La carta de un restaurante, las entradas al teatro o el cine, la compra de un billete para el autobús, son solo algunas de las muchas situaciones que nos llevan a interactuar con los códigos QR. Más presentes que nunca, se han convertido en una nueva modalidad de estafa que puede acceder a nuestro dispositivo y robarnos datos personales y bancarios.
Los ciberdelincuentes recurren a los códigos para engañar con éxito a sus víctimas, ocultando malware y troyanos que se cuelan en los dispositivos y ponen en peligro a los usuarios. El código QR es un método de comunicación simple, rápido, intuitivo y aparentemente inocuo, pero al escanearlo puede redirigirnos a un enlace de contenido infeccioso.
Ante esta nueva modalidad de estafa, Andrés Román, Inspector Jefe de la Unidad de Ciberdelincuencia de la Policía Nacional de Málaga, recomienda “proteger los dispositivos y desconfiar de todos aquellos QR que aparezcan solitariamente colgados en lugares públicos como: metro, bares y demás”, incluso aquellos que estén pegados encima de alguna publicidad aparentemente ‘limpia’.
El experto en ciberdelincuencia alerta que un simple clic puede tener consecuencias nocivas para el usuario, como por ejemplo que nos espíen en directo a través de la cámara del móvil y registren todas nuestras claves, lo que se conoce como troyano bancario.
¿Y si hemos picado?
El Código QR funciona como un enlace y al escanearlo el dispositivo nos redirige a la web maliciosa. Para evitarlo, el Inspector aconseja deshabilitar en el dispositivo la opción que autoriza que el enlace se abra automáticamente una vez escaneado el código. En el peor de los casos, si hemos sido infectados con un malware, Román sugiere “desconectar inmediatamente la conexión y activar un antivirus en el móvil para analizarlo”. El experto aboga por proteger nuestros dispositivos con antivirus y recuerda que algunos de ellos incluyen protección contra QR malicioso.
En la misma línea, Selva Orejón, consultora experta en ciberseguridad e identidad digital y perito judicial, aconseja revisar “las configuraciones de seguridad y privacidad del dispositivo, no solo las del terminal, sino también los diferentes privilegios que otorgamos a las propias aplicaciones del teléfono (cámara, galería de fotos, ubicación geográfica, etc.)”.
Además de tener claro qué privilegios le damos a nuestro dispositivo, es necesario asegurarse que el código escaneado corresponde al restaurante, bar, cafetería o comercio al que dice pertenecer. Para ello, Selva aconseja fijarse en el estado del código, prestar atención al desgaste e intentar localizar el logo del establecimiento.
En caso de duda, la mejor decisión es no escanear, pero si ya lo hemos y no estamos seguro si hemos sido infectados, solo nos queda una opción: restablecer los datos de fábrica del dispositivo.
Toda precaución es poca
Esta nueva modalidad de estafa se une al ataque phishing en la plataforma de mensajería Whatsapp sobre la que ya ha alertado el Instituto Nacional de Ciberseguridad (Incibe). Los ciberdelincuentes suplantan la identidad de la aplicación simulando ofrecer a través de un enlace la posibilidad de realizar una copia de seguridad de las conversaciones y las llamadas de Whatsapp. Cuando el usuario accede al enlace, automáticamente se descarga un virus tipo troyano en el dispositivo, infectándolo con malware.
Conscientes de que el riesgo cero no existe, toda precaución es poca.