La digitalización de los espacios físicos nos trajo una comodidad indudable: llegar a un restaurante, escanear un código QR con el teléfono y revisar el menú al instante, o pagar el estacionamiento en la calle sin interactuar con cajeros automáticos. Sin embargo, los ciberdelincuentes han encontrado en este hábito cotidiano una ventana perfecta para un vector de ataque que se está masificando con fuerza: el QRishing (Phishing a través de códigos QR).
A diferencia del correo electrónico fraudulento que puede ser filtrado por los sistemas de seguridad de Google o Microsoft, un código QR impreso en un sticker es invisible para los antivirus. El modus operandi detectado en comunas de alta afluencia comercial consiste simplemente en pegar un código QR falso encima del original. Cuando el usuario lo escanea, es dirigido a una página web idéntica a la del comercio o de la empresa de parquímetros, donde se le solicita ingresar los datos de su tarjeta de crédito o sus credenciales bancarias para “procesar el pago” o “ver la carta”.
Para protegerse de esta amenaza física y digital, los expertos recomiendan aplicar tres reglas básicas antes de escanear en la vía pública: primero, pasar el dedo sobre el código para verificar que no sea un sticker pegado sobre la superficie original; segundo, revisar siempre la URL en el navegador del celular antes de ingresar cualquier dato (asegurándose de que sea el dominio oficial del local); y tercero, deshabilitar en los ajustes de la cámara la opción de abrir los enlaces de forma automática, permitiendo previsualizar la dirección web antes de redirigir el tráfico.