Cuidado con QR, pueden hacernos caer en estafas o robar nuestros datos

Fuenlabrada

Es cierto que los códigos QR son muy útiles en nuestros días y los encontramos cada vez en más lugares, desde las cartas de restaurantes hasta en exposiciones, sin embargo, no es la primera vez que su utilización ha llevado al usuario a web fraudulentas para robarle datos o le han suscrito, sin saberlo, a un servicio Premium que paga religiosamente hasta que se da cuenta del problemas. Por eso, expertos como Marc Rivero, Lead Security Researcher de Kaspersky, empresa global de ciberseguridad, pide tener “especial cuidado si los escaneamos en lugares públicos, ya que pueden haber sido manipulados o colocados por ciberdelincuentes que intenten hacerse con los datos y el dinero de los usuarios”.

Algo así ha ocurrido en el caso del presunto engaño a través del servicio de Bicimad. La denuncia interpuesta por el Ayuntamiento de la capital ante la Policía Nacional por un intento de estafa a través de este sistema, ha hecho que se hayan vuelto las miradas, otra vez, a estos códigos.

En esta ocasión, al parecer, personas desconocidas habían colocado pegatinas con códigos QR encima de los que se emplean para el desbloqueo de las bicis del Consistorio madrileño, en la parte superior del cuadro de los aparatos. Al escanearlo desde la App de Bicimad, la aplicación informaba de un error, pero si se hacía desde la cámara de un teléfono móvil, lo que ocurría es que al usuario se le redirigía a una web fraudulenta en la que se pedía un pago en libras para desbloquear la bici.

Consejos de seguridad

Para acceder a la información a través de QR sólo debemos usar la cámara del teléfono y enfocar el código, ya que la mayoría de los móviles tienen instalada de forma automática una herramienta para escanear códigos. Tras el escaneo aparece una pantalla donde vemos un link completo, antes de entrar en la URL. Esto nos permite evitar los problemas de links acortados, que pueden ser usados para engañar al usuario.

Rivero aconseja utilizar el sentido común y tener en cuenta para qué estamos usando el QR. Si las preguntas o cosas que nos piden a continuación de utilizarlo no se corresponden con el servicio o no tienen sentido, dada la finalidad del mismo, eso nos tiene que alertar. “Cuando escanee el QR debo verificar cuál es el destino, si el objetivo es contestar a una encuesta en la que no me piden datos personales, está ok, pero si la finalidad es instalar un software en mi teléfono, eso sería raro. Es un poco ver la finalidad de uso del QR que se vaya a utilizar”.

No obstante, la instalación de un software malicioso, sólo por leer un QR, es muy extraña, indica, porque todo requiere de la interacción del usuario. “A veces puede ser que no se dé cuenta de que está dando permisos para una instalación fraudulenta o para dar sus datos”. No obstante, esta situación sólo se da en “casos muy, muy específicos”, en los que se aprovecha una vulnerabilidad del teléfono que permita instalar un software malintencionado, “pero normalmente es la interacción del propio usuario la que lo autoriza”, dice Rivero. .

La Oficina de Seguridad del Internauta de INCIBE a la hora de escanear un código QR pasan por tener no acceder a ninguna URL que nos parezca sospechosa, fijarnos en que la web tenga los stándares de navegación segura y protección, como HTTPS o no facilitar datos privados, ni contraseñas a páginas web a las que hayamos accedido por QR.

También se recomienda usar analizadores de enlaces como VirusTotal y URLVoid, de forma que al abrir la web comprobaremos que no se trata de ningún ataque de ingeniería social. Igualmente se puede recurrir a aplicaciones como Kaspersky QR Scanner, disponible para Android e iOS, que realiza chequeos de seguridad antes de activar el código QR en el móvil, según aconsejan desde la OSI.