¡No te dejes engañar! Protégete contra el «quishing» y los códigos QR maliciosos

Los códigos QR (códigos de respuesta rápida) están por todas partes: en los menús de los restaurantes, en carteles, en terminales de pago e incluso en los pasillos de tu colegio. Son prácticos, rápidos y forman parte indispensable de la vida moderna.

Pero esta gran comodidad conlleva un nuevo riesgo para la seguridad digital: el «quishing».

El «quishing» es una variante del «phishing» que utiliza códigos QR maliciosos para engañarte. Al igual que un correo electrónico de phishing intenta robarte las contraseñas o instalar malware, un intento de «quishing» trata de llevarte a realizar una acción peligrosa con solo escanear un código. ¡Escanear un código QR malicioso es tan peligroso como hacer clic en un enlace sospechoso que recibas por mensaje de texto o correo electrónico!

4 reglas sencillas para el uso seguro de los códigos QR

La cámara de tu smartphone o una aplicación específica para escanear códigos QR no pueden distinguir entre un código QR útil y legítimo y uno creado por un estafador. Depende de ti verificar la validez de los códigos QR.

Estas son las cuatro normas de seguridad básicas que debes seguir antes de escanear:

1. Comprueba el código QR

Los hackers no necesitan crear su propio código QR; pueden pegar pegatinas con códigos QR sobre códigos QR legítimos para engañarte y que los escanees.

• Fíjate bien: ¿el código QR es una pegatina colocada sobre una copia impresa? ¿Está desalineado, abultado o se está despegando?
• Si te parece sospechoso, no lo abras: utiliza el formulario de registro en papel, escribe manualmente la dirección del sitio web o busca una fuente oficial de información.
• Más vale prevenir que curar: siempre es mejor no escanear un código QR legítimo que escanear uno malicioso.

2. ¡Comprueba siempre el enlace antes de pulsar!

Esta es tu medida de seguridad más importante. Cuando escaneas un código QR, tu teléfono o la aplicación de escaneo casi siempre te mostrará la URL (dirección web) a la que intenta llevarte antes de abrir la página.

• Detente y lee: antes de pulsar «Abrir» o «Ir», fíjate en la dirección. ¿Te parece correcto el nombre del sitio web? ¿Es un enlace corto (como bit.ly o tinyurl) que podría ocultar una dirección peligrosa?
• Fíjate en si hay errores ortográficos: un enlace malicioso puede parecer auténtico, pero con un pequeño cambio, como «yootube.com» en lugar de «youtube.com» o «bankofamericca.com» en lugar de «bankofamerica.com». Aunque reconozcas el enlace, puede que no sea seguro. Los hackers utilizan caracteres Unicode similares en las URL para emplear caracteres que parecen idénticos a otra letra, pero que tu dispositivo lee de forma diferente.
• Ten cuidado con las descargas: si el enlace intenta descargar un archivo o una aplicación directamente en tu teléfono, no sigas adelante a menos que estés totalmente seguro de la fuente.

3. Desconfía de las indicaciones inesperadas

Los códigos QR pueden llevarte a sitios web que parecen páginas de inicio de sesión, pero que en realidad registran tu nombre de usuario y contraseña.

• Solicitud de inicio de sesión: Si el código solo debía mostrarte el calendario de eventos del colegio, ¿por qué de repente te pide la contraseña de tu correo electrónico o tu número de identificación de estudiante y tu PIN? Los sitios web legítimos rara vez te piden que inicies sesión inmediatamente después de escanear un código QR.
• No aceptes las solicitudes de permisos: si aparece una ventana emergente indicando que el sitio web quiere acceder a tu ubicación, haz clic en «No permitir», a menos que esa información sea realmente necesaria.

4. Proteja sus datos personales

Si un código QR te lleva a una página de pago, de inicio de sesión o de encuesta, pregúntate: ¿Es segura la URL?

• Comprueba si el sitio web utiliza HTTPS: busca siempre el icono del candado en la barra de direcciones de tu navegador. Esto indica que la conexión está cifrada (mediante HTTPS), lo que dificulta que otras personas puedan robar tu información mientras la introduces.
• Si la página parece una pantalla de inicio de sesión pero no utiliza HTTPS: no envíe información confidencial a través de una página que no utilice HTTPS.

---

Conclusión principal

Los códigos QR no son más que enlaces en formato de imagen. Trátalos con la misma precaución con la que tratarías un correo electrónico de un remitente desconocido. Si no esperabas recibir el código, o si el resultado del escaneo te parece extraño, simplemente pulsa «Atrás» o cierra la pestaña del navegador.

Si sigues estos sencillos pasos, podrás disfrutar de la comodidad de los códigos QR sin caer en las estafas de «quishing». ¡Mantente a salvo y disfruta escaneando!