Si caminás por la ciudad, los viste: una variedad de carteles con códigos QR aparecen en paradas de colectivo, paredes y postes. Muchos de ellos son «artesanales» y no de marcas reconocidas o de organismos públicos.
Algunos te invitan a conocer un grupo musical, a obtener información sobre clases o cursos de cualquier disciplina; otros, descaradamente, tiran un anzuelo para los más curiosos. «Porque me engañaste», propone una pegatina con QR en los alrededores de Parque Las Heras. ¿Una venganza pública? ¿Experimentación artística? No se sabe.
Lo único seguro es que no hay que escanear ese QR con ligereza, porque te puede llevar a una ubicación riesgosa o forzar la descarga de un malware en tu teléfono.
En las últimas semanas, la cuestión de los QR apócrifos cobró relevancia por el engaño del mal estacionamiento en algunas provincias argentinas. «Vehículo en infracción. Usted estacionó mal«, decía el papel que los estafadores dejaban en los parabrisas de los autos. Y agregaban: «Para ver su multa escanee el código QR«.
La multa, claro está, es «trucha»; no existe. Aparentemente, como suele ocurrir en estos pasos, el código redireccionaba a los incautos a página -que fue deshabilitada- donde se les solicitaba el ingreso de datos personales.
Guarda con los QR: abundan los códigos fraudulentos.
«Es una nueva técnica que los ciberdelincuentes desarrollaron para atrapar a la gente. Es básicamente un cebo -lo que también se conoce como ‘clickbait‘- diseñado para generar intriga. Es un claro ejemplo de ingeniería social que busca captar la atención, jugando con la curiosidad de la persona: ‘Ah, voy a entrar por simple curiosidad, ¿qué puede pasar?’», nos comentó al respecto Leandro Cuozzo, analista de seguridad del Equipo Global de Investigación y Análisis de Kaspersky. Y agregó: «Este método se está convirtiendo en una forma muy efectiva de realizar phishing. Como en cualquier ataque de este tipo, la recomendación principal es evitar ingresar a sitios sospechosos o dudosos que puedan representar algún riesgo».
El experto de Kaspersky nos ofreció otro ejemplo llamativo de engaño con códigos QR: «Recientemente, en Chile me comentaron un caso muy interesante sobre códigos QR en menús de restaurantes. Los atacantes están pegando stickers sobre los códigos QR originales. El dueño del restaurante puede no darse cuenta, y cuando escaneás pensando que accedes al menú oficial, en realidad te redirige a una página falsa idéntica».
Por su parte, desde Ingenia detallaron: «El procedimiento es siempre el mismo: el usuario escanea el código QR fraudulento, es redirigido a un sitio web falso que imita una página legítima, como la de un banco, una tienda en línea o un servicio de pago, introduce la información personal y/o financiera que se le solicita (credenciales de inicio de sesión, números de tarjeta de crédito o datos de cuentas bancarias son los más comunes) y los atacantes utilizan después dicha información para realizar transacciones no autorizadas, robos de identidad o incluso vender los datos en el mercado negro».
Consejos de seguridad
En base a las recomendaciones de Leandro Cuozzo de Kaspersky podemos detallar las siguientes precauciones a tener en mente acerca de los códigos QR para evitar el «quishing» (el phishing con QR).
- No escanees códigos QR al azar, especialmente en la calle, si no tienen un propósito claro.
- Desconfiá de códigos QR en lugares públicos que no ofrezcan un beneficio evidente.
- Las entidades oficiales -como gobiernos municipales- no solicitan información personal mediante estos métodos.
- En restaurantes, verificá cuidadosamente el código QR antes de escanearlo.
- Si un sitio web solicita datos personales, especialmente financieros, sé extremadamente cauteloso.
Fuente: cronista.com