Los códigos QR, lanzados en la década de 1990 y popularizados hace algunos años, volvieron a ser relevantes en tiempos de pandemia, ya que permiten obtener información con el mínimo contacto posible en sitios públicos como restaurantes o tiendas departamentales. Además de ser práctica, esta aplicación tecnológica parece ser completamente inofensiva, o al menos eso se creía.
Un reporte de la organización no gubernamental (ONG) Better Business Bureau señala que es posible inyectar malware en un dispositivo mediante el escaneo de un código QR, lo que podría poner en riesgo a usuarios de todo el mundo en pleno proceso de reactivación económica.
Este reporte pone como ejemplo a un estudiante británico que solicitó un préstamo académico y recibió una carta fraudulenta en referencia a su solicitud. Esta carta incluía un código QR que redirigió al usuario al sitio web fraudulento Studantaid.gov, diseñado de tal forma que parecía una plataforma oficial del gobierno británico.
Una vez en este sitio web, el usuario fue engañado para que descargara una peligrosa variante de malware para dispositivos móviles, que facilitó a los actores de amenazas la extracción de toda la información valiosa almacenada en el dispositivo de la víctima.
Aunque no es la variante de ataque más común, los códigos QR han vuelto a ser ampliamente utilizados, señala Better Business Bureau, que ya ha recibido decenas de informes sobre intentos de estafa similares. Los usuarios de smartphones son especialmente vulnerables a estos ataques, ya que muchas veces estos dispositivos carecen de un sistema de detección de malware.
La ONG señala que esta variante de ataque es muy similar a una estafa de phishing, pues depende de redirigir a los usuarios afectados a sitios web comprometidos o maliciosos. Es por ello que se aconseja a los consumidores que tengan cuidado con cualquier sitio web que se abra en sus teléfonos. Cualquier indicio de actividad maliciosa debe tomarse con seriedad.
Better Business Bureau agrega que el uso masivo del QR abrió un nuevo camino para los actores de amenazas puedan robar información confidencial, por lo que es fundamental tener al menos los conocimientos mínimos sobre algunas de las más populares variantes de fraude electrónico.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.