Los códigos QR, códigos de barras cuadrados que pueden escanearse y leerse con teléfonos inteligentes, parecen usarse en todas partes: para abordar vuelos, asistir a conciertos y consultar los menús de los restaurantes.
Pero los estafadores que intentan robar información personal también usan códigos QR para dirigir a las personas a sitios web maliciosos que pueden recopilar sus datos, escribió Álvaro Puig, especialista en educación del consumidor de la Comisión Federal de Comercio, en una publicación de blog el miércoles en la página de asesoramiento al consumidor de la agencia. .
Los estafadores potenciales esconden enlaces peligrosos en la confusión en blanco y negro de algunos códigos QR, advirtió la FTC.
Las personas detrás de estos esquemas dirigen a los usuarios a códigos QR maliciosos de manera engañosa, utilizando tácticas que incluyen colocar sus propios códigos QR sobre códigos legítimos en los parquímetros o enviar plantillas para escanear por SMS o correo electrónico para que parezcan legítimos, decía la publicación.
Una vez que las personas hacen clic en esos enlaces, el estafador puede robar la información que ingresan en el sitio web. El código QR también puede usarse para instalar malware que roba la información personal de la persona, dijo la FTC.
Los códigos engañosos enviados por mensaje de texto o correo electrónico a menudo utilizan mentiras para crear una sensación de urgencia, por ejemplo, diciendo que un paquete no se puede entregar y debe reprogramarse, o haciéndose pasar por una empresa y diciendo que hay información sospechosa sobre la cuenta de una empresa. . persona. cuenta y que la contraseña del usuario debe cambiarse, dijo la FTC.
«Quieren que escanees el código QR y abras la URL sin pensar», dijo la FTC.
John Fokker, jefe de inteligencia de amenazas de Trellix, una empresa de ciberseguridad, dijo en un correo electrónico el domingo que el centro de investigación avanzada de la compañía detectó más de 60.000 muestras de ataques de códigos QR en el tercer trimestre de 2023.
El tipo más común incluía estafas por correo, intercambio de archivos maliciosos y mensajes que se hacían pasar por departamentos de recursos humanos, TI y nómina, dijo.
«La pandemia ha provocado un resurgimiento de los códigos QR en nuestra vida diaria, desde los menús de los restaurantes hasta su uso en los consultorios médicos, lo que convierte a los códigos QR en un vector atractivo para que los ciberdelincuentes los utilicen para atacar a personas y organizaciones en todo el mundo», dijo Fokker. . .
Fokker dijo que los usuarios de dispositivos móviles son «particularmente vulnerables» a estos ataques porque «la mayoría de las veces, los códigos QR se escanean utilizando dispositivos móviles que pueden no tener el mismo nivel de seguridad y protección que las computadoras de escritorio».
Hay muchas medidas que las organizaciones y las personas pueden tomar para protegerse, afirmó Fokker. Aconsejó nunca abrir enlaces, seguir códigos QR ni descargar documentos de contactos desconocidos.
Dijo que la gente también debería utilizar la autenticación de dos factores, que utiliza aplicaciones o números de teléfono para verificar la identidad de una persona en línea, y «mantener el software actualizado para garantizar que los dispositivos tengan las últimas medidas de seguridad en marcha».
La FTC emitió una guía similar y dijo que después de escanear un código QR, pero antes de abrir el enlace, los consumidores deben verificar la URL para ver si es una dirección web que reconocen. Si la URL parece legítima, los usuarios deben verificar si hay errores ortográficos o una letra mezclada en la dirección. (Aquí se explica cómo obtener una vista previa de la URL en un iPhone y usar la aplicación Google Lens).
«No escanee un código QR en un correo electrónico o mensaje de texto que no esperaba, especialmente si le solicita que tome medidas inmediatas», advirtió la FTC. «Si cree que el mensaje es legítimo, utilice un número de teléfono o un sitio web que sepa que es real para comunicarse con la empresa».
En enero de 2022, el FBI emitió una advertencia a los consumidores sobre códigos QR maliciosos. Advirtió a las personas que no descargaran aplicaciones vinculadas mediante códigos QR, sino que buscaran la aplicación en la tienda de aplicaciones de su teléfono inteligente y la descargaran desde allí.