El uso significativo en los últimos tiempos de los códigos QR ha generado que ciberdelincuentes perfeccionen sus ataques de phishing a través del escaneo de los mencionados códigos re direccionándolos a sitios web maliciosos diseñados exclusivamente por el atacante a fin de extraer información privilegiada a través de páginas web.  

Recordemos primeramente que el phishing es un ataque que intenta robar dinero o identidad de usuarios de internet, influyendo a que divulgue información personal (como números de tarjeta de crédito, información bancaria o contraseñas) en sitios web que fingen ser sitios legítimos.

Considerando lo indicado en el párrafo anterior, los ciberdelincuentes se vuelven cada vez más sofisticados a la hora de perfeccionar sus sitios web para que parezcan legítimos y es fundamental tener consciencia de este tipo de ataques. Al utilizar los QR, es difícil estar seguro de que le han dirigido a un sitio web de phishing, sin embargo, hay algunos puntos que podría tener y le comentamos a continuación:

• Desactivar la opción de abrir automáticamente los enlaces al escanear un código QR.
• Usar aplicaciones de escaneo que permitan ver a qué URL dirige ese código antes de abrirlo, así podrá revisar la dirección antes de acceder al contenido o introducir información como: QR Scanner-Safe QR Code Reader (Trend Micro), Lector y escáner de códigos QR (Kaspersky), Lionic Secure QR Code Scanner.
• No escanear códigos QR de dudosa procedencia: verificar la identidad del autor para confirmar que es quien dice ser. En caso de duda, buscar en internet más información, o investigar su identidad y objetivos por otra vía (llamada telefónica).
• En caso de realizar pagos o transacciones financieras con QR, comprobar que la operación se haya realizado según lo esperado, tanto para el comprador como al vendedor.
• Si el código QR es físico, por ejemplo, en el mostrador de alguna tienda o impreso en un vaso, un truco de los atacantes es colocar una pegatina sobre el código real: antes de escanearlo, comprobar que no haya sido manipulado, que no tenga un adhesivo u otro elemento pegado sobre el código real.
• En caso de gestionar un negocio, comprobar periódicamente que los códigos QR que se utilizan no hayan sido manipulados.
• Si el código QR lleva a una página en la que se solicita información personal, especialmente contraseñas o datos relacionados con formas de pago, es importante detenerse a analizar un momento si el contexto lo requiere.
• En caso de sospecha o detección de alguna irregularidad, comunicar al negocio e incluso puede enviar un correo a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

* El CERT-PY es el Centro de Respuestas a Incidentes Cibernéticos nacional, responsable de la gestión de los incidentes de seguridad en sistemas computacionales en las que estén involucradas redes o infraestructuras del paí­s.

* Fuente: https://www.cert.gov.py/