Consejos para utilizar los códigos QR de forma segura

Los Quick Response, códigos de respuesta rápida o QR, han existido en el mercado desde la década de los noventa.

Su uso se ha expandido a través de las siguientes décadas gracias a las aplicaciones que los diversos sectores económicos han encontrado para esta herramienta, sobre todo por ser un elemento de amplio alcance y rápida efectividad.

Y es que si hay algo que caracteriza a los QR, eso es que permiten acceder a una vasta cantidad de información en tiempo record. Con base en esto, no resulta extraño que una de las búsquedas más populares en internet suelen ser “como hacer un código QR gratis”.

Ahora bien, es de vital importancia tener presente que los códigos de respuesta rápida son también un blanco que puede utilizarse de forma inapropiada. Los principales malhechores suelen ser los estafadores informáticos, quienes utilizan escaneos de QR en correos electrónicos o páginas web para generar fraudes. Por esta razón, es necesario tener en cuenta algunos consejos para el uso correcto de los Quick Response.

¿Qué riesgos tiene escanear un código QR desconocido?

Al igual que ocurre con páginas web y aplicaciones, el escaneo de códigos QR desconocidos ha llegado a traer consecuencias para algunos usuarios. No cabe duda de que, por ejemplo, cada vez son más las personas que prefieren pagar a través de esta herramienta en cualquier establecimiento físico o web site. Estos últimos, sobre todo, pueden resultar nocivos para los dispositivos móviles y datos de los usuarios.

Además de las páginas web, lugares como estaciones de servicio, panaderías, carnicerías pueden verse afectadas por el abuso de piratas informáticos. ¿Cómo es posible?, muy simple, tras un descuido de algún empleado, los maleantes pueden sustituir los QR usados por el establecimiento para los pagos de la clientela o para la muestra de ofertas. Los ataques más comunes suelen ser: la estrategia de phishing o la descarga silenciosa de malware.

El primero ocurre cuando un estafador reemplaza el código original por uno malicioso que redirecciona a páginas fraudulentas que coaccionan para conseguir información confidencial del usuario. El segundo se da cuando los piratas introducen enlaces engañosos en el QR que facilitan la entrada de códigos dañinos que infectan el software del dispositivo. El fin de ambos métodos es el mismo: la estafa.

¿Cómo protegerse de los códigos QR maliciosos?

Pese a la alta funcionalidad de los Quick Response, cada vez es mayor la preocupación con respecto a las fallas de seguridad alrededor de ellos. Para protegerse, la medida más lógica es no escanear aquellos que parezcan sospechosos. Sin embargo, existen medidas preventivas más específicas que se mencionarán a continuación:

Instala un antivirus de confianza

Del mismo modo que ocurre con las PC y laptops, los dispositivos móviles tienen acceso a software antivirus que se encargan de protegerlos de posibles malware enviados por estafadores online. Avast resulta una excelente opción, y lo mejor es que ya viene incluido dentro del sistema operativo de muchos smartphones actuales.

No obstante, no basta con saber que se cuenta con la capa de blindaje que brinda un antivirus, la mejor recomendación siempre será la prevención.

Haz una verificación de la URL

Al momento de escanear un código QR, la cámara o lector del celular proporciona información respectiva al enlace al que se intenta acceder. Antes de ingresar, es necesario verificar que la página no presente ninguna característica sospechosa, como datos no correspondientes con la finalidad del sitio.

Otro detalle importante a tener en cuenta es que la página a la cual te están redireccionando use protocolos HTTPS y no HTTP. ¿Y no son iguales?, no, no lo son, esa “S” que los diferencia implica una necesaria capa extra de seguridad: el certificado SSL. Este último factor da autenticidad al portal al cual se va a entrar, y, además, garantiza que los datos que se ingresen en la plataforma serán encriptados y protegidos.

Tampoco debe dejarse de lado la comprobación del nombre del site. Es común que los delincuentes creen nuevas plataformas descartables que incluyan el protocolo HTTPS, y cuenten con colores y diseños muy parecidos al de las páginas originales. Pero, cuando se repara en las letras que identifican al portal, allí se detecta que es una estafa. Por ejemplo: banconacion.com.es y banknacion.io. La última es un portal con fines maliciosos.

Analiza los códigos QR físicos

No es recomendable escanear códigos de respuesta rápida de carteles, revistas o pancartas desconocidas. No obstante, en caso de hacerlo, es recomendable seguir ciertas medidas, como verificar que no exista ningún tipo de manipulación en el diseño del QR, como una imagen adhesiva encima del mismo, o alguna incongruencia de color en la imagen.

A esta práctica de suplantación de un código de respuesta inmediata por otro se le conoce como “QRljacking”, y es más común de lo que muchos creen. Los delincuentes han logrado con esta práctica desde desviar los pagos en una panadería —poniendo una calcomanía con el QR falso sobre el original— hasta robar las cuentas de WhatsApp. Esto último es el fraude con mayores índices en los reportes de quejas de los usuarios de la plataforma del teléfono verde.

No uses aplicaciones de terceros para escanear códigos QR

Las aplicaciones destinadas a escanear códigos QR se han convertido en elementos muy populares en los últimos tiempos. Por esta misma razón, cada vez son más las Apps fraudulentas que habitan en las bases de datos de descargas.

Los estafadores de ciberseguridad infectan estas aplicaciones con códigos peligrosos con la finalidad de robar información bancaria o data personal de cualquier clase.

Utiliza el gestor de contraseñas

Una de las estrategias más famosas de los piratas informáticos es dirigir el tráfico de datos a sitios web engañosos. Estos cuentan con un diseño muy similar al de otros espacios reales en internet, lo que dificulta que los usuarios puedan detectarlos.

Aun así, el administrador de contraseñas, en muchos casos, es capaz de identificar un código QR infectado y proteger al usuario de hurtos de información sensible, como identidad o accesos a diversas cuentas.