Este verano, un camarero de Mairena de Aljarafe escaneó un código QR creyendo que recibía el pago de la consumición, pero en realidad había aceptado una orden de cobro. Una estafa bautizada como QR inverso, y que permite además acceder a los datos personales y claves del usuario. Te explicamos cómo evitar los timos de escaneo de códigos QR.
Cada vez escaneamos más códigos QR
Aunque su origen se remonta a los años 90, tras la pandemia el uso de códigos QR se ha generalizado en nuestras vidas.
Su misión es facilitar el acceso a la información a través de su escaneo con la cámara del móvil: las siglas QR provienen del inglés quick response (respuesta rápida).
Resultaría tedioso hacer un listado de sus diferentes usos, pero a modo de ejemplo se pueden citar algunos tan comunes como en un restaurante para consultar la carta, en un museo para acceder a información adicional, en un hotel para descargar la aplicación de servicios, en una tienda para darse de alta en el club de fidelidad o acceder a un descuento, u otros más novedosos como el acceso a un evento o a determinados transportes.
Además, cada vez va a ser más habitual su uso como medio de pago, algo muy común ya en países como China o India. Se calcula que el 4% de las transacciones digitales globales se realizan ya por esta vía (Kleiner Perkins Caufield & Byers, Visa Inc. y GfK)
El problema es que si es manipulado con intereses espurios, puede no dirigir a donde pensábamos. En Texas se denunció un fraude en los parquímetros públicos, donde el usuario al utilizar el QR en realidad estaba pagando por el estacionamiento en una web fraudulenta.
Cómo evitar los fraudes con códigos QR
Desde la Oficina de Seguridad del Internauta (OSI) se advierte sobre el uso fraudulento de la tecnología QR y se aconseja tomar una serie de medidas para escanearlos de manera fiable y segura.
Antes de usar un código QR
No se trata de no utilizar una tecnología cómoda y útil en la mayoría de los casos, sino de aprender a hacer un uso racional. Por ello, antes de escanear con tu móvil un código QR debes saber lo siguiente:
- A qué página web esperas que te dirija.
- Si no es así, existe la posibilidad de que esa web no sea la que esperas. Puedes llevarte la sorpresa de visitar una web de contenido violento, pedófilo o que suplante la del comercio o promoción que esperabas encontrar para engañarte (phishing).
- ¿Has pensado que el QR te puede conducir a la descarga de una app que promete tener una funcionalidad, pero que en realidad te suscribe a servicios SMS de pago?
- ¿Y si la app es capaz de detectar fallos de seguridad en tu móvil para robar información?
- También puede secuestrar toda la información que guardas: contraseñas, fotos, vídeos, documentos, etc.
Consejos para escanear un código QR con seguridad
Conocidos los peligros, llega el momento de aprender a escanear los códigos QR con precaución. Seguimos las recomendaciones de OSI:
- Escanea solo los QR de establecimientos o marcas confiables ubicadas en un entorno natural. Evita hacerlo con los te encuentres en la calle, centros comerciales o transporte público sin estar debidamente identificados.
- Comprueba que el código QR no es una pegatina que alguien ha superpuesto tapando la original legítima.
- Al apuntar con la cámara de tu móvil al QR, y antes de entrar en la URL que ofrece, mírala para ver si te parece o no sospechosa. Lo más importante es asegurarte de que muestra el estándar de navegación segura, lo más común es que comience por ‘https’. Debes tener en cuenta que, de tratarse un fraude, no va a ser fácil identificarlo. Como bromean desde OSI, ningún ciberdelincuente va a identificarla con un gráfico ‘EstoEsUnaAplicacionFraudulenta’.
- No proporciones ningún dato privado ni ninguna contraseña en una web a la que hayas accedido con uno de estos códigos. “Es conveniente que si accedemos a páginas de bancos o tiendas online donde introducimos datos de nuestra tarjeta bancaria, lo hagamos desde la URL completa o a través de su aplicación propia”, explican en OSI.
- Si además quieres contar con una seguridad adicional, tienes dos opciones:
- Usar un analizador de enlaces. Aplicaciones como VirusTotal o URLVoid comprueban antes de abrirlo que la URL no esconde ningún ataque de ingeniería social, como phishing.
- Emplear aplicaciones de seguridad. Estos lectores de escáner sirven para hacer una lectura segura del código QR antes de activarlo (por ejemplo, Kaspersky QR Scanner).
Foto de Freepik