Códigos QR: 5 formas en que pueden ser aprovechados por estafadores

El uso de los códigos QR tuvo una explosión con la pandemia y como suele suceder con cualquier tecnología que se vuelve popular, también captó la atención de los cibercriminales que los están utilizando con fines maliciosos. 

Por lo que la compañía ESET advierte de qué forma pueden ser aprovechados los códigos QR por los estafadores para engañar a sus víctimas.

“Dada la versatilidad de los códigos QR y la gran cantidad de acciones que se pueden realizar, el abanico de posibilidades para un cibercriminal es sumamente amplio. Si a esto le sumamos la cantidad de códigos QR que encontramos en bares, restaurantes, comercios, hoteles, aeropuertos e incluso plataformas de pagos y certificados de salud, la superficie de ataque se amplía aún más”, menciona Cecilia Pastorino, investigadora de seguridad informática.

Acciones maliciosas que podrían realizar los cibercriminales:
1. Redirigir al usuario a una web maliciosa para robarle información: Al igual que los atacantes emplean técnicas de malvertising o BlackHat SEO para dirigir a sus víctimas a sitios fraudulentos, podrían hacer lo mismo con los códigos QR. 

2. Descargar un archivo malicioso en el equipo de la víctima: Muchos bares y restaurantes utilizan códigos QR para que el usuario descargue un archivo PDF con el menú o instalen una aplicación para realizar el pedido. 

3. Realizar acciones en el dispositivo de la víctima: Los códigos QR pueden generar acciones directamente en el dispositivo lector, estas acciones dependerán de la aplicación que los esté leyendo por lo que hay que prestar atención a las falsas apps de lectores de QR. 

4. Desviar un pago o realizar solicitudes de dinero: La mayoría de las aplicaciones financieras digitales actuales permiten realizar pagos a través de códigos QR que contienen los datos del receptor del dinero. Muchas tiendas dejan estos códigos a la vista de sus clientes para facilitar la operación. Un atacante podría modificar este QR con sus propios datos y recibir así los cobros en su cuenta. 

5. Robar la identidad del usuario o el acceso a una aplicación: Muchos códigos QR se utilizan como un certificado para verificar información de una persona, como el documento de identidad o los pases sanitarios. 

Por otro lado, muchas aplicaciones (como WhatsApp, Telegram o Discord) utilizan códigos QR para autenticar la sesión de un usuario y permitirle acceder a su cuenta. Tal como ya ha ocurrido con WhatsApp, los ataques como QRLjacking pueden engañar a un usuario suplantando la identidad de un servicio y provocar que escanee el QR proporcionado por el atacante.

“En la mayoría de los casos identificados, el atacante deberá crear un código QR malicioso que luego reemplazará por el código original para que la víctima escanee. Es decir, que muchos de estos riesgos se basan en la ingeniería social y en lograr engañar a la víctima”, agrega Pastorino.