Asà te estafan usando un código QR: qué se puede hacer para evitarlo
Los ciberdelincuentes los utilizan para acceder a datos personales, instalar malware o robar cuentas. El Covid-19 consiguió, entre muchas cosas, que los códigos QR se hayan transformado en parte de la vida cotidiana de la sociedad. Estos diseños escaneables desde el celular permiten acceder al menú de un restaurante, realizar pagos digitales o hasta portar el permiso de circulación en épocas de aislamiento. Sin embargo, a los ciberdelincuentes también les permite concretar estafar.
La PolicÃa Nacional de España detectó una nueva estafa que bien podrÃa ocurrir en Argentina en la que se usan códigos QR para conseguir datos personales y bancarios de las vÃctimas. El primer caso de phishing de este tipo fue detectado recientemente en Málaga.
Esta ciberestafa fue bautizada como qrishing, que es la misma suplantación de identidad que el phishing pero a través del QR. El código que se escanea no llevarÃa a la web apropiada sino a otra fraudulenta en la que se cometerÃa finalmente la estafa.
Para no caer en esta trampa es primordial desactivar la opción para que los enlaces escaneados se abran automáticamente.
Además, se debe estar atento al link que aparece en pantalla y cerciorarse de que es el correspondiente al que se deberÃa abrir.
El Instituto Nacional de Ciberseguridad de España, por su parte, avisó que los ciberdelincuentes, además del qrishing, también tienen otros métodos para usar los códigos QR de forma fraudulenta.
Con el qrkjacking pueden robar cualquier cuenta que necesite un código QR para iniciar sesión como podrÃa ser el caso de WhatsApp.
Por otra parte, usando los QR también se podrÃa descargar malware en el dispositivo que podrÃa filtra información o suscribirse a servicios que el usuario no solicitó. Los delincuentes también tendrÃan la posibilidad de acceder al micrófono o la cámara del móvil.
WhatsApp, una vÃctima
Aquel que utilizó la versión web de la app de mensajerÃa en una computadora sabe que el proceso es bien simple: frente a la pantalla principal de la aplicación, solo es necesario acceder a las opciones (arriba a la derecha) y seleccionar WhatsApp Web, para que una vez marcada la opción aparezca una pantalla para el escaneo de un código QR.
Luego, solo basta con abrir la página de acceso a WhatsApp en la computadora (https://web.whatsapp.com), escanear el código a través de la aplicación y listo: la app puede ser utilizada en la computadora.
Según revelaron fuentes la compañÃa de ciberseguridad ESET, los cibercriminales se aprovechan de esa función para convencer a las vÃctimas de escanear el código QR generado por ellos para realizar el ataque.
Su estructura interna abre una página estándar solamente como ejemplo, ya que el código fuente de la página está disponible para modificación y acepta códigos HTML, scripts, asà como otros recursos llevados al desarrollo web.
Los especialistas no recomiendan dejar de utilizar WhatsApp Web por el simple hecho de que se descubra que no cuenta con las caracterÃsticas de seguridad suficientes para evitar que las cuentas sean secuestradas.
Solo alcanza con tener un comportamiento seguro y mantenerse alerta, ya que algunos detalles no pueden ser alterados ni siquiera por el atacante más experimentado.
Asimismo, el uso de esta aplicaciones implica que se debe tener cierto conocimiento previo. En el caso de WhatsApp, el recurso para escanear códigos QR sirve única y exclusivamente para permitir que los usuarios utilicen la aplicación en sus computadoras, nada más.
"Sospeche si algún anuncio publicitario solicita que el usuario escanee un código QR a cambio de algún beneficio o como parte de un proceso de validación, independientemente del sitio o marca que represente el anuncio", aseguran.
Y agregan: "En caso de que un servicio, aplicación o empresa utilice un recurso como el código QR como parte de una acción o beneficio, el mismo serÃa ampliamente divulgado a través de sus canales oficiales".
Hay que utilizar lo mÃnimo necesario las redes públicas o poco confiables. También estar atento en el momento en que navega por Internet, incluso estando en redes seguras, como puede ser en el hogar o en el trabajo.
Cuando se produce un ataque de este tipo el usuario no suele recibir ningún tipo de devolución. Por lo tanto, en caso de que escanee un código y no reciba ninguna acción como respuesta, probablemente se trate de un ataque.
"En caso de dudas, en la pantalla principal de WhatsApp seleccione la opción WhatsApp Web y cierre todas las sesiones que fueron iniciadas. Esto hará que los criminales pierdan acceso el acceso a la cuenta de WhatsApp de sus vÃctimas de forma inmediata", recomendaron.
Por último, los usuarios deben mantener también todos los programas de seguridad activados, actualizados y configurados para bloquear amenazas, tanto en su smartphone como en su computadora. Las actualizaciones traen nuevos recursos y corrigen eventuales problemas de seguridad que los programas puedan tener.