Justo cuando pensábamos que el código QR estaba saliendo, la pandemia ha provocado el regreso del atajo escaneable. COVID-19 ha significado encontrar un equivalente digital a las cosas que normalmente se entregan físicamente, como menús, guías turísticos y otros trámites, y muchas organizaciones han adoptado el código QR para ayudar con esto. Y también, al parecer, los criminales. Los estafadores han desempolvado su libro de trucos que abusan de los códigos QR y estamos empezando a ver nuevas estafas. O tal vez solo viejas estafas en lugares nuevos.

¿Qué es un código QR de nuevo?

Un resumen rápido para aquellos que se lo perdieron. Un código de respuesta rápida (QR) no es más que un código de barras bidimensional. Este tipo de código fue diseñado para ser leído por robots que realizan un seguimiento de los artículos en una fábrica. Como un código QR ocupa mucho menos espacio que un código de barras heredado, su uso pronto se extendió.

Los teléfonos inteligentes pueden leer códigos QR fácilmente; todo lo que se necesita es una cámara y un pequeño software. Algunas aplicaciones, como las aplicaciones bancarias, tienen un software de lectura de códigos QR incorporado para facilitar que los usuarios realicen pagos en línea. En algunos otros casos, los códigos QR se utilizan como parte de un procedimiento de inicio de sesión.

Los códigos QR son fáciles de generar y difíciles de diferenciar. Para la mayoría de los ojos humanos, todos se ven iguales. Más o menos así:

Código QR
URL de mi perfil de colaborador aquí

¿Por qué vuelven los códigos QR?

Durante algún tiempo, estos códigos QR se utilizaron principalmente en entornos industriales para ayudar a realizar un seguimiento del inventario y la producción. Más tarde, ganaron algo de popularidad entre los anunciantes porque era más fácil para los consumidores escanear un código que escribir una URL larga. Pero la gente no podía saber a partir de un código QR a dónde los llevaría el escaneo, por lo que se volvieron cautelosos y los códigos QR comenzaron a desaparecer. Luego vino la pandemia y los empresarios tuvieron que ser creativos para proteger a sus clientes contra una infección viral de la vida real.

Por nombrar un ejemplo, por temor a propagar COVID-19 entre muchas personas que tocan el mismo menú en un restaurante, las empresas colocaron códigos QR en sus mesas para que los clientes pudieran escanear el código y abrir el menú en el navegador de su teléfono. Limpio y sencillo. A menos que un visitante anterior con malas intenciones haya reemplazado el código QR por el suyo. Ingrese estafas de códigos QR.

Algunas estafas conocidas de códigos QR

La estafa de códigos QR más fácil de realizar es el secuestro de clics . A algunas personas se les paga para atraer a otros a hacer clic en un enlace determinado. Qué mejor manera que reemplazar los códigos QR en un monumento popular, por ejemplo, donde la gente espera encontrar información de fondo sobre el punto de referencia siguiendo el enlace del código QR. En cambio, el código QR reemplazado los lleva a un sitio sórdido y el operador de clickjacking recibe su tarifa.

Otro truco es la estafa de pequeños pagos por adelantado. Para algunos servicios, se acepta como normal realizar un pago por adelantado antes de poder utilizar ese servicio. Por ejemplo, para alquilar una bicicleta compartida, se le solicita que realice un pequeño pago para abrir el candado de la bicicleta. El código QR para identificar la bicicleta e iniciar el proceso de pago está impreso en la bicicleta. Pero los códigos QR legítimos pueden ser reemplazados por delincuentes que estén felices de recibir estos pequeños pagos en su propia cuenta.

Los enlaces de phishing se pueden disfrazar fácilmente como códigos QR. Los phishers colocan códigos QR donde tiene sentido para el usuario. Entonces, por ejemplo, si alguien espera iniciar sesión para iniciar un procedimiento de pago u obtener acceso a un determinado servicio, los estafadores pueden colocar un código QR allí. También hemos visto correos de phishing equipados con códigos QR fraudulentos.

Imagen cortesía de Proofpoint

El correo electrónico que se muestra arriba indica al receptor que instale la «aplicación de seguridad» de su banco para evitar que su cuenta se bloquee. Sin embargo, apuntó a una aplicación maliciosa fuera de la tienda web. El usuario tuvo que permitir las instalaciones de una fuente desconocida para hacer esto, lo que debería haber sido una gran señal de alerta, pero aún así algunas personas se enamoraron.

Por último, está la estafa de pagos de redireccionamiento, que fue utilizada por un sitio web que facilitó los pagos de Bitcoin. Mientras que el usuario ingresó una dirección de Bitcoin como receptor, el sitio web generó un código QR para una dirección de Bitcoin diferente para recibir el pago. Es otra estafa más que demuestra que los códigos QR son demasiado difíciles de leer para los humanos.

Cómo evitar las estafas de códigos QR

Hay algunos métodos de sentido común para evitar las peores estafas de códigos QR:

  • No confíe en los correos electrónicos de remitentes desconocidos.
  • No escanee un código QR incrustado en un correo electrónico. Trátelos como enlaces porque, bueno, eso es lo que son.
  • Verifique si se pegó una etiqueta de código QR diferente sobre el original y, de ser así, manténgase alejado de ella. O mejor aún, pregunte si está bien eliminarlo.
  • Utilice un escáner QR que verifique o muestre la URL antes de seguir el enlace.
  • Utilice un bloqueador de estafas o un filtro web en su dispositivo para protegerse contra estafas conocidas.

Incluso si el correo de un banco parece legítimo, al menos debe verificar con el banco (utilizando un número de contacto que haya encontrado en una carta o en su sitio web) si le piden que inicie sesión en un sitio que no sea el suyo. , instale software o pague por algo que no haya pedido.

Como precaución adicional, no utilice su aplicación bancaria para escanear códigos QR si se salen del patrón normal de un procedimiento de pago.

¿Quiero saber qué sigue?

Quizás no, pero advertido está prevenido. Un método en desarrollo para reemplazar los códigos QR en dispositivos Android es la etiqueta Near Field Communication (NFC). Las etiquetas NFC, como los códigos QR, no requieren una aplicación para leerlas en dispositivos más modernos. La mayoría de los iPhones y Androids recientes pueden leer etiquetas NFC de terceros sin requerir software adicional, aunque los modelos más antiguos pueden necesitar una aplicación para leerlos.

Las etiquetas NFC también son imposibles de leer por humanos, pero requieren una presencia real, es decir, no se pueden enviar por correo. Pero con el aumento de la popularidad de los pagos sin contacto, es posible que veamos más estafas centradas en este tipo de comunicación.