Según un estudio realizado por la compañía de software estadounidense Mobileiron, para comprender el uso de códigos QR durante la pandemia y descubrir los riesgos que representan, de más de 2.100 encuestados el 71% no puede distinguir entre un código QR legítimo y malicioso.
El 17% ha usado un código QR que ha desviado su dispositivo móvil a un sitio sospechoso.
Al 51% les preocupa que al emplearlos puedan poner en riesgo su privacidad seguridad y finanzas, pero lo siguen utilizando a pesar de todo; y el 34% afirma no importarles las consecuencias.
Por otro lado, el 35% de los encuestados no está seguro si los hackers pueden identificar a sus víctimas utilizando un código QR; y un 43% tiene previsto utilizar estos códigos como forma de pago en un futuro próximo.
Además, se estima que cerca de 11 millones de hogares en los Estados Unidos van a escanear un código QR este año y el 71%, no sabrá si es el comienzo de un ataque malicioso.
Durante la pandemia, la tecnología que ha experimentado un mayor auge es la de códigos QR. La búsqueda de alternativas a los documentos en papel para reducir el riesgo de contagio de la covid-19 ha disparado el uso de esta herramienta, que permite leer desde el móvil la carta de un restaurante o un programa cultural sin necesidad de pasarlo de mano en mano. Sin embargo, el éxito de dichos códigos ha llamado también la atención de los ciberdelincuentes. Las autoridades han detectado en los últimos meses un aumento de los intentos de fraude y robo de datos por esta vía y alertan de su uso como cebo para acceder a los dispositivos y hacerse con la información de los usuarios.
Alberto Redondo, comandante y jefe del Grupo de Delitos Tecnológicos de la Unidad Técnica de Policía Judicial de la Guardia Civil, nos explica que pueden darse varios supuestos: ‘‘Que los delincuentes peguen un código QR malicioso encima de uno real en museos, restaurantes, anuncios, etc., o que los sitúen en lugares públicos, de forma independiente y con cualquier excusa, como un sorteo’’. En el primer escenario, a los delincuentes les basta con colocar una pegatina con el código fraudulento sobre el código real y eso hace más difícil detectar la trampa; en el segundo, al no suplantar a la empresa real, sino colocar un anuncio en la calle, es más probable que el usuario dude sobre la autenticidad del código.
El principal problema de este tipo de fraude es que, al escanear el código con el móvil, ‘’el usuario no ve cuál es la URL o dirección web a la que accede’’, sino que entra en ella antes de poder darse cuenta. Según explica el comandante, lo más importante para no caer en el enredo es tener sentido común: ‘’Si vas a un restaurante y vas a leer la carta, no tiene ningún sentido que (al escanear el QR) te pidan un dato personal’’. El usuario debe sospechar cuando el enlace le lleva a un sitio de descarga, cuando el archivo que se descarga en su teléfono no es un PDF o un documento de Word (como suelen ser los menús de los restaurantes) y, sobre todo, cuando lleva a archivos ejecutables en el teléfono.
Lo más característico de los delitos a través de los códigos QR es que es el propio usuario el que toma la iniciativa en la interacción. Al escanearlo, es él el que va hacia la trampa, sin que el delincuente tenga que hacerle llegar el anzuelo de forma activa. Esto lo diferencia del smishing o el phishing, donde son los ciberdelincuentes los que envían a la víctima un enlace fraudulento a través de un SMS o de un correo electrónico respectivamente. Precisamente el phishing también se ha multiplicado durante la pandemia, en gran parte por el teletrabajo: el atacante puede hacerse pasar por una entidad e incluir archivos adjuntos o enlaces que contengan el virus a través de un correo que parezca relacionado con el trabajo de la víctima. En el caso de los QR, el virus podría infectar el teléfono al ejecutar archivos a través del enlace o de una aplicación (en el caso de que el usuario haya accedido a descargarla).
Una vez escaneado el código, se pudiera solicitar que descargues una aplicación, hay que tener mucho cuidado cuando lleva a mercados no oficiales, es decir, a otros que no sean Play Store o App Store, Redondo insiste en indicar que, si se baja la aplicación, bajo ningún concepto hay que dar permisos de pagos por internet o de envíos a contactos.
En 2020 España fue el tercer país más amenazado por los ciberdelincuentes, de acuerdo a lo indicado e identificado por Ironhack una escuela de tecnología. Además, los ciberdelitos son el segundo tipo de delincuencia más común, por detrás de los hurtos, según el último informe de su Ministerio del Interior. Aunque se ha confirmado el aumento de los casos de QR fraudulentos, fue la Policía Nacional de Málaga quienes, a principios de septiembre, alertó a través de sus redes sociales de esta nueva modalidad de estafa. Precisamente a través de las redes se detectan muchos de los casos, cuando los usuarios comentan el problema, aunque muchos no lleguen a denunciarlo. Por eso hay cifras ocultas y es complicado obtener datos concretos.
¿Qué es un Código QR?
Los códigos QR están hoy por todas partes como una manera conveniente de almacenar y distribuir información, al tiempo que sean rápidamente accesibles para cualquier persona y con dispositivos tan extendidos como un móvil inteligente.
El uso de estos códigos 2D (bidis) es amplísimo; en consumo, empresas y todo tipo de industrias. Puedes encontrarlos impresos en el embalaje de un producto; en una tarjeta de visita; en la mesa de un restaurante; en un supermercado; en un museo; en el campo de las monedas criptográficas; en anuncios publicitarios o en medicina para información de determinadas enfermedades y en los últimos tiempos incluidos en los ‘pasaporte COVID’.
Estos ‘códigos de respuesta rápida’ (definición del original en inglés Quick Response code) llegaron como un salto evolutivo de los códigos de barra y motivados por la necesidad de aumentar la cantidad de información y posibilidades de uso de lo que eran capaces de ofrecer éstos. Fueron creados en Japón por una subsidiaria de Toyota en 1994 y se extendieron con rapidez en el país asiático a finales de esa década. Finalmente, en junio del 2000, se aprobó el estándar internacional ISO que hoy se usa masivamente en todo el mundo hasta convertirse en el código 2D más popular de los existentes.
Como cualquier otro código de barras, un QR tiene el objetivo de almacenar información en una etiqueta óptica legible por algún tipo de máquina o dispositivo. Para ello, incluyen una matriz de puntos bidimensionales en formato cuadrado comúnmente en blanco y negro (aunque también hay de colores) y con tres cuadrados en las esquinas que permiten al lector que se use detectar la posición del código.
Aunque la gran mayoría de módulos se forman en colores blanco y negro, la norma admite cierta flexibilidad como para añadir otros colores.
También pueden incluir toques gráficos para hacerlos más atractivos y personalizados. O como advertencia de enfermedades o alergias que pueden ser leídos por sanitarios o fuerzas de seguridad en casos de accidente o emergencia.
La pandemia del coronavirus que nos está tocando sufrir también los ha impulsado, incluidos en los ‘pasaporte COVID’ o simplemente para digitalizar los menús de un restaurante, evitar el contacto con la carta física y reducir los riesgos de transmisión comunitaria. Herramientas avanzadas como el Contact Less Menu permiten a través de la lectura de los códigos QR no solo visualizar los distintos productos sino generar directamente un pedido tal y como haríamos en comercio electrónico.
En cuanto a su localización, los verás en cualquier tipo de material donde llegue un aparato para su digitalización, desde un trozo de papel, cartón, hasta en un trozo de tela. O de tamaño gigante en la fachada de un edificio. Y no solo en formato físico, sino también de manera virtual en la Web.
Para más información de ciberseguridad:
REFERENCIAS
Rebollo, Clara, Los ciberdelincuentes se reinventan durante la pandemia a través de los códigos QR, El País, recuperado: https://elpais.com/tecnologia/2021-09-16/los-ciberdelincuentes-se-reinventan-durante-la-pandemia-a-traves-de-los-codigos-qr.html
Ranchal, Juan, Códigos QR: ¿Qué son, para qué se usan y cómo trabajan?, MComputer, recuperado: https://www.muycomputer.com/2021/06/07/codigos-qr/
Daniels, Kenneth, ¿Puede mi organización sufrir un ciberataque mediante un Código QR?, Widefense, recuperado: https://www.widefense.com/recursos/ciberseguridad/codigo-qr/
