Cómo protegerse frente a un código QR malicioso

Seguramente en un restaurante o en espacios públicos ha visto una imagen de un cuadrado compuesto por muchos pequeños cuadrados, como en una especie de laberinto o mosaico de dos colores contrastados, normalmente blanco y negro. Estos son códigos QR, una tecnología que permite acceder de manera rápida y directa a determinada información.

Usarlos es sencillo, solo se necesita escanear el código con la cámara de un dispositivo móvil y en cuestión de segundos ofrecen la posibilidad de navegar por diversos datos. Estos códigos han ganado popularidad, pero, si bien tienen ventajas en cuestión de accesibilidad, su extendido uso también ha llegado con diversos riesgos.

En esencia, un código QR o código de respuesta rápida (Quick Response code, en inglés) es un tipo de código de barras fácil de leer en dispositivos digitales, que almacena información en una serie de píxeles en una cuadrícula. Aunque parezcan simples, los códigos QR pueden almacenar una gran cantidad de datos, pero, independientemente de su contenido, al escanearlos deben permitir al usuario acceder a la información al instante, dice la página web de la empresa de ciberseguridad Kaspersky.

Por lo general, se utilizan para redirigir a una URL, para acceder a números de teléfono o correos electrónicos, para menús o portafolios digitales de productos, para la descarga de documentos, también como un enlace directo para descargar una aplicación, para autenticar cuentas en línea y verificar datos de inicio de sesión, para acceder a una red de wifi -puesto que almacenan información de cifrado y contraseña-, así como para enviar y recibir información de pagos, entre otros usos.

Sin embargo, así como no es seguro hacer clic sobre cualquier enlace o archivo que está en la web, tampoco lo es escanear cualquier código QR, ya que, dado que los ojos humanos no pueden descifrar estos códigos, es fácil para los atacantes alterarlos para que al escanearlos dirijan a otro recurso sin que la persona se dé cuenta de que se trata de una acción maliciosa.

Al escanear QR maliciosos son múltiples los riesgos; por ejemplo, la empresa de tecnología Microsoft señala que, dado que los códigos QR abren enlaces inmediatamente, los atacantes pueden reemplazar códigos legítimos por otros falsificados y usar esto para cometer phishing, una táctica en la que se hacen pasar páginas web falsificadas como si fueran de entidades legítimas (como bancos, redes sociales o empresas) para engañar a las personas y obtener información confidencial, como contraseñas o datos bancarios.

Así mismo, según una publicación del Centro Canadiense de Ciberseguridad, al llevar a los usuarios a páginas web diferentes, los delincuentes pueden hacer un seguimiento de su actividad en línea, lo que significa que sus datos pueden recopilarse y utilizarse con fines comerciales sin su consentimiento; o pueden recopilar metadatos como el tipo de dispositivo con el que se escaneó el código, la dirección IP y ubicación.

Adicionalmente, algunos sitios web realizan descargas directas incluso sin autorización, por lo cual el simple hecho de abrir una página web al escanear un código puede iniciar la descarga de software malicioso. “Los dispositivos móviles, en general, tienden a ser menos seguros que las computadoras o portátiles, y como los códigos QR son leídos a través de dispositivos móviles, esto aumenta los riesgos potenciales”, señaló Kaspersky.

Microsoft añadió que los hackers pueden reemplazar físicamente un código QR en un espacio público, pero también enviar correos electrónicos con mensajes falsos como: “La información de su tarjeta de crédito está desactualizada, escanee el código QR para resolverlo”.

Hay una serie de acciones que pueden ayudar a los usuarios a protegerse, dice una publicación de la Oficina de Seguridad Tecnológica de la Universidad de Duke; por ejemplo, revisar el código en busca de elementos sospechosos: ¿el texto o mensaje que lo rodea parece apropiado? ¿El logotipo en el centro del código parece legítimo? ¿El diseño del código coincide con los colores y las especificaciones de la marca? Y así sucesivamente con pequeños detalles.

Además, es importante que verifique la URL antes de abrirla, la mayoría de lectores de QR de los celulares arrojan una vista previa al escanear el código, en ella podrá leer, antes de abrir el enlace, si la URL coincide con lo que usted busca. Revise si hay indicios maliciosos, como un nombre extraño en la URL, antes de hacer clic.

Al abrir la página web, verifique que la dirección comience con https:// y que la URL tenga un candado o que sea marcada como segura por su navegador.

Por otra parte, las empresas de ciberseguridad desaconsejan compartir información personal en esos sitios web a menos que confíe plenamente en la fuente.

Otra acción que debe evitarse es descargar aplicaciones de terceros para escanear códigos QR, puesto que los teléfonos inteligentes actuales incluyen la función de escaneo de códigos dentro de la aplicación de la cámara. Otra opción para leerlos es la función Google Lens; para usarla debe abrir la aplicación de Google en su dispositivo móvil y verá al final de la barra de buscador un símbolo de una cámara con un punto en la esquina inferior derecha.

Además, no se recomienda escanear códigos que estén expuestos en lugares públicos, como una estación de transporte o anuncios en la calle, ni escanear códigos QR recibidos en correos electrónicos o mensajes de texto de dudosa procedencia; si no puede verificar el remitente (la marca, empresa, entidad...) que lo ha generado, es preferible no leerlo.

Finalmente, es recomendable configurar el dispositivo para que solicite permiso y verificación antes de ejecutar la acción de un código QR, mantener su dispositivo actualizado y puede considerar usar un antivirus para protegerse de este y otros riesgos digitales, pero verifique que provenga de empresas confiables.

FERNANDA ORTIZ HERNÁNDEZ (*)

El Universal (México) - GDA

(*) Con información de EL TIEMPO