El anuncio de Coinbase en la Super Bowl, en el que aparecía un “código” QR rebotando al ritmo de la música, fue tan popular que provocó la caída temporal de la aplicación de criptomonedas. ¿Qué nos dice esto sobre el uso de estos códigos y la seguridad de su escaneo? La profesora de Ciencias de la Computación de Wake Forest, Sarra Alqahtani, responde a las preguntas sobre los códigos QR, la ciberdelincuencia y cómo mantener segura tu información personal.
Como profesor de informática que estudia la “seguridad” cibernética, ¿cuál fue su reacción al anuncio de Coinbase?
Fue un anuncio divertido de ver, pero inmediatamente me puse a pensar en cómo se normaliza esta tecnología sin una conciencia equivalente sobre sus problemas de seguridad. Como ocurre con cualquier tecnología nueva, la seguridad suele ser una idea tardía, no sólo para los desarrolladores, sino también para los usuarios. Espero que se haga un esfuerzo para educar a la gente sobre los problemas de seguridad de los códigos QR y cómo proteger su privacidad.
¿Qué probabilidad hay de que la información privada se vea comprometida al escanear un código QR?
El código QR puede ser sustituido por uno malicioso (la forma más sencilla es pegar físicamente un código sobre otro), que podría llevar al usuario a un “sitio web” falso de aspecto similar al sitio web original. El hacker puede entonces plantar un pequeño software (malware) en el teléfono del usuario para rastrear y recoger sus datos.
¿Qué hacen los hackers con la información que roban?
Pueden robar los nombres de usuario y las contraseñas que utilizamos en diferentes aplicaciones y sitios web y venderlos en la dark web. Estos datos pueden utilizarse para adivinar las credenciales de los usuarios/empleados durante otros ataques, como lo que ocurrió en el ataque del ransomware Colonial Pipeline.
¿Hay alguna forma de saber si un código QR es seguro?
No podemos reconocer ninguna diferencia entre los códigos legítimos y los maliciosos con nuestros ojos, pero cuando escaneamos el código debemos prestar atención al enlace del sitio web antes de hacer clic en él. Por eso se recomienda incluir el enlace del sitio web con el código cuando se comparte públicamente.
¿En qué debemos fijarnos al comprobar una URL antes de hacer clic?
Si hay un riesgo de seguridad, la URL será similar a la original pero con ligeros cambios. Por ejemplo, en lugar de www.yahoo.com, el hacker puede utilizar yaho0.com, que tiene un aspecto muy similar. Este tipo de truco accede en el campo de los ataques de phishing, que tiene una larga historia en la ciberseguridad.
¿Cuál es su mejor consejo para proteger la información personal cuando se utilizan códigos QR?
Recomiendo no escanear los códigos QR en la medida de lo posible y utilizar los manuales y menús en papel. También aconsejo utilizar las cámaras integradas en los teléfonos inteligentes en lugar de utilizar aplicaciones de terceros, ya que las cámaras integradas muestran el enlace del sitio web y piden al usuario que haga clic en él, lo que no suele ocurrir con las aplicaciones de terceros.
Si sospecha que ha hecho clic en un sitio web falso y se ha instalado un malware, ¿qué debe hacer?
Depende del teléfono que utilices, pero en general, debes borrar la caché del navegador, hacer una copia de seguridad de tus archivos y cambiar tus credenciales. Si tu teléfono no tiene protección integrada, tendrás que utilizar un software de detección de malware para detectar y eliminar cualquier malware.
¿Tienes algún libro o recurso que puedas recomendar a quienes quieran saber más sobre los códigos QR?
Lea el anuncio de servicio público del FBI, “Los ciberdelincuentes manipulan los códigos QR para robar los fondos de las víctimas”.
Lo más visto del mes en: Componentes
Jessica Ávila
Me apasiona la música y todo lo relacionado con lo audiovisual desde muy joven, y crecí en esta carrera que me permite utilizar mis conocimientos sobre tecnología de consumo día a día. Puedes seguir mis artículos aquí en Elenbyte para obtener información sobre algunos de los últimos avances tecnológicos, así como los dispositivos más sofisticados y de primera categoría a medida que estén disponibles.
