Ciberdelincuentes colocan stickers con códigos falsos sobre los verdaderos con la intención de introducir virus en dispositivos
Ahora pueden robarle todo su dinero al escanear un código QR engañoso en sitios públicos
Modalidad virtualiza el delito del “skimming” regularmente ejecutado por criminales en cajeros automáticos
Andrei Siles asiles@larepublica.net | Jueves 05 octubre, 2023
Si usted suele escanear códigos QR en áreas comunes de sitios públicos, lo mejor será que lo piense dos veces antes de hacerlo, o al menos se cerciore de que no han sido violentados de alguna forma, ya que esto podría abrir un portillo para que los ciberdelincuentes ingresen sin mucho conflicto a su teléfono celular y vaciarle sus cuentas bancarias.
Lea más: Aumentan estafas informáticas por copia de páginas utilizando códigos QR, según estudio
Esta forma de delinquir virtualiza el ya conocido método del ‘skimming’, a través del cual los amigos de lo ajeno roban datos de tarjetas de crédito a través de un dispositivo colocado en cajeros automáticos y hasta datáfonos.
El ‘modus operandi’ consiste básicamente en localizar un código QR ubicado en un sitio público y colocar sutilmente sobre él una calcomanía con un código falso, que al ser escaneado redirige a la víctima a un sitio web que automáticamente introduce en el móvil un programa malicioso tipo ‘spyware’.
Al confiarse de que se está ingresando a un sitio web legítimo, ya sea para ver el menú de un restaurante o participar en una promoción de una tienda, por ejemplo, el virus logra ingresar e infectar el dispositivo, siendo capaz de robar datos sensibles como credenciales de correos electrónicos, claves de plataformas bancarias y documentos almacenados en el smartphone o la tableta.
El delito explicado en 5 pasos
‘QRishing’ es el nombre con el que se ha denominado esta modalidad delincuencial en la que los ciberdelincuentes son capaces de robar datos de celulares a víctimas que, sin saberlo, escanean en un lugar público un QR alterado. Así es cómo ejecutan el delito.
- El ciberdelincuente sustituye un código QR válido por uno falsificado, colocado usualmente a través de una calcomanía
- Al ser escaneado, el QR va a redirigir a un sitio web preestablecido por el hacker y con características que permiten engañar al usuario a través de técnicas de ingeniería social.
- Habiendo ingresado al dispositivo, dentro del mismo script del código QR se descarga un programa malicioso tipo ‘spyware’, siendo casi imposible de detectar por parte de la víctima.
- Una vez sembrado el virus tipo espía, es capaz de revisar transacciones bancarias y cualquier acción que el usuario haga en su teléfono o tableta.
- Finalmente, apoderándose de credenciales y cualquier otra información sensible, se pueden consumar delitos como robo de fondos en cuentas y bloqueos de software, entre otros.
Al escanear un código QR en un lugar público, es recomendable asegurarse de que no tenga alteraciones, y de ser así, informar a los personeros del local inmediatamente, recomiendan expertos. Canva/La República
En países como México, España, China, entre otros, han advertido a sus ciudadanos sobre este tipo de delito basado en ingeniería social, conocido también como “QRishing” (una combinación entre QR y ‘phishing’), ante lo cual expertos consultados por LA REPÚBLICA no descartan que Costa Rica ya pudiera empezar a contabilizar sus primeras víctimas.
“Existe un riesgo alto de que se presente (este delito en el país) en el corto plazo, esto como consecuencia de la popularidad del uso de códigos QR en el comercio en general y a la confianza que existe en este tipo de elementos”, explica Marvin Jiménez, especialista en ciberseguridad del Colegio de Profesionales en Informática y Computación.
¿Cómo evitarlo?
Las medidas de prevención atañen tanto a consumidores, empresas y equipos electrónicos a fin de prevenir esta modalidad de delito, según expertos consultados por LA REPÚBLICA
Usuarios
Validar si, eventualmente, hay otra forma de tener la información necesitada como, por ejemplo, un enlace
para acceder en lugar de utilizar el QR. Así también, no se debe proporcionar información personal o
sensible a través de estos códigos, a menos que tenga seguridad del uso – Paula Brenes, exdirectora
Gobernanza Digital
Dispositivos
Deben estar actualizados con los últimos parches de seguridad, así como contar con programas de escaneo de
QR que previamente puedan detectar eventuales sitios maliciosos ligados a dichos códigos. – Luis Gorgona,
socio firma RSM Costa Rica
Comercios
Tener el código QR de tamaño considerable, detrás de la recepción o de la caja o en algunas paredes a una
altura considerable, para que el cliente lo pueda escanear desde su mesa y sea más difícil para un atacante
poner un código falso de gran tamaño, o desplegarlo en una pantalla en la que no sea una calcomanía estática
al alcance de los maleantes. – Miguel Pérez, director Escuela Ciberseguridad Universidad Cenfotec.
Colocar códigos QR de gran tamaño y en lugares inaccesibles para ciberdelincuentes es uno de los consejos que profesionales en ciberseguridad hacen a los comercios. Canva/La República
Y es que, las consecuencias de este tipo de ciberataques no solo vulneran al usuario que cae en el engaño, sino también puede acarrear repercusiones reputacionales y de otras índoles para los comercios elegidos por los criminales para, desde ahí, ejecutar la acción delictiva.
“Instituciones y empresas que emplean estos códigos para sus campañas, productos o servicios deben brindar consejos de seguridad a sus usuarios, mediante infografías y mensajes de alerta sobre estar siempre atentos a la hora de escanear un QR”, añade Diego González, coordinador del Capítulo de Ciberseguridad de la Cámara de Tecnologías de Información y Comunicación (CAMTIC).
Lea más: Estafadores avanzan con engaños sofisticados
Por su parte, al detectar eventuales alteraciones en códigos QR, una buena práctica consiste en avisar inmediatamente a los responsables del lugar donde se encuentre tal anomalía para evitar la consumación de este delito, indica por su parte Luis Gorgona, socio de Consultoría en Tecnologías de la información de la firma RSM Costa Rica.
Entendiendo los códigos QR
¿Qué son?
QR es un acrónimo de ‘Quick Response’, en español ‘respuesta rápida’, similares a los códigos de barras,
pero en dos dimensiones capturados fácilmente desde la cámara del teléfono.
¿Cómo funcionan?
Los códigos QR poseen una estructura con cadenas de texto codificadas que pueden contener diferentes datos
decodificables por aplicaciones que funcionan como lectores utilizando, por ejemplo, la cámara de fotos del
teléfono. El resultado obtenido luego de leer un código QR puede variar y va a depender de la aplicación que
esté interactuando con dicho código.
¿Qué son capaces de hacer?
A partir de un código QR se pueden realizar acciones tales como abrir una página web, descargar un archivo,
agregar un contacto, conectarse a una red Wi-Fi e incluso realizar pagos, entre otras. Los códigos QR son
muy versátiles dado que se pueden personalizar, incluir logotipos e incluso hay versiones dinámicas que
permiten cambiar el contenido o acción del QR en cualquier momento.
Fuente: Mario Miccuci, especialista en seguridad informática de ESET Latinoamérica