EscucharPosiblemente usted sea una de las personas que ha utilizado el código QR para escanear el menú en un restaurante, para sumarse a algún programa de puntos en un comercio o para navegar por sitios web.
“Así como podemos descargar fácilmente esta información, los ciberdelincuentes también utilizan los códigos QR para hacer que las personas descarguen contenido malicioso y robar información de sus dispositivos o los llevan a páginas falsas para robar usuarios y contraseñas, para luego acceder a sus cuentas y sustraer el dinero”, explicó Raúl Rivera, asesor en ciberseguridad de la Asociación Bancaria Costarricense (ABC).
En el caso de las entidades financieras, explicó la ABC en un comunicado distribuido este 1°. de marzo, utilizan estos códigos únicamente con fines informativos y en otras como medios de pago, pero siempre aplicando todas las medidas de seguridad necesarias para resguardar la información de los clientes. También se detallaron tres tipos de ataques a códigos QR:
- QRishing: Llevan a la persona a una página web falsa donde capturan la información confidencial: usuarios, contraseñas y códigos de seguridad.
- Descarga de código malicioso: Redireccionan a una página web que descarga un código malicioso en el dispositivo que puede infectarlo con un virus: Troyano, Spyware, Botnet o Cryptomining.
- QRLjacking: Una vez que la persona ingresa a un sitio web o red social secuestran la sesión engañándolo para ingresar mediante el uso de un código QR, similar al que se utiliza en WhatsApp para ingresar al WhatsApp Web.
¿Cómo usar el QR con seguridad?
Rivera aconsejó utilizar un escaneador seguro de códigos QR. Generalmente se utiliza la cámara del teléfono o tableta, lo que aumenta el riesgo. Pero es mejor usar lectores seguros como Kaspersky (para Android, iOS) o el TrendMicro (Android).
También se recomienda deshabilitar en el celular o tableta que las direcciones URL abran de forma automática después de escanear el código. Esto le permitirá revisar si el URL tiene algún elemento o comportamiento malicioso.
Cada fabricante de teléfonos móviles tiene sus propio mecanismo para desactivar la apertura automática de sitios. “(...) generalmente Android o Apple no abre de forma automática el enlace y despliega un botón o el enlace para continuar y visitar la página. Sin embargo existen apps que sí lo hacen así”, recordó Ruiz.
El especialista añadió que la recomendación es que si el usuario no sabe si el enlace es bueno o malicioso, mejor descargue un escaneador seguro de códigos QR y evite hacerlo mediante la aplicación de la cámara u otras del mercado.
Para desactivarlo en forma automática en iOS va a configuración, luego cámara y se deshabilita la opción para escanear códigos QR; en Android varía de un fabricante a otro pero puede ir a la aplicación de la cámara, ir a ajustes y apagar la funcionalidad de escaneo de códigos QR.
Un consejo que brindó la ABC es verificar si el URL es confiable antes de abrirlo. Para hacerlo, necesita deshabilitar la apertura automática de sitios, así aparecerá el URL escaneado y entonces el usuario puede visitar la página www.virustotal.com, donde selecciona URL, lo pega en el campo que allí aparece y presiona Enter.
En cuanto a los comercios, la Asociación ofreció recomendaciones para que puedan ofrecer la herramienta de QR a sus clientes de manera segura. Para ello, deben comprobar periódicamente que los códigos no hayan sido cambiados. “Los ciberdelincuentes alteran los códigos para defraudar a los clientes”, se advierte en el comunicado.
También se recomienda utilizar un generador confiable o seguro de códigos QR. Algunos sitios web que generan códigos QR de forma gratuita, pueden inyectar acciones maliciosas o descargar código malicioso, además de las acciones que se configuren normalmente para realizar.
Para saber si un comercio está utilizando un generador seguro de códigos QR va a www.virustotal.com
“Los bancos realizan grandes esfuerzos para velar por la seguridad de sus clientes y resguardar su dinero, pero es vital que las personas desconfíen y nunca compartan su información sensible, como usuarios, claves o contraseñas, las entidades financieras nunca pedirán esos datos”, concluyó Rivera.
