Así te estafan usando un código QR: qué se puede hacer para evitarlo


El Covid-19 consiguió, entre muchas cosas, que los códigos QR se hayan transformado en parte de la vida cotidiana de la sociedad. Estos diseños escaneables desde el celular permiten acceder al menú de un restaurante, realizar pagos digitales o hasta portar el permiso de circulación en épocas de aislamiento. Sin embargo, a los ciberdelincuentes también les permite concretar estafar.

La Policía Nacional de España detectó una nueva estafa que bien podría ocurrir en Argentina en la que se usan códigos QR para conseguir datos personales y bancarios de las víctimas. El primer caso de phishing de este tipo fue detectado recientemente en Málaga.

Esta ciberestafa fue bautizada como qrishing, que es la misma suplantación de identidad que el phishing pero a través del QR. El código que se escanea no llevaría a la web apropiada sino a otra fraudulenta en la que se cometería finalmente la estafa.

El italiana Gabriele Pellerone decidió tatuarse el código QR de su carnet de vacunación contra el Covid-19.

Para no caer en esta trampa es primordial desactivar la opción para que los enlaces escaneados se abran automáticamente.

Además, se debe estar atento al link que aparece en pantalla y cerciorarse de que es el correspondiente al que se debería abrir.

El Instituto Nacional de Ciberseguridad de España, por su parte, avisó que los ciberdelincuentes, además del qrishing, también tienen otros métodos para usar los códigos QR de forma fraudulenta.

Con el qrkjacking pueden robar cualquier cuenta que necesite un código QR para iniciar sesión como podría ser el caso de WhatsApp.

Por otra parte, usando los QR también se podría descargar malware en el dispositivo que podría filtra información o suscribirse a servicios que el usuario no solicitó. Los delincuentes también tendrían la posibilidad de acceder al micrófono o la cámara del móvil.

WhatsApp, una víctima

Aquel que utilizó la versión web de la app de mensajería en una computadora sabe que el proceso es bien simple: frente a la pantalla principal de la aplicación, solo es necesario acceder a las opciones (arriba a la derecha) y seleccionar WhatsApp Web, para que una vez marcada la opción aparezca una pantalla para el escaneo de un código QR.

Luego, solo basta con abrir la página de acceso a WhatsApp en la computadora (https://web.whatsapp.com), escanear el código a través de la aplicación y listo: la app puede ser utilizada en la computadora.

Según revelaron fuentes la compañía de ciberseguridad ESET, los cibercriminales se aprovechan de esa función para convencer a las víctimas de escanear el código QR generado por ellos para realizar el ataque. 

Su estructura interna abre una página estándar solamente como ejemplo, ya que el código fuente de la página está disponible para modificación y acepta códigos HTML, scripts, así como otros recursos llevados al desarrollo web.

La versión WhatsApp Web puede ser vulnerada por ciberdelincuentes.

La versión WhatsApp Web puede ser vulnerada por ciberdelincuentes.

Los especialistas no recomiendan dejar de utilizar WhatsApp Web por el simple hecho de que se descubra que no cuenta con las características de seguridad suficientes para evitar que las cuentas sean secuestradas.

Solo alcanza con tener un comportamiento seguro y mantenerse alerta, ya que algunos detalles no pueden ser alterados ni siquiera por el atacante más experimentado.

Asimismo, el uso de esta aplicaciones implica que se debe tener cierto conocimiento previo. En el caso de WhatsApp, el recurso para escanear códigos QR sirve única y exclusivamente para permitir que los usuarios utilicen la aplicación en sus computadoras, nada más.

“Sospeche si algún anuncio publicitario solicita que el usuario escanee un código QR a cambio de algún beneficio o como parte de un proceso de validación, independientemente del sitio o marca que represente el anuncio”, aseguran.

Y agregan: “En caso de que un servicio, aplicación o empresa utilice un recurso como el código QR como parte de una acción o beneficio, el mismo sería ampliamente divulgado a través de sus canales oficiales”.

Hay que utilizar lo mínimo necesario las redes públicas o poco confiables. También estar atento en el momento en que navega por Internet, incluso estando en redes seguras, como puede ser en el hogar o en el trabajo.

Cuando se produce un ataque de este tipo el usuario no suele recibir ningún tipo de devolución. Por lo tanto, en caso de que escanee un código y no reciba ninguna acción como respuesta, probablemente se trate de un ataque.

“En caso de dudas, en la pantalla principal de WhatsApp seleccione la opción WhatsApp Web y cierre todas las sesiones que fueron iniciadas. Esto hará que los criminales pierdan acceso el acceso a la cuenta de WhatsApp de sus víctimas de forma inmediata”, recomendaron.

Por último, los usuarios deben mantener también todos los programas de seguridad activados, actualizados y configurados para bloquear amenazas, tanto en su smartphone como en su computadora. Las actualizaciones traen nuevos recursos y corrigen eventuales problemas de seguridad que los programas puedan tener.



Fuente