Los códigos QR han ganado popularidad en los últimos años debido a su facilidad de uso y versatilidad. Estos pequeños cuadros con patrones que almacenan información son utilizados en restaurantes, tiendas, y eventos para compartir menús, enlaces o datos de contacto. Sin embargo, esta misma simplicidad ha llamado la atención de los ciberdelincuentes, quienes han encontrado formas de explotar las vulnerabilidades inherentes a esta tecnología, convirtiendo los códigos QR en una puerta de entrada para ataques de phishing y malware.
Una de las principales amenazas es el phishing mediante códigos QR, donde un código aparentemente legítimo redirige al usuario a un sitio web malicioso. Al escanear el código, el usuario es llevado a una página que se hace pasar por un portal legítimo, como un banco o red social, solicitando credenciales o información personal. Debido a la confianza en los códigos QR, muchos usuarios no verifican la URL antes de interactuar con ella, facilitando el robo de información.
Otra preocupación es el riesgo de malware a través de códigos QR. Al escanear un código comprometido, el dispositivo puede ser redirigido a la descarga de una aplicación maliciosa o archivo infectado, especialmente en sistemas donde los usuarios tienen configuraciones de seguridad menos estrictas. Esto permite a los atacantes tomar el control del dispositivo o robar datos sensibles sin que el usuario lo note inmediatamente.
Las formas más comunes de estas estafas las podemos encontrar de la siguiente manera: imprimiendo y pegando sobre códigos reales en menús, publicidad o establecimientos, stickers con códigos maliciosos, folletos que claman tener regalos o suscripciones gratis con tan solo escanear el código incluido o ataques de phishing por mensaje de texto o correo.
Para mitigar estos riesgos, es fundamental una campaña de concientización acerca de los peligros asociados con estos códigos y las buenas prácticas que se deben adoptar como medidas de seguridad al usar el QR. Verificar manualmente las URL a las que son redirigidos, así como asegurarse que no haya sido manipulado (como tener los bordes despegados o que esté abultado), antes de proporcionar cualquier dato personal. Con estos controles de seguridad podemos evitar que nuestra información personal y dispositivos sean comprometidos por estos ciberdelincuentes.