Los códigos QR son cada vez más comunes en nuestro día a día. Los utilizamos para consultar cartas de un restaurante, para acceder a publicidad de empresas en vallas y carteles promocionales, para conocer información de interés sobre monumentos o para conocer las instrucciones de un dispositivo móvil o un electrodoméstico.

Prácticamente no hay jornada en la que no tengamos acceso a un código QR, y la realidad es que son muy útiles, porque nos permite consultar instrucciones o información de manera sencilla. Este sistema de codificación, que nació en Japón hace ahora 30 años como alternativa a los clásicos códigos de barras, se ha extendido especialmente en la última década, y su utilidad queda fuera de toda duda.

Sin embargo, es esa misma utilidad lo que lo hace una oportunidad de oro para los estafadores a través del llamado quishing. Este intento de robo de información se ha popularizado en los últimos meses y expertos en seguridad como la empresa QRFY ya están alertando sobre las consecuencias negativas de esta tecnología.

¿Qué es el quishing?

El quishing, o qrishing, es una modalidad de ciberataque que consiste en la introducción de códigos QR fraudulentos con los que se accede a un espacio web que no es el anunciado. Una vez dentro, los delincuentes pueden acceder a información confidencial del usuario o incluso quedarse con sus fondos económicos.

Esta tecnología deriva del phishing, que es la utilización de enlaces web también falsos pero con apariencia real y a los que se accede después de recibirlos en mensajes de texto o correos electrónicos. El quishing, según apunta la compañía especializada en la creación de códigos QR, QRFY, supone ya más del 70% de estafas contemporáneas.

Además, existen distintas alternativas para promover este intento de engaño. Desde las más básicas, como simplemente colocar una pegatina sobre el código QR real hasta tácticas más trabajadas como diseñar sistemas que funcionan como pasarelas de pago o mediante enlaces promocionales que funcionan como landing pages para que los usuarios accedan a descuentos y ofertas por ingresar sus datos personales.

Sea cual sea el sistema a utilizar, en todos los casos la dinámica es similar. Los ciberdelincuentes diseñan una página web con una apariencia similar a la verdadera y allí solicitan datos e información confidencial. Una vez obtienen esa información ya pueden comercializar con ella.

En algunos casos el problema puede ser mayor, ya que actualmente hay empresas que están probando la tecnología QR como sistema de pago. Si hay estafas quishing de este tipo, el cliente puede poner en riesgo su dinero o sus cuentas bancarias.

¿Cómo protegerse frente a las estafas con códigos QR?

QRFY, empresa experta en esta tecnología, destaca la necesidad de un uso responsable de los códigos QR. La compañía asegura que el sistema de cifrado es seguro y muy eficaz, pero siempre que se use con sensatez y cautela.

En su caso, la firma ha desarrollado una herramienta antifraude que escanea constantemente las URL de destino y protege a los usuarios bloqueando el acceso al código QR. En el último año han paralizado así más de 5.000 amenazas en todo el mundo, lo que dice mucho del interés que ha generado en quishing entre los delincuentes.

Junto a hacerse con una herramienta antifraude, QRFY también aconseja actualizar constantemente la seguridad del dispositivo. Los antivirus son totalmente necesarios para navegar y utilizar las apps y software con más seguridad en los dispositivos móviles.

Otra recomendación en esta línea es la de utilizar apps de escaneo seguras. Por suerte la mayoría de dispositivos móviles actuales ya incluyen por defecto apps de QR preinstaladas que son de confianza. Pero si no es así y tienes que acudir a las tiendas de apps, descarga únicamente programas con buenas valoraciones y alta reputación.

Para terminar, hay otras medidas importantes a acometer que tienen más que ver con el comportamiento individual que con la tecnología. Una de ellas es verificar la fuente del sitio web al que dirige el código QR. Esta debe mostrarse en la dirección URL como https:// e incluir un candado que asegura que la conexión está encriptada.

Junto a esto, no olvides desconfiar de las ofertas que son demasiado tentadoras, promociones con precios muy bajos o grandes ventajas que no se corresponden con la realidad. Nadie da duros a cuatro pesetas, por lo que hay que prestar atención a ese detalle.

La conclusión final es que el QR es una tecnología útil, necesaria y práctica, pero que hay que saber utilizar con prudencia. Para lograrlo, mantente actualizado en tus conocimientos, sospecha de las ofertas demasiado atractivas y no dudes en seguir formándote continuamente para descubrir nuevos avances tecnológicos.