{"id":25246,"date":"2021-05-07T16:09:05","date_gmt":"2021-05-07T14:09:05","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25246"},"modified":"2023-10-04T12:43:31","modified_gmt":"2023-10-04T10:43:31","slug":"qr-code-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/qr-code-threats\/25246\/","title":{"rendered":"QR: \u00bfqu\u00e9 r\u00e1pido o qu\u00e9 peligroso?"},"content":{"rendered":"<p>Los c\u00f3digos QR est\u00e1n por todos lados: en restaurantes, envases de yogur, exposiciones de los museos, en las facturas de ciertos servicios o la loter\u00eda. Y los usuarios los utilizan para abrir sitios web, descargar aplicaciones, recopilar puntos de programas de fidelidad, <a href=\"https:\/\/en.wikipedia.org\/wiki\/QR_code_payment\" target=\"_blank\" rel=\"noopener nofollow\">hacer pagos y transferir dinero<\/a> e, incluso, para <a href=\"https:\/\/www.theguardian.com\/voluntary-sector-network\/2012\/may\/30\/using-qr-codes-charity-fundraising\" target=\"_blank\" rel=\"noopener nofollow\">donar a organizaciones ben\u00e9ficas<\/a>. Esta tecnolog\u00eda tan accesible y pr\u00e1ctica resulta c\u00f3moda para muchos, incluidos, como siempre, los ciberdelincuentes, que ya han desplegado m\u00faltiples estrategias basadas en los c\u00f3digos QR. Te contamos qu\u00e9 puede salir mal con estos cuadritos en blanco y negro omnipresentes y c\u00f3mo utilizarlos sin miedo.<\/p>\n<h2>Qu\u00e9 son los c\u00f3digos QR y c\u00f3mo se utilizan<\/h2>\n<p>Hoy en d\u00eda, <a href=\"https:\/\/www.pewresearch.org\/internet\/fact-sheet\/mobile\/\" target=\"_blank\" rel=\"noopener nofollow\">casi todos tenemos un <em>smartphone<\/em><\/a> y muchos de los modelos actuales ya cuentan con un esc\u00e1ner de c\u00f3digos QR incorporado, pero cualquiera puede descargar una aplicaci\u00f3n que lea estos c\u00f3digos o elegir una especial, por ejemplo, para un museo.<\/p>\n<p>Para escanear un c\u00f3digo QR, el usuario solo tiene que abrir la aplicaci\u00f3n del esc\u00e1ner y apuntar la c\u00e1mara del tel\u00e9fono hacia el c\u00f3digo. La mayor\u00eda de las veces, el <em>smartphone<\/em> te dirigir\u00e1 a cierto sitio web o a descargar una aplicaci\u00f3n. Sin embargo, existen otras opciones, de las que hablaremos m\u00e1s adelante.<\/p>\n<p>Los esc\u00e1neres especializados utilizan un conjunto espec\u00edfico de c\u00f3digos QR. Puedes encontrar estos c\u00f3digos en la se\u00f1al de un \u00e1rbol hist\u00f3ricamente importante de un parque, por ejemplo. En este caso, escanear el c\u00f3digo con la aplicaci\u00f3n oficial del parque podr\u00eda comenzar un tour guiado, mientras que un esc\u00e1ner est\u00e1ndar solo abrir\u00eda una descripci\u00f3n en el sitio web del parque.<\/p>\n<p>Asimismo, algunas aplicaciones pueden crear c\u00f3digos QR para ofrecer cierta informaci\u00f3n a cualquiera que lo escanee. Por ejemplo, es posible que reciban el nombre y contrase\u00f1a de tu <a href=\"https:\/\/www.kaspersky.es\/blog\/guest-wifi\/16952\/\" target=\"_blank\" rel=\"noopener\">red wifi para invitados<\/a> o informaci\u00f3n bancaria.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-online-banking\">\n<h2>\u00bfC\u00f3mo utilizan los ciberdelincuentes los c\u00f3digos QR?<\/h2>\n<p>Los c\u00f3digos QR son solo una versi\u00f3n m\u00e1s avanzada de los c\u00f3digos de barras, \u00bfqu\u00e9 podr\u00eda salir mal? Pues resulta que muchas cosas. Los humanos no pueden leer los c\u00f3digos QR o revisar por adelantado lo que pasar\u00e1 al escanearlos, de forma que dependemos de la honestidad de sus creadores. Tampoco podemos saber todo lo que el c\u00f3digo QR incluye, incluso cuando creamos nuestro propio c\u00f3digo. Por tanto, el sistema puede explotarse con facilidad.<\/p>\n<h3>Enlaces falsos<\/h3>\n<p>Un c\u00f3digo QR creado por unos ciberdelincuentes podr\u00eda dirigirte a un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/phishing\/\" target=\"_blank\" rel=\"noopener\">sitio de <em>phishing<\/em><\/a> que se parezca a la p\u00e1gina de inicio de sesi\u00f3n de una red social o banco <em>online<\/em>. Por eso siempre recomendamos revisar los enlaces antes de seguirlos. Un c\u00f3digo QR, sin embargo, no nos da esa accesibilidad. Adem\u00e1s, es com\u00fan que los atacantes utilicen enlaces cortos, por lo que es m\u00e1s dif\u00edcil detectar uno falso cuando el <em>smartphone<\/em> solicita la confirmaci\u00f3n.<\/p>\n<p>Estrategias similares se utilizan para enga\u00f1ar a los usuarios con errores de descarga de aplicaciones, por ejemplo, al descargar <em>malware <\/em>en lugar del juego o herramienta previstos. En este punto, el cielo es el l\u00edmite; el <em>malware<\/em> puede <a href=\"https:\/\/www.kaspersky.es\/blog\/pegasus-spyware\/10374\/\" target=\"_blank\" rel=\"noopener\">robar contrase\u00f1as<\/a>, enviar mensajes maliciosos a tus contactos, etc.<\/p>\n<h3>Comandos con cifrado QR<\/h3>\n<p>M\u00e1s all\u00e1 de dirigir a un sitio web, un c\u00f3digo QR puede incluir un comando para realizar ciertas acciones. Una vez m\u00e1s, las posibilidades son infinitas. Aqu\u00ed ten\u00e9is algunos ejemplos:<\/p>\n<ul>\n<li>A\u00f1adir un contacto.<\/li>\n<li>Hacer una llamada.<\/li>\n<li>Redactar un borrador de correo electr\u00f3nico y rellenar los campos de destinatario y asunto.<\/li>\n<li>Enviar un mensaje de texto.<\/li>\n<li>Compartir tu ubicaci\u00f3n con una aplicaci\u00f3n.<\/li>\n<li>Crear una cuenta en una red social.<\/li>\n<li>Programar un evento en el calendario.<\/li>\n<li>A\u00f1adir una red wifi preferida con credenciales para conexi\u00f3n autom\u00e1tica.<\/li>\n<\/ul>\n<p>El denominador com\u00fan es la automatizaci\u00f3n de acciones cotidianas. Por ejemplo, al escanear un c\u00f3digo QR, puedes agregar informaci\u00f3n de contacto de una tarjeta de negocios, pagar por el estacionamiento u otorgar acceso a una red wifi para invitados.<\/p>\n<p>Por ello, los c\u00f3digos QR son un campo f\u00e9rtil para la manipulaci\u00f3n. Por ejemplo, los estafadores podr\u00edan agregar su informaci\u00f3n de contacto en tu libreta de contactos con el nombre \u201cBanco\u201d para ganar credibilidad en una llamada e intentar estafarte; o podr\u00edan hacer una llamada a cobro revertido o identificar tu ubicaci\u00f3n.<\/p>\n<h2>\u00bfC\u00f3mo enmascaran los ciberdelincuentes los c\u00f3digos QR?<\/h2>\n<p>Para poder da\u00f1arte con un c\u00f3digo QR, los atacantes primero tienen que persuadirte para que lo escanees. Para ello, tienen un par de trucos:<\/p>\n<p><strong>Fuentes maliciosas.<\/strong> Los ciberdelincuentes pueden colocar un c\u00f3digo QR con un enlace a su sitio web, en un <em>banner<\/em>, en un correo electr\u00f3nico o, incluso, en un anuncio en papel. En general, el objetivo es que la v\u00edctima descargue una aplicaci\u00f3n maliciosa. En muchos casos, colocan los logotipos de Google Play y App Store junto al c\u00f3digo para concederle mayor credibilidad.<\/p>\n<p><strong>Sustituci\u00f3n.<\/strong> No es inusual que los atacantes se aprovechen del trabajo y la reputaci\u00f3n de las partes leg\u00edtimas al reemplazar un c\u00f3digo QR real en un cartel o se\u00f1al con uno falso.<\/p>\n<p>Asimismo, las jugarretas con los c\u00f3digos QR no est\u00e1n limitadas a los ciberdelincuentes; los activistas sociales sin escr\u00fapulos han comenzado a utilizarlos y sustituirlos para divulgar sus ideas. En Australia, por ejemplo, recientemente un hombre <a href=\"https:\/\/gizmodo.com\/man-banned-from-carrying-loose-qr-codes-after-altering-1846778345\" target=\"_blank\" rel=\"noopener nofollow\">fue arrestado<\/a> por tratar de alterar presuntamente los c\u00f3digos QR en se\u00f1ales de registro en los centros de COVID-19 para llevar a los visitantes a un sitio web antivacunas.<\/p>\n<p>Nuevamente, las posibilidades son pr\u00e1cticamente infinitas. Los c\u00f3digos QR se ven con frecuencia en los recibos de pago de servicios, panfletos, carteles de oficinas y casi en cualquier otro lado en el que esperar\u00edas encontrar informaci\u00f3n o instrucciones.<\/p>\n<h2>C\u00f3mo evitar problemas con los c\u00f3digos.<\/h2>\n<p>Cuando utilices c\u00f3digos QR, sigue estas simples reglas de seguridad:<\/p>\n<ul>\n<li>No escanees c\u00f3digos QR de fuentes sospechosas obvias.<\/li>\n<li>Presta atenci\u00f3n a los enlaces que se muestran al escanear el c\u00f3digo. Ten mucho cuidado si la URL est\u00e1 acortada, porque con los c\u00f3digos QR no hay raz\u00f3n suficiente como para acortar los enlaces. En su lugar, utiliza un motor de b\u00fasqueda o tienda oficial para encontrar lo que est\u00e9s buscando.<\/li>\n<li>Haz una revisi\u00f3n f\u00edsica r\u00e1pida antes de escanear un c\u00f3digo QR de un cartel o se\u00f1al para asegurarte de que el c\u00f3digo no est\u00e1 pegado sobre la imagen original.<\/li>\n<li>Utiliza un programa como QR Scanner de Kaspersky que busque contenido malicioso en los c\u00f3digos QR. (NOTA: la app ya no est\u00e1 disponible de forma individual, pero puedes encontrar la funcionalidad dentro de la versi\u00f3n gratuita de Kaspersky Antivirus &amp; VPN <a href=\"https:\/\/www.kaspersky.es\/mobile-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kisa____db30dc5b3a8cb734\" target=\"_blank\" rel=\"noopener\">para Android<\/a>\u00a0y para <a href=\"https:\/\/apps.apple.com\/es\/app\/kaspersky-security-vpn\/id1089969624\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a>)<\/li>\n<\/ul>\n<p>Los c\u00f3digos QR tambi\u00e9n incluyen informaci\u00f3n valiosa como los n\u00fameros de entradas electr\u00f3nicas, por ello nunca debes <a href=\"https:\/\/latam.kaspersky.com\/blog\/never-post-barcodes-online\/7570\/\" target=\"_blank\" rel=\"noopener\">publicar<\/a> documentos con c\u00f3digos QR en las redes sociales.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-privacy\">\n","protected":false},"excerpt":{"rendered":"<p>Te explicamos c\u00f3mo evitar el fraude en los c\u00f3digos QR.<\/p>\n","protected":false},"author":2581,"featured_media":25248,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2019],"tags":[1752,3290,61,612],"class_list":{"0":"post-25246","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-codigos-qr","9":"tag-pagos-electronicos","10":"tag-seguridad","11":"tag-tecnologia"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/qr-code-threats\/25246\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/qr-code-threats\/22810\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/qr-code-threats\/18292\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/qr-code-threats\/9091\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/qr-code-threats\/24701\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/qr-code-threats\/22698\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/qr-code-threats\/21842\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/qr-code-threats\/24597\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/qr-code-threats\/30648\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/qr-code-threats\/9608\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/qr-code-threats\/39789\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/qr-code-threats\/16890\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/qr-code-threats\/17456\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/qr-code-threats\/14802\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/qr-code-threats\/26711\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/qr-code-threats\/30674\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/qr-code-threats\/27011\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/qr-code-threats\/23852\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/qr-code-threats\/29186\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/qr-code-threats\/28983\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/codigos-qr\/","name":"c\u00f3digos QR"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=25246"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25246\/revisions"}],"predecessor-version":[{"id":29208,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25246\/revisions\/29208"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/25248"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=25246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=25246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=25246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}