Código QR: el fraude del QRLjacking
La digitalización ha traído multitud de ventajas y facilidades a nuestra vida diaria, pero la tecnología no es lo único que ha evolucionado. Las formas de cometer fraudes también lo han hecho y el QRLjacking, o secuestro del inicio de sesión en servicios que emplean un código QR1, es una de ellas.
Los códigos QR y el fraude el QRLjacking
Los códigos QR (Quick Response o respuesta rápida) son una etiqueta óptica que almacena información, que posteriormente decodifica otro aparato —como por ejemplo un teléfono móvil— permitiéndonos acceder a dicha información2. Aunque su origen se remonta a 1994 cuando la multinacional japonesa Denso Wave3 los creó, en los últimos años, su uso se ha popularizado y es relativamente frecuente hoy en día. De hecho, los utilizamos para cosas cotidianas como para ver la carta de un restaurante, para consultar más datos sobre un producto que vamos a adquirir, para acceder a información turística… o para poder usar las aplicaciones de mensajería instantánea en el ordenador.
Sin embargo, el cada vez mayor uso de los códigos QR ha traído aparejado la aparición de un nuevo tipo de fraude: el QRLjacking, que es el secuestro de las credenciales del usuario, como, por ejemplo, al iniciar la sesión en cualquiera de las aplicaciones de mensajería en un ordenador. El “engaño” consiste en que el usuario escanee un código falso, que previamente han modificado, y le permite hacerse con las credenciales del usuario y poder acceder a la información de su cuenta4.
El QRjacking, además, no es la única estafa que se comete a través de códigos QR. También existe el QRishing, que se asemeja al phishing. En este caso, al escanear el código QR modificado, el usuario es redirigido a una página web, que suplanta a la de la empresa original y le solicita información personal y confidencial4.
¿Cómo prevenir el QRLjakcing?
Para evitar caer en este tipo de trampas, según el Instituto Nacional de Ciberseguridad (INCIBE), podemos aplicar algunos consejos:
- Deshabilitar la apertura automática de las webs a las que nos dirige el código de forma que podamos comprobar la URL antes de abrirla.
- Utilizar apps de lectura que nos permitan ver la URL antes de abrirla para comprobar que el código nos está redirigiendo a la página web que en realidad buscamos
- Verificar que la URL es un sitio confiable.
El Basque Cibersecurity Center añade, además, que es recomendable evitar conectarse a redes públicas o inseguras, así como instalar antivirus diseñados para intentar evitar este tipo de ataques5.
Evidentemente, los fraudes y estafas son algo que ha existido siempre, simplemente se han modernizado para actualizarse a las nuevas vías que permiten cometerlos. Lo importante es, al igual que sucede con los fraudes analógicos, prestar atención y tomar las medidas necesarias para evitarlos y poder continuar utilizando el potencial y las ventajas que nos ofrece la tecnología.