Recomendamos que los comerciantes, los pequeños, se aseguren de que su código QR expuesto no se encuentre al alcance de los delincuentes. Tener a la mano sobre sus mostradores dicho código para que los clientes realicen el pago implica cierto riesgo, porque en un descuido puede ser intercambiado por un código fraudulento capaz de dirigir el dinero de sus ventas a otra cuenta.

 

Logo sec21La nueva plataforma de Cobro Digital lanzada recientemente por el Banco de México supone mayor facilidad en las transacciones diarias, pero no está exenta de riesgos. La concientización por parte de usuarios y entidades cobradoras son esenciales para evitar fraudes en esta nueva tendencia de pago.

Ante el lanzamiento de la plataforma Cobro Digital (CoDi) por parte del Banco de México el pasado mes de septiembre, recomendamos establecer acciones preventivas para evitar fraudes al utilizar esta nueva modalidad de pago a través de dispositivos móviles, no solo por parte de las entidades que realizan el cobro, sino también de los usuarios finales.

CoDi es un sistema de transferencias basado en códigos de respuesta rápida (QR), con el que las autoridades e instituciones financieras pretenden disminuir el uso de efectivo en México a través de pagos desde teléfonos celulares.

Aunque el uso de códigos QR se está volviendo común incluso para pagar el estacionamiento, estos pueden ser usados de forma maliciosa. Ocurre lo mismo que con la generalización del pago con tarjetas plásticas en vez de efectivo. En su momento, todo el mundo comenzó a pagar con tarjeta sin ver los riesgos que implicaba, como la clonación a través de la banda magnética; algo parecido puede ocurrir con CoDi.

El llamado QRLJacking (técnica que consiste en crear un código QR malicioso para que el usuario lo escanee y el ciberdelincuente obtenga acceso a datos del teléfono de la víctima sin que esta se dé cuenta) puede convertirse en una tendencia en nuestro país, tal y como se ha visto en naciones en las que el uso de pagos con QR se ha vuelto bastante común desde hace ya algunos años, como Corea del Sur.

Es uno de los fraudes digitales más comunes a nivel mundial. Y todos los usuarios de CoDi están expuestos a sufrirlo si no son precavidos al momento de realizar sus pagos.

Es así como el simple gesto de escanear un código QR puede abrir la puerta de los datos de un usuario a los ciberdelincuentes. El atacante puede sobreponer su código malicioso en el QR de una tienda, aprovechando el descuido de los cajeros, o pedirle a una víctima que use su teléfono para escanearlo con el pretexto de que su smartphone no puede leerlo y desea averiguar si es un problema de su propio dispositivo.

Las entidades cobradoras, por su parte, también deben establecer ciertas medidas de protección al usar CoDi: Lo recomendable es que los comerciantes, principalmente los pequeños, se aseguren de que su código QR expuesto no se encuentre al alcance de los delincuentes. Tener a la mano sobre sus mostradores dicho código para que los clientes realicen el pago implica cierto riesgo, ya que en un descuido puede ser intercambiado por un código fraudulento capaz de dirigir el dinero de sus ventas a otra cuenta.

Por ello, aconsejamos tener el QR protegido con acrílico transparente y mantenerlo bajo el mostrador, presentándoselo únicamente a los clientes al momento de realizar el cobro de la operación, o colocarlo en un lugar cuyo acceso no se encuentre al alcance del público en general. Además, conviene que el cajero verifique inmediatamente la venta en los movimientos online de la cuenta para comprobar que el dinero se acreditó correctamente.

Sin embargo, hay que tomar en cuenta que la seguridad de las transacciones realizadas por medio de smartphones depende en gran medida de las entidades financieras que ofrecen esta opción, ya que son las responsables de programar la app para tal efecto y, por ende, de garantizar el blindaje de la plataforma digital en la que reside.

Depende mucho de la inversión que los bancos y comercios destinan para comprobar la seguridad de sus aplicaciones. Sin embargo, estamos hablando de una nueva modalidad de la que aún no existen estándares perfectamente establecidos; aunque el rubro de la ciberseguridad financiera se ha reforzado a partir de los incidentes operativos reportados hace ya algunos meses en el Sistema de Pagos Electrónicos Interbancarios (SPEI), es necesario entender que, lamentablemente, ninguna organización puede estar cien por ciento segura en la actualidad.

Lo anterior se debe a que los ciberdelincuentes suelen encontrarse un paso delante de cualquier sistema de seguridad digital: lo que hoy resulta conveniente para proteger un sistema, mañana puede no ser efectivo ante el surgimiento de un tipo de ataque nuevo y completamente desconocido hasta el momento.

La mejor manera de contrarrestar este escenario a nivel empresarial es establecer una estrategia de ciberseguridad que esté en evolución constante y mantenerse a la vanguardia. Básicamente, la idea consiste en monitorear a los ciberdelincuentes para saber cuáles son sus tendencias y objetivos, a través de servicios especializados de ciberinteligencia y pruebas constantes de penetración. La clave se encuentra en la actualización constante y en el respaldo de expertos que tengan una amplia experiencia en el tema de seguridad digital.

Recomendaciones de S21sec al pagar con CoDi

1. Sé consciente de su uso. Esta plataforma puede suponer múltiples ventajas al momento de realizar transacciones cotidianas, pero siempre se debe tener presente que alguien puede sacar ventaja de su uso. No evites pagar con CoDi, pero mantente al pendiente de las noticias y sé precavido.

2. No proporciones tus datos en correos electrónicos sospechosos. Es posible que dentro de poco comiencen a llegar mensajes a tu cuenta de email que pueden ser phishing (técnica de suplantación de identidad), en los que te pidan escanear un código QR con el argumento de actualizar la base de datos de la institución que te presta servicios financieros. Ante cualquier sospecha, ignóralos y llama de inmediato a tu banco.

3. Mantente actualizado. Actualiza constantemente las apps oficiales que tu institución financiera y el Banco de México comparten de manera oficial para el pago con CoDi: seguramente se les irán añadiendo cada vez más medidas de seguridad.

4. Sé precavido al momento de pagar. Revisa que el código QR del establecimiento donde vas a realizar un pago no se encuentre al alcance de cualquier persona que pueda alterarlo. Si ves algo raro en él, opta mejor por pagar con efectivo.

5. Verifica los datos de la tienda o comercio. Tras escanear un código para pagar, antes de dar clic en la opción “aceptar” comprueba que los datos mostrados corresponden con los del comercio en el que estás realizando la transacción.

6. No escanees códigos QR sospechosos en la vía pública. Evita leer con tu teléfono celular los códigos que se encuentran en carteles pegados en postes o paredes en la calle, y revisa bien los QR de la publicidad oficial que hay en el transporte público o en lugares comunes: si piensas que fueron alterados, evítalos a toda costa.