Los códigos QR, los cuadrados códigos de barras que pueden ser escaneados y leídos por los teléfonos inteligentes, están siendo utilizados en todas partes: para abordar vuelos, ingresar a conciertos y mirar menús de restaurantes.
Pero los estafadores que intentan robar información personal también han estado utilizando códigos QR para dirigir a las personas a sitios web maliciosos que pueden recolectar sus datos, escribió Alvaro Puig, especialista en educación al consumidor de la Comisión Federal de Comercio, en una publicación de blog el miércoles en la página de consejos al consumidor de la agencia.
Los estafadores esconden enlaces peligrosos en el desorden de blanco y negro de algunos códigos QR, advirtió la FTC.
Las personas detrás de estos esquemas dirigen a los usuarios a los códigos QR peligrosos de manera engañosa, utilizando tácticas que incluyen colocar sus propios códigos QR encima de códigos legítimos en parquímetros o enviar los patrones para que sean escaneados por mensaje de texto o correo electrónico de manera que parezcan legítimos, dijo la publicación.
Una vez que las personas han hecho clic en esos enlaces, el estafador puede robar información que se ingresa en el sitio web. El código QR también puede ser utilizado para instalar malware que roba la información personal de la persona, dijo la FTC.
Los códigos engañosos enviados por mensaje de texto o correo electrónico a menudo usan mentiras para crear un sentido de urgencia, como decir que un paquete no se pudo entregar y necesita ser reprogramado o haciéndose pasar por una empresa y diciendo que hay información sospechosa en la cuenta de una persona y que la contraseña del usuario debe ser cambiada, dijo la FTC.
“Quieren que escanees el código QR y abras la URL sin pensar”, dijo la FTC.
John Fokker, jefe de inteligencia de amenazas en Trellix, una empresa de ciberseguridad, dijo en un correo electrónico el domingo que el centro avanzado de investigación de la empresa vio más de 60,000 ejemplos de ataques de códigos QR en el tercer trimestre de 2023.
El tipo más común incluyó estafas postales, uso malintencionado de archivos y mensajes que se hacían pasar por departamentos de recursos humanos, tecnología de la información y nómina, dijo.
“La pandemia llevó a un resurgimiento de los códigos QR en nuestra vida diaria, en todas partes desde menús de restaurantes hasta en consultorios médicos, haciendo que los códigos QR sean un vector atractivo para que los ciberdelincuentes se dirijan a individuos y organizaciones en todo el mundo”, dijo el Sr. Fokker.
El Sr. Fokker dijo que los usuarios de dispositivos móviles son “particularmente vulnerables” a estos ataques debido a que “más a menudo que no, los códigos QR son escaneados utilizando dispositivos móviles que pueden no tener el mismo nivel de seguridad y protección que las computadoras de escritorio.”
Hay muchos pasos que las organizaciones y las personas pueden tomar para protegerse, dijo el Sr. Fokker. Aconsejó nunca abrir enlaces, seguir códigos QR o descargar documentos de contactos desconocidos.
También dijo que las personas deberían usar autenticación de dos factores, que utiliza aplicaciones o números de teléfono para ayudar a verificar la identidad de una persona en línea, y “mantener el software actualizado para asegurarse de que los dispositivos tengan las últimas medidas de seguridad en su lugar.”
La FTC emitió una guía similar y dijo que después de escanear un código QR, pero antes de abrir el enlace, los consumidores deberían verificar la URL para ver si es una dirección web que reconocen. Si la URL parece legítima, los usuarios deberían buscar errores ortográficos o una letra cambiada en la dirección. (Así es como se puede obtener una vista previa de la URL en un iPhone y usando la aplicación Google Lens.)
“No escanees un código QR en un correo electrónico o mensaje de texto que no esperabas, especialmente si te insta a actuar de inmediato”, advirtió la FTC. “Si crees que el mensaje es legítimo, usa un número de teléfono o sitio web que sabes que es real para contactar a la empresa”.
En enero de 2022, el FBI emitió una alerta a los consumidores sobre códigos QR maliciosos. Advirtió a las personas que no descargaran aplicaciones vinculadas desde códigos QR, sino que encontraran la aplicación en la tienda de aplicaciones de su teléfono inteligente y la descargaran desde allí en su lugar.