Los códigos QR maliciosos pueden redirigir a los usuarios a sitios web falsos o incitarlos a descargar contenido dañino. Son tan familiares y están tan extendidos que tendemos a confiar en ellos sin cuestionarlos: eso es exactamente lo que buscan los estafadores.
Según explica la especialista en tecnología y pedagogía Meena Jha, de la Universidad Central de Queensland, en Australia, en un artículo publicado en The Conversation, los códigos QR se han vuelto tan comunes que muchas personas los escanean sin pensarlo dos veces.
Están en cartas de restaurantes, anuncios, etiquetas de productos, correos electrónicos y hasta en mensajes de texto o en redes sociales. Precisamente esa familiaridad es la que aprovechan los estafadores, para convertirlos en la puerta de entrada a un fraude.
La alerta no es nueva, pero sí cada vez más urgente. La mayoría de los expertos en ciberseguridad recuerdan que los códigos QR pueden llevar a sitios que parecen legítimos, pero que en realidad están diseñados para capturar credenciales, datos bancarios o información personal, e incluso para descargar software malicioso.
Advierten además que estos códigos pueden aparecer en lugares públicos con señales de manipulación, como por ejemplo pegatinas superpuestas sobre el código original.
Prestar atención al origen y al destino del código QR
El propio FBI, por su parte, la Oficina Federal de Investigación de Estados Unidos, subraya en una publicación que los fraudes con QR han aumentado y que ya en 2022 comenzaron a recibir reportes de víctimas que perdieron dinero tras escanear códigos falsos.
Según el ente oficial estadounidense, un código malicioso puede redirigir a una web de pago falsa, dar acceso al dispositivo, abrir la puerta a malware o facilitar el robo de datos bancarios y de tarjetas. En algunos casos, cuando el dinero sale por un canal fraudulento, recuperarlo resulta difícil o imposible.
El mecanismo suele ser tan sencillo que hasta parece fácil de desestimar: un QR fraudulento puede estar impreso en un cartel, insertado en un correo o mensaje, o incluso enviado por alguien conocido cuya cuenta ha sido comprometida.
Se recomienda desconfiar especialmente de los códigos que llegan por texto o e-mail sin haber sido solicitados, revisar con atención la dirección web a la que conducen y comprobar que el dominio coincida con la entidad que supuestamente lo emite. Si la URL presenta errores, variaciones extrañas o pequeñas faltas de ortografía, conviene detenerse.
Aplicaciones, carteles manipulados o códigos que llegan sin solicitud previa
Las recomendaciones de seguridad incluyen no escanear códigos encontrados al azar, no pagar facturas desde un QR recibido por mensaje sin verificar antes la solicitud y, si el código parece venir de una empresa o un amigo, confirmar por otro canal que realmente fue enviado por esa persona o entidad.
Los expertos también aconsejan evitar la descarga de aplicaciones desde enlaces obtenidos por QR y siempre optar por la tienda oficial del sistema operativo utilizado. En caso de carteles en la vía pública, el FBI añade que conviene observar si el código ha sido pegado encima de otro o si parece alterado físicamente.
En un entorno en el que el móvil se transforma muchas veces en nuestra billetera, llave e identidad digital, los códigos QR ya no son un simple atajo tecnológico: pueden facilitarnos las cosas, pero también complicarnos la vida.
La regla básica es tan simple como efectiva: antes de escanear, evaluar cada detalle y asegurarse de la fiabilidad del código. Un segundo de desconfianza puede evitar una estafa con graves consecuencias.
