Códigos QR: prácticos pero peligrosos

Esos cuadrados tan familiares que se ven en anuncios, revistas o carteles son el método más fácil y barato para enlazar el mundo real con el virtual. Sólo se necesita sacar una foto del código QR con nuestro smartphone y seguir el enlace hasta la website donde se publica la información, los datos de contacto o la página de descarga de una aplicación. A los especialistas en marketing les gusta la tecnología por su simplicidad, pero no olvides que a los cibercriminales también. Así, es necesario ser cauteloso cuando apuntamos con nuestra cámara a un código QR.

Un código QR (abreviatura del término inglés “quick response” –respuesta rápida) puede contener todo tipo de información o enlaces a fuentes online. Los códigos QR son realmente populares en Asia y, actualmente, están ganando popularidad en Europa y América. Los podemos ver en todos los sitios: tablones de anuncios, tiendas, websites, billetes y cupones… La lista es interminable. Al mismo tiempo, las estafas a través de estos códigos también se están convirtiendo en algo muy común. Cada vez hay más casos de códigos QR maliciosos que se esconden tras otros totalmente legítimos. Esta práctica, similar al phishing, es conocida como QRishing.

No hace falta mucha imaginación para saber lo peligroso que puede ser un código QR cuando está en lugar público: en el metro, en el aeropuerto, en una estación de tren o en un banco, por ejemplo. La mayoría de la gente confía en los anuncios y nunca pensaría que se esconde una amenaza en el edificio de una entidad bancaria.

Cuando un usuario saca una foto de un código QR, el enlace se muestra, en primer lugar, en la pantalla del dispositivo; sin embargo, los cibercriminales acortan el link (usando bit.ly u otros) para disfrazar la dirección final, donde se esconde una página de phishing o el malware que robará las credenciales al usuario. La situación se puede complicar si el navegador móvil no es capaz de mostrar la URL completa de la página, siendo esto un obstáculo a la hora de descubrir la estafa. Además, los dispositivos móviles, normalmente, no están protegidos contra el malware; empeorando las cosas.

Para reducir estas amenazas, es aconsejable seguir estos tres simples pasos:

1.  Sé precavido. Antes de escanear un código QR, asegúrate que no oculta otro código. Si tienes dudas, es mejor no seguir con la operación.
2. Después de abrir una App Store o una website en tu navegador, asegúrate que el código QR te ha redireccionado al sitio esperado. Si estás a punto de instalar una aplicación, comprueba que ésta ha sido creada por una compañía legítima. Revisa la puntuación de la app y las opiniones de los usuarios. Si no hay, o son escasas, es mejor no instalar la aplicación. Si un código te lleva a una página, comprueba la URL completa. Por lo contrario, puedes ser víctima de un timo de phishing. Por supuesto, si tienes que introducir algún dato personal (información bancaria, e-mail…), extrema las precauciones.
3. Si tu smartphone permite instalar aplicaciones de seguridad que rastrean el contenido malicioso de las páginas online, no dudes en hacerlo. Esto es realmente importante para los dispositivos Android, que son el objetivo de cientos de programas de malware.