Los inconvenientes que pueden generar en los usuarios de internet los problemas de ciberseguridad van desde pérdida de cuentas en redes sociales hasta estafas millonarias, y un factor característico de este tipo de ataques es la rapidez con la que se consuman y las diversas estrategias que tienen a su disposición ciberdelincuentes de todo el mundo.

Entre las vías que permiten la proliferación del ciberdelito, durante los últimos años cobró mayor relevancia una que es común encontrarse en diferentes comercios: los códigos QR. Escanearlos permite realizar pagos, acceder a la carta de un local gastronómico o dirigirse a un sitio web que, en algunos casos, puede haber sido diseñado por cibercriminales.

Y aunque no se trata de una tecnología novedosa, cada vez es más común que surjan casos de usuarios estafados a través de estos códigos.

La forma en la que ciberdelincuentes se sirven de estos códigos para estafar gente se basa en la creación de sitios web falsos, o bien direccionando a los usuarios que los escanean a plataformas de pago desde las cuales las víctimas, sin saberlo, les entregan su dinero pensando que están pagando un consumo que hayan realizado.

Un código QR cumple la función de redirigir a quienes lo escanean a una URL determinada. Ese link puede ser el de un sitio oficial o, en los casos de estafa, uno colocado por quien pretende perjudicar a víctimas desprevenidas. Y dado que la práctica de escanear estos códigos se ha vuelto muy frecuente, no es inusual que un usuario no preste mayor atención al sitio al que accede.

Tipos de estafas con QR

Una de las formas más comunes de engañar mediante estos códigos es el llamado Qrishing, un ataque basado en la misma lógica que el phishing. A través de ingeniería social, un ciberdelincuente engaña a la víctima que ingresa en su link para que proporcione sus datos y credenciales mediante el escaneo de un código QR dentro de una página web, correo electrónico o mensaje. Al leer el código, el usuario es redirigido a una web que suplanta a la de la empresa oficial y que solicita información confidencial o bancaria.

El segundo ataque es la descarga de malware. Para ello, cuando la víctima escanea un QR de un sitio web no fiable, su dispositivo se infecta con código malicioso diseñado para explotar las vulnerabilidades del teléfono y abrir paso a diferentes acciones, como la extracción de datos personales, dar de alta suscripciones a servicios premium, ver anuncios de forma silenciosa y acceder a datos del navegador y a diferentes elementos del equipo, como pueden ser la cámara o el micrófono.