Rachel estaciono en un garaje del centro de la ciudad en octubre pasado y camino al quiosco de pago. Habia una pegatina con un codigo QR en la maquina con una etiqueta que decia 'Pague aqui — Escanee para pagar estacionamiento'. Lo escaneo y abrio lo que parecia una pagina de pago normal. Ingreso su numero de tarjeta de credito, presiono enviar y se fue a su reunion. Dos dias despues, su banco llamo. Alguien habia hecho un cargo de $1,400 en su tarjeta en una tienda de electronica a 500 kilometros de distancia. El codigo QR que escaneo no era del garaje de estacionamiento. Alguien habia impreso una pegatina y la habia colocado directamente sobre la legitima.
La historia de Rachel no es inusual. A medida que los codigos QR se han convertido en parte de la vida diaria — en mesas de restaurantes, parquimetros, boletos de eventos y empaques de productos — los delincuentes han encontrado formas de explotar la confianza que las personas depositan en esos pequenos cuadrados. El ataque incluso tiene un nombre: quishing. Y esta creciendo rapido.
Que es el quishing (phishing con codigos QR)?
El quishing es phishing entregado a traves de un codigo QR en lugar de un enlace en un correo electronico. El concepto es identico al phishing tradicional: un estafador crea una pagina web falsa que parece un servicio legitimo, luego te engana para que ingreses informacion sensible como contrasenas, numeros de tarjeta de credito o credenciales de inicio de sesion. La diferencia esta en el metodo de entrega. En lugar de hacer clic en un enlace sospechoso, escaneas un codigo QR que te lleva a la pagina falsa.
Lo que hace al quishing particularmente efectivo es que los codigos QR son opacos. Cuando ves un enlace en un correo electronico, puedes pasar el cursor sobre el y verificar la URL antes de hacer clic. Pero cuando escaneas un codigo QR, a menudo no ves a donde lleva hasta que tu telefono ya ha abierto la pagina. Ese momento de confianza ciega es exactamente lo que los estafadores explotan.
Como funcionan los codigos QR fraudulentos en la practica
Los estafadores despliegan codigos QR falsos de varias maneras, y entender las tacticas comunes los hace mucho mas faciles de detectar.
- Pegatinas superpuestas: El ataque fisico mas comun. Un estafador imprime una pegatina con su codigo QR malicioso y la coloca directamente sobre un codigo QR legitimo en un parquimetro, mesa de restaurante o letrero publico. Para el observador casual, parece el codigo original.
- Volantes y carteles falsos: Los estafadores publican volantes de apariencia oficial en lugares publicos — 'WiFi gratis', 'Gana una tarjeta de regalo', 'Descuento especial' — con un codigo QR que lleva a un sitio de phishing o descarga malware.
- Quishing por correo electronico y postal: En lugar de incluir un enlace clicable en un correo de phishing, los estafadores insertan una imagen de codigo QR. Esto evade muchos filtros de seguridad de correo que analizan enlaces pero no analizan imagenes de codigos QR.
- Recibos y boletos manipulados: Codigos QR falsos impresos en multas de estacionamiento, recibos o avisos de infraccion falsificados dejados en los parabrisas de los autos. El codigo lleva a una pagina de pago que captura la informacion de tu tarjeta.
Como identificar un codigo QR falso
No necesitas ser un experto en seguridad para protegerte. Unos segundos de atencion antes de escanear pueden prevenir la mayoria de los ataques.
- Busca pegatinas superpuestas: Antes de escanear un codigo QR en un lugar publico, observa de cerca si el codigo esta impreso directamente en la superficie o pegado encima de ella. Pasa tu dedo por el borde. Si sientes una pegatina superpuesta sobre otro codigo, no lo escanees.
- Previsualiza la URL antes de abrir: La mayoria de los telefonos modernos muestran una vista previa de la URL cuando escaneas un codigo QR. Leela antes de tocar. Un servicio de estacionamiento legitimo tendra un dominio reconocible, no algo como 'parkng-pay-now.xyz'. Busca errores de ortografia, extensiones de dominio inusuales y URLs excesivamente largas.
- Verifica que sea HTTPS: Las paginas legitimas de pago e inicio de sesion usan HTTPS. Si la URL comienza con HTTP simple, tratala con sospecha. Sin embargo, ten en cuenta que HTTPS por si solo no garantiza legitimidad — los estafadores tambien pueden obtener certificados SSL.
- Desconfia de la urgencia: Si un codigo QR te lleva a una pagina que te presiona a actuar inmediatamente — 'Tu cuenta sera bloqueada!' o 'Reclama tu premio ahora!' — da un paso atras. Los servicios legitimos no crean panico para que ingreses informacion personal.
- Verifica con la fuente: Si escaneas un codigo QR en un restaurante y la pagina se ve extrana, pregunta al personal. Si un codigo QR aparece en un parquimetro y el diseno se ve diferente de otros parquimetros en la misma calle, paga adentro o usa la app oficial en su lugar.
En iPhone, la app de camara muestra la URL antes de abrirla. En Android, Google Lens hace lo mismo. Siempre lee la vista previa de la URL antes de tocar. Si algo se ve sospechoso, no procedas.
Consejos de seguridad para consumidores
Como alguien que escanea codigos QR en la vida diaria, puedes protegerte con algunos habitos simples.
Usa el escaner integrado de tu telefono
La app de camara predeterminada en iPhone y Android proporciona una vista previa de la URL antes de navegar. Evita descargar apps de escaner de codigos QR de terceros, ya que algunas de ellas son en si mismas malware disfrazado de herramientas utiles.
Nunca ingreses informacion sensible impulsivamente
Si un codigo QR te lleva a una pagina que pide tu tarjeta de credito, numero de seguro social o credenciales de inicio de sesion, pausa. Preguntate: esperaba esto? Esta organizacion normalmente pediria esta informacion de esta manera?
Manten tu telefono actualizado
Las actualizaciones del sistema operativo incluyen parches de seguridad que protegen contra nuevas amenazas. Un telefono actualizado esta mejor equipado para advertirte sobre sitios web maliciosos y prevenir descargas no autorizadas.
Reporta codigos QR sospechosos
Si encuentras una pegatina de codigo QR que parece estar cubriendo una legitima, reportalo al negocio o propietario del lugar. Quita la pegatina falsa si puedes hacerlo de forma segura. Podrias salvar a la siguiente persona de una estafa.
Consejos de seguridad para negocios
Si tu negocio usa codigos QR — en mesas, senaletica, empaques o materiales de marketing — tienes la responsabilidad de hacer que tus codigos sean confiables y resistentes a la manipulacion.
- Imprime los codigos QR directamente en los materiales: Siempre que sea posible, imprime los codigos QR directamente en menus, senaletica o empaques en lugar de usar pegatinas que pueden ser cubiertas por la pegatina de un estafador. Los codigos impresos son mucho mas dificiles de manipular.
- Inspecciona tus codigos QR regularmente: Hazlo parte de tu rutina de apertura. Recorre el espacio y verifica que tus codigos QR no hayan sido cubiertos o reemplazados. Para colocaciones en exteriores como parquimetros o senaletica de eventos, revisa con mas frecuencia.
- Usa una pagina de destino reconocible: Cuando los clientes escanean tu codigo QR, deben llegar a una pagina con tu marca, tu nombre de dominio y una explicacion clara de lo que estan viendo. Una pagina de destino con marca genera confianza y hace que las falsificaciones sean mas faciles de identificar.
- Usa tu propio dominio: Evita acortadores de URL genericos que ocultan el destino. Un codigo que lleva a 'tunegocio.com/menu' es mucho mas confiable que uno que lleva a 'bit.ly/3xK9z2'. Los clientes han aprendido a sospechar de las URLs acortadas.
- Educa a tu personal: Asegurate de que tus empleados sepan como deben verse tus codigos QR y donde estan colocados. Si un miembro del equipo nota un codigo que se ve diferente o una pegatina que no estaba ahi ayer, deberia reportarlo de inmediato.
Que hacer si escaneaste un codigo QR sospechoso
Si escaneaste un codigo QR y algo se siente mal — la pagina se veia sospechosa, ingresaste informacion de la que ahora te arrepientes, o tu telefono empezo a comportarse de manera extrana — actua de inmediato.
- Cierra la pagina y borra el historial y cache de tu navegador.
- Si ingresaste una contrasena, cambiala inmediatamente en el sitio legitimo. Si usas esa contrasena en otro lugar, cambiala ahi tambien.
- Si ingresaste informacion de tarjeta de credito, llama a tu banco o emisor de tarjeta de inmediato. Pueden congelar la tarjeta y revertir cargos fraudulentos.
- Ejecuta un analisis de seguridad en tu telefono. Tanto iOS como Android tienen funciones de seguridad integradas, y aplicaciones antivirus confiables pueden verificar la presencia de malware.
- Monitorea tus cuentas durante las proximas semanas. Configura alertas de transacciones en tus cuentas bancarias y de tarjeta de credito para que te notifiquen de cualquier actividad inusual.
La perspectiva general: los codigos QR siguen siendo seguros cuando se usan con prudencia
Nada de esto significa que debas dejar de escanear codigos QR. La tecnologia en si no es peligrosa — el riesgo viene de a donde te envia el codigo, al igual que cualquier enlace en internet. Un codigo QR es simplemente una forma de codificar una URL. La misma precaucion que aplicas al hacer clic en enlaces en correos electronicos deberia aplicarse al escanear codigos en el mundo real.
La gran mayoria de los codigos QR que encuentras son legitimos. Menus de restaurantes, contrasenas de WiFi, boletos de eventos, tarjetas de presentacion — todas estas son aplicaciones seguras y utiles. La clave es la conciencia. Toma dos segundos para verificar la URL antes de tocar, busca senales de manipulacion en codigos fisicos y confia en tu instinto. Si algo se siente sospechoso, probablemente lo sea.