El Mundial de fútbol Qatar 2022, con inicio previsto para noviembre próximo, será uno de los más caros de la historia. Para viajar desde Buenos Aires deberían desembolsarse alrededor de 5.500 dólares por persona, lo que cubriría el traslado aéreo ida y vuelta, entradas en el sector más económico para los tres partidos de la fase de grupos y alojamiento básico, además de alimentos y viáticos para moverse en Doha, la capital del país anfitrión, donde se desarrollará la mayoría de los cotejos.
Ante lo inaccesible que resulta para el trabajador promedio del país y la atracción que genera el seleccionado nacional con lo que podría ser la última participación con la albiceleste de Lionel Messi, algunas entidades locales, como determinadas bancarias, pusieron en marcha acciones de marketing y ofrecen sorteos para viajar al evento estelar a desarrollarse en Medio Oriente.
Y los ciberdelincuentes tienen a mano la oporturnidad de apelar a una nueva estafa registrada en otros países: los códigos QR “truchos”.
Peligro por códigos QR, ¿qué son y cómo funcionan?
Los “códigos de respuesta rápida” (definición del original en inglés Quick Response code) representan un salto evolutivo de los códigos de barra y tienen como objetivo almacenar información en una etiqueta óptica legible por algún tipo de máquina o dispositivo; por ejemplo, un celular.
Para eso, incluyen una matriz de puntos bidimensionales en formato cuadrado, comúnmente en blanco y negro (aunque también hay de colores), y con tres cuadrados en las esquinas que permiten al lector que se use detectar la posición del código.
El “phishing” es una estafa para obtener a través de Internet datos privados de los usuarios.
Puede usarse con un fin lícito o con uno malicioso. En este último caso se utiliza una técnica de engaño que se llama “QRishing”, o lo que es lo mismo, “phishing” (suplantación de identidad) a través de códigos QR: al escanearlos, el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos.
¿Cómo funcionan las estafas con códigos QR?
“Está comprobada en otros países la acción de ciberdelincuentes con códigos QR falsos en restaurantes y en cualquier lugar público en el que haya un alto tráfico personas”, dijo a cronica.com.ar el especialista de derecho informático Rodrigo Iglesias. “Suelen redirigir a páginas maliciosas con las que roban dinero y datos de las víctimas”, agregó.
“No hay reportados casos de este tipo en Argentina, pero sí pueden existir y hay que estar alertas”, resaltó el experto, miembro del Observatorio de Derecho Informático Argentino (ODIA).
Y un colega de Iglesias marcó una advertencia. “Con las promociones para el Mundial de Qatar 2022, no se debe descartar la dinámica de estafas a partir códigos QR”, alertó en diálogo con cronica.com.ar Gabriel Zurdo, especialista en ciberseguridad y CEO de la empresa BTR Consulting.
El experto agregó: “Hasta ahora no sucedió ningún caso de delito conocido por el tema del Mundial, pero se debe estar en alerta ante la posibilidad”.
El especialista explicó que el mecanismo que se podría implementar por parte de los ciberdelincuentes consistiría en realizar “un ‘phishing’ (suplantación de identidad) sobre una invitación a viajar a Qatar”.
Se refirió así a una técnica de ingeniería social usada para obtener información confidencial de los usuarios de aparatos inteligentes de forma fraudulenta.
“En general los QR redirigen a plataformas en las que las personas deben crear un usuario y contraseña”, puntualizó Zurdo.
Al hacerlo, los ciberdilencuentes tienen acceso directo a los datos de contacto de las víctimas para viralizar en redes sociales y publicar contenido privado, o pedir dinero a personas conocidas con la identidad usurpada.
“En Argentina, por una cuestión coyuntural, no piden recompensa en dólares o criptomonedas, pero si secuestran datos de contactos para vitalizar y publicar contenido privado o pedir dinero a personas conocidas”, especificó el experto.
Cómo evitar una estafa por códigos QR
“Usado de manera maliciosa, el QR es un medio a través del cual se logra robar información. Es una forma barata, fácil y eficiente. Es importante mirar dónde deriva un QR”, alertó el especialista.
El experto recomendó observar si la web a la que la potencial víctima es redireccionada tiene “https” antes del dominio, o la imagen de un candadito. “Esos son indicadores de que se trata de un sitio seguro”, explicó.
“Pero, en entornos visuales, es más difícil de ver la seguridad de las plataformas web”, reconoció Zurdo. Iglesias, a su turno, amplió: “Puede copiarse la imagen de una empresa reconocida y utilizarse en otra página web maliciosa”.
Por eso es recomendable, ante el uso de un código QR, “realizar compras a través de una aplicación”, agregó el especialista en derecho informático. “También es una acción preventiva tener activado el segundo factor de autenticación en las aplicaciones”, finalizó.
