Miguel López, experto en ciberseguridad: "Con un código QR el usuario puede ser redirigido a páginas de phishing diseñadas para robar credenciales o datos de pago"

Antes de la pandemia, los códigos QR eran bastante escasos. Se veían en algún cartel puntual, entradas digitales o campañas publicitarias muy concretas. Pero el Covid lo cambió todo. De repente empezaron a aparecer en bares y restaurantes para consultar menús sin tocar la carta y, desde entonces, se han multiplicado por todas partes: parquímetros, estaciones, anuncios, escaparates, máquinas de pago, eventos deportivos e incluso en televisión.

Hoy los escaneamos a lo loco, casi de forma automática. Sacamos el móvil, abrimos la cámara y confiamos en que nada nos puede pasar. El problema es que no todos los códigos QR son lo que parecen.

© Getty Images

Así lo advierte Miguel López, director para el Sur de EMEA, la región que engloba Europa, Oriente Medio y África,  en la empresa de ciberseguridad Barracuda Networks, especializada en protección frente a amenazas digitales y ataques informáticos. Según nos explica a HOLA.com el experto, detrás de algo aparentemente tan inocente como un QR puede esconderse desde una web falsa para robar contraseñas hasta programas maliciosos capaces de comprometer el móvil del usuario.

Este tipo de fraude ya tiene incluso nombre propio: "QRishing", una técnica que utiliza códigos QR manipulados para dirigir a las víctimas hacia páginas fraudulentas diseñadas para robar datos personales, bancarios o credenciales de acceso. Y lo más preocupante es que los ciberdelincuentes aprovechan precisamente la confianza que generan estos códigos en espacios cotidianos y aparentemente seguros.

Los códigos QR se han vuelto omnipresentes en restaurantes, carteles o pagos móviles. ¿Qué riesgos de seguridad puede haber detrás de algo aparentemente tan inocente como escanear un QR?

Aunque los códigos QR parecen inofensivos, pueden convertirse en un vector de ataque muy eficaz. Al escanear uno, el usuario puede ser redirigido a páginas de phishing diseñadas para robar credenciales o datos de pago, o incluso a sitios que fuerzan la descarga de aplicaciones maliciosas fuera de tiendas oficiales. En algunos casos se utilizan deeplinks, que permiten abrir aplicaciones ya autenticadas del propio usuario, lo que amplifica el riesgo. También pueden activar solicitudes de permisos excesivos o intentar recopilar información personal de manera encubierta.

En un contexto corporativo, este tipo de engaños puede desembocar en accesos no autorizados, brechas de seguridad o incluso ataques posteriores como ransomware o compromisos de correo empresarial. En el caso de usuarios particulares, los mayores riesgos son el fraude, robo de credenciales, robo de identidad, ransomware…

© Getty Images

En los últimos años se habla cada vez más del "QRishing". ¿En qué consiste exactamente este tipo de fraude y cómo suelen actuar los ciberdelincuentes?

El "QRishing" es, esencialmente, phishing a través de códigos QR. Los atacantes colocan un QR fraudulento, ya sea impreso o digital, que, al ser escaneado, conduce a una web falsa creada para robar claves, números de tarjeta o tokens de autenticación. Normalmente se camufla suplantando a servicios legítimos como parquímetros, restaurantes o campañas promocionales.

También es habitual que los delincuentes oculten el dominio real mediante acortadores de URL o aprovechen la confianza del usuario en entornos físicos que parecen seguros. La ingeniería social juega un papel esencial: urgencia, miedo a multas, promociones espectaculares o mensajes que aparentan ser de un servicio oficial son tácticas comunes para inducir al usuario a introducir datos sin pensar.

 ¿Qué señales pueden alertarnos de que un código QR podría ser falso o haber sido manipulado?

Las señales pueden ser sutiles, pero existen varias pistas que deberían activar las alarmas. Si el QR está pegado encima del original, presenta bordes sospechosamente despegados o se nota que no forma parte del diseño del soporte donde aparece, es probable que haya sido manipulado. También es importante observar la URL que el dispositivo previsualiza antes de abrirla: dominios extraños, errores ortográficos o direcciones acortadas sin justificación suelen ser indicios de fraude.

Otro elemento relevante es la coherencia del mensaje: un QR que pide credenciales o datos sensibles para una acción trivial, como consultar un menú, debería generar desconfianza. Y, por supuesto, cualquier elemento que genere prisa o presión para actuar rápidamente suele responder a una táctica clásica de ingeniería social.

 Si escaneamos un QR malicioso, ¿qué puede ocurrir realmente en nuestro móvil?

Las consecuencias dependen del tipo de ataque, pero pueden ir desde algo aparentemente inocuo hasta compromisos serios del dispositivo. El escenario más habitual es que el usuario acabe en una web de phishing donde introduce datos que no debería.

No obstante, algunos QR pueden intentar instalar aplicaciones maliciosas, especialmente en Android si el usuario permite orígenes desconocidos, o lanzar acciones automáticas, como abrir aplicaciones con parámetros manipulados, enviar mensajes o incluso iniciar suscripciones a servicios premium sin consentimiento.

Un QR malicioso también puede solicitar permisos que permitan al atacante interceptar notificaciones, capturar códigos SMS o monitorizar la actividad del dispositivo. En entornos profesionales, un móvil comprometido suele convertirse en una puerta de entrada hacia el correo corporativo o aplicaciones sensibles de negocio.

© Getty Images

Muchos códigos QR aparecen en lugares públicos como parquímetros, estaciones o carteles en la calle. ¿Por qué estos espacios se han convertido en un objetivo habitual para los estafadores?

Los espacios públicos son ideales para los delincuentes porque combinan gran afluencia de usuarios, poca vigilancia y un contexto en el que las personas actúan con prisa. Cuando alguien necesita pagar un aparcamiento, consultar un horario o aprovechar un descuento, lo último que espera es un engaño físico de este tipo, lo que reduce su nivel de sospecha.

Además, los soportes donde se colocan estos códigos suelen ser fáciles de manipular sin llamar la atención: basta con una pegatina bien colocada. Para el atacante, el esfuerzo es mínimo y el potencial de víctimas es alto, convirtiéndolo en un método especialmente rentable.

 ¿Es más peligroso escanear un QR con el móvil que abrir un enlace sospechoso recibido por correo o mensaje?

 Ambos escenarios pueden ser igualmente peligrosos, pero el QR tiene una ventaja significativa desde la perspectiva del atacante: evita los filtros de seguridad tradicionales del correo electrónico, que en muchas organizaciones ya están muy evolucionados.

Escanear un QR también suele hacerse desde el móvil, donde la previsualización del dominio es más limitada y los usuarios, por lo general, revisan menos detalles antes de continuar. Además, al venir del “mundo físico”, el usuario baja la guardia porque asume que un cartel o un soporte público es legítimo. Por tanto, el riesgo no es mayor por naturaleza, pero sí más fácil de explotar por la falta de controles y la confianza implícita.

© Getty Images

 ¿Qué precauciones básicas deberíamos tomar antes de escanear un código QR para evitar caer en una estafa?

La mejor protección es adoptar una actitud prudente y usar el sentido común antes de abrir cualquier enlace derivado de un QR. Es fundamental revisar visualmente el soporte en busca de señales de manipulación y, una vez escaneado, comprobar siempre el dominio real antes de acceder. Es recomendable evitar introducir credenciales o datos sensibles directamente tras un QR y, si se trata de acceder a un servicio crítico, hacerlo manualmente desde la aplicación oficial. Asimismo, conviene no descargar aplicaciones que provengan de un código QR y mantener el dispositivo actualizado para reducir posibles vulnerabilidades.

En entornos profesionales, resulta muy eficaz complementar estas medidas con formación en concienciación de seguridad y con soluciones de protección móvil, XDR y filtrado de amenazas y malware tanto en el correo como en la navegación web.

 Si una persona sospecha que ha escaneado un QR fraudulento, ¿qué pasos debería seguir inmediatamente para proteger su información y sus cuentas?

Si se sospecha que un QR era malicioso, lo primero es detener la interacción: cerrar la pestaña, evitar introducir datos y no aceptar ninguna instalación. A partir de ahí, conviene revisar las aplicaciones instaladas recientemente, comprobar los permisos concedidos y cambiar las contraseñas de cualquier servicio en el que se hayan introducido datos.

Igualmente, es importante revocar sesiones activas y, si corresponde, regenerar los factores de autenticación, especialmente si existe la posibilidad de que se hayan comprometido códigos de un solo uso. Revisar movimientos bancarios y notificaciones inusuales ayuda a detectar actividad fraudulenta temprana. En el ámbito empresarial, lo más adecuado es informar inmediatamente al equipo de IT o al SOC para que puedan analizar el dispositivo y determinar si es necesario rotar credenciales o activar medidas de contención adicionales.