Cómo escanear códigos QR de forma segura en restaurantes, tiendas y medios de transporte

Los códigos QR se encuentran en todos los ámbitos de la vida cotidiana, ya sea para visualizar un menú en un restaurante o realizar un pago, pero su popularidad ha atraído la atención de ciberdelincuentes que buscan aprovecharse de la confianza de los usuarios.

A través de códigos QR maliciosos, los atacantes pueden redirigir a las víctimas a sitios web fraudulentos o incluso infectar sus dispositivos con malware. Estos ataques tienen el potencial de robar datos personales, contraseñas y otra información sensible, lo que representa un gran riesgo para la seguridad digital.

Por esta razón, es crucial conocer los peligros asociados con el escaneo de códigos QR y aplicar medidas preventivas para protegerse de los ciberdelincuentes. Estas son pautas de organizaciones expertas como el Instituto Nacional de Ciberseguridad de España (Incibe), sobre cómo prevenir fraudes de este tipo.

Cómo verificar si un código QR es legítimo

La primera regla de seguridad al interactuar con un código QR es verificar su procedencia y finalidad antes de escanearlo. El simple hecho de encontrar un código QR en un lugar inesperado, como en la vía pública, debe levantar sospechas.

Los ciberdelincuentes con frecuencia colocan etiquetas adhesivas sobre códigos QR originales para redirigir a los usuarios a sitios web fraudulentos. Además, los códigos QR en correos electrónicos o mensajes de texto desconocidos deben ser considerados potencialmente peligrosos, porque pueden ser utilizados en ataques de phishing.

Según el Incibe, es clave que cualquier usuarios verifique si el código ha sido manipulado de alguna manera, como pegatinas añadidas o alteraciones visibles.

Cuál es la forma más fácil de comprobar una URL antes de acceder a ella

Una forma sencilla de prevenir fraudes es activar la función de previsualización de la URL a la que el código QR redirige antes de acceder a ella. De esta forma, se puede observar el enlace al que se dirige sin necesidad de ingresar al sitio directamente. Si la URL no se muestra correctamente o parece sospechosa, no se debe seguir adelante con la acción.

El Incibe sugiere que, si la URL redirige a un dominio desconocido o que no coincide con la dirección oficial de la empresa o servicio esperado, se debe desconfiar de inmediato. Es común que las páginas fraudulentas intenten imitar el sitio legítimo de una entidad para engañar a los usuarios y robar sus datos personales y financieros.

Por qué es clave saber si la URL pertenece al dominio oficial

Otro consejo clave en la prevención de fraudes es verificar que la URL del sitio al que el código QR redirige pertenezca al dominio oficial de la empresa o servicio.

Las estafas más comunes incluyen la creación de páginas web con nombres de dominio similares a los originales pero con pequeñas variaciones, como sustituciones de letras o la adición de palabras que confunden a los usuarios.

Cuando un código QR redirige al usuario a un sitio web cuya URL contiene errores gramaticales evidentes, como un dominio con caracteres o extensiones poco comunes, es crucial abortar la acción de inmediato.

Los expertos señalan que la mayoría de los fraudes en línea relacionados con códigos QR emplean esta táctica para obtener acceso a información personal o financiera de las víctimas.

Cómo identificar que un archivo descargable es peligroso

Los archivos descargables, en particular aquellos con extensiones como .apk, es un indicativo de una amenaza. Las aplicaciones maliciosas que se distribuyen mediante códigos QR pueden infectar el dispositivo con software dañino, lo que permite a los atacantes robar información sensible o tomar el control del teléfono.

De esta forma, si un código QR solicita la descarga de un archivo, sobre todo si es de una fuente no verificada, es crucial ser cauteloso.

De acuerdo con el Incibe, es clave no descargar archivos de fuentes desconocidas, sobre todo si el archivo tiene una extensión .apk, que está asociada con aplicaciones de Android. Estos archivos pueden contener virus, troyanos u otro tipo de malware que comprometen la seguridad de los dispositivos.