El Covid-19 logró, entre muchas cosas, que el Códigos QR se han convertido en parte de la vida cotidiana de la sociedad. Estas diseños escaneables desde el celular te permiten acceder a la carta de un restaurante, realizar pagos digitales o incluso portar carnet de conducir en tiempos de aislamiento. Sin embargo, ciberdelincuentes también les permite especificar trampas.
La Policía Nacional de España detectó una nueva estafa que bien podría ocurrir en Argentina en la que se utilizan códigos QR para obtener datos personales y bancarios de las víctimas. El primero caso de phishing de este tipo se ha detectado recientemente en Málaga.
Esta estafa cibernética fue bautizado como qrishing, que es el mismo robo de identidad que el phishing pero a través de QR. El código escaneado no conduciría al sitio web apropiado sino a otro sitio web fraudulento donde finalmente se cometería la estafa.
El italiano Gabriele Pellerone decidió tatuarse el código QR de su carnet de vacunación contra el Covid-19.
Para no caer en esta trampa es imprescindible opción de deshabilitar para que los enlaces escaneados se abran automáticamente.
Además, debes prestar atención al enlace que aparece en pantalla y asegurarte de que sea el correspondiente al que se debe abrir.
El Instituto Nacional de Ciberseguridad de España, por su parte, advirtió que los ciberdelincuentes, además de qrishing, también tienen otros métodos para utilizar códigos QR de forma fraudulenta.
Con el qrkjacking Pueden robar cualquier cuenta que necesite un código QR para iniciar sesión, como podría ser el caso de WhatsApp.
Por otro lado, mediante QR, también se podría descargar malware al dispositivo que podría filtrar información o suscribirse a servicios que el usuario no solicitó. Los delincuentes también tendrían la posibilidad de acceder al micrófono o la cámara del móvil.
WhatsApp, una víctima
Cualquiera que haya utilizado la versión web de la aplicación de mensajería en un ordenador sabe que el proceso es muy sencillo: frente a la pantalla principal de la aplicación, solo es necesario acceder a las opciones (arriba a la derecha) y seleccionar WhatsApp Web, para Once se selecciona la opción, aparecerá una pantalla para escanear un código QR.
Luego, simplemente abra la página de acceso a WhatsApp en la computadora (https://web.whatsapp.com), escanee el código a través de la aplicación y listo: la aplicación se puede usar en la computadora.
Según fuentes reveladas por la empresa de ciberseguridad ESET, los ciberdelincuentes aprovechan esta función para convencer a las víctimas de que escaneen el código QR generado por ellos para llevar a cabo el ataque.
Su estructura interna abre una página estándar solo a modo de ejemplo, ya que el código fuente de la página está disponible para su modificación y acepta códigos HTML, scripts, así como otros recursos llevados al desarrollo web.
La versión web de WhatsApp puede verse comprometida por los ciberdelincuentes.
Los especialistas no recomiendo dejar de usar WhatsApp Web por el simple hecho de que se descubre que no tiene suficientes funciones de seguridad para evitar que las cuentas sean secuestradas.
Solo basta con tener un comportamiento seguro y estar alerta, ya que algunos detalles no pueden ser alterados ni siquiera por el atacante más experimentado.
Además, el uso de estas aplicaciones implica que debes tener algunos conocimientos previos. En el caso de WhatsApp, el recurso para escanear códigos QR sirve única y exclusivamente para permitir que los usuarios utilicen la aplicación en sus equipos, nada más.
“Sospeche si algún anuncio solicita que el usuario escanee un código QR a cambio de algún beneficio o como parte de un proceso de validación, independientemente del sitio o marca que represente el anuncio”, dicen.
Y añaden: “En el caso de que un servicio, aplicación o empresa utilice un recurso como el código QR como parte de una acción o beneficio, se daría a conocer ampliamente a través de sus canales oficiales”.
Las redes públicas o poco fiables deben utilizarse lo menos necesario. También esté atento cuando navegue por Internet, incluso en redes seguras, como en casa o en el trabajo.
Cuando ocurre un ataque de este tipo, el usuario no suele recibir ningún tipo de devolución. Entonces, en caso de que escanee un código y no obtenga ninguna acción en respuesta, probablemente sea un ataque.
“En caso de dudas, en la pantalla principal de WhatsApp seleccione la opción WhatsApp Web y cierre todas las sesiones que se iniciaron. Esto hará que los delincuentes pierdan el acceso a la cuenta de WhatsApp de sus víctimas de inmediato”, recomendaron.
Por último, los usuarios también deben conservar todos los programas de seguridad activados, actualizados y configurados para bloquear amenazas, tanto en su teléfono inteligente como en su computadora. Las actualizaciones aportan nuevos recursos y corrigen cualquier problema de seguridad que puedan tener los programas.