Cuidado con los códigos QR. Trucos para que no te la cuelen
El Instituto Nacional de Ciberseguridad (INCIBE) y la Policía Nacional alertan de la proliferación de ciberataques en los móviles a través de estos códigos.
Llevan años con nosotros, pero tuvo que llegar la pandemia para que los usáramos. Gracias a ellos, hemos podido descargar el menú de una cafetería sin necesidad de compartir la carta física o visitar el catálogo de una tienda sin recurrir al catálogo impreso.
Los códigos QR ('Quick Response') son unos módulos bidimensionales que recuerdan a los códigos de barras. De hecho, se dice que son su evolución. Generalmente son de color negro, aunque pueden ser de cualquier color o combinación de colores y adoptar diferentes formas. Lo primordial es que estén compuestos por puntos diferenciados entre sí con un alto contraste. Estos códigos almacenan información, desde unos pocos caracteres hasta varios miles.
Pero como todo avance tecnológico, tiene sus puntos débiles y los piratas informáticos los conocen y los aprovechan. Desde el INCIBE (Instituto Nacional de Ciberseguridad) nos explican cuáles son las trampas en las que podemos caer:
- Qrishing: Es el clásico 'phising' o técnica de pesca, por la que los ciberdelincuentes lanzan a diestro y siniestro cebos hasta que algún incauto cae. Cuando escanees un código, verifica que la 'url' o dirección a la que conduce es de fiar. No rellenes ningún formulario ni introduzcas tus contraseñas si no estás seguro de a qué sitio web se los estás dando.
- Descarga de 'malware': Es decir, un programa malicioso se descarga en nuestro teléfono sin nuestro consentimiento y se ejecutará para conseguir nuestros datos o cualquier otro delito. Se puede descargar directamente cuando accedemos a una página web o si nosotros pulsamos 'aceptar' cuando nos lo preguntan. Estos ejecutables maliciosos no son otra cosa que virus para acceder a nuestros teléfonos y suscribir servicios premium, por ejemplo, o para acceder a nuestra cámara, micrófono, datos de navegación, contraseñas... Se ejecutan en segundo plano y muchas veces no se detectan.
- 'Qrljacking' o el secuestro de la sesión: Previamente nos engañan con alguna promoción muy golosa o con algo que nos pueda parecer muy sugerente. De tal manera que en algún momento nos piden escanear un QR y darle aceptar aquello que nos envíen. Nunca hay que aceptar algo que permita la función de 'Inicio de sesión con código QR'. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta
Desde la Policía Nacional también alertaban hace unos días sobre lo arriesgado que es escanear cualquier código que nos encontremos por la calle, a raíz de que algunos ciudadanos les reportaran la aparición de unas misteriosas tarjetas con simbología relacionada con una de las serie de moda. Incluso se han llegado a pegar por encima de códigos reales, otros maliciosos para engañar a los usuarios.
A pesar de estos peligros, los códigos QR son una herramienta útil que ha llegado para facilitarnos la vida. Todas las tecnologías tienen un punto débil pero tomando una serie de precauciones podemos mejorar mucho nuestra experiencia y no tener disgustos mayores.
