Ciberdelincuencia: El peligroso mundo de los códigos QR

Los códigos QR están en todas partes en estos días. Las personas los usan para abrir sitios web, descargar aplicaciones, acumular puntos de lealtad, realizar pagos y transferir dinero. Esto es muy conveniente para las personas, pero por supuesto hay una trampa: los ciberdelincuentes también intentan sacar provecho y ya han ideado numerosos trucos utilizando códigos QR.

Un código QR creado por los ciberdelincuentes puede conducir a un sitio de phishing que se parece a la página de inicio de sesión de una red social o banco en línea. Por lo tanto, recomendamos siempre verificar los enlaces antes de tocarlos o hacer clic en ellos. Un código QR no ofrece esta posibilidad y los atacantes a menudo usan enlaces acortados, lo que hace que sea aún más difícil reconocer un enlace falso cuando el teléfono inteligente pide confirmación. Trucos similares pueden engañar a los usuarios, haciendo que descarguen malware en lugar de la otra aplicación prevista.

Esta variedad de posibilidades hace que los códigos QR sean ideales para la manipulación y distribución a través de varios canales, incluidas las redes sociales. Un muy buen ejemplo fue explicado en un artículo de blog anterior por mi colega Karsten Hahn, sobre los códigos QR que anuncian software pirateado para atraer a las personas a descargar una extensión maliciosa de Chrome en lugar del software esperado.

Y hay mucho más sobre cómo se pueden usar los códigos QR para el fraude.

¿Qué son los códigos QR?

Los códigos QR son básicamente una versión un poco más sofisticada de los códigos de barras. Aquí radica el problema: tales códigos no son legibles por humanos, por lo que no hay forma de verificar o verificar previamente qué datos están contenidos en ellos y qué podría suceder cuando los escanea. Así que tenemos que confiar en la integridad y las buenas intenciones de los creadores de código. El sistema puede ser explotado de muchas maneras.

Muchos de los teléfonos inteligentes actuales tienen un escáner QR incorporado, y todos pueden descargar una aplicación que lee todos los códigos QR. Para escanear un código QR, el usuario simplemente abre la aplicación del escáner y apunta la cámara del teléfono al código. En la mayoría de los casos, el teléfono inteligente da una notificación para ir a un determinado sitio web o para descargar una aplicación.

Por ejemplo, puede encontrar un código de este tipo en una pared del museo, y escanearlo con la aplicación oficial del museo podría iniciar una visita guiada. Además de vincular a un sitio web o un archivo de audio, también se puede imprimir un código QR en una tarjeta de visita y contener un archivo de contacto digital con nombres, números de teléfono y direcciones de correo electrónico. De esa manera, puede agregar inmediatamente los datos de contacto de una tarjeta de presentación a los contactos de su teléfono sin escribirlos. Otras posibilidades incluyen compartir su ubicación con una aplicación, enviar un mensaje de texto, agregar un evento a su calendario o configurar una red Wi-Fi preferida con detalles de inicio de sesión para la conexión automática. Incluso es posible meter programas enteros en un código QR, aunque es cierto que esta es más una aplicación de nicho que aún no ha visto un uso generalizado.

¿Cómo funcionan los atacantes?

Los atacantes que quieren hacer daño con un código QR primero deben persuadirlo para que lo escanee. Dos tácticas dominan aquí:

  1. El truco del reemplazo: No es inusual que los atacantes se aprovechen del trabajo y la reputación de las partes legítimas reemplazando un código QR genuino en, por ejemplo, un póster con el suyo propio.
  2. El truco de las fuentes maliciosas: los ciberdelincuentes pueden colocar un código QR con un enlace a su creación en un sitio web, en un banner, en un correo electrónico o incluso en un anuncio impreso. El objetivo es a menudo hacer que las víctimas descarguen una aplicación maliciosa. En muchos casos, los logotipos de Google Play y App Store aparecen junto al código para una mejor credibilidad.

Las posibilidades son casi infinitas. Los códigos QR también se encuentran comúnmente en facturas de servicios públicos, folletos, letreros de oficina, presentaciones dentro de Powerpoint y prácticamente en cualquier lugar donde pueda esperar encontrar información o instrucciones.

El fraude del parquímetro

El viejo parquímetro que funciona con monedas, también está viendo una transición a los tiempos modernos. Además de varias monedas, a menudo también puede usar una aplicación para pagar su tarifa de estacionamiento. Lo cual es muy conveniente, porque todos hemos tenido un parquímetro o una máquina expendedora de algún tipo que rechaza repetidamente nuestras monedas sin razón aparente.

Abres la aplicación, ingresas el código de tu parquímetro y luego puedes pagar a través de la aplicación. Esto es bastante conveniente, pero los delincuentes lo han llevado un paso más allá. A principios de este año, surgieron informes sobre pegatinas fraudulentas que aparecían en algunos parquímetros en ciudades de los Estados Unidos. Fueron diseñados para parecer que podría escanear el código y pagar su tarifa de estacionamiento de esa manera, lo cual es aún más conveniente. El problema es que el código QR nunca fue emitido por el municipio como forma de pago. Entonces, en el peor de los casos, es posible que no solo pierda el dinero que asumió que pagó por su tarifa de estacionamiento, sino que también podría enfrentar las consecuencias de haber entregado datos de pago, como su número de tarjeta de crédito, a los delincuentes. Y como si todo esto no fuera suficiente ya, incluso podrías terminar remolcando tu auto.

Los códigos QR son lo suficientemente comunes para muchas cosas, por lo que a primera vista, hacer que hagan cosas como el pago tiene sentido. Pero a menudo, los códigos QR NO son elegidos para este propósito por la administración pública por esta razón exacta: son falsificados con demasiada facilidad. Por lo tanto, informarse de tales modalidades con anticipación es una buena idea.


Desde la perspectiva de los delincuentes, este es un esquema de riesgo relativamente bajo. Tener pegatinas de alta calidad y aspecto profesional impresas es lo suficientemente barato y fácil y, por lo tanto, la inversión en material es mínima. Hay fuerza en los números. Los delincuentes prácticamente alcanzan el punto de equilibrio después de que el primer pago llega a través de un código QR falso, y cada pago posterior es una ganancia neta, especialmente si puede gruñir los datos de la tarjeta de crédito además de los pagos que recopila. Amplíe esto a una operación que involucre unas pocas docenas de parquímetros en un área razonablemente próspera y tendrá la idea.

Los parquímetros modernos aceptan el pago en efectivo, con tarjetas o a través de una aplicación. Los códigos QR no se utilizan para el pago

.

El fraude de «Extraño necesitado»

En los Países Bajos, se informaron casos de personas que convencieron a extraños en la calle para escanear códigos QR con el fin de transferir una pequeña cantidad de dinero. Esto podría ser una tarifa de estacionamiento, un boleto para el transporte público o cualquier otra cosa que implique ayudar a un extraño a salir de un apuro menor. Volviendo a nuestro ejemplo anterior, alguien podría afirmar que intentó pagar su tarifa de estacionamiento usando monedas, pero el parquímetro las rechazó. Y por alguna razón no pueden hacer el pago usando la aplicación oficial. Luego le piden a un extraño que los ayude usando, lo adivinaste, un código QR que muestran a su víctima y les piden que lo escaneen. El código supuestamente envía a la «persona necesitada» una pequeña cantidad de dinero para un pago en línea de dicho boleto de estacionamiento (alternativamente, podrían afirmar que pagan la tarifa de estacionamiento directamente a través del código), y nuestro «buen samaritano» recibe la cantidad adeudada de, digamos, 2 euros, en ese momento y allí, en efectivo. Pueden parecer apresurados por llegar a algún lugar importante y decir cosas como «Por favor, la máquina está rota y no aceptará ninguna moneda y realmente necesito estar en algún lugar, ¿podría escanear este código y hacer el pago por mí? Eso me ayudaría mucho: ¡aquí tienes, te devuelvo el dinero aquí y ahora!» Pero en realidad, tan pronto como se ingresan los datos de pago, aterriza en manos de los delincuentes.

Los delincuentes a menudo abusan de la voluntad de otras personas de ayudar

¿Qué puedes hacer?

  1. Tenga cuidado con el enlace que aparece después de escanear el código. Tenga cuidado si el enlace se acorta porque con los códigos QR realmente no hay razón para acortar un enlace. En su lugar, use un motor de búsqueda o vaya usted mismo a la tienda oficial o a la dirección en línea.
  2. Haga una rápida verificación «física» antes de escanear un código QR en un póster o tablero para asegurarse de que el código no esté fijo en la parte superior de la imagen original.
  3. Recuerde siempre que cualquier título impreso debajo o al lado del código QR no está conectado de ninguna manera al código en sí.
  4. Utilice un programa como el escáner QR de G DATA que verifica los códigos QR en busca de contenido malicioso y sitios web falsos.
  5. Los códigos QR, así como los códigos de barras, también pueden contener información valiosa, como números de boletos electrónicos. Por lo tanto, nunca debe publicar imágenes de ningún documento personalizado que contenga dichos códigos en las redes sociales. Esto incluye entradas para conciertos, tarjetas de embarque y otros documentos. Si realmente desea compartir la imagen, asegúrese de cubrir el código al menos parcialmente, ya sea con algún elemento que tenga a mano o usando los dedos.
  6. Ser consciente es el primer paso para armarse contra los ciberdelincuentes. Si alguien se acerca a ti en la calle y te pide que escanees un código QR, entonces ahora sabes que esto es potencialmente peligroso. Los delincuentes son muy buenos para aprovecharse de su ayuda y, a menudo, actuarán como si tuvieran prisa, sin darle tiempo para pensar. No te sientas culpable por simplemente alejarte si no confías en él.
  7. Si tiene dudas sobre la autenticidad de un código QR en algo como un folleto, generalmente es más sabio no escanear el código. Puede ser más lento, pero siempre puede ir manualmente al sitio web mencionado para obtener más información. Esto es ideal cuando no confías en él.

Cuándo involucrar a las autoridades

Si su dinero está involucrado o su banco, llame a su banco de inmediato para que su cuenta sea congelada temporalmente. Además, siempre es aconsejable denunciarlo a la policía. No siempre será fácil averiguar quiénes son los perpetradores, ya que estos criminales a menudo hacen todo lo posible para permanecer en el anonimato. Sin embargo, es importante denunciar el delito a la policía, porque de esta manera pueden tener una mejor idea de la magnitud del problema.

Si se le aborda de esta manera en un sitio o aplicación, siempre informe la cuenta en cuestión. De esta manera, el sitio web puede bloquear la cuenta y evitar que otros también se conviertan en víctimas.

Los códigos QR alguna vez se desarrollaron para nuestra conveniencia a veces, ¡pero siempre debe pensarlo dos veces si los está usando!

Crédito de la imagen: Foto del parquímetro por Braeson Holland / Pexels
«Ayuda» foto por MART PRODUCTION/ Pexels

Enlace: Cyberbrime: El peligroso mundo de los códigos QR | G DATOS (gdatasoftware.com) Blog de G DATA
Eddy Willems