Los códigos de respuesta rápida, o Quick Response, se han instalado en la sociedad como una manera de enlazar contenidos digitales de diversa naturaleza a la realidad cotidiana. Tienen diversas ventajas, como que funcionan al instante, son económicos de producir y están al alcance de cualquiera con un teléfono inteligente.
Todo lo antes descrito ha sido aprovechado en años recientes por empresas y negocios de distintos sectores y tamaños, quienes los han introducido de manera ingeniosa en sus estrategias de mercadeo. No en vano una de las búsquedas más frecuentes en la web internacional es “como hacer un código QR gratis”.
Pero esta popularidad —que llegó a su pico durante y después de la pandemia de COVID-19— no está exenta de un lado oscuro. Y es que los delincuentes cibernéticos, han sabido aprovechar las facilidades de los códigos de respuesta rápida para realizar ataques continuos y perjudicar a los más incautos.
No solo los particulares pueden verse afectados por fraudes electrónicos como el QRishing o el QRLjacking, sino también las empresas que incentivan actividades interactivas con sus clientes a través de los QR. Estas pueden ver resentida su reputación y mermada la confianza que deposita en ella el público por alguna acción maliciosa, entre otras consecuencias.
En adelante, ahondamos un poco más acerca del QRLjacking, cómo puede dañar a negocios y particulares y qué se puede hacer para prevenir que suceda.
¿Qué es el QRLjacking y cómo opera este tipo de fraude?
El QRLjacking es un anglicismo que se usa para abreviar el término Quick Response Code Login Jacking. Es una forma común de ataque cibernético que emplea códigos QR para suplantar el inicio de sesión en diversos portales. Quien lo comete puede apropiarse de los datos e información personal de otros usuarios a través de cuentas en redes sociales y plataformas en línea. Se vale de aplicaciones que usan QR para enlazar cuentas o abrir extensiones, tales como WhatsApp y Amazon.
En el caso concreto de WhatsApp, los códigos de respuesta rápida son proporcionados por la versión para computadoras de la aplicación de mensajería instantánea. Si ya has usado WhatsApp desde tu escritorio, sabes que para vincularlo con la versión móvil es necesario escanear un código QR con la cámara del teléfono celular. Para llevar a cabo el QRLjacking los criminales recrean la plataforma de inicio de WhatsApp en computadoras y el código QR que se presenta en una página web de phishing.
El objetivo es que la cuenta de quien escanee este QR quede abierta en computadoras de terceros. Con ello logran ingresar ilegalmente a sus conversaciones, recopilan toda su información (imágenes, datos bancarios compartidos, contactos, etc.) y la usan para su propio beneficio.
¿Cómo logran engañar a sus víctimas para que visiten una web falsa y escaneen un código de respuesta rápida alterado? Ofreciendo recompensas atractivas, como descuentos en planes de servicios, suscripciones gratis, promociones y otros.
Parece que no cualquiera pueda caer en el fraude, pero año tras año miles de personas resultan afectadas por este y otros ataques, especialmente los más vulnerables: adultos mayores, ciudadanos sin acceso regular a internet, adolescentes, cazadores de ofertas, gente con poco conocimiento acerca de fraudes electrónicos, etc.
¿Cómo afecta el QRLjacking a las empresas que emplean códigos QR?
Las empresas actuales —tanto las que operan en línea, como las presenciales, o las que combinan funciones online y offline— aprovechan las oportunidades que brindan los códigos QR para conectar con sus clientes.
Estos se han convertido en una herramienta fundamental para llevar a catálogos y menús, distribuir cupones de descuento, redirigir a redes sociales y plataformas en línea, facilitar pagos a través de canales electrónicos, proporcionar ubicaciones de establecimientos, entre otras funciones. La versatilidad es la carta de presentación de estas matrices gráficas cuadrangulares, capaces de albergar hasta 4.286 caracteres, entre letras y números.
Sin embargo, su aplicabilidad a diferentes situaciones, puede ser una herramienta de doble filo. Al codificar URL y enlaces a softwares, estos no se muestran en primera instancia a la persona que está escaneando el código, por lo que es más fácil redirigir a contenidos fraudulentos que se instalan en sus equipos, muchas veces sin que el usuario lo advierta.
Para las empresas, es un peligro que cosas como estas puedan ocurrir y manchen su reputación ante la clientela. En el desafortunado caso de ofrecer un QR que ha sido hackeado, el cliente se verá perjudicado e inmediatamente bajará su credibilidad en la tienda o marca que le ha proporcionado el código de respuesta rápida. Por otro lado, las mismas empresas, a través de los operadores y el personal de confianza, pueden ser víctimas de ataques cibernéticos como el QRLjacking, dejando expuesta su cartera de clientes, información financiera, organigrama, proveedores y cualquier otro dato sensible en la web.
Medidas a tomar para evitar el hackeo de cuentas mediante QR falsos
Quizá podamos pensar que este tipo de cosas no nos sucederán a nosotros, pero la realidad es que nadie que use internet está completamente protegido ante los delitos que allí se comenten. Para estar más seguros y prevenir que el QRLjacking te ocurra a ti o a tus clientes, te recomendamos lo siguiente:
- Ten una red privada dentro de tus instalaciones y establecimientos comerciales, para tu uso empresarial y también para ofrecer a los clientes cuando te visiten. Esta clase de delitos son mucho más habituales y fáciles de llevar a cabo en redes públicas;
- Verifica con frecuencia el funcionamiento de los códigos QR que ofreces a tus clientes. Estos deben redirigir a la página o contenido correcto y estar operativos;
- Invita a tu clientela a estar atentos a estafas y posibles fraudes electrónicos. Indícales que los QR y enlaces que distribuyas lo harás solo a través de canales oficiales y recuérdales que no deben escanear nada que no se encuentre en estos. Hay que prevenirlos contra ofertas engañosas;
- Hazte con los servicios de un generador de códigos QR confiable y con buena reputación web. En Beaconstac puedes obtenerlos de forma gratuita y son muy seguros;
- Configura tus dispositivos de uso empresarial para que no abran automáticamente los enlaces de los QR escaneados. De esta forma podrás visualizar el URL antes de que se cargue la página.