Por Redacción Digital
CIUDAD DE MÉXICO.- La pandemia ha cambiado los hábitos de los ciudadanos y ha potenciado el uso de herramientas tecnológicas para llevar a cabo operaciones sin contacto (tanto económicas como en otros ámbitos). Muchas empresas han respondido a esta necesidad con el uso de códigos de respuesta rápida (QR), que se han generalizado en estos dos últimos años.
Un código QR es un código de barras bidimensional que puede almacenar 7.089 dígitos o 4.296 caracteres. Puede escanearse con un escáner o lector de códigos QR, que está integrado en las cámaras por defecto de la mayoría de los dispositivos móviles, para descifrar los datos que están codificados en él. Se trata básicamente de una cadena de texto, y suele ser una URL o un enlace a un sitio web o a la cuenta oficial de un comerciante en un sistema de pago.
Sin embargo, esta popularidad también ha creado un terreno fértil para que los ciberdelincuentes aderecen su kit de ‘malware’ de códigos QR para robar no solo información personal, sino también activos que son imposibles de recuperar una vez perdidos. De hecho, las amenazas relacionadas con los códigos QR se han vuelto tan frecuentes y astutas que incluso el FBI ha emitido recientemente una advertencia al respecto.
Salto del mundo digital al físico
Mientras que a menudo se piensa que la ciberdelincuencia se produce enteramente en el espacio digital, las amenazas relacionadas con los códigos QR son diferentes, ya que pueden tener lugar parcialmente en el ámbito físico. Un ejemplo de estafa con códigos QR que se basa en el ámbito físico es el que consiste en que actores maliciosos impriman pegatinas con códigos QR y las coloquen físicamente sobre los auténticos.
Por lo general, la gente asume que los letreros o carteles con códigos QR en las tiendas y los espacios públicos son seguros, y por lo tanto podrían no ser conscientes de que los actores maliciosos podrían sustituir los códigos QR legítimos por otros falsos como parte de sus esquemas fraudulentos”, explica José de la Cruz, director técnico de Trend Micro Iberia.
Este fue el caso de un sistema de pago por el uso compartido de bicicletas en China. Al parecer, los actores maliciosos sustituyeron los códigos QR que los usuarios debían escanear para pagar por el uso de las bicicletas antes de poder desbloquearlas. Como resultado, los pagos de los usuarios desprevenidos se transfirieron a las cuentas de los actores maliciosos, sin que los usuarios pudieran desbloquear las bicicletas para su uso.
Hace poco, las fuerzas de seguridad de varias ciudades de Estados Unidos alertaron sobre un esquema similar, en el que actores maliciosos habían pegado sus códigos QR fraudulentos en los legítimos de los parquímetros para engañar a los usuarios con el fin de que introdujeran sus credenciales de pago en sus sitios web de ‘phishing’.
En el ámbito digital también se sufren este tipo de estafas. Se sabe que los estafadores incorporan códigos QR en sus ataques de ‘phishing’, una práctica conocida como ‘quishing’. Lo hacen principalmente para poder eludir las soluciones de seguridad tradicionales que pueden marcar las URL maliciosas cuando aparecen en los correos electrónicos, pero no cuando están vinculadas a (o escondidas detrás de) los códigos QR.
