Los códigos QR ya son parte de nuestra vida, sobre todo desde que la pandemia del Covid-19 requiere que guardemos cierta distancia y evitemos tocar cosas ajenas. Usamos los QR para viajar, para identificarnos, para constatar que estamos vacunados (como el Pasaporte Covid), para conectarnos a una red WiFi o para leer los menús de los restaurantes, entre muchas otras cosas.
Pero esta tecnología no está exenta de inseguridad. Por el momento, recientemente se han descubierto casos de phishing en España a través del QR también conocidos como Qrishing. La Policía Nacional de España detectó hace unos días en Málaga una modalidad de estafa que se lleva a cabo a través de los códigos QR y cuyo objetivo es el de hacerse con datos personales o bancarios de las víctimas.
Lo que veremos en este artículo es cómo funciona y qué debemos conocer para evitar caer en estas trampas, con consejos de organismos expertos en seguridad.
Cómo se usa el QR en el phishing
Primero, veamos qué descubrió la policía en Málaga para comprender cómo funcionan estos ataques de phishing. Una persona escanea un código QR y aparece una web o una aplicación donde, supuestamente tenemos la información que necesitamos (por ejemplo, para un restaurante, para acceder a un gimnasio o para tener datos concretos de una tienda). Al acceder a esa web o app puede suceder que sea un enlace malicioso que pretende robar tu información.
De todos modos, aunque las autoridades han dicho que se han encontrado estos casos, no ha especificado a qué empresas ha afectado en concreto o el número de víctimas que han caído en la trampa. Lo que si ha dicho la Policía es que, como siempre sucede con los casos de phishing, una de las principales formas de evitar caer en la trampa es no acceder a enlaces desconocidos y, en este caso incluye no escanear QR desconocidos.
El INCIBE o Instituto Nacional de Ciberseguridad ya ha hablado del bautizado como Qrishing (una combinación entre QR y phishing), y la define como una técnica que usa la ingeniería social para lograr que los usuarios proporcionen sus credenciales mediante el escaneo de un código QR contenido en una página web, mensaje o correo electrónico.
El usuario al escanear ese código es redirigido a una página web, que suplanta a la de la empresa, donde se le solicita información confidencial. "Hay que tener en cuenta que si el usuario no verifica la dirección web, puede ser engañado fácilmente", como dicen desde este organismo. Kaspersky, empresa de seguridad, dice que para evitar que esto suceda se recomienda revisar los enlaces antes de picnhar en ellos.
Otra forma de robar tus datos a través del Qrishing es inyectando código malicioso (mediante un exploit presente en la página web a la que redirige el código QR) o de un ataque Drive by download. Es decir, si visitas un sitio web infectado o falso, se te puede descargar software malicioso en tu dispositivo, y desde ahí puede ir haciéndose con datos tuyos de tu software (sistema operativo, navegador u otro tipo). También, ya instalado en tu teléfono puede realizar acciones, como unirse a una botnet (por ejemplo, para realizar un ataque DDOS contra un sitio web legítimo), filtrar información confidencial o suscribirse a servicios premium sin que el usuario lo sepa, por poner algunos ejemplos.
Otra técnica descubierta de phishing a través de QR es la bautizada como "Qrljacking o secuestro de sesión", un tipo de ataque que se caracteriza por hacer uso de la ingeniería social para secuestrar la cuenta de un servicio que acepte la función “Inicio de sesión con código QR”. Para ello, tratan de engañar a la víctima para que escanee un código QR modificado que suplanta al original que ha sido capturado previamente por los ciberdelincuentes. Al escanearlo, el atacante captura las credenciales de la sesión de la víctima y accede de forma encubierta a la información contenida en esta cuenta.
No hay que olvidar que, además también podemos llegar a tener problemas con las aplicaciones que descargamos para leer QR y esto pasó este mismo año, con un gran impacto. Malwarebytes detectó hace unos meses un troyano en 'Barcode Scanner', una de las aplicaciones para escanear códigos de barras con más instalaciones en Google Play Store (contaba con más de 10 millones de instalaciones en el momento en que descubrió la estafa).
Unos consejos para evitar el Qrishing o phishing a través de QR
Como siempre sucede con el phishing y con cualquier incidencia informática, la mejor forma de evitar caer en trampas es acceder a lugares web, enlaces y aplicaciones en las que confíes y que conozcas. Si tienes un negocio y ofreces un QR para alguno de tus servicios (como acceso a tu catálogo de productos), también es tu responsabilidad "comprobar de forma frecuente que los códigos QR que usas no han sido cambiados ni modificados por terceras personas" y así mantener a tus clientes a salvo.
El INCIBE también recomienda a los negocios "elegir un generador de códigos QR o un servicio que ofrezca las suficientes garantías de seguridad en materia de generación de códigos QR, enlace correcto al servicio, etc" y deshabilitar la apertura automática de enlaces al escanear un código QR. Y es que, de esta manera los usuarios podrán comprobar la dirección a la que enlaza el código.
Además, en el caso de uso de códigos QR que faciliten el acceso a unos servicios determinados de transporte, ocio o áreas reservadas, no divulgues el código QR por redes sociales ya que podrías ser víctima de un fraude.
Por su parte, Kaspersky recomienda a los usuarios en general que nunca escaneen códigos QR de fuentes sospechosas y que, a la hora de acceder a un enlace que nos dé un código, tener mucho cuidado si la URL está acortada, "porque con los códigos QR no hay razón suficiente como para acortar los enlaces". Si sucede que al escanear un código te aparece una URL corta, lo mejor que puedes hacer es usar un bsucador o ir a la tienda oficial y acceder directamente a lo que buscas.
Otra sugerencia es que puedes hacer "una revisión física rápida antes de escanear un código QR de un cartel o señal para asegurarte de que el código no está pegado sobre la imagen original".