Cuidado con los códigos que escaneas con tu móvil: así están usando los QR para robarte

Los códigos QR ya se han convertido en una parte más del ritual de consumir en un bar. Llegas, pides algo de beber y, cuando llega el momento de ordenar comida, la carta de toda la vida ya no está ahí. En su lugar hay una combinación de cuadraditos blancos y negros que, debidamente escaneados con la cámara del móvil, redireccionan al listado de platos del establecimiento. Es un proceso que hace no mucho habría parecido un tanto exótico, pero que la pandemia ha impulsado hasta su normalización. El problema es que se están falseando para realizar robos de todo tipo.

Y es que esta tecnología tiene una historia paralela a la de sus avances: la de quienes aprovechan la evolución constante para sacar provecho y diseñar estafas que van mutando de forma paralela. Los 4.296 caracteres alfanuméricos que pueden soportar los QR no han sido una excepción.

Pese a ser una tecnología no demasiado compleja y antigua —existe desde 1994—, estos códigos no parecían encontrar su sitio del todo, pero las restricciones del covid hicieron que este sistema se extendieran a mil y una situaciones: desde llevar a una determinada web para validar un billete de transporte o la entrada a cualquier evento, pasando por acceder a una red wifi. Todas ellas son susceptibles de convertirse en fraude sin quererlo.

TE PUEDE INTERESAR

¿Llevarías la compra a tu vecino por 5 euros? El BlaBlaCar de la paquetería llega a España

Mario Escribano

En España, el Instituto Nacional de Ciberseguridad (Incibe) ya lanzó una alerta sobre este tipo de estafas en los primeros meses de la pandemia, cuando se veía venir que los QR iban a ser una realidad para la mayoría de la población. Además, la Policía Nacional ha detectado esta práctica en Málaga, donde se descubrió que la estafa buscaba "hacerse con datos personales o bancarios de las víctimas".

¿Quién no se fía de un QR que ha encontrado en un lugar de confianza? Josep Albors, jefe de Investigación de ESET en España, apunta que este tipo de estafas tienen su denominador común en la facilidad tanto para crear el fraude como para 'picar'. Además, agrega, el propio QR "te puede redirigir a cualquier lado", ya que, en esencia, es un enlace, por lo que tiene idénticos riesgos.

La amenaza puede venir de cualquier sitio

Una vez ha ocurrido esto, el fraude puede ir por cualquier sitio. Uno de los más claros son los ataques de 'phishing', que tienen el objetivo de robar datos: bastaría con una interfaz similar a la de la web suplantada para pedir determinada información, que acabaría en el lado de los atacantes. "La víctima piensa que está introduciendo sus datos en un sitio legítimo y luego tiene este desenlace", comenta Albors.

Eso es lo que pasó hace unas semanas en Austin (Texas), donde se encontraron una veintena de pegatinas con estos códigos en varios parquímetros. Todas invitaban a hacer el pago y todas eran falsas, ya que simplemente la empresa responsable no ofrecía este tipo de servicio. Por ahora, se desconoce la magnitud de la estafa.

Pero también puede ser más enrevesado y que el QR lleve a descargar algún tipo de archivo malicioso. Y ahí entran desde un PDF hasta una 'app' fraudulenta que pueda espiar tu teléfono. Aquí cabe recordar que se ha registrado también 'malware' que provenía, directamente, de la propia 'app' que leía los códigos. Fue lo ocurrido con Barcode Scanner que, tras ser vendida, alteró su código en una actualización. ¿Para qué? Para incluir un troyano que llenaba de anuncios los 10 millones de teléfonos en los que estaba instalada.

Muchos usuarios de iOS, que incluye el lector de QR en el 'software' de la cámara, pueden pensar que esto les deja fuera de riesgo. Es cierto en este caso, pero el jefe de investigación de ESET recuerda que "el entorno de Apple puede impedir descargar páginas maliciosas, pero creer que una web es auténtica y que te roben puede pasar tanto en iOS como en Android".

TE PUEDE INTERESAR

News Corp, la empresa de Rupert Murdoch, sufre un ciberataque que apunta a China

Teknautas

No obstante, el QR también puede descargar 'software' que tenga fines más turbios, como activar acciones en remoto en tu teléfono. Entre estas acciones, estarían "conectar un aparato a una red wifi, enviar un correo electrónico o un mensaje SMS con un texto predefinido o guardar información de contacto en el terminal", comentan en ESET, algo que podría conllevar males mayores como "hacer que un dispositivo se conectase a una red comprometida o enviar mensajes en nombre de la víctima". A partir de ahí, las posibilidades son casi infinitas.

Aunque está lejos de ser habitual, la compañía de ciberseguridad también destaca un caso que podría ser especialmente dañino, sobre todo en un contexto en que el pasaporte covid se está generalizando. En efecto, se trata de la suplantación de un determinado servicio, de modo que el usuario proporciona un QR con información personal sensible —como los datos médicos— y quien lo recibe es el atacante, en lugar del destinatario en cuestión.

Entre los consejos para evitar este tipo de estafas, los especialistas insisten en ir con mil ojos cuando se acude a escanear un código con el móvil. Esto pasa por echar un vistazo para comprobar que el QR no es, en realidad, una pegatina sobrepuesta, pero también por evitar los pagos con este método y no capturar cualquier código que se encuentre por la calle si se desconoce el origen. Y una vez se ha accedido al enlace o archivo en cuestión, revisar si la URL es la real y los permisos que se han concedido para que el móvil automatice procesos cuando capta un QR. "Ahora se les ha dado un uso masivo y hay que estar alerta", remata Albors.