En todas las formas de comunicación o mensajería que existen, puedes tener la seguridad de que estafadores y hackers intentarán encontrar la forma de aprovecharse de ti, desde emails hasta mensajes de texto o llamadas. Y estas amenazas se extienden también a los códigos QR, del inglés “quick response”: respuesta rápida.
Qué es el “quishing”
A principios de este año, una importante compañía energética de Estados Unidos fue hackeada mediante un código QR, y los analistas de seguridad advierten de que estos ataques, denominados quishing, van en aumento. El quishing es una combinación de los términos “código QR” y “phishing”, donde actores malintencionados “pescan”, a menudo por correo electrónico, información privada y datos personales.
Por si no tuviéramos ya bastante de qué preocuparnos, ahora debemos estar en guardia contra el quishing. La buena noticia es que las prácticas de seguridad, que con suerte ya has implementado, también te servirán en este caso.
Cómo funcionan los fraudes con códigos QR
A estas alturas todos deberíamos estar familiarizados con los códigos QR: esa cuadrícula en blanco y negro que actúa como una especie de jeroglífico que la cámara de tu teléfono u otro dispositivo es capaz de traducir. La mayoría de las veces, los códigos QR se transforman en una URL de sitios web, pero también sirven para dirigir a un mensaje de texto sin formato, listados de aplicaciones, ubicaciones y más.
Aquí es donde se cuela el engaño: los códigos QR remiten a sitios web fraudulentos con la misma facilidad que a los auténticos, y no siempre sabes cuál será antes de visitarlo. Al escanear un código QR suele aparecer una URL que podrás consultar, pero rara vez está claro a primera vista hasta qué punto es segura la dirección de esa página.
- Trucos y ConsejosCómo pasar tus chats de WhatsApp de Android a iPhone
Y no necesitas nada especial para crear un código QR. Las herramientas están disponibles de manera generalizada y son fáciles de usar; elaborar uno propio no es mucho más complicado que escanear alguno. Si quisieras generar un código QR que conduzca a un sitio web con fines maliciosos, solo te llevaría un par de minutos. Y este podría pegarse en una pared, adjuntarse a un email o imprimirse en un documento, listo para que lo escaneen.
Los objetivos de estas páginas web son los mismos de siempre: conseguir que descargues algo que comprometerá la seguridad de tus cuentas o de tus dispositivos, o que introduzcas unas credenciales de inicio de sesión que luego se transmitirán directamente a los hackers; muy probablemente a través de un sitio falso, configurado para que parezca auténtico y fiable. Los resultados finales previstos son los habituales, pero el método para llegar a ellos es diferente.
Cómo evitar un hackeo mediante códigos QR
Las medidas de seguridad que ya aplicas en otras situaciones son las mismas que te protegerán contra el hackeo mediante códigos QR. Al igual que harías con los correos electrónicos o los mensajes instantáneos, no te fíes de los códigos QR si no conoces su procedencia, quizá adjuntos a emails de aspecto sospechoso o en páginas web que no puedas verificar. En cambio, es muy poco probable que el código QR del menú de tu restaurante local haya sido generado por hackers.
Por supuesto, siempre existe la posibilidad de que las cuentas de amigos, familiares y colegas se hayan visto comprometidas, por lo que nunca tendrás la seguridad al 100% de que un mensaje con un código QR sea auténtico. Por lo general, las estafas buscan provocar una sensación de urgencia y alarma, algo como: ‘escanea este código QR para verificar tu identidad’, ‘evita la eliminación de tu cuenta’ o ‘aprovecha esta oferta por tiempo limitado’.
Tus cuentas digitales deben estar lo más protegidas posible, de modo que si eres víctima de una estafa con código QR, ya cuentes con los mecanismos de seguridad adecuados. Activa la autenticación de dos factores en todas las cuentas que la ofrezcan, comprueba que tus datos personales estén actualizados, como las direcciones de email y los números de teléfono de respaldo que sirvan para recuperar tus cuentas. Desconéctate de los dispositivos que ya no utilices; también es recomendable que elimines las cuentas antiguas que ya no necesites.
Por último, mantén tu software actualizado, algo que afortunadamente ahora es muy fácil de hacer. Las últimas versiones de los navegadores móviles más populares incorporan tecnología para detectar enlaces fraudulentos: estas protecciones integradas no son infalibles, pero cuanto más al día estén tu buscador y el sistema operativo de tu dispositivo móvil, más posibilidades tendrás de recibir una advertencia en la pantalla si estás a punto de visitar un lugar inseguro de la red.
Artículo publicado originalmente en WIRED. Adaptado por Andrei Osornio.
