Códigos QR: ¿Es seguro escanear?

El comercial de Coinbase Super Bowl que presentaba un código QR que rebotaba con música fue tan popular que provocó que la aplicación de criptomonedas colapsara temporalmente. ¿Qué nos dice esto sobre cómo se utilizan estos códigos y qué tan seguro es escanear? La profesora de informática de Wake Forest, Sarra Alqahtani, responde preguntas sobre códigos QR, ciberdelincuencia y cómo mantener segura su información personal.

Como profesor de informática que estudia ciberseguridad, ¿cuál fue su reacción al comercial de Coinbase?

Fue un comercial divertido de ver, pero inmediatamente comencé a pensar en cuán normalizada se vuelve esta tecnología sin una conciencia equivalente sobre sus problemas de seguridad. Al igual que con cualquier tecnología nueva, la seguridad suele ser una idea de último momento no solo para los desarrolladores sino también para los usuarios. Espero un esfuerzo para educar a las personas sobre las preocupaciones de seguridad del código QR y cómo proteger su privacidad.

¿Qué posibilidades hay de que la información privada se vea comprometida al escanear un código QR?

El código QR puede ser reemplazado por uno malicioso (la forma más sencilla es pegar físicamente un código encima de otro), lo que podría llevar al usuario a un sitio web falso que es similar al sitio web original. Luego, el pirata informático puede instalar un pequeño software (malware) en el teléfono del usuario para rastrear y recopilar sus datos.

¿Qué hacen los hackers con la información que roban?

Pueden robar los nombres de usuario y contraseñas que usamos en diferentes aplicaciones y sitios web y venderlos en la dark web. Estos datos se pueden usar para adivinar las credenciales de usuario/empleado durante otros ataques, como sucedió en el ataque de ransomware Colonial Pipeline.

¿Hay alguna forma de saber si un código QR es seguro?

No podemos reconocer ninguna diferencia entre los códigos legítimos y maliciosos con nuestros ojos, pero cuando escaneamos el código debemos prestar atención al enlace del sitio web antes de hacer clic en él. Por eso se recomienda incluir el enlace del sitio web con el código al compartirlo públicamente.

¿Qué debemos buscar al comprobar una URL antes de hacer clic?

Si existe un riesgo de seguridad, la URL se verá similar a la URL original pero con ligeros cambios. Por ejemplo, en lugar de www.yahoo.com, el pirata informático puede usar yaho0.com, que tiene un aspecto muy similar. Este tipo de trucos se enmarca dentro del campo de los ataques de phishing que tiene una larga historia en ciberseguridad.

¿Cuál es su mejor consejo para proteger la información personal al usar códigos QR?

Recomiendo no escanear los códigos QR tanto como sea posible y usar manuales y menús en papel. También aconsejo usar las cámaras integradas en los teléfonos inteligentes en lugar de usar aplicaciones de terceros, ya que las cámaras integradas muestran el enlace del sitio web y le piden al usuario que haga clic en él, lo que no suele ser el caso con las aplicaciones de terceros.

Si sospecha que ha hecho clic en un sitio web falso y se ha instalado malware, ¿qué debe hacer?

Depende del teléfono que esté utilizando, pero en general, debe borrar la caché de su navegador, hacer una copia de seguridad de sus archivos, cambiar sus credenciales. Si su teléfono no tiene protección integrada, deberá usar un software de detección de malware para detectar y eliminar cualquier malware.

¿Tiene algún libro o recurso que pueda recomendar a aquellos que quieran saber más sobre los códigos QR?

Lea el Anuncio de servicio público del FBI, «Ciberdelincuentes manipulando códigos QR para robar fondos de las víctimas».