Consejos para usar de forma segura los códigos QR

Los códigos QR son un sistema de cifrado que, en el marco de la pandemia comenzó a usarse de manera aún mayor en distintos sectores, gracias a que no requieren la de contactos con las superficies, y que logró una gran expansión gracias a su aceptación masiva.

Así, estos códigos QR son empleados actualmente para, a través de una lectura rápida por las cámaras fotográficas integrados en dispositivos telefónicos, desplegar páginas web para consultas de diversos materiales en los smatphones, siendo actualmente los más populares usos como las lecturas de cartas de restaurantes, medios de pago, compartir contactos, entre otros. 

Sin embargo, los expertos en seguridad informática, denuncian que estos sistema de cifrados, también han comenzado a ser empleados en distintos escenarios por estafadores, por lo que resulta conveniente comenzar a entender cómo funcionan, y tomar prevenciones para un uso responsable y seguro de los códigos QR.

Lea además: ¿Cómo saber si alguien está conectado sin permiso tu WiFi?

¿Qué es un código QR?

Para comenzar, es importante precisar que el acrónimo QR, se usa para sintetizar el término ‘Quick Response’, lo que en español traduce “respuesta rápida”, y es precisamente lo que buscan estos modelos de cifrado, generalmente contenidos en cuadrados con patrones bicolores. 

De acuerdo con la explicación entregada por expertos de la compañía de seguridad informática Eset, en estos se logra “almacenar de forma matricial un máximo de 4296 caracteres alfanuméricos”, advirtiendo que los que se han popularizado, generalmente responden a versiones más sencillas que son fácilmente captables por cámaras de fotográficas. 

En su composición, estos códigos responden a patrones que son fácilmente decodificados por lectores especializados que ahora están al alcance de gran parte de la sociedad a través e sistemas que ya están integrados en los teléfonos inteligentes. 

Vea además: Las cinco tendencias tecnológicas que marcarán el futuro de las empresas

Así, se simplifican procesos como aperturas de página web sin la necesidad de digitar la dirección de internet, descargar archivos, realizar pagos, agregar contactos, entre otros. 

Por lo anterior, en tanto estos códigos se han masificado, se amplían los escenarios en los que los ciberdelincuentes pueden operar, según explica la especialista argentina en ciberseguridad Cecilia Pastorino, quien advierte sobre eventuales escenarios de riesgo, o formas en las que los delincuentes pueden emplear de manera peligrosa o maliciosa dichos códigos. 

Lo anterior, con el objetivo de que, tanto los usuarios, como quienes han comenzado a implementar estas estrategias para el uso de sus clientes, puedan tomar medidas de precaución.

Algunos de dichos escenarios son: 

• Redirigir al usuario a una web maliciosa para robarle información: 

Según la experta, al igual que en escenarios como el uso de técnicas conocidas como malvertising o BlackHat SEO, los delincuentes pueden emplear códigos QR para redireccionar a los usuarios a ingresar a sitios fraudulentos.

Según la experta, este riesgo es tangible en lugares donde quien invita originalmente a usar el código, no tiene control de él, y puede ser modificado, y cambiado por uno que responda a los intereses de los delincuentes.

Lea además: Investigan aplicación que habría sido usada para espiar a ciudadanos

Es decir: es como si en una cartelera estuviera la dirección física de un prestador de determinado servicio de interés público, pero alguien tiene acceso a cambiar el texto de ella, haciendo que se visite otro sitio donde van a cometer la estafa.

Según la experta, este riesgo es latente cuando los códigos se ubican en lugares públicos, áreas de atención al cliente, entre otros. 

La experta refiere un caso reciente ocurrido en Estados Unidos, donde, a través de calcomanías, ubicadas en parquímetros, los delincuentes hicieron pública una dirección QR que era consultada por usuarios que creían que al consultarlo iban a desplegar una página web para realizar el pago del servicio de estacionamiento. 

Con esta estrategia, Pastorino advierte que los delincuentes consiguieron robar algunos datos financieros.

• Descargar un archivo malicioso en el equipo de la víctima: 

Sobre este item, Pastorino advierte que, así como en bares o restaurantes el código QR se usa para invitar a descargar un archivo, formato PDF, con el menú, los delincuentes podrían usar esta misma estrategia para que, de forma inocente, los usuarios terminen descargando archivos o aplicaciones maliciosas que pueden ser usadas incluso para robar datos, o para instalar programa malignos para el equipo tecnológico, dando espacio también al robo de información sensible, o incluso entregando acceso remoto a terceros para manipular el móvil. 

Según la experta en ciberseguridad, estas acciones también pueden esconderse tras fachadas como conexiones a redes inalámbricas o guardar contactos que “si bien estas acciones en sí mismas no son maliciosas, podrían ser utilizadas por un atacante para conectar un equipo a una red intervenida, mandar mensajes en nombre de la víctima o agendar un contacto para un posterior engaño”.

• Robar identidades: 

Lo anterior, explica la experta, en tanto muchas aplicaciones han comenzado a emplear esta clase de códigos como modo de comprobación de identidad.

Advierte que, a través de este método, y quizá incitando a un usuario a escanear un código fraudulento, muchas veces se podría estar accediendo a información sensible o muy personal.

• Desviar un pago o realizar solicitudes de dinero: 

Según Cecilia Pastorino, actualmente los códigos también son usados en algunos establecimientos para realizar pagos, momento en el los prestadores de servicios; por ejemplo tiendas, bares, etc, dejan visibles sus códigos para facilitar los pagos por parte de los usuarios; no obstante, explica que expertos podrían acceder a estos códigos, e incluso modificar el sitio al que redireccionan, logrando incluso hacerse beneficiarios de los pagos que los compradores creen estar haciendo al establecimiento comercial.

En virtud de lo anterior, Pastorino no solo explicó los posibles riesgos, sino que también emitió una serie de recomendaciones para poder usar de forma segura estas facilidades tecnológicas, sin que se terminen ‘satanizando’ por los riesgos antes descritos.

Más información: Meet ya tiene subtítulos de traducción simultanea

1. En el caso de los pagos con QR y operaciones financieras, los usuarios deben cerciorarse de que las transacciones lleguen a feliz término.

Sobre ello, Eset refiere la importancia de “confirmar la operación tanto en el dispositivo del comprador, como en el del vendedor”, recordando que las dos partes son sensibles de la estafa.

En los casos en los que son las tiendas, o negocios, los que tienen a la vista el código para facilitar los pagos, se hace recomendable realizar revisiones periódicas para comprobar que estos están funcionando cabalmente y no han sido alterados o hackeados. 

2. A la hora de generar un código QR utilizar un servicio de confianza para hacerlo. Verificar que funcione correctamente.

3. Deshabilitar la opción de realizar acciones automáticas al leer un código QR, como acceder a un sitio web, descargar un archivo o conectarse a una red Wi-Fi.
Verificar siempre la acción antes de realizarla. Revisar que la URL sea correcta, que el archivo descargado, los datos obtenidos o la acción realizada sea la esperada.

4. No compartir códigos QR con información sensible 

5. Evitar sacarle fotos, no compartirlos y almacenarlos de forma segura.

Recordemos el reciente caso de un joven que compartió con sus amigos el boleto que adquirió para ir a una película, sin tomar la precaución de tapar el código QR, y uno de sus ‘amigos’ usó su boleta.