El código QR no es un misterio, solo oculta enlaces en un patrón
Hoy en día, los códigos QR se pueden ver en casi cualquier lugar. Para hacer pedidos en restaurantes, pagar estacionamiento, recoger paquetes, registrarse para eventos, conectarse a Wi-Fi, tarjetas de presentación digitales, seguimiento en redes sociales, pagos de PayPal, recibir pagos en criptomonedas, e incluso Google Forms o acceso de contacto de WhatsApp, todos pueden realizarse a través de un código QR. El código QR en sí no es un virus ni una tecnología peligrosa. Su función es sencilla: convierte un bloque de información en un patrón que un teléfono puede escanear. Esta información puede ser una URL, un texto, un conjunto de datos de pago, una configuración de Wi-Fi o un enlace de descarga de una aplicación. El verdadero riesgo radica en: ¿Es el código QR que estás escaneando realmente de ese servicio original? ¿Es la página que se abre después del escaneo realmente del sitio oficial? Si el código QR es cubierto, reemplazado, o redirige a enlaces múltiples, el usuario podría sin darse cuenta entrar a un sitio falso.
Los códigos QR maliciosos son comunes en la vida cotidiana
Los códigos QR maliciosos no necesariamente aparecen en situaciones de alta tecnología, a menudo se encuentran en los lugares más cotidianos. Por ejemplo, un código QR para pedidos en una mesa de restaurante, si es cubierto con una pegatina, el cliente podría pensar que está accediendo al menú del restaurante, pero en realidad está entrando a una página de pago falsa o un sitio de phishing. El código QR en los letreros de pago de estacionamiento podría ser reemplazado, llevando al usuario a introducir datos de tarjeta de crédito en un sitio desconocido. Recoger paquetes, tarifas aduaneras, registro de eventos, cupones falsos o sorteos también podrían estar empaquetados como un proceso de escaneo. Este tipo de fraudes tiene éxito porque el acto de escanear es demasiado natural. Muchas personas solo miran si el diseño de la página se asemeja al oficial, sin fijarse en la URL. Siempre que la página dé la apariencia de ser oficial, la cantidad no sea alta y el proceso parezca fluido, es fácil que las personas baje la guardia.
Lógica técnica: el código QR suele ser solo la primera entrada
Desde una perspectiva técnica, el código QR en sí normalmente es solo una puerta de entrada. Puede dirigir directamente a un sitio web, o puede apuntar primero a un enlace corto y luego redirigir a la verdadera página. Por eso algunos códigos QR escaneados despliegan URLs que parecen bit.ly, t.co, u otros servicios de enlace corto. Los enlaces cortos no son necesariamente peligrosos, muchas empresas legítimas los utilizan para seguimiento de marketing. Pero el problema es que los enlaces cortos ocultan el destino final. Al escanear, el usuario no puede ver a qué sitio será llevado, lo que da más espacio a páginas de phishing, páginas de pago falsas y páginas de descarga sospechosas. Las situaciones de mayor riesgo incluyen: 1. Scanning that requests complete credit card information 2. Scanning that requires logging into Google, Apple ID, Facebook or bank accounts 3. Scanning that requires downloading an APK, unrecognized profile or app 4. Scanning that results in messages like ‘Account abnormal,’ ‘Payment failed,’ or ‘Verify now’ 5. Scanning that redirects multiple times, resulting in unknown URLs 6. Scanning that asks for SMS verification codes or Email verification codes Si
Al pagar con un escaneo, el punto más importante son la URL y la cantidad
Los códigos QR para pagos son el tipo más crítico que requiere precaución. Porque una vez que ingresas los datos de la tarjeta de crédito, información bancaria o código de verificación de pago en una página falsa, el proceso posterior será complicado. Antes de escanear para pagar, puedes hacer algunas confirmaciones simples. Primero, verifica si la URL pertenece a una plataforma confiable. Segundo, mira si la página muestra correctamente el nombre del comerciante. Tercero, asegúrate de que la cantidad coincide con lo que se indica en el lugar. Cuarto, no ingreses tu contraseña bancaria, tu contraseña de Email, o un código de verificación completo en un página desconocida. Algunas páginas falsas deliberadamente requieren pagos pequeños, como un dólar, o unos pocos pesos por estacionamiento o un pequeño sobrante. Esta cantidad puede parecer baja, pero el verdadero objetivo puede no ser el dinero, sino los datos de la tarjeta de crédito y el código de verificación posterior.
Al escanear, si solicita descargar una App, ten especial cuidado
Si el código QR que escaneas solicita descargar una App, debes ser aún más precavido. En condiciones normales, los usuarios de iPhone deben priorizar descargar desde la App Store, y los usuarios de Android deben hacerlo desde Google Play o fuentes confiables. Si después de escanear se ofrece un APK para descargar, o se te pide que ignores advertencias de seguridad o que habilites la instalación de fuentes desconocidas, es importante estar alerta. Las Apps sospechosas pueden pedir permisos excesivos, como acceso a la cámara, micrófono, ubicación, notificaciones, mensajes, contactos, servicios de accesibilidad, etc. Si se abusan de estos permisos, pueden causar la filtración de cuentas, contenido de notificaciones, información de ubicación o datos del dispositivo. Particularmente si ves frases como ‘Escanea para ganar,’ ‘Escanea para instalar herramientas de seguridad,’ ‘Escanea para completar un reembolso,’ o ‘Escanea para recuperar tu cuenta,’ no solo debes fijarte en el diseño de la página, debes volver a la App oficial o al sitio web oficial para confirmar.
Si ya escaneaste e introdujiste datos, primero determina qué datos ingresaste
Si ya escaneaste un código QR sospechoso, no entres en pánico. Lo más importante es recordar qué datos ingresaste. Si solo abriste una página y no ingresaste datos, generalmente el riesgo es bajo, puedes cerrar la página y borrar el historial de navegación. Si ingresaste información de tarjeta de crédito, debes contactar lo más pronto posible a tu banco o institución emisora. Si ingresaste contraseña de Google, Facebook, Instagram, Apple ID, PayPal o Email, debes cambiar la contraseña desde la entrada oficial y revisar los registros de inicio de sesión. Si ingresaste un código de verificación por SMS, un código de verificación bancaria o un código de verificación de pago, el riesgo será mayor, y debes revisar inmediatamente los registros de transacciones y la configuración de seguridad de tu cuenta. Si el incidente involucra pagos, cuentas en plataformas o varias páginas sospechosas, puedes recopilar la información sobre dónde apareció el código QR, la hora de escaneo, la URL, las capturas de pantalla y los tipos de datos ingresados para un procesamiento posterior más claro.
Tómate un segundo antes de escanear, normalmente puedes evitar la mayoría de los riesgos
El código QR es una herramienta conveniente, no necesitas dejar de usarla por los riesgos. Lo realmente importante es desarrollar el hábito de mirar la URL primero, observar qué pide la página y reflexionar sobre si la situación es razonable después de escanear. Al escanear para hacer un pedido en un restaurante, normalmente no debería pedirte que inicies sesión en tu cuenta bancaria. Al escanear para pagar en un estacionamiento, la página debería tener una relación clara con el estacionamiento o la plataforma de pago. En las páginas de registro de eventos o recolección de paquetes, si repentinamente se pide descargar una App desconocida o ingresar demasiados datos sensibles, deberías detenerte y confirmar. La velocidad de escaneo es rápida, pero el juicio de seguridad puede tomarse un poco más de tiempo. Muchos riesgos de códigos QR no surgen de tecnología compleja, sino de la tendencia de las personas a simplemente actuar después de escanear. Solo tomando un segundo más antes de ingresar una contraseña, información de pago o códigos de verificación, puedes evitar la mayoría de las páginas de pago falsas y sitios de phishing.