La Asociación Bancaria Costarricense (ABC) emitió una alerta sobre el uso inadecuado de códigos QR, que podrían llevar a páginas falsas y que los usuarios sean víctimas de fraudes.
Antilavadodedinero / Elfinanciamientocr
La entidad recordó que en la era tecnológica actual cada vez contamos con más recursos para agilizar determinados procesos en bancos, comercios y empresas, como los códigos QR.
Su utilización debe hacerse, sin embargo, con precaución y responsablemente. ABC indicó que en el país algunas entidades financieras los utilizan únicamente con fines informativos y en otras como medios de pago, pero “siempre aplicando todas las medidas de seguridad necesarias” para resguardar la información de los clientes.
Al escanear un código QR, éste lleva a la persona a una página web donde puede ver determinada información. Por ejemplo: el menú en restaurantes o detalles sobre un determinado producto o servicio.
Su uso, empero, implica tomar las precauciones necesarias para no ser víctima de una estafa, ya que los grupos criminales también los utilizan.
“Así como podemos descargar fácilmente esta información, los ciber delincuentes también utilizan los códigos QR para hacer que las personas descarguen contenido malicioso y robar información de sus dispositivos o los llevan a páginas falsas para robar usuarios y contraseñas, para luego acceder a sus cuentas y sustraer el dinero”, manifestó Raúl Rivera, asesor en ciberseguridad de la ABC.
Las entidades bancarias y las firmas de seguridad vienen realizando advertencias sobre los cuidados que deben tenerse al utilizar los códigos QR.
En setiembre pasado el Banco Nacional (BN) advirtió sobre estafadores que aprovechan este tipo de mecanismos para dirigir a los usuarios a páginas web fraudulentas, obtener su información y claves, e intentar fraudes financieros.
El BN había explicado en ese momento que los estafadores colocan calcomanías de códigos QR encima de códigos QR legítimos usados en los establecimientos (restaurantes, centros comerciales o negocios en general) para redirigir a las víctimas a sitios web fraudulentos, solicitarles datos confidenciales o que descarguen malware que infecta el móvil.
En ese mismo mes, la firma BPC Banking Technologies resaltó que las soluciones con código QR permitían generar ahorros en costos, pagos sin contacto y mayor seguridad sanitaria e higiene, y métodos información que agilizan servicios (incluso en transportes), entre otros beneficios.
Tipos de ataques
La Asociación indicó que hay varios tipos de posibles ataques o fraudes que los ciberdelincuentes intentan con QR falsos:
QRishing: llevan a la persona a una página web falsa donde capturan la información confidencial: usuarios, contraseñas y códigos de seguridad.
Descarga de código malicioso: redireccionan a una página web que descarga un código malicioso en el dispositivo que puede infectarlo con un virus (troyano, spyware, botnet o cryptomining). Algunos de estos software maliciosos (malware) lo que hacen es obtener la información del usuario, escanean las claves que digita o utiliza el equipo para diferentes fines ilícitos, lo que además reduce el rendimiento del equipo.
QRLjacking: una vez que la persona ingresa a un sitio web o red social secuestran la sesión engañándolo para ingresar mediante el uso de un código QR, similar a lo que utilizar WhatsApp para ingresar al WhatsApp Web.
Recomendaciones
A nivel personal, ABC recomendó:
—Utilizar un escaneador seguro de códigos QR. La entidad advirtió que generalmente se utiliza la cámara del teléfono o tableta, lo que aumenta el riesgo.
—Utilice aplicaciones de lectura seguras: las firmas como Kaspersky y TrendMicro disponen de aplicaciones de lectura segura de códigos QR para móviles. ABC recomienda utilizarlas.
—Deshabilite direcciones URL que se abran de forma automática después de escanear el código. Esto le permitirá revisar si el URL tiene algún elemento o comportamiento malicioso.
—Verificar si la dirección electrónica de la página o sitio web (URL) es confiable. Para ello, solamente debe copiar el URL escaneado antes de abrirlo o visitar la página Virus Total, seleccione donde dice URL, péguelo en el campo que allí aparece y presione enter.
A nivel de establecimientos que utilizan códigos QR se recomienda:
—Comprobar periódicamente que estos no hayan sido cambiados. Los ciberdelincuentes alteran los códigos para defraudar a los clientes.
—Utilizar un generador confiable o seguro de códigos QR. Algunos sitios web que generan códigos QR de forma gratuita pueden inyectar acciones maliciosas o descargar código malicioso, además de las acciones que se configuren normalmente para realizar.
“Los bancos realizan grandes esfuerzos para velar por la seguridad de sus clientes y resguardar su dinero, pero es vital que las personas desconfíen y nunca compartan su información sensible, como usuarios, claves o contraseñas, las entidades financieras nunca pedirán esos datos”, recordó Raúl Rivera, Asesor de ciberseguridad de la ABC.