Este el modus operandi con códigos QR de los criminales
Los QR trabajan solos si el dispositivo se lo permite, es importante que el usuario no le de acceso al 100 %
Sucesos.- Las modalidades de estafa se adaptan a lo que está de moda para seguir captando víctimas, por ello los códigos QR no se salvan de ser usados con fines maliciosos.
El uso de los códigos QR tuvo una explosión con la pandemia, sobre todo para reducir el contacto entre personas y superficies.
Actualmente se usan para medios de pago, solicitud de servicios, compartir un contacto e incluso a una conexión a red Wifi.
ESET, compañía de detección proactiva de amenazas, advierte que, al volverse una tecnología popular, también captó la atención de los cibercriminales.
QR es un acrónimo de Quick Response, en español “respuesta rápida”, son códigos que están diseñados para ser leídos e interpretados rápidamente.
En ellos se puede almacenar de forma matricial un máximo de 4296 caracteres alfanuméricos en las versiones más grandes.
Los de uso público general suelen ser matrices más pequeñas para ser capturadas fácilmente desde la cámara del teléfono.
Básicamente, funcionan como un link o una aplicación, sin necesidad de entrar a ella.
QR es automático
Los códigos QR poseen una estructura que permite que sean decodificados por aplicaciones que funcionan como lectores como la cámara de un teléfono.
El dispositivo responde al código dependiendo de la aplicación que esté interactuando con dicho QR.
A partir de él se puede: abrir una página web, descargar un archivo, agregar un contacto, conectarse a una red Wifi e incluso realizar pagos, entre muchas otras.
Los códigos se pueden personalizar, incluir logotipos e incluso hay versiones dinámicas que permiten cambiar el contenido o acción del QR en cualquier momento.
“Dada la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio”, menciona en nota de prensa, Cecilia Pastorino, Investigadora de Seguridad Informática de ESET.
Es por ello que lo pueden usar para redirigir al usuario a una web maliciosa y así robarle información.
Asimismo, es muy similar a la técnica del phishing, porque su objetivo es llevar a sus víctimas a sitios fraudulentos.
QR en menús
Otra táctica es la de descargar un archivo en el equipo de la víctima.
En algunos establecimientos utilizan códigos QR para que el usuario descargue un archivo PDF con el menú o para realizar el pedido.
En este contexto, el criminal puede alterar el QR para llevar al usuario a descargar una aplicación fraudulenta.
También, entre las acciones más peligrosas, está la de accionar el dispositivo, puesto que el QR funciona directamente al ser leído.
ESET señala que con esta táctica pueden conectar un equipo a una red intervenida, mandar mensajes en nombre de la víctima o agendar un contacto para un posterior engaño.
Robo de dinero
Además de tratarse de delitos informáticos, pueden cometer delitos financieros al desviar un pago o realizar solicitudes de dinero.
Cabe resaltar que hay tiendas que dejan estos códigos a la vista de sus clientes para facilitar la operación de pago.
Sin embargo, un atacante podría modificar este QR con sus propios datos y recibir así los cobros en su cuenta.
De igual manera se debe estar alerta ante un posible robo de identidad, debido a que muchos códigos QR se utilizan como un certificado para verificar información de una persona.
Entre ellos: el documento de identidad o los pases sanitarios.
En estos casos los códigos QR contienen información como de un documento de identidad o historia clínica, la cual un atacante podría obtener fácilmente.
“Muchos de estos riesgos se basan en la ingeniería social y en lograr engañar a la víctima”, agrega Pastorino de ESET.
Protección del dispositivo
Por su parte, Gabriel Martínez, abogado especialista en informática forense, señaló a 2001 que es importante no automatizar al dispositivo y dejarle algunas acciones manuales.
“Los QR trabajan solos si el dispositivo se lo permite, es importante que el usuario no le de acceso al 100%”, expresó.
Esto se puede hacer al deshabilitar la opción de realizar acciones automáticas al leerlo como acceder a un sitio web, descargar un archivo o conectarse a una red.
Para quienes tienen códigos QR propios, es recomendable comprobar regularmente que no hayan sido adulterados.
Martínez explica que es difícil notar a primera vista si un QR fue editado, por lo que debe hacerse con ayuda de profesionales.
El abogado refiere que, aunque en Venezuela no se ha popularizado el uso de códigos QR para pagar, una vez que lo haga es importante siempre verificar los datos.
Cada vez que sale una nueva tecnología los delincuentes buscarán como apoderarse de ella, por ello es importante la prevención y alerta de lo que se comparte y a lo que se le da acceso en el internet.
