Los códigos de respuesta rápida o QR ganaron popularidad en la pandemia del coronavirus como una alternativa para acceder a diferentes contenidos y realizar trámites sin contacto. Menús en restaurantes, tiquetes de avión, recibos de servicios públicos, boletos de cine, entre otros, ya cuentan con esta tecnología.

Aunque este mecanismo no es nuevo, su uso se ha ampliado en la última década a diferentes sectores y permite abrir sitios web, descargar aplicaciones, hacer pagos y transferir dinero.

La adopción de esta herramienta ha hecho que los ciberdelincuentes en todo el mundo busquen nuevas técnicas para engañar a los usuarios por medio de este mecanismo. 

Entre las posibilidades que tienen los atacantes al hacer uso de códigos QR están la de elevar los permisos del administrador en el teléfono e instalar un software o aplicación con virus en el dispositivo. También pueden enviar al usuario a una página falsa para robar códigos de acceso o ingresar a las aplicaciones de pago del celular y realizar transacciones que deriven en robos.

 

Las amenazas

Una de las modalidades que ha cobrado fuerza es el QRLjacking, un ataque en el cual un usuario de WhatsApp es víctima del secuestro de su cuenta en la plataforma. Este es un engaño que se destaca por secuestrar la sesión a través de ingeniería social, para ello suplantan servicios como el de WhatsApp Web, con referencia al ‘Inicio de sesión con código QR’. Se reemplaza el código QR original, y se inserta un código QR que le posibilita al atacante robar las credenciales de la sesión del usuario y acceder a la cuenta.

 

 

A esto se suma otra técnica por medio de la cual el usuario al escanear el código QR malicioso carga e inicia automáticamente una llamada telefónica a un número que ya está predefinido y es de los atacantes.

Esto permite que el delincuente se quede con la información del identificador de llamadas, algo que puede generar otros ataques como el SIM Swapping, a través del cual se genera un duplicado de la tarjeta SIM y el atacante se queda con el acceso a la línea celular de la víctima.

 

¿Qué hacer?

Para prevenir cualquiera de estos ataques es importante que desconfíes siempre de los códigos que vas a escanear y tomes medidas antes de acceder a ellos. «Antes de escanear se debe comprobar la URL al ingreso, esto se puede realizar deshabilitando, en el caso de los dispositivos móviles, la apertura automática de los enlaces al escanear estos códigos», dijo Sol González.

Hacé uso de herramientas como Google Lens, que permite visualizar el enlace antes de ingresar. Hay aplicaciones gratuitas de reconocidas compañías de antivirus que permiten revisar los códigos en el teléfono para descartar que se trate de un ataque. Por último, use antivirus en tu celular, lo que le permitirá bloquear cualquier vulneración en la seguridad.