicaciones, antimalware, antivirus, etc.
Aunque existen QR imposibles de manipular o falsificar, "no hay que hacer una ingeniería ni ir a la internet profunda para manipular o alterar estos códigos", apunta Torres.