Aunque los códigos QR son una forma genial de compartir contenido en un montón de situaciones, en todos los sectores y por todo el mundo, por desgracia hay gente que los usa mal.
Con cuentas de pago como Trueqrcode, solo el creador de la cuenta tiene acceso a su panel de control, así que los códigos no pueden usarse indebidamente a menos que alguien tenga acceso a tu cuenta. Además, solo deberías escanear códigos QR de sitios y marcas en los que confíes y asegurarte de que nadie los haya copiado.
La tecnología es algo fantástico, pero, como todo, siempre hay quien la usa mal. Te vamos a explicar por qué usar códigos QR, ya sea creándolos o escaneándolos, puede ser una forma rápida, cómoda y segura de compartir contenido, y cómo evitar escanear códigos QR maliciosos que descargan malware o códigos falsos que te llevan a páginas que intentan robarte los datos.
¿Qué es el «quishing»?
Un ataque de «quishing» o de phishing con códigos QR suele producirse cuando un estafador coloca un código QR en cualquier soporte o lugar, haciéndose pasar por otra persona o por una empresa o servicio falsos. El código QR te redirige a una página web falsa o clonada en la que te piden tus credenciales o los datos de tu tarjeta de crédito.
Un código QR malicioso podría enviar malware a tu móvil. La descarga automática pone en peligro la seguridad y permite que la persona que está detrás de la estafa acceda a tu móvil.
Otra señal de que te están «quishing» es cuando te buscan a ti. Si te mandan un correo o te dan folletos en la calle para que eches un vistazo a algo que podría interesarte.
¿Cómo funcionan los ataques de «quishing» y cómo puedo protegerme?
Vamos a repasar algunas de las formas en que los atacantes lo hacen, te explicaremos cómo protegerte y te mostraremos, con algunos ejemplos comunes, cuándo te resulta útil, divertido y práctico escanear códigos QR para que esta increíble tecnología no se eche a perder.
Problema: Los atacantes pueden imprimir un código QR en un espacio público, un folleto, una valla publicitaria, un cartel, una tarjeta de visita, etc., para ofrecer un servicio o un producto. Protección: No escanees códigos QR de fuentes desconocidas. Hay otras formas de buscar la marca en Internet o en persona, y cuando sepas que es una empresa de verdad, entonces escanéalo. Cuándo debes escanear un código QR: Códigos QR en tarjetas de visita Son fantásticos para hacer contactos. Si estás en un evento de networking o en una reunión de ventas y has conocido a esa persona en persona, en su empresa, escanea el código y la información de contacto se descargará automáticamente en tu móvil sin errores, lo cual es genial por si se cometen errores al escribir o se dan números incorrectos.
Problema: Te ofrecen algo que parece un regalo normal, un descuento, un cupón o incluso una oferta por la que estarías dispuesto a pagar. Protección: Averigua qué marca ha impreso el código. A veces, un hacker puede suplantar el nombre o el logotipo de una marca, así que tenlo en cuenta. Pero si estás en una tienda física o en un sitio donde conoces al propietario del código, puedes escanearlo sin problema. Cuándo deberías escanear un código QR: Estás en una tienda física y tienen un código QR en un folleto con una llamada a la acción (CTA) tan buena que no te la puedes perder.
Problema: Escaneas un código y la página a la que te redirige es una copia de una página real, a veces con una URL que tiene un código de país diferente al final. Protección: Escanea solo códigos de sitios en los que confíes. Cuándo debes escanear un código QR: Vas a un concierto y, al terminar el espectáculo, el músico tiene una pancarta con un código QR que te lleva a su página de Spotify, a sus redes sociales o incluso a comprar entradas para conciertos. Obviamente, tus grupos favoritos son gente honesta que promociona su trabajo y comparte eventos divertidos y música con el mundo.
Problema: Una página web en la que nunca has estado te pide los datos de tu tarjeta de crédito para hacer una compra. Esto puede pasar incluso sin códigos QR. Están apareciendo páginas web por todas partes que venden cosas como ropa, pero luego te das cuenta de que, aunque la página esté muy bien hecha y tenga un diseño profesional, en realidad no tienen stock. Son ladrones de datos de tarjetas de crédito. Protección: Echa siempre un vistazo a Trustpilot, Google Reviews, etc., donde encontrarás cientos o miles de opiniones sobre una web. Y, a veces, incluso esas opiniones son falsas. Si la marca no tiene buena reputación, no introduzcas los datos de tu tarjeta de crédito. Es una pena para las marcas emergentes que quieren hacerse un nombre. Cuándo debes escanear un código QR: Síguelos un rato y trátalos como si fueran personas antes de confiar en nadie.
Tipos de ataques de phishing con códigos QR
- Los códigos QR maliciosos podrían robarte tus credenciales para cuentas online importantes (o cualquier otra), como tu cuenta de Gmail o de Microsoft. Copian páginas web conocidas y, cuando inicias sesión en su cuenta falsificada, te roban las credenciales de tu cuenta real. Ten cuidado con la URL cuando entres en cualquier página a través de un código QR cuya procedencia no conozcas.
- Algunos códigos QR podrían descargar automáticamente malware en tu móvil y luego te piden que instales una app, como un programa espía, para eliminarlo. No instales nada de lo que te digan, y tienes que buscar opciones sobre cómo deshacerte de lo que sea que hayan hecho.
- A veces, los estafadores colocan códigos QR falsos en parquímetros, carteles de organizaciones benéficas y otros sitios donde se puede escanear y pagar. Una vez que te redirigen a su página falsa, en realidad lo único que haces es pagar al estafador.
- Ataques de superposición de códigos QR se producen cuando un estafador pega su código QR encima del auténtico en un lugar público, así que fíjate bien si hay otro debajo del que estás escaneando.
- Una alerta de seguridad falsa te pedirá que inicies sesión ahora mismo, con el único objetivo de robar tus datos de acceso a una página web concreta.
- Falso WiFi Conexiones. Nunca te conectes a ninguna red WiFi gratuita en lugares públicos. Probablemente sea una estafa. Ten cuidado en sitios como los aeropuertos. Pregunta primero al personal dónde puedes conectarte.
- Códigos QR que incluyen una llamada a la acción en la que se ofrece descuentos o cupones Normalmente solo te roban la dirección de correo cuando se la das a cualquier página a la que te hayan redirigido, y luego te mandan correos molestos de suscripción a los que nunca te has apuntado. Todavía hay algunas empresas buenas y gente honesta que ofrecen cosas interesantes, pero primero tienes que conocerlas.
- Ofertas de entradas falsas para eventos También hay estafas, así que tienes que asegurarte de que se trata de un vendedor de entradas de confianza antes incluso de escanear el código. Si estás en el concierto de un músico de verdad y hay un cartel con un código QR en el recinto, lo más probable es que sea de fiar. Pero si se trata de un código sospechoso en medio de la nada, como una pegatina en el mástil de una bandera, no es que no sea auténtico; de hecho, algunos artistas jóvenes y prometedores y miembros de bandas pegan pegatinas por todas partes, pero no deberías escanear un código QR que simplemente está ahí colgado en una farola.
- Estafas estafas bancarias, financieras y relacionadas con las criptomonedas Siempre pueden darse. No te recomendaría escanear ningún código que no haya puesto tu entidad financiera en su propia página web, y desde luego no si te envían un mensaje. No escanees nada que te hayan enviado a ti. Hay otras formas de hacer tus gestiones bancarias. Sobre todo si te piden datos de la tarjeta de crédito o de la cuenta bancaria. Simplemente cierra la página.
- Hay estafas en los envíos Hay gente que recibe mensajes con información falsa sobre paquetes, así que no te fíes, sobre todo si en realidad no estás esperando ningún paquete. Ignóralos.
- Menús falsos podrían repartirse cuando se copian en un restaurante. Si ya tienes el menú en la mano, en realidad no hace falta que lo guardes también en el móvil. A menos que el restaurante te lo meta en la bolsa de la comida a domicilio, no des por hecho que te lo van a dar cuando lo reparten en público.
¿Qué es el QRLJacking?
El inicio de sesión rápido mediante código QR (QRL) te permite acceder directamente a una página web sin tener que introducir tus datos de acceso. Es como el código QR de WhatsApp, que abre la aplicación directamente sin necesidad de iniciar sesión. Está pensado para que sea más cómodo, sin que tengas que poner la contraseña cada vez que entras en la página.
Un código QR no es más que un código. Un QRL es un método de autenticación que utiliza un código QR.
Si escaneas un código QR falso, podría eludir los procesos de autenticación reales y, por lo tanto, robarte las contraseñas para acceder a tus cuentas. También podría pedirte que introduzcas esa información de todos modos. Simplemente, no escanees códigos de origen desconocido que te pidan iniciar sesión de inmediato.
Aunque tengas activada la autenticación de dos factores (2FA) o la autenticación multifactorial (MFA), es posible que te pidan que vuelvas a confirmar tu identidad a través de esos métodos para poder darte acceso. Si no aceptas esta segunda forma de autenticación, así te proteges.
¿Cómo puedo detectar un ataque de phishing con un código QR?
Siempre deberías saber de dónde viene el código. Sí, tus marcas favoritas, como Prada o Calvin Klein, pueden poner un código QR en una valla publicitaria o en un cartel de una parada de autobús para que lo escanees. Y podría ser de fiar. Normalmente, si se gastan tanto dinero en publicidad, como en una valla en una zona comercial muy transitada, es de fiar. Solo piensa bien en lo que vas a escanear antes de hacerlo y ten cuidado. Fíjate bien en la URL que te pide dinero. ¿De verdad es la web de Prada? No le tengas miedo a los códigos QR. Son una tecnología genial, pero, como con todo, hay que ser prudente.
No escanees códigos misteriosos. Si hay un tipo sospechoso en la esquina repartiendo folletos, sí, puede que sea un artista o músico cualquiera vendiendo entradas para un concierto. Pues quédate con el folleto. Si te presionan para que escanees los códigos al instante, mejor no lo hagas. Busca la información del folleto por tu cuenta. Los folletos con códigos QR son geniales cuando los reparten en los propios conciertos y conferencias las personas que trabajan allí.
Si algo de la llamada a la acción te parece raro o si sus materiales de marketing tienen faltas de ortografía o direcciones URL que no están del todo bien, etc., no te fíes. Los códigos de país que aparecen al final de una URL pueden ser auténticos si estás en ese país, pero a veces cogen una URL común, la duplican y le añaden un código de país al final y, cuando compras, te roban tus datos.
Mensajes urgentes en los que te piden que les des información ya mismo son una señal clara de que no es un código auténtico. Los códigos QR deberían llevarte a páginas de destino que te den información. Nunca deberían pedirte datos. Los códigos QR deberían compartir contenido de sitios web, redes sociales, tutoriales en YouTube, etc. Hay ciertas páginas web, como las tiendas online de tus marcas favoritas, que ofrecen códigos QR y compras recurrentes. Sin embargo, tienes que asegurarte de que realmente estás en la web de esa tienda y de que el código procede de material de marketing auténtico de esa marca, y no de un espacio público cualquiera.
¿Cómo puedo prevenir o denunciar un ataque de «quishing»?
La mejor forma de detectar el «quishing» en tu móvil es descargarte un antivirus para móviles. Suelen costar unos 35 euros al año o unos 40 dólares estadounidenses. Pero busca un servicio de protección antivirus de confianza y fiable, no uno que te haya contactado a ti, ya que podría ser una estafa. Y asegúrate de que funcione en el país en el que te encuentras. Incluso los sistemas antivirus auténticos te cobrarán en Europa pero no funcionarán fuera de EE. UU., y viceversa. Y no podrás recuperar tu dinero. Antes de comprarlo, comprueba que el servicio funcione en tu país y en tu dispositivo.
Nunca aceptes notificaciones aleatorias en tu móvil que te pidan que autentifiques nada. Simplemente ignóralas. Cuantas más recibas, más claro es que alguien te está persiguiendo, pero no podrán llegar a ti a menos que les des más información. Solo significa que han conseguido tu número de móvil o tu correo electrónico de alguna parte. Ahora también te llaman para pedirte información y graban tu voz para la autenticación vocal con «síes» o «noes». Eso ocurre incluso sin códigos QR, y, de todas formas, no contestes a los robots que te llaman al azar para pedirte cosas. Simplemente cuelga el teléfono.
Puedes denunciar los mensajes de phishing a tu entidad financiera o en las páginas de «denuncia de abusos» de sitios web como Google, si alguien ha intentado suplantar su página de inicio de sesión. En todas las redes sociales más habituales hay páginas para «denunciar phishing», dependiendo de a qué se hiciera pasar el código QR malicioso.
Si crees que has sido víctima de una estafa de phishing con un código QR, sal de la página inmediatamente. No compartas ninguno de tus datos. Inicia sesión desde otro dispositivo y cambia tus contraseñas. Puedes hacer análisis de seguridad y eliminar aplicaciones desconocidas. Si lo necesitas, acude a un técnico informático especializado en tu tipo de dispositivo. No vayas simplemente a una tienda de móviles cualquiera donde no tengan ni idea de informática. También puedes activar la autenticación de dos factores (2FA) o la autenticación multifactorial (MFA).
Reflexiones finales sobre el phishing con códigos QR
Debes tener cuidado con los sitios de donde escaneas los códigos QR. Tanto si tienes una empresa grande como pequeña, echa un vistazo a nuestros casos de uso de códigos QR y a nuestras páginas por sectores para encontrar ideas interesantes sobre cómo puedes añadir Marketing con códigos QR a tus materiales. Puedes hacerlo de forma segura y eficaz, y tus clientes quedarán encantados. Regístrate para una prueba con nuestro Generador de códigos QR ¡Pruébalo tú mismo!
