Los códigos QR no son legibles para los humanos y, a menos que escanees uno, no tienes ni idea de qué es lo que contiene.
Con la llegada de la pandemia y el auge de los pagos sin contacto, los códigos QR se volvieron aún más populares. Su función de condensar una tarea específica en una imagen codificada y su bajo costo los convirtieron en los favoritos de la mayoría de compañías para ejecutar cualquier proceso. Leer un menú, ir a un sitio web específico, agendar una reunión e incluso para conseguir los datos de contacto de algún negocio en específico son algunas de sus funciones.
Sin embargo, esta útil herramienta se ha convertido en una manera fácil y rápida para robar información de los usuarios y cometer delitos cibernéticos. Una vez se escanea, se corre el riesgo de implantar un spyware o un malware que puede comprometer la identidad de la persona. BeyondTrust enlista varias maneras en las que se puede correr riesgos escaneando uno de estos códigos:
• Teléfono: al escanear un código QR se carga o inicia automáticamente una llamada telefónica a un número predefinido. Con todos los recientes ataques de robocall y SIM Jacking, este es otro método para que un alguien acceda, sin su permiso, a su teléfono e identidad. Básicamente, estás llamando a alguien que no conoces y entregando la información de tu identificador de llamadas.
• Correo electrónico: al escanear un código QR se almacena un mensaje de correo electrónico completo con el asunto y el destinatario. Todo lo que se requiere es pulsar enviar y esto podría ser el comienzo de cualquier forma de ataque de phishing o spear phishing.
• Sitio web o URL: Escanear un código QR puede lanzar y redirigir automáticamente a un sitio web. El contenido podría contener malware, un exploit u otro contenido no deseado que comience un ataque inminente y represente una amenaza a tus datos.
• Red Wi-Fi: Este código QR almacena las credenciales Wi-Fi para la conexión y autenticación automática de la red. Si se tiene en cuenta todas las amenazas de las redes Wi-Fi abiertas e incluso de las redes cerradas que utilizan WPA2, la conexión a una red desconocida o insegura no debería estar en la lista de actividades más seguras.
• Tienda de aplicaciones: El escaneo de enlaces a una página directamente en una tienda de aplicaciones puede hacer que una aplicación sea sencilla de descargar. Aunque esto es conveniente, el listado podría ser malicioso (especialmente en los dispositivos Android) o podría ser una página falsa que utiliza una URL incrustada para engañarte y hacer que cargue una aplicación maliciosa no autorizada. La mejor opción es navegar siempre hasta una aplicación por sí mismo y no confiar en un enlace directo.
Es importante entender que el escaneo del código QR revela una pequeña cantidad de texto en el código. Aunque esto parece un riesgo bajo, los códigos QR no son legibles para los humanos y, a menos que escanees uno, no tienes ni idea de qué es lo que contiene.
Si alguna vez estás fuera de casa y ves un código QR en una pared, edificio, pantalla de ordenador o incluso en una tarjeta de visita, no lo escanees. Un cibercriminal puede pegar fácilmente su código QR malicioso en papel sobre uno real, crear una imitación, y basándose en su aspecto visible, jamás sabrás si el contenido es seguro o malicioso.