La Policía Nacional ha alertado de que los hackers están utilizando los códigos QR para robar datos, dinero, cuentas y añadir malware en los dispositivos de las víctimas.
La pandemia por la Covid-19 ha provocado que los códigos QR estén más presentes que nunca en España. Unos elementos que sirven para almacenar información a la que se tiene acceso al escanearlos con una cámara, como la del móvil, y que habitualmente se usan para acceder a la carta de un restaurante o para escanear una entrada o el Pasaporte Covid. Sin embargo, también son una herramienta que permite a los hackers desde robar dinero a datos personales.
La Policía Nacional alertó a través de su cuenta de Twitter hace unos días de una nueva modalidad de estafa en Málaga en la que mediante el uso de los códigos QR los cibercriminales conseguían hacerse con datos personales y bancarios de las víctimas. A su vez, incitaron a los usuarios que tuviesen mucho cuidado a la hora de leer un código desconocido. PUBLICIDAD
Pero ¿cómo funciona este nuevo ciberataque? La mecánica es sencilla, cuando el usuario escanea un código QR, en vez de acceder a una página web, descargar una app o cualquier otro servicio digital seguro entra en un lugar fraudulento en el que se instala un software que sustrae sus datos personales y bancarios. Además, el Instituto Nacional de Ciberseguridad (Incibe) destaca que existen tres tipos de ataques diferentes mediante estos códigos.
Varios ataques
Con los códigos QR se evita que los usuarios mantengan contacto físico con aquellos elementos que pueden ser utilizados por otras personas; una de las medidas para frenar la propagación del coronavirus. El aumento de su uso también ha provocado que los hackers los tengan en su punto de mira, llegando a realizar tres ataques diferentes.
El primero de ellos es el Qrishing, un ataque de tipo phishing. Esta técnica se combina con la ingeniería social con el objetivo de que la víctima proporcione sus datos y credenciales mediante el escaneo de un código QR dentro de una página web, correo electrónico o mensaje. Al leer el código, el usuario es redirigido a una web que suplanta a la de la empresa oficial y que solicita información confidencial o bancaria.
Código QR en un móvil. Alex Branco Omicrono
El segundo ataque es la descarga de malware. Para ello, cuando la víctima escanea un QR de un sitio web no fiable, su dispositivo se infecta con código malicioso diseñado para explotar las vulnerabilidades del teléfono pudiendo realizar diferentes acciones, como extraer datos personales, dar de alta suscripciones a servicios premium, ver anuncios de forma silenciosa y acceder a datos del navegador y a diferentes elementos del móvil, como pueden ser la cámara o el micrófono; o hasta enviar correos.
El principal problema de todas estas acciones es que suceden en segundo plano, por lo que la víctima no es consciente de ellos. Por último, los hackers también pueden hacer Qrljacking, un ataque que también utiliza la ingeniería social para secuestrar la cuenta de un servicio que acepta la función ‘Inicio de sesión con código QR’, como puede ser WhatsApp Web.
Para llevar a acabo este ataque, intentan engañar al usuario para que escanee un QR modificado que suplanta al original, que ha sido capturado previamente por los cibercriminales. De esta forma, cuando la víctima escanea el código QR, el hacker puede apuntar las credenciales de inición de sesión del usuario para acceder de forma encubierta a la información personal que se almacena en dicha cuenta.
Cómo evitarlos
Para evitar que los hackers se hagan con datos, lo primero que se debe realizar es prestar atención al escanear códigos QR, y más cuando éstos son de origen desconocido. Si el usuario no verifica la dirección web, puede ser engañado fácilmente. Nunca se debe escanear aquellos que estén pegados en publicidad, que no tengan información o los que vienen acompañados de dudosas ofertas o formas de ganar dinero fácilmente.
Código QR de Omicrono. Alex Branco Omicrono
Lógicamente, tampoco se debe hacer clic en un enlace desconocido que pueda aparecer tras escanear un código QR. Es decir, si se lee un QR de un restaurante debe salir la carta y no un enlace para descargar un archivo. También se puede configurar el móvil para que muestre una vista previa del enlace cuando se escanea un código, justo antes de acceder, para comprobar que la dirección es correcta.
Incibe también recomienda a las empresas y negocios que comprueben de forma frecuente sus códigos QR para detectar que no hayan sido cambiados por terceras personas. Incluso, señalan que una buena opción es utilizar un generador de códigos QR que ofrezca garantías de seguridad. También se debe comprobar que se redirige a la página indicada, ver si la URL es confiable y que coincide con la que se anuncia en la carta o folleto, y deshabilitar la apertura automática de enlaces al escanear uno de estos códigos.