No escanees los códigos QR que te encuentres por la calle: podrían inyectar programas maliciosos en tu móvil y hasta robar tus datos

Es fácil imaginarse que la ciberseguridad son expertos informáticos frente a pantallas y dispositivos electrónicos, ejecutando o mitigando ataques mediante código, y comprobando en qué estado se encuentran los servidores de una compañía. Pero la ciberseguridad tiene dimensiones físicas, y van más allá de que cámaras o impresoras puedan ser secuestradas por un actor malicioso.

Algunas de esas dimensiones físicas, además, afectan de lleno a los ciudadanos. Más hoy día, después de que la pandemia haya normalizado muchas cuestiones digitales y la brecha entre el mundo físico y el mundo en línea sigue reduciéndose. Un ejemplo son los pendrives y los enchufes USB. 

Una máxima a la que se aplica el sentido común es que no conectes a tu ordenador un dispositivo que hayas encontrado en la calle, por ejemplo. Aunque en apariencia pueda ser un lápiz USB desaparecido, conectar la memoria al ordenador sin protección alguna puede provocar que tu dispositivo se llene de malware, y que ese USB, en realidad, fuese un cebo bastante sencillo.

Para evitar esos 'contagios' hay en el mercado dispositivos que se usan para servir de intermediario entre la memoria en cuestión y el ordenador. Hace unas semanas volvió a la actualidad el artilugio que había diseñado un hacker, un cable USB en apariencia inocente, como el que se usa para cargar cualquier teléfono. Dentro esconde aparatos capaces de inyectar código malicioso.

Cómo escanear un código QR a través del móvil de forma fácil y rápida

Lo que la Policía Nacional ya ha detectado en la ciudad de Málaga le da una nueva dimensión a las amenazas digitales físicas, y es que no es necesario encontrar ni conectar ningún aparato. Son códigos QR, en apariencia inocentes, desplegados en forma de pegatinas en los lugares más insospechados de la ciudad. Farolas, buzones, fachadas. A veces acompañados de publicidad. A veces solos.

Es uno de los nuevos usos que reciben estos códigos, cuyo uso ha pasado de ser residual a disfrutar de un nuevo auge a causa de la pandemia.

Resistir la tentación de escanear un código QR solo por saber qué esconde puede ser difícil. Pero tras el hallazgo de la Policía Nacional, el Instituto Nacional de Ciberseguridad (INCIBE) ha recordado algunas de las recomendaciones y riesgos que tiene escanear un código QR de forma azarosa por la calle. Dichas recomendaciones y riesgos las recoge en este artículo el diario El Correo.

Angela García, técnica de Ciberseguridad para Ciudadanos en el INCIBE, explica al citado medio que si un ciudadano encuentra y escanea un código QR "legítimo" no hay "ningún tipo de problema asociado". "Por el contrario, si nos encontramos ante un código QR ilegítimo o malicioso, este nos puede ocasionar problemas tanto de ciberseguridad como de privacidad", advierte.

Los códigos QR son una suerte de códigos de barra que los terminales móviles pueden escanear y traducir en direcciones URL o comandos para que el dispositivo responda (abriendo una aplicación como Maps con una dirección, por ejemplo, o abriendo un vídeo en YouTube). Pero García destaca que leer un código QR sospechoso podría desencadenar un ciberataque sobre el incauto.

Por ejemplo, ese código QR podría abrir una página web maliciosa con un formulario fraudulento y algún cebo. Por ejemplo: rellena tus datos personales para recibir un premio. En ocasiones esos formularios pueden incluir campos para que el usuario detalle sus datos bancarios, ya que las páginas web pueden ser phishing y simular a alguna entidad.

Normalmente este tipo de ciberamenazas, tanto las físicas como las que no, se pueden evitar aplicando sentido común. Por ejemplo, en una carta de un restaurante, comprueba que sobre la mesa el código QR es el legítimo, y que no ha pegado nadie una pegatina encima. Usa aplicaciones que enseñen antes la dirección a la que reenvía el código en lugar de abrirlo directamente.

Otras medidas de prevención son extensibles también al ámbito exclusivamente digital: mantén tus dispositivos y aplicaciones al día en cuanto a actualizaciones de seguridad, y comprueba que en la red tus interlocutores son con quiénes dicen ser, para evitar fraudes y estafas tan extendidas o incluso que empleen tu identidad para atacar a la empresa en la que trabajes.