Foto: Archivo – Todos los derechos reservados

Los códigos QR se han integrado en nuestro día a día, presentes en restaurantes, publicidad y notificaciones. Sin embargo, muchos desconocen la tecnología que los sustenta y los riesgos potenciales de escanearlos. Su uso se ha incrementado notablemente desde la pandemia, trayendo consigo un aumento de las amenazas asociadas.

¿Qué son realmente los códigos QR?

Un código QR es esencialmente un código de barras bidimensional, según explica Pablo Pascual, experto en ciberseguridad. Esta tecnología, originada en Japón en los años 90 para la optimización logística en la industria automotriz, almacena una gran cantidad de información en su formato bidimensional, desde enlaces web hasta datos de contacto o configuraciones de redes wifi.

La comodidad y su lado oscuro

La facilidad de uso de los códigos QR conlleva una vulnerabilidad inherente: la incertidumbre sobre su destino.

Como señala Pascual, “Un QR es una puerta de entrada a algo que no conocemos”. Este desconocimiento facilita el ‘quishing’, una forma de ciberataque que combina ‘QR’ y ‘phishing’.

¿Qué es el ‘quishing’?

El ‘quishing’ es un ataque de ingeniería social que se basa en la manipulación del usuario más que en la sofisticación técnica. Los delincuentes cibernéticos explotan la confianza y la premura de las víctimas para que escaneen códigos maliciosos. El objetivo no es atacar directamente al individuo, sino aprovecharse de su confianza y prisa.

Un estudio de Keepnet Labs reveló que uno de cada diez ataques de ‘phishing’ ya involucra códigos QR, una cifra que se multiplicó por cinco en solo tres meses.

Ejemplos comunes de ‘quishing’

Los ejemplos de ‘quishing’ son variados, desde correos electrónicos fraudulentos que simulan ser de bancos o empresas de mensajería, que alertan sobre problemas que requieren acción inmediata mediante un código QR, hasta pegatinas con códigos falsos superpuestas a los originales en establecimientos. El denominador común suele ser un mensaje que apela a la urgencia o al miedo.

“En ciberseguridad, muchas veces el punto más débil no es la tecnología, es el momento en el que dejamos de pensar”, señala Pascual.

¿Cómo protegerse del ‘quishing’?

La protección contra el ‘quishing’ no requiere conocimientos avanzados. El especialista recomienda cinco medidas básicas:

1. Desconfiar de mensajes urgentes.
2. Verificar que el código QR físico no haya sido manipulado.
3. Revisar la dirección web que muestra el dispositivo antes de acceder a ella.
4. Utilizar siempre las aplicaciones o sitios web oficiales para trámites importantes.
5. Mantener actualizado el sistema operativo del dispositivo, ya que las actualizaciones suelen corregir vulnerabilidades de seguridad.

La clave: la precaución

Escanear un código QR no infecta directamente un dispositivo, pero puede dirigir al usuario a una “trampa diseñada”. El verdadero peligro reside en la acción posterior: ingresar datos personales en una página web fraudulenta o descargar un archivo malicioso.

“La ciberseguridad no consiste en tener miedo ni vivir con ese miedo constante, sino en tener un poquito de criterio”, concluye Pascual. Ese criterio se traduce en no escanear de forma automática y dedicar unos segundos a reflexionar, un pequeño gesto que puede evitar grandes problemas.