¡Cuidado! Esta es la información que das cuando escaneas un código QR

El uso de códigos QR por motivo del Covid se ha incrementado, haciendo que poco a poco nos hayamos acostumbrado más a escanearlos. Con la nueva normalidad destacan la eliminación de las cartas de menú en el sector de la hostelería y la restauración, o de los trípticos informativos en museos u oficinas de turismo, entre otras medidas, pero ¿realmente te has planteado si esta alternativa es segura desde el punto de vista de la ciberseguridad?

Para empezar, en el caso de los códigos QR es necesario disponer de una herramienta o app que permita su lectura. Ya que un código QR es un código de barras bidimensional que puede ser leído por un teléfono inteligente con una cámara o un dispositivo móvil con un tipo similar de tecnología de escaneo visual. Permite que la imagen codificada contenga más de 4.000 caracteres en un formato condensado legible y una vez que un programa genera un código QR estático (a diferencia de un código QR dinámico que puede cambiar campos como una URL), ese código no se puede modificar. 

Amenazas y riesgos a través de códigos QR

Un código QR es similar a una tarjeta de presentación virtual que incluye todos sus datos de contacto, como el número de teléfono, la dirección de correo electrónico y la información de envío. Esta información se almacena automáticamente en la lista de contactos del dispositivo cuando se escanea. Si los datos son maliciosos, podrían colocar una entrada maliciosa en su teléfono.

Los expertos insisten en que no debemos escanear códigos QR de dudosa procedencia. Si vemos un código QR en una pared, edificio, pantalla de computadora o incluso una tarjeta de presentación, no lo escaneemos sin pensarlo porque un hacker puede pegar fácilmente su código QR malicioso encima de uno real. 

Además, debemos utilizar aplicaciones de escaneo que permitan ver la URL antes de abrirla o habilitar la opción si cuenta con ella la app de escaneo que tenemos instalada. Si ya hemos accedido a la web, debemos comprobar la URL antes de introducir ninguna credencial en ella.

Un código QR comprometido puede añadir una red WiFi maliciosa como una de confianza a la lista de redes inalámbricas del móvil, haciendo que el usuario se conecte a ella pensando que es segura y dejando así acceso a su dispositivo y sus cuentas a los cibercriminales.

Escanear un código QR automáticamente puede iniciar una llamada telefónica a un número entregando tu información de identificación de llamadas, o almacenar un mensaje de correo electrónico completo con el asunto y el destinatario. Todo lo que se requiere es presionar enviar, y esto podría ser el comienzo de cualquier forma de ataque de phishing o suplantación de identidad. 

También es posible secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida dentro de la cuenta, indica el Instituto Nacional de Ciberseguridad. www.incibe.es