Escaneó un QR para pagar un estacionamiento, un virus se metió en su teléfono y vació la cuenta bancaria
Especialistas encienden las alarmas ante el aumento de intentos de estafa que inician con los códigos bidimensionales. ¿Qué tener en cuenta para estar protegido?
Estafas con QR: detalles de una amenaza en aumento.
Expertos en ciberseguridad echan luz sobre un intento de estafa informática cada vez más frecuente, que se cuelga de los códigos QR, ahora omnipresentes. Son aquellos cuadrados que se emplean para acceder al menú de restaurantes, revisar información con un simple escaneo desde el celular, o para hacer pagos móviles, entre otras funciones. Aunque se crearon hace muchas décadas y su aspecto es un tanto vetusto, su uso ha crecido en los últimos años.
Por eso, no es extraño que los hackers maliciosos aprovechen la difusión de esos códigos cuadrados y bidimensionales para canalizar sus intentos de fraude. La publicación The Sun cita un caso reciente y alarmante: el de un usuario que escaneó un QR para pagar el estacionamiento, abrió la puerta para que un virus infecte su dispositivo y finalmente vacíe su cuenta bancaria.
Estafas con QR, una problemática en aumento
En términos generales, los códigos QR son puentes hacia URLs. En otras palabras, contienen links a los que se accede tras un simple escaneo, usualmente con la cámara del smartphone. En los casos fraudulentos, los atacantes colocan enlaces maliciosos. Cuando las víctimas desprevenidas los abren, dejan sus dispositivos a merced de la trampa.
El uso de códigos QR se masificó en los últimos dos años .
En cierto sentido, las estafas con QR se parecen al phishing, una técnica de ataque informático que se basa en la suplantación de identidad. En muchos casos, los timadores generan códigos con enlaces que parecen auténticos. Por ejemplo, de empresas y marcas reconocidas, entidades bancarias, organizaciones gubernamentales, plataformas de pago, etcétera.
El fraude con QR en el estacionamiento es un caso testigo. Cuando el cliente escaneó el cuadrado, creyó que pertenecía al establecimiento. Lo más probable, es que los atacantes hayan adherido imágenes del código en diferentes secciones de la cochera, a la caza de conductores que dejan su vehículo en el lugar. El daño para el hombre que cita The Sun fue grande: se llevaron 16.000 dólares de su cuenta bancaria.
La fuente cita otro engaño con el código, ocurrido en Singapur. El botín fue menor —un equivalente a 40 dólares—, aunque la metodología repite su peligrosidad. En este caso, un residente de aquel país asiático usó una aplicación para escanear un QR que se encontraba en una máquina de reciclaje. El proceso lo condujo a un sitio web fraudulento en el que ingresó información de su tarjeta de crédito.
El modus operandi repite el ya conocido en otras estafas informáticas: páginas en las que los usuarios son urgidos a ingresar datos personales, con diversos pretextos. Cuando los atacantes concretan el engaño, disponen de información que emplean para crear bases valiosas, inyectar malwares en forma remota, mostrar anuncios no deseados e incluso robar dinero. Lo que cambia es la puerta de acceso: en este caso, son los códigos QR.
Alerta por los fraudes con QR: las claves para evitar ser engañado
Si los ataques con estos códigos tienen procedimientos similares a otros intentos de fraude informático, entonces también son válidos los consejos generales de seguridad informática.
Las recomendaciones son las de siempre: desconfiar cuando terceros se comunican e instan a realizar tareas en forma urgente; no entregar información a remitentes desconocidos y chequear con las fuentes oficiales; además de mantener una actitud atenta, espíritu crítico y privilegiar la información. Tal como señalamos habitualmente en nuestra sección de ciberseguridad, los usuarios informados son presas más difíciles de atrapar.
Por lo demás, hay algunos consejos específicos para evitar las estafas con QR, que resumimos a continuación.
.Desconfiar de los códigos que están en espacios públicos, en especial aquellos que no tienen identificaciones claras.
.Es un claro signo para sospechar si el enlace al que dirigen es un sitio en el que se solicita información personal.
.Por último, es bueno saber que hay aplicaciones para escanear QRs que incluyen una función de verificación de los enlaces; en la práctica, advierten si la URL incluida en el código es maliciosa o no tiene las medidas de seguridad básicas.
