Las estafas con códigos QR van en aumento. He aquí cómo evitar ser engañado

Los ciberdelincuentes utilizan cada vez más códigos QR maliciosos para engañar a los consumidores.

Hoy en día, ves códigos QR en casi todas partes. Los códigos de barras cuadrados aparecen en todas partes: listados de bienes raíces, anuncios de televisión y publicaciones en redes sociales que promocionan lo que parecen grandes ofertas en artículos imprescindibles.

La pandemia impulsó un aumento en el uso de códigos QR. Buscando reducir la posible transmisión, los restaurantes reemplazaron los menús físicos disponibles para todos los clientes por versiones en línea accesibles en su teléfono personal. Escanea ese pequeño cuadrado y descubrirás cuál es la casa especial.

Los ciberdelincuentes rápidamente se dieron cuenta y están empezando a explotar la innegable conveniencia de la tecnología. Los estafadores están creando sus propios códigos QR maliciosos diseñados para engañar a los consumidores involuntarios para que entreguen su información bancaria o personal.

Piénselo antes de escanear ese código QR.

"Cada vez que aparece una nueva tecnología, los ciberdelincuentes intentan encontrar una manera de explotarla", dijo Angel Grant, vicepresidente de seguridad de F5, una empresa de seguridad de aplicaciones. Esto es especialmente cierto con tecnología como los códigos QR, que la gente sabe cómo usar pero tal vez no sepa cómo funcionan, dice. "Es más fácil manipular a la gente si no lo entienden".

Los códigos QR (la abreviatura significa "respuesta rápida") se inventaron en Japón en la década de 1990. Fueron utilizados por primera vez en la industria automovilística para gestionar la producción, pero se han extendido por todas partes. Han surgido sitios web y aplicaciones que te permiten crear los tuyos propios.

Ahora están siendo explotados por ciberdelincuentes en una estafa de phishing por correo electrónico. Escanear los códigos QR falsos no le hará nada a su teléfono, como descargar malware en segundo plano. Pero lo llevará a sitios web fraudulentos diseñados para obtener cuentas bancarias, tarjetas de crédito u otra información personal.

Como cualquier otro esquema de phishing, es imposible saber exactamente con qué frecuencia se utilizan los códigos QR con fines maliciosos. Los expertos dicen que todavía representan un pequeño porcentaje del phishing general, pero se han reportado al Better Business Bureau numerosas estafas que involucran códigos QR, especialmente el año pasado.

Más recientemente, el FBI emitió una advertencia advirtiendo a los consumidores que piensen antes de escanear códigos QR potencialmente incompletos.

Muchas personas saben que deben estar atentos a enlaces phishy y archivos adjuntos cuestionables en correos electrónicos que pretenden ser del banco. Pero pensar dos veces antes de escanear un código QR con la cámara de su teléfono inteligente no es algo natural para la mayoría de las personas.

Una captura de pantalla del sitio web fraudulento al que se accedió a los conductores cuando usaron sus teléfonos para escanear etiquetas de códigos QR maliciosos en parquímetros en Austin, Texas.

Aprovecharse de los conductores desprevenidos podría haber estado detrás de las casi 30 pegatinas con códigos QR maliciosos encontradas recientemente en los parquímetros de Austin, Texas, que utilizan tecnología de códigos QR para permitir a los conductores pagar el estacionamiento en línea.

Sin embargo, en lugar de ser dirigidos al sitio web o aplicación autorizado de la ciudad, los automovilistas que escanearon las pegatinas de estafa fueron conducidos a un sitio web falso que recopilaba la información de su tarjeta de crédito.

La policía no sabe cuántas personas fueron engañadas. El departamento alienta a cualquier persona que crea que el sitio web falso le haya robado la información de su tarjeta de crédito a que se comunique con ellos.

Austin no es la única ciudad que sufre estafas con códigos QR falsos. Los funcionarios de San Antonio, Texas, a unas 80 millas de distancia, emitieron una advertencia después de detectar calcomanías similares conectadas a un sitio web falso de pago de estacionamiento.

Los códigos QR llevan a las personas del mundo físico al online. Por eso tiene sentido usarlos en pegatinas de estafas, así como en el correo basura, dijo Brad Haas, analista de inteligencia de amenazas cibernéticas de Cofense, una empresa de seguridad del correo electrónico. Pone en línea a personas que aún no lo estaban.

Haas dice que los códigos QR fraudulentos también están empezando a aparecer en correos electrónicos de phishing y anuncios en línea, una táctica que lo deja rascándose la cabeza. "Realmente no hay razón para que alguien saque su teléfono y escanee un código QR que está en un correo electrónico que ya está mirando en su computadora portátil", dijo Haas. Después de todo, el destinatario ya está en línea con su computadora portátil. ¿Por qué un remitente legítimo querría que se conectaran con un segundo dispositivo? Por esa razón, los consumidores deberían considerar con sospecha cualquier correo electrónico que contenga un código QR, afirma.

Aún así, los códigos falsos aparecen en correos electrónicos de phishing, aunque no con tanta frecuencia como tácticas probadas y verdaderas, como archivos adjuntos que contienen virus o enlaces a sitios web fraudulentos. Cofense detectó recientemente una estafa de phishing dirigida a hablantes de alemán que incluía un código QR en un intento de atraer a los usuarios de banca móvil.

Una captura de pantalla de un correo electrónico de phishing que contiene un código QR malicioso detectado por investigadores de Cofense. Tenga en cuenta que el código QR ha sido modificado y no conducirá a un sitio web malicioso.

A los piratas informáticos les puede gustar usar códigos QR en correos electrónicos de phishing porque a menudo no son detectados por el software de seguridad, lo que les da una mejor oportunidad de llegar a sus objetivos previstos que los archivos adjuntos o enlaces incorrectos, dice Aaron Ansari, vicepresidente de seguridad en la nube de la compañía antivirus. Tendencia Micro.

Incluso si la tasa de éxito es menor, es mucho más fácil enviar millones de correos electrónicos de phishing que colocar pegatinas físicamente en parquímetros y paradas de autobús.

Todo se reduce a que los códigos QR son sólo una forma más para que los ciberdelincuentes obtengan lo que quieren y otra amenaza más a la que la gente debe estar atenta.

"Hay muchas maneras de verse comprometido en estos días", dijo Ansari, "pero sólo hace falta una".

Piensa antes de escanear. Tenga especial cuidado con los códigos publicados en lugares públicos. Échale un buen vistazo. ¿Es una pegatina o parte de un letrero o expositor más grande? Si el código no parece encajar con el fondo, solicite una copia impresa del documento al que intenta acceder o escriba la URL manualmente.

Cuando escanee un código QR, observe detenidamente el sitio web al que lo llevó, recomienda Haas. ¿Parece que esperabas que así fuera? Si solicita información bancaria o de inicio de sesión que no parece necesaria, no la entregue.

Los códigos incrustados en los correos electrónicos casi siempre son una mala idea. Siga el consejo de Haas y omítalos por completo. Lo mismo ocurre con los códigos que recibe en el correo basura no solicitado, como los que ofrecen ayuda con la consolidación de deudas, dice Grant.

Obtenga una vista previa de la URL del código. Muchas cámaras de teléfonos inteligentes, incluidos los iPhone que ejecutan la última versión de iOS, le brindarán una vista previa de la URL de un código cuando comience a escanearlo. Si la URL parece extraña, es posible que desees continuar.

Mejor aún, Ansari recomienda utilizar una aplicación de escáner seguro, que está diseñada para detectar enlaces maliciosos antes de que su teléfono los abra. Su empresa, Trend Micro, ofrece uno gratuito, al igual que algunas de las otras grandes empresas de antivirus.

Pero quédese con las empresas de seguridad más conocidas, afirma. Las aplicaciones maliciosas de escaneo de QR diseñadas para extraer información del usuario han llegado a las tiendas de aplicaciones en el pasado.

Utilice un administrador de contraseñas.Como ocurre con todo tipo de phishing, si un código QR lo lleva a un sitio web falso especialmente convincente, un administrador de contraseñas aún sabrá la diferencia y no completará automáticamente sus contraseñas, dice Haas.