Reportajes especiales, Reportes e investigaciones

CODI: Recomendaciones de seguridad al realizar pagos

Es recomendable establecer acciones preventivas para evitar fraudes al utilizar esta modalidad de pago a través de dispositivos móviles, no solo por parte de las entidades que realizan el cobro, sino también de los usuarios finales.

CoDi es un sistema de transferencias basado en códigos de respuesta rápida (QR), con el que las autoridades e instituciones financieras pretenden disminuir el uso de efectivo en México a través de pagos desde teléfonos celulares.

De acuerdo con Raúl Valencia, RedTeam/Forensic Manager para Latinoamérica de S21sec, aunque el uso de códigos QR se está volviendo común incluso para pagar el estacionamiento, estos pueden ser usados de forma maliciosa.

“Ocurre lo mismo que con la generalización del pago con tarjetas plásticas en vez de efectivo”, expone el experto: “En su momento, todo el mundo comenzó a pagar con tarjeta sin ver los riesgos que implicaba, como la clonación a través de la banda magnética; algo parecido puede ocurrir con CoDi”.

Según Valencia, el llamado QRLJacking (técnica que consiste en crear un código QR malicioso para que el usuario lo escanee y el ciberdelincuente obtenga acceso a datos del  teléfono de la víctima sin que esta se de cuenta) puede convertirse en una tendencia en nuestro país, tal y como se ha visto en naciones en las que el uso de pagos con QR se ha vuelto bastante común desde hace ya algunos años, como Corea del Sur.

El simple gesto de escanear un código QR puede abrir la puerta de los datos de un usuario a los ciberdelincuentes.

El atacante puede sobreponer su código malicioso en el QR de una tienda, aprovechando el descuido de los cajeros, o pedirle a una víctima que use su teléfono para escanearlo con el pretexto de que su smartphone no puede leerlo y desea averiguar si es un problema de su propio dispositivo.

Las entidades cobradoras, por su parte, también deben establecer ciertas medidas de protección al usar CoDi. Lo recomendable es que los comerciantes, principalmente los pequeños, se aseguren de que su código QR expuesto no se encuentre al alcance de los delincuentes.

Sin embargo, estamos hablando de una nueva modalidad de la que aún no existen estándares perfectamente establecidos; aunque el rubro de la ciberseguridad financiera se ha reforzado a partir de los incidentes operativos reportados hace ya algunos meses en el Sistema de Pagos Electrónicos Interbancarios (SPEI), es necesario entender que, lamentablemente, ninguna organización puede estar cien por ciento segura en la actualidad.

Lo anterior se debe a que los ciberdelincuentes suelen encontrarse un paso delante de cualquier sistema de seguridad digital: lo que hoy resulta conveniente para proteger un sistema, mañana puede no ser efectivo ante el surgimiento de un tipo de ataque nuevo y completamente desconocido hasta el momento.

Recomendaciones de S21sec al pagar con CoDi

1. Sé consciente de su uso
Esta plataforma puede suponer múltiples ventajas al momento de realizar transacciones cotidianas, pero siempre se debe tener presente que alguien puede sacar ventaja de su uso. No evites pagar con CoDi, pero mantente al pendiente de las noticias y sé precavido.

2. No proporciones tus datos en correos electrónicos sospechosos
Es posible que dentro de poco comiencen a llegar mensajes a tu cuenta de email que pueden ser phishing (técnica de suplantación de identidad), en los que te pidan escanear un código QR con el argumento de actualizar la base de datos de la institución que te presta servicios financieros. Ante cualquier sospecha, ignóralos y llama de inmediato a tu banco.

3. Mantente actualizado
Actualiza constantemente las apps oficiales que tu institución financiera y el Banco de México comparten de manera oficial para el pago con CoDi: seguramente se les irán añadiendo cada vez más medidas de seguridad.

4. Sé precavido al momento de pagar
Revisa que el código QR del establecimiento donde vas a realizar un pago no se encuentre al alcance de cualquier persona que pueda alterarlo. Si ves algo raro en él, opta mejor por pagar con efectivo.

5. Verifica los datos de la tienda o comercio
Tras escanear un código para pagar, antes de dar clic en la opción “aceptar” comprueba que los datos mostrados corresponden con los del comercio en el que estás realizando la transacción.

6. No escanees códigos QR sospechosos en la vía pública
Evita leer con tu teléfono celular los códigos que se encuentran en carteles pegados en postes o paredes en la calle, y revisa bien los QR de la publicidad oficial que hay en el transporte público o en lugares comunes: si piensas que fueron alterados, evítalos a toda costa.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>