En los últimos años, se ha implantado el uso de códigos QR para evitar el contacto con soportes físicos en bares, restaurantes y en otros espacios empresariales y de la Administración pública. En paralelo, los ciberdelincuentes están utilizando nuevas técnicas para engañar a las personas y ha centrado también sus esfuerzos en impulsar el QRishing, que consiste en la manipulación de códigos QR para engañar a la víctima y hacer que acceda a enlaces o aplicaciones maliciosas, para así obtener su información privada o empujarla a llevar acciones no consentidas.
Este tipo de estafas se producen en muchas ocasiones. Por ejemplo, con QR que conducen a una web falta para pagos o que instalan malware o llevan a enlaces de webs que suplantan a la reales para que el usuario facilite sus datos. Incluso se pueden producir cuando se colocan pegatinas encima de los códigos QR reales en un establecimiento comercial.
“El auge de este tipo de ingeniería social se debe a que los códigos QR permiten un acceso rápido a información variada, como enlaces a sitios web, menús en restaurantes, pagos sin contacto o seguimiento de productos. De este modo, debido a la facilidad de uso, la accesibilidad a través de dispositivos móviles y su capacidad para brindar información instantánea su uso se ha democratizado entre la ciudadanía sin tener en cuenta las posibles amenazas”, explica José Luis Ardisana, analista de inteligencia del centro de operaciones de seguridad de Seresco.
Los expertos de Seresco recomiendan para evitar el QRshing verificar la fuente antes de escanear un código QR y evitar escanear códigos QR de fuentes desconocidas como como pegatinas en lugares públicos o mensajes no solicitados. También aconsejan analizar el código QR antes de escanearlo y si es sospechoso o parece alterado no leerlo.
Otro de los consejos es utilizar una app de confianza, descargada desde fuentes oficiales como la App Store, Google Play o Google Lens, para leer los códigos QR. Mantener el software actualizado y desconfiar de las solicitudes de información sensible son otras de las recomendaciones.
Finalmente, Seresco señala que es necesario usar una solución de seguridad y si se encuentra un código QR o una actividad sospechosa notificarlo a las autoridades correspondiente.
