El truco de marketing de Coinbase Super Bowl genera debate sobre la seguridad del código QR

La plataforma de comercio de criptomonedas Coinbase fue derribada por su propio anuncio del Super Bowl el domingo después de que una gran afluencia de usuarios acudió en masa al sitio después de que usó un código QR para dirigir a los espectadores a su promoción gratuita de Bitcoin.

Imitando la clásica pantalla de espera de DVD en la que un logotipo rebota alrededor de una pantalla, el propio riff de Coinbase sobre la idea vio un código rebotar durante 60 segundos y dirigió a los usuarios a su sitio donde actualmente ofrece $ 15 en Bitcoin a todas las cuentas recién registradas, con la oferta vence el 15 de febrero.

Sin embargo, una gran cantidad de personas que escanearon el código generaron un volumen de tráfico demasiado pesado para que la plataforma lo manejara, lo que finalmente obligó a su aplicación a desconectarse.

"Coinbase acaba de ver más tráfico del que jamás hayamos encontrado, pero nuestros equipos se unieron y solo tuvieron que acelerar el tráfico durante unos minutos", dijo Surojit Chatterjee, director de productos de Coinbase a través de Twitter.

"Tuvimos más de 20 millones de visitas a nuestra página de destino en un minuto", agregó. "Eso fue histórico y sin precedentes. También vimos un compromiso seis veces mayor que nuestros puntos de referencia anteriores".

Si bien se consideró un éxito en Coinbase, el incidente provocó debates en línea en la comunidad de ciberseguridad en torno a las implicaciones del uso de códigos QR.

Existen temores en torno a la tecnología con respecto a la naturaleza oculta del servicio web que ocultan. Algunos expertos creen que no se debe confiar plenamente en ellos debido al potencial de secuestro por parte de los ciberdelincuentes.

"La tecnología de código QR es segura en sí misma, pero a medida que crece la confianza en ella, los ciberdelincuentes toman nota", dijo Anna Chung, investigadora principal de la Unidad 42 de Palo Alto Networks para Profesionales de TI. . "Estos códigos podrían ofrecer una puerta de entrada a posibles ataques cibernéticos porque no brindan visibilidad de la página web, la aplicación, etc. detrás de ellos.

"En su lugar, redirigen automáticamente a los usuarios a páginas web, tiendas de aplicaciones para descargar aplicaciones, realizar pagos y más, lo que brinda a los ciberdelincuentes oportunidades para insertarse en el proceso".

Otros sienten que la preocupación por la tecnología es exagerada y que la amenaza real para las personas en escenarios normales es relativamente baja.

"Es importante no dejarse llevar por la amenaza de los códigos QR", dijo Chris Boyd, investigador principal de amenazas de Malwarebytes a IT Pro. "Existen algunos ejemplos de víctimas que conectan a los estafadores con sus cuentas bancarias a través de aplicaciones, y puede encontrar fácilmente explicaciones sobre cómo crear cargas útiles vinculadas al escaneo QR.

"Sin embargo, es probable que cualquier encuentro con un código falso implique dirigir a las personas a páginas de phishing. Algunos teléfonos muestran enlaces antes de la visita, e incluso si no lo hacen, se aplican los consejos estándar de precaución contra el phishing".

La conversación sobre el uso de códigos QR se ha vuelto más apremiante en los últimos años, ya que industrias como la hospitalidad recurrieron al uso de la tecnología para facilitar los pedidos en la mesa en escenarios de comidas al aire libre, por ejemplo.

Recientemente, en enero de 2022, la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) emitió un anuncio de servicio público alertando a las personas sobre los peligros de escanear códigos que se encuentran en lugares aparentemente inocuos del mundo y cómo los ciberdelincuentes pueden utilizarlos de manera indebida.

El anuncio siguió a los informes de una semana antes de que los códigos QR aparecían con mayor frecuencia en Austin, Texas, específicamente en las máquinas de estacionamiento, diseñados para dirigir a los conductores a un sitio web de pago de estacionamiento falso.

"HTTP no es una garantía de que el sitio sea legítimo porque los certificados HTTP están disponibles gratuitamente", dijo Boyd. "Cualquier sitio al que se acceda desde un código en la calle o en otro lugar debe verificarse con la empresa con la que asume que está tratando antes de ingresar los datos bancarios o de inicio de sesión".

Coinbase respondió a las discusiones que tuvieron lugar inmediatamente después del éxito del anuncio diciendo que la seguridad "es muy importante para nosotros", dirigiendo a los usuarios a un enlace directo y advirtiéndoles que si el enlace no procedía directamente de la empresa, podría ser una estafa.