Aunque los códigos QR surgieron hace más de dos décadas, su uso generalizado no se produjo hasta la pandemia de COVID-19, cuando se volvió vital reducir cualquier forma de contacto. Del mismo modo que los pagos móviles prevalecieron sobre el uso del efectivo, las cartas tradicionales de bares y restaurantes dieron paso a la disposición de pegatinas en las mesas. Estos contenían un patrón de puntos que, cuando los detectaba la cámara de cualquier teléfono inteligente, mostraban un documento o sitio web.
De la noche a la mañana, incluso nuestros mayores aprendieron a consultar el menú diario en sus teléfonos móviles, lo que a largo plazo ha traído un impacto positivo en el medio ambiente: para muchas empresas ya no es necesario imprimir diariamente; simplemente actualice la información digital correspondiente.
No pasó mucho tiempo para que estos códigos QR llegaran también a distintos formatos publicitarios, cajeros automáticos, parquímetros e incluso banners de programas de televisión (como cuando el actual informativo nos anima a ampliar una noticia escaneando la imagen superpuesta al pantalla). Podemos afirmar entonces que hoy existe un QR para todo, por lo que los ciberdelincuentes han encontrado un nuevo ámbito de acción.
Del ‘phishing’ al ‘quishing’
El nuevo tipo de estafa articulada a través de códigos QR se conoce como ‘QRshing’ o ‘Quishing’, es decir, la fusión de las siglas ‘QR’ (en inglés, ‘Quick Response’) con el término ‘phishing’. Este último se refiere a la suplantación de bancos, instituciones, empresas de paquetería y otros para engañar a la víctima y convencerla de que proporcione sus datos personales o su tarjeta de crédito. La excusa suele ser un cargo pendiente (por descubiertos, tasas de aduana…) y el medio es una página web creada a imagen y semejanza de la original de la empresa u organismo en cuestión. Estas copias son tan exactas que muchos terminan siendo picados y viendo reducido el saldo de su cuenta corriente, cuando no les queda más remedio que denunciar a un estafador que normalmente no deja rastro.
Por tanto, el quishing consiste en utilizar códigos QR para vincular a estos sitios web fraudulentos. ¿Porque? Los delincuentes saben que enviar enlaces a través de mensajes de texto y correos electrónicos ya no es efectivo: los más y los menos han interiorizado que no deben hacer clic en esos enlaces independientemente del remitente; que nuestro banco nunca nos lo pedirá y que, en cualquier caso, debemos contactar con la oficina de la que somos titulares para aclarar cualquier duda. Ahora bien, si asocias estos enlaces a un código QR y lo colocas físicamente en el cajero automático de dicha sucursal, alguien puede terminar escaneándolo.
Del mismo modo, los amantes de lo extranjero superponen pegatinas QR a las reales de los restaurantes (en las propias mesas), de las gasolineras (en los surtidores) o de los citados parquímetros. Digamos que vamos a pagar el aparcamiento y vemos un código QR en el terminal a pie de calle. Esto nos dirige a una web aparentemente municipal, por lo que nos fiamos de ella, introducimos los datos de nuestra tarjeta de crédito y pagamos. El resultado, además de perder el dinero, será una sanción cuando el inspector correspondiente compruebe que hemos aparcado sin cumplir con nuestras obligaciones. Pero también ha habido casos de códigos QR adjuntos a multas falsificadas y dejados debajo del parabrisas del coche (otra forma de desplumarnos en la que algunos caen).
Luego están esos códigos QR que se colocan aleatoriamente por la ciudad (en farolas, portales, marquesinas…) y que escaneamos por mera curiosidad: “¿Qué contendrá?” La respuesta suele ser un programa informático malicioso o ‘malware’, diseñado para robar información de nuestro teléfono móvil en segundo plano, sin que nos demos cuenta. Debemos tener cuidado cuando, tras apuntar a uno de estos códigos con la cámara del smartphone, se nos solicite instalar una aplicación o descargar un archivo.
Cómo evitar la estafa
Visto lo visto, no es de extrañar que más del 70% de las estafas de phishing se cometan actualmente mediante códigos QR, según estimaciones de la empresa de ciberseguridad ProofPoint. La Policía Nacional tampoco ha dedicado varias alertas a Quishing, a través de sus perfiles en diferentes redes sociales.
Ahora bien, ¿qué precauciones debemos tomar para no meternos en problemas al utilizar este tipo de imágenes? En primer lugar desmarcaremos la opción de abrir automáticamente cualquier enlace de un código QR al escanearlo. Viene activado por defecto en algunos móviles, por lo que es recomendable dedicar unos minutos en la categoría correspondiente del menú de ajustes.
Normalmente, al realizar un escaneo, se obtiene una vista previa de la dirección web asociada en la pantalla del teléfono. Antes de pulsar en él debes comprobar que comienza por ‘https’ en lugar de ‘http’, es decir, que es una URL segura. En cualquier caso, una vez dentro, sospecharemos sin excepción cuando nos encontremos con cualquier tipo de formulario que requiera la introducción de datos bancarios o personales. ¿El logo de esa web se corresponde con el original de la empresa que nos interesa o parece retocado de algún modo? ¿Se incluye texto con errores ortográficos o gramaticales? Si es así, podría tratarse de una suplantación.
Como hemos señalado anteriormente, descargar una aplicación vinculada mediante un código QR siempre debe ser la última opción. Es mejor buscarlo manualmente en las tiendas oficiales de aplicaciones (Google Play, App Store) o en su sitio web oficial. Además, ignoraremos aquellos stickers que parezcan estar colocados encima de otros; Instalaremos un antivirus en nuestro dispositivo (para que nos avise de infecciones o direcciones sospechosas) y mantendremos su sistema operativo actualizado a la última versión para tener los últimos parches de seguridad.
Ingeniero Masahiro Hara
El origen de los QR: un juego de mesa
El origen de los códigos QR se remonta a 1994 en Japón, cuando la empresa Denso Wave (filial de Toyota) ideó un sistema para llevar un mejor control de su inventario: un patrón de puntos alineados vertical y horizontalmente que le permitía almacenar 200 veces más información. que los códigos de barras estándar.
El amor del ingeniero jefe de Denso Wave, Masahiro Hara, por el ‘go’, un antiguo juego de mesa, tuvo mucho que ver con la creación de este patrón. Mientras jugaba durante su hora de almuerzo, Harada notó que las piezas blancas y negras dispuestas en el tablero se combinaban de manera caprichosa: “De repente, observando la disposición de las piezas sobre ese fondo binario, en dos colores, me di cuenta de que era una manera muy fácil de transmitir información. “Fue como una revelación”, explicó a XL Semanal.
Hasta la fecha, Harada no ha ganado ni un euro con su invento.
