Saltar al contenido principal Saltar al menú principal Saltar al pie

Mantenerse seguro con códigos QR

Mantenerse seguro con códigos QR

Disminuir el tamaño del texto Aumentar el tamaño del texto

Página del artículo

quishingEl phishing de códigos QR es una táctica de ciberdelincuencia en la que se engaña a personas para que escaneen un código QR con sus teléfonos móviles. Esta acción aparentemente inocente puede redirigirlas a sitios web fraudulentos, lo que lleva a la instalación de malware o al robo de información personal confidencial.

Los códigos QR son, por sí mismos, herramientas inofensivas para almacenar datos. Sin embargo, surgen riesgos cuando se utilizan para almacenar URL, como los peligros que supone hacer clic en enlaces incluidos en correos electrónicos. La URL de un código QR puede redirigirle a un sitio de phishing diseñado para robar sus credenciales de inicio de sesión. Alternativamente, podría llevarlo a un sitio legítimo que aproveche una vulnerabilidad para permitir el acceso no autorizado a su cuenta.

Otro riesgo es que lo dirijan a un sitio web malicioso que interactúa con otros sitios web en los que está conectado en el mismo dispositivo y realiza acciones no autorizadas. Además, un código QR podría abrir una aplicación en su dispositivo y hacer que ejecute determinadas acciones. Esto es similar a hacer clic en un enlace de Zoom que abre automáticamente la aplicación y se une a una reunión. Si bien por lo general es inofensiva, esta función puede manipularse para exponer sus datos.

Por lo tanto, es fundamental verificar la seguridad y la fuente de la URL de un código QR antes de continuar. No se deje engañar por un logotipo familiar en el código QR; asegúrese siempre de que la URL provenga de una fuente confiable para su seguridad en línea.

El atractivo de los cibercriminales

La creación y distribución de códigos QR maliciosos es relativamente sencilla y requiere recursos mínimos. La falta de supervisión en la creación de códigos QR y la facilidad para colocarlos en espacios públicos los convierten en una herramienta atractiva para los estafadores.

Lugares donde un estafador puede distribuir un código QR malicioso al público. 
  • Tablones de anuncios en el trabajo, escuelas y supermercados.
  • Restaurantes que colocan códigos QR en los menús o en los soportes de mesa.
  • Parquímetros, máquinas de refrescos, máquinas expendedoras de billetes, centros de transporte.
  • Correos electrónicos y mensajes de texto de phishing y smishing con un código QR adjunto.
  • Carriles de autoservicio en restaurantes de comida rápida o instituciones financieras.
  • Bombas de gasolina y cajeros automáticos.
  • Escaparates de tiendas.
  • Anuncios publicitarios.
  • Volantes de papel.

Cómo funciona el quishing: métodos comunes

  • Estafas por correo electrónico: Los estafadores suelen enviar correos electrónicos de phishing que contienen códigos QR. Esta técnica se conoce como "quishing". Estos correos electrónicos se hacen pasar por una empresa creíble y te piden que escanees el código QR que aparece en su correo electrónico. Por ejemplo, pueden decirte que no se realizó el pago de una compra en línea y que debes volver a ingresar la información de tu tarjeta de crédito escaneando el código QR. Las víctimas desprevenidas escanearán el código QR, ingresarán a un sitio web que parece legítimo e ingresarán su información de pago. Ahora, el cibercriminal tiene acceso a la información de su tarjeta de crédito.
  • Estafas de pago: Los códigos QR pueden utilizarse para realizar pagos sin contacto en comercios legítimos. El uso de códigos QR para pagos fue muy popular durante el auge de la pandemia de COVID-19, ya que permitía a los clientes realizar compras sin tocar los lectores de tarjetas, lo que minimizaba la propagación de gérmenes. Sin embargo, los estafadores pueden colocar códigos QR en lugares públicos para robar su dinero o información de tarjetas de crédito. Por ejemplo, los delincuentes han colocado carteles en estacionamientos que indican a las personas que pueden pagar el estacionamiento escaneando el código QR. El código QR llevaría a los conductores a un sitio web para pagar su estacionamiento que parecía legítimo pero no lo era.
  • Estafas de paquetes: Si alguna vez recibes un paquete sospechoso por correo con un código QR, no lo escanees. En este tipo de estafa con código QR, los delincuentes te enviarán por correo un paquete que nunca pediste. Hay un código QR dentro del paquete (o en la caja) que puedes escanear para obtener más información sobre el pedido o para devolverlo. El código QR te llevará a un sitio web que te solicitará que ingreses tu información personal, como el número de tu tarjeta de crédito.
  • Estafas con criptomonedas: Los códigos QR se utilizan a menudo para las transacciones con criptomonedas. Sin embargo, los delincuentes pueden utilizarlos para robar criptomonedas a las víctimas. Es posible que se pongan en contacto contigo para ofrecerte un "regalo" que diga que puedes obtener el doble de criptomonedas si les envías criptomonedas primero. Sin embargo, nunca recibirás ninguna criptomoneda a cambio. Los estafadores también pueden invitarte a participar en una "inversión" y pedirte que les envíes criptomonedas. Estos estafadores se escapan con tus criptomonedas y es probable que nunca más vuelvas a saber de ellos.
  • Estafas de donaciones: Los estafadores pueden hacerse pasar por una organización benéfica o crear una organización benéfica falsa para robarle su dinero o información de su tarjeta de crédito. Pueden colocar códigos QR en folletos o enviárselos por mensaje de texto o correo electrónico para pedirle que done dinero a una causa.

Cómo mantenerse a salvo: pautas para el uso de códigos QR

  • Comprobación de manipulación: A veces, los estafadores reemplazan los códigos QR auténticos por códigos maliciosos. Antes de escanearlos, asegúrese de que el código no esté pegado sobre otro o que parezca fuera de lugar. Por ejemplo, una pegatina colocada sobre un código impreso en un producto o un póster es una señal de alerta. 
  • Considere la fuente: Deténgase siempre un momento para inspeccionar el código QR antes de escanearlo, especialmente si está en un objeto físico, como un póster o un folleto. Esto le dará la oportunidad de identificar cualquier irregularidad que pueda indicar una estafa. Confíe en los códigos de entidades conocidas y de buena reputación. Asegúrese de que el código QR lo presente una fuente confiable. Por ejemplo, si está en un establecimiento conocido, es probable que sus códigos sean confiables. Sin embargo, tenga cuidado con los códigos QR aleatorios en lugares públicos o entregados por personas desconocidas.
  • Códigos QR no solicitados ¡Cuidado! Al igual que cualquier llamada telefónica, correo electrónico, mensaje de texto y ahora códigos QR no solicitados, no conocemos la identidad ni la intención del remitente. No responda, no cuelgue, no responda mensajes de texto ni haga clic en ningún enlace. Lo mismo ocurre con los códigos QR que reciba sin que los haya solicitado. La decisión final de escanear un código QR es suya. Pero la forma más segura de asegurarse de con quién se está conectando en una empresa, institución financiera o minorista es que usted sea el primero en ponerse en contacto. Si recibe un código QR de una empresa, minorista o institución financiera con la que tiene una relación, también puede ponerse en contacto con ellos a través de su número de teléfono conocido o de su sitio web legítimo. Nunca confíe en la palabra de un código QR entrante cuando se trata de su autenticidad. 
  • Inspeccione e investigue antes de apuntar: Los códigos QR se han creado para que llegues a tu destino rápidamente. Sin embargo, un consumidor bien informado no debería apresurarse a escanear un código QR. ¿Hay otro código QR debajo del código QR visible? ¿El anuncio o la publicación con el código QR es gramaticalmente correcto y está en un lugar donde esperarías que esté el anuncio QR? ¿La ubicación del código QR sería fácilmente accesible para el actor criminal para publicarlo? Los códigos QR están pensados ​​para acortar el tiempo que tardas en llegar a un sitio web legítimo. Pero si no estás seguro, ¿no sería mejor buscar en Google la empresa o la organización benéfica y visitar el sitio web conocido? Recuerda, la forma más rápida de llegar a un destino puede no ser siempre la más segura.
  • Considere los riesgos: Sopese la conveniencia de los códigos QR frente a las posibles amenazas.
  • Redirección cuidadosa: Examine la URL que aparece después del escaneo.
  • Mantenga los dispositivos actualizados: Las actualizaciones periódicas pueden proteger contra ciertas vulnerabilidades.
  • Cuidado con los peligros digitales: Cuando encuentre un código QR en un correo electrónico o en un sitio web, asegúrese de que la fuente sea creíble. Los cibercriminales suelen incorporar códigos maliciosos en correos electrónicos de phishing o sitios web comprometidos. Verifique siempre la dirección de correo electrónico del remitente y verifique la URL del sitio web para garantizar su legitimidad.
  • Escanear con precaución: Recuerda que un código QR es básicamente un enlace y, como cualquier otra URL en Internet, puede llevar a sitios o descargas perjudiciales. Aunque el código QR parezca seguro, evita descargar archivos o introducir información personal a menos que estés seguro de la seguridad del destino. 
  • Manténgase actualizado: Actualice periódicamente el software y las aplicaciones de su dispositivo móvil. Los dispositivos actualizados suelen incluir los últimos parches de seguridad que pueden proteger contra ciertas vulnerabilidades que se explotan mediante códigos QR maliciosos.
  • Confía en tus instintos: Si algo parece extraño o demasiado bueno para ser verdad (por ejemplo, un código QR que promete una gran recompensa solo por escanearlo), es mejor abstenerse.
  • Si no funciona...dígaselo a alguien: Si usa un código QR y recibe un mensaje que indica que hay un error o que el sitio no funciona después de proporcionar su cuenta o información personal, dígaselo a alguien de inmediato. Si está en un restaurante, dígaselo al gerente e infórmele sobre el Quishing. Si un código QR en un parquímetro no funciona, llame a la policía local o al departamento de policía local. Cuanto antes se detecten estos códigos QR fraudulentos, más rápido podrán reaccionar las autoridades y las empresas.
  • Control de calidad de sitios web: Los sitios legítimos tienen diseños profesionales y redes seguras. Los comercios electrónicos, minoristas, organizaciones benéficas e instituciones financieras legítimas dedicarán un tiempo considerable al marketing profesional, al diseño gráfico y, lo más importante, a la seguridad. Si la calidad del sitio parece deficiente, es muy posible que se trate de un sitio web falso o fraudulento. Los estafadores buscan gastar lo menos posible para crear un sitio y saben que el tiempo corre hasta que se acabe el trabajo para ese sitio. Por lo tanto, el estafador generalmente tomará atajos para minimizar su tiempo y recursos para centrarse en el fraude. Además, busque ese logotipo de red segura en la parte inferior de la pantalla para asegurarse de que se muestre como un sitio web seguro. Además, asegúrese de que la URL comience con "https:". Esa última letra indica que es un sitio web seguro. No significa que no sea un sitio web fraudulento o que el sitio no haya sido pirateado, pero el riesgo se reduce. 
  • Expectativas realistas: Si una oferta parece demasiado buena para ser verdad, es probable que no lo sea. Los descuentos poco razonables, las oportunidades de inversión importantes y las ofertas de criptomonedas deberían ser señales de alerta. 
  • Utilice un escáner QR seguro: Algunas aplicaciones para teléfonos inteligentes ofrecen escaneo de códigos QR con funciones de seguridad integradas que verifican el destino antes de abrirlo por completo. Considere usar una de estas aplicaciones para agregar una capa adicional de protección.
  • Deshabilitar el escaneo automático: Algunos escáneres de tu dispositivo móvil pueden escanear códigos QR automáticamente. Asegúrate de desactivar esa función en tu teléfono para evitar que tu dispositivo escanee códigos QR maliciosos.
  • Utilice lectores QR que detecten malware: Asegúrese de que su dispositivo esté protegido.

Acciones a tomar si eres víctima de Quishing

  • Si proporcionó información de su cuenta, comuníquese con esa institución financiera o minorista de inmediato y solicite el cierre de la cuenta. Si proporcionó contraseñas para preguntas de seguridad de las cuentas, cámbielas.
  • Si proporcionó su información PII, presente un informe de robo de identidad ante el departamento de policía local, así como ante la Comisión Federal de Comercio (https://reportfraud.ftc.gov/#/). Proporcione la ubicación sospechosa del código QR que escaneó, así como el enlace URL de su historial de navegación, pero no ingrese al sitio para verlo nuevamente. 
  • Notifique a las agencias de crédito y presente un informe de robo de identidad y solicite un “congelamiento de crédito”. Esto evitará que alguien abra una nueva cuenta con su información PII. Sin embargo, deberá seguir controlando sus cuentas existentes para detectar fraudes. Según la información PII que haya proporcionado, el estafador puede tener acceso a varias cuentas asociadas con usted.
  • Si sospecha que ha descargado malware en su dispositivo Android, tiene dos opciones.
a. Descargue un software de escaneo de malware confiable en su teléfono y realice un escaneo completo.
b. Los usuarios también pueden usar Google Play Protect para escanear sus aplicaciones en busca de malware.
c. Haga clic aquí para obtener más información sobre a quién escanear en busca de malware en teléfonos Android. 
  • Para los usuarios de iPhone, no hay aplicaciones descargables que detecten malware en su teléfono. Debido a las restricciones de seguridad de iOS, no es posible que ninguna aplicación escanee el sistema u otras aplicaciones en busca de malware. Apple no permite estas aplicaciones. Sin embargo, existe un software que puede ayudar a proteger su teléfono y a identificar sitios web maliciosos, llamadas telefónicas fraudulentas y mensajes de texto. 
  • Si utilizó su teléfono móvil después de una descarga de malware, deberá cambiar su contraseña. Sin embargo, primero deberá ejecutar un análisis en busca de malware en su teléfono Android. Una vez hecho esto, se recomienda que cambie las contraseñas que haya utilizado para acceder a cualquiera de sus cuentas. También se recomienda que cambie el código de acceso de su teléfono. Sin embargo, asegúrese de que se haya realizado primero el análisis en busca de malware. Si es usuario de iPhone, se recomienda que cambie las contraseñas de los sitios en los que haya iniciado sesión después de acceder al código QR.
  • Asegúrese de tener autenticación multifactor en su teléfono celular y en cualquier cuenta a la que haya accedido.




Temas relacionados

Relacionado:

El pie de página no tiene contenido