La Comisión Federal de Comercio de EE. UU. se ha convertido en la última organización en advertir contra el creciente uso de códigos QR en estafas que intentan tomar el control de teléfonos inteligentes, realizar cargos fraudulentos u obtener información personal.
Los códigos QR, abreviatura de códigos de respuesta rápida, son códigos de barras bidimensionales que abren automáticamente un navegador web o una aplicación cuando se escanean con la cámara de un teléfono. Restaurantes, estacionamientos, comerciantes y organizaciones benéficas los muestran para que a las personas les resulte más fácil abrir menús en línea o realizar pagos en línea. Los códigos QR también se utilizan en contextos sensibles a la seguridad. YouTube, Apple TV y docenas de otras aplicaciones de TV, por ejemplo, permiten que alguien inicie sesión en su cuenta escaneando un código QR que se muestra en la pantalla. El código abre una página en un navegador o aplicación del teléfono, donde la contraseña de la cuenta ya está almacenada. Una vez abierta, la página autentica la misma cuenta para abrirla en la aplicación de TV. Las aplicaciones de autenticación de dos factores brindan un flujo similar al utilizar códigos QR al registrar una nueva cuenta.
Sin embargo, los estafadores no han pasado desapercibidas la ubicuidad de los códigos QR y la confianza depositada en ellos. Desde hace más de dos años, los quioscos de estacionamiento que permiten a las personas realizar pagos a través de sus teléfonos han sido el objetivo favorito. Los estafadores pegan códigos QR sobre los legítimos. Los códigos QR fraudulentos conducen a sitios similares que canalizan fondos a cuentas fraudulentas en lugar de a las controladas por el estacionamiento.
En otros casos, los correos electrónicos que intentan robar contraseñas o instalar malware en los dispositivos de los usuarios utilizan códigos QR para atraer objetivos a sitios maliciosos. Debido a que el código QR está incrustado en el correo electrónico como una imagen, el software de seguridad antiphishing no puede detectar que el enlace al que conduce es malicioso. En comparación, cuando el mismo destino malicioso se presenta como un enlace de texto en el correo electrónico, existe una probabilidad mucho mayor de que el software de seguridad lo detecte. La capacidad de eludir dichas protecciones ha dado lugar a un torrente de phishing basados en imágenes en los últimos meses.
La semana pasada, la FTC prevenido Los consumidores deben estar atentos a este tipo de estafas.
“El código QR de un estafador podría llevarlo a un sitio falso que parece real pero no lo es”, afirma el aviso. “Y si inicia sesión en el sitio falsificado, los estafadores podrían robar cualquier información que ingrese. O el código QR podría instalar malware que robe tu información antes de que te des cuenta”.
La advertencia se produjo casi dos años después de que el FBI emitiera una aviso similar. Las directrices emitidas por ambas agencias incluyen:
- Después de escanear un código QR, asegúrese de que conduzca a la URL oficial del sitio o servicio que proporcionó el código. Como ocurre con las estafas de phishing tradicionales, los nombres de dominio maliciosos pueden ser casi idénticos al deseado, excepto por una sola letra mal colocada.
- Ingrese las credenciales de inicio de sesión, la información de la tarjeta de pago u otros datos confidenciales solo después de asegurarse de que el sitio abierto con el código QR pase una inspección minuciosa utilizando los criterios anteriores.
- Antes de escanear un código QR presentado en un menú, estacionamiento, proveedor o organización benéfica, asegúrese de que no haya sido manipulado. Busque con atención las pegatinas colocadas encima del código original.
- Sospeche mucho de cualquier código QR incrustado en el cuerpo de un correo electrónico. Rara vez existen razones legítimas para que los correos electrónicos benignos de sitios o servicios legítimos utilicen un código QR en lugar de un enlace.
- No instale escáneres de códigos QR independientes en un teléfono sin una buena razón y solo después de examinar cuidadosamente al desarrollador. Los teléfonos ya tienen un escáner incorporado disponible a través de la aplicación de la cámara que será más confiable.
Una advertencia adicional cuando se trata de códigos QR. Los códigos utilizados para inscribir un sitio en la autenticación de dos factores de Google Authenticator, Authy u otra aplicación de autenticación proporcionan el token semilla secreto que controla la contraseña de un solo uso en constante cambio que muestran estas aplicaciones. No permita que nadie vea dichos códigos QR. Vuelva a registrar el sitio en caso de que el código QR quede expuesto.